Do các quy định an toàn thông tin mới như Quy định Bảo vệ Dữ liệu chung (GDPR) của Liên minh Châu Âu, Đạo luật Quyền riêng tư Người tiêu dùng của California (California Consumer Privacy Act - CCPA) và Luật Bảo vệ Dữ liệu chung (General Data Protection Law - LGPD) của Brazil nên việc hiểu biết dữ liệu mà các TC/DN lưu trữ và phân tích ngày càng trở nên khẩn thiết hơn. Các quy định an toàn thông tin nhưng đồng thời áp lực trích xuất nhiều giá trị hơn từ thông tin lưu trữ đòi hỏi các TC/DN phải chú trọng đến việc đảm bảo quyền riêng tư dữ liệu.
Trước đây, các TC/DN đã quan tâm đầu tư vào công nghệ kiểm kê tài sản vật lý nhưng lại thiếu công nghệ thích hợp để tìm kiếm, lập bản đồ và kiểm kê tài sản dữ liệu. Cân bằng giữa xu thế trở thành một TC/DN hướng dữ liệu và yêu cầu đảm bảo quản trị dữ liệu tôn trọng quyền riêng tư đang trở thành một mối quan tâm chiến lược. Tuy nhiên, các công cụ phân loại và kiểm kê dữ liệu truyền thống đơn giản là thiếu khả năng cần thiết để tìm kiếm, lập bản đồ và kiểm kê tài sản dữ liệu một cách chính xác, hiệu quả trong thời đại mới với GDPR và các quy định an toàn thông tin khác. TC/DN cần đảm bảo rằng, các hành động nhằm truy cập, phân tích và chia sẻ dữ liệu luôn phải song hành với những cân nhắc về sự tuân thủ, rủi ro và quyền riêng tư.
Các TC/DN có thể bắt đầu xây dựng sổ đăng ký dữ liệu hiện đại bằng một tiếp cận mới đối với khai phá dữ liệu, đó là tập trung tạo một danh sách đầy đủ, bao gồm dữ liệu nào được lưu giữ ở đâu và với mục đích gì. Với cách tiếp cận mới này, các tổ chức có thể đáp ứng tốt hơn các yêu cầu về quyền riêng tư, đảm bảo an toàn và quản trị dữ liệu.
Các TC/DN cần phải bắt đầu với những điều cơ bản. Một sổ đăng ký dữ liệu hiện đại không thể là một kho dữ liệu, với việc chỉ đơn giản là sao chép dữ liệu mà nó ánh xạ và đưa ra giới hạn về quy mô. Thay vào đó, các TC/DN nên xây dựng sổ đăng ký với một bản đồ có chỉ mục, tập trung vào năm chức năng và đặc điểm hoạt động chính sau:
Mức độ chi tiết của nội dung: Các quy định về quyền riêng tư yêu cầu các TC/DN giải trình về dữ liệu họ thu thập, tức là chỉ cần biết loại dữ liệu nào họ thu thập là chưa đủ. Các TC/DN cần biết họ có dữ liệu gì và dữ liệu đó thuộc về ai. Quyền riêng tư là về con người, vì vậy biết về yếu tố “con người” của dữ liệu là rất cần thiết để đáp ứng các yêu cầu về quyền riêng tư.
Bối cảnh sử dụng: Biết dữ liệu là gì và của ai là bước quan trọng đầu tiên, nhưng tạo ra một sổ đăng ký dữ liệu hiện đại với thông tin, dữ liệu thông minh (data intelligence) hoàn chỉnh là bước tiếp theo. Điều này đòi hỏi kiến thức vận hành, kỹ thuật và nghiệp vụ. Chẳng hạn như ai có quyền truy cập dữ liệu, những ứng dụng nào đang sử dụng dữ liệu, bên thứ ba nào có quyền truy cập dữ liệu và liệu tổ chức có được sự đồng thuận thích đáng trong việc thu thập và xử lý dữ liệu hay không.
Phạm vi bao quát nguồn dữ liệu: Sổ đăng ký dữ liệu chỉ bao gồm các tập tin không có cấu trúc hoặc cơ sở dữ liệu quan hệ thì sẽ không cung cấp được bản kiểm kê dữ liệu đầy đủ. Với số lượng nguồn dữ liệu và ứng dụng được sử dụng trong toàn bộ TC/DN ngày căng gia tăng, thì cần tạo ra một quy trình bao quát được cả những chia sẻ tập tin không có cấu trúc và cơ sở dữ liệu có cấu trúc, dữ liệu lớn, đám mây, NoSQL, nhật ký, thư điện tử, tin nhắn, ứng dụng...
Khả năng mở rộng quy mô: Các TC/ DN thường tập hợp và phân tích hàng chục, thậm chí hàng trăm PB (1 PB = 1.024 TB) dữ liệu. Với áp lực ngày càng gia tăng trong việc trích xuất nhiều giá trị từ dữ liệu hơn, thì con số đó sẽ còn tăng cao hơn nữa. Sổ đăng ký dữ liệu hiện đại cần cung cấp cách chỉ mục dữ liệu hiệu quả cũng như việc sử dụng dữ liệu liên quan và phải thực hiện với phương thức mà có thể mở rộng sang quy mô một TC/DN toàn cầu.
Không cố định: Khi sổ đăng ký dữ liệu được tạo ra, các tổ chức phải biết trước rằng nó sẽ được thay đổi và di chuyển không ngừng. Do đó, sổ đăng ký phải có khả năng tự cập nhật và điều chỉnh với mọi thay đổi theo gần với thời gian thực để cung cấp bức tranh toàn cảnh rõ ràng và chính xác nhất về việc dữ liệu nào được lưu giữ ở đâu, khi nào và thuộc về ai.
Sau khi nền tảng chức năng và hoạt động của sổ đăng ký dữ liệu hiện đại được xây dựng, đó là lúc tạo một bản kế toán và kiểm kê đầy đủ các tài sản dữ liệu được phân phối của TC/DN. Điều này yêu cầu thông tin tình báo dữ liệu của cả những giá trị thực thể rời rạc - điều không thể làm chỉ với siêu dữ liệu. Để có được mức dữ liệu này, yêu cầu một phương thức tiếp cận kết hợp giữa khai phá nội dung và bối cảnh hóa có thể đạt được bằng cách xem xét bốn yêu cầu chính sau:
Khai phá và giải quyết thực thể: Để có được mức độ thông tin tình báo dữ liệu cần thiết nhằm đảm bảo quyền riêng tư và an toàn thông tin, cần một cơ chế khai phá dữ liệu mà có thể trích xuất và giải quyết các thực thể dữ liệu dựa trên các giá trị dữ liệu, bất kể dữ liệu đó được lưu trữ cấu trúc, không có cấu trúc hoặc bán cấu trúc. Các tổ chức cũng cần triển khai hệ thống quét mà có thể phân biệt dữ liệu gần giống nhau dựa trên bối cảnh. Ví dụ, hệ thống có thể phân biệt số an sinh xã hội với số ID tài khoản, mặc dù cả hai có thể có cùng giá trị.
Tương quan và bối cảnh đầu vào: Cần nhấn mạnh rằng quyền riêng tư là về con người. Để tuân thủ các quy định về quyền riêng tư, các TC/ DN cần giải trình được dữ liệu của họ và cho biết mối tương quan hoặc liên kết của dữ liệu với chủ thể dữ liệu. Điều này phải được phản ánh trong sổ đăng ký dữ liệu hiện đại. Ngoài việc cần thiết đối với quyền riêng tư, điều này cũng có thể cung cấp thêm một mức độ hiểu biết về tính kết nối của dữ liệu với các định danh có giá trị cao như ID giao dịch, ID tài khoản và ID bằng sáng chế.
Phân loại thực thể theo Loại và Danh mục: Để xây dựng sổ đăng ký dữ liệu hiện đại cần phải sử dụng nhiều hơn là các công cụ phân loại truyền thống. Sổ đăng ký dữ liệu hiện đại phải có độ chi tiết cấp thực thể với yêu cầu phân loại tốt hơn. Nếu được xây dựng bằng trí tuệ nhân tạo hoặc học máy thì sẽ hỗ trợ mở rộng cách nhận biết dữ liệu với các cách phân loại và suy luận.
Thu thập và lập danh mục siêu dữ liệu: Mặc dù danh mục siêu dữ liệu đơn thuần là không thực sự cần thiết khi xét theo quan điểm xây dựng sổ đăng ký dữ liệu nhưng chúng vẫn cung cấp giá trị vì có thể lưu lại nơi chứa các danh mục dữ liệu. Điều này giúp phân loại chính xác các thực thể dữ liệu và xác định vị trí cần ưu tiên để tìm kiếm sâu hơn. Thách thức nằm ở việc phải dựa vào thẻ nhãn và chú thích của con người vì lỗi của con người khiến dữ liệu này trở nên bí mật đến mâu thuẫn. Vì vậy, trong khi siêu dữ liệu kỹ thuật là quan trọng thì cũng cần nắm bắt bối cảnh hoạt động và nghiệp vụ như quyền truy cập, mục đích sử dụng hoặc sự đồng thuận.
Có thể nói, cách duy nhất để tuân thủ các quy định về quyền riêng tư như GDPR và CCPA là các TC/DN có khả năng giải trình dữ liệu họ lưu trữ và những cá nhân sở hữu dữ liệu đó hay không.
Để xây dựng sổ đăng ký dữ liệu hiện đại cần nhìn xa hơn việc phân loại và lập danh mục dữ liệu một cách đơn giản để thể hiện mối tương quan và liên kết của dữ liệu với chủ thể dữ liệu. Điều này có nghĩa là cần phải cung cấp một mức độ hiểu biết mới về tính kết nối của dữ liệu với các định danh có giá trị cao, dù chúng nằm tại trung tâm dữ liệu hoặc trên đám mây.
Đỗ Đoàn Kết (Theo Tạp chí INSecure, số 62)
14:00 | 20/01/2021
07:00 | 18/01/2021
10:00 | 12/01/2021
10:00 | 22/03/2024
Với sự tương tác kinh tế, xã hội và văn hóa ngày càng diễn ra phổ biến trên Internet, nhu cầu ngày càng tăng trong vài thập kỷ qua nhằm bắt chước sự ngẫu nhiên của thế giới tự nhiên và tạo ra các hệ thống kỹ thuật số để tạo ra các kết quả không thể đoán trước. Các trường hợp sử dụng cho tính không thể đoán trước này bao gồm đưa vào sự khan hiếm nhân tạo, xây dựng các cơ chế bảo mật mạnh mẽ hơn và tạo điều kiện cho các quy trình ra quyết định trung lập đáng tin cậy. Trong bài viết này, tác giả sẽ phân tích tính ngẫu nhiên, tìm hiểu về các loại ngẫu nhiên và vai trò quan trọng của sự ngẫu nhiên đối với Blockchain và hệ sinh thái Web3.
09:00 | 23/05/2023
Cookie của trình duyệt đôi khi bị hỏng và không hoạt động như mong đợi, khiến các trang web tải không chính xác và thậm chí có thể bị lỗi. Khi điều này xảy ra, người dùng có thể khắc phục sự cố bằng cách xóa tất cả cookie ở mọi nơi, tất cả cùng một lúc hoặc có thể xóa cookie được liên kết với một trang web cụ thể. Đối với Microsoft Edge, việc xóa các cookie cụ thể yêu cầu phải đi sâu vào menu cài đặt (Settings).
10:00 | 21/04/2023
Hiện nay, các ứng dụng sử dụng hệ thống Internet vạn vật (Internet of Things - IoT) phát triển nhanh về số lượng dẫn đến những nguy cơ tiềm ẩn về lộ lọt dữ liệu nhạy cảm. Trong bài báo này, nhóm tác giả đề xuất một phương pháp mã hóa phân vùng trên máy tính nhúng sử dụng dm-crypt và LUKS để bảo vệ dữ liệu cho ứng dụng camera, đồng thời tích hợp thêm thuật toán mật mã Kuznyechik trong chuẩn GOST R34.12-2015 trên máy tính nhúng Raspberry Pi. Trong phần I, bài báo đi tìm hiểu về các phương pháp mã hóa dữ liệu và trình bày về các giải pháp mã hóa dữ liệu lưu trữ, giới thiệu nguyên lý hoạt động và một số công cụ phần mềm hỗ trợ mã hóa dữ liệu cả về thương mại lẫn mã nguồn mở, tìm hiểu sâu hơn về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi.
09:00 | 09/01/2023
Trojan phần cứng (Hardware Trojan - HT) là một biến thể của thiết kế IC nguyên bản (sạch, tin cậy) bị cổ ý chèn thêm các linh kiện vào IC để cho phép truy cập hoặc làm thay đổi thông tin lưu trữ (xử lý) ở bên trong chip. Các HT không chỉ là đe dọa lý thuyết an toàn mà còn trở thành phương tiện tấn công tiềm ẩn, đặc biệt đối với các mạch tạo số ngẫu nhiên, giữ vai trò quan trọng trong các hoạt động xử lý bảo mật và an toàn thông tin. Bộ tạo số ngẫu nhiên (True Random Number Generator - TRNG) được dùng làm điểm khởi đầu để sinh ra các khóa mật mã nhằm bảo đảm tính tin cậy cho các phép toán trong hệ mật. Vì vậy, TRNG là mục tiêu hấp dẫn đối với tấn công cố ý bằng HT. Bài báo áp dụng phương pháp tạo số ngẫu nhiên thực TRNG, thiết kế T4RNG (Trojan for Random Number Generators) làm suy giảm chất lượng các số ngẫu nhiên ở đầu ra của bộ tạo, mô tả các đặc tính của Trojan T4RNG và đưa ra kết quả thống kê phát hiện ra Trojan này dựa vào công cụ đánh giá AIS-31[2] và NIST SP-22 [3].
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Có một số phương pháp để xác định mức độ an toàn của các hệ mật sử dụng độ dài khóa mã (key length) tham chiếu làm thông số để đo độ mật trong cả hệ mật đối xứng và bất đối xứng. Trong bài báo này, nhóm tác giả tổng hợp một số phương pháp xác định độ an toàn của hệ mật khóa công khai RSA, dựa trên cơ sở các thuật toán thực thi phân tích thừa số của số nguyên modulo N liên quan đến sức mạnh tính toán (mật độ tích hợp Transistor theo luật Moore và năng lực tính toán lượng tử) cần thiết để phá vỡ một bản mã (các số nguyên lớn) được mã hóa bởi khóa riêng có độ dài bit cho trước. Mối quan hệ này giúp ước lượng độ an toàn của hệ mật RSA theo độ dài khóa mã trước các viễn cảnh tấn công khác nhau.
08:00 | 04/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024
