Do các quy định an toàn thông tin mới như Quy định Bảo vệ Dữ liệu chung (GDPR) của Liên minh Châu Âu, Đạo luật Quyền riêng tư Người tiêu dùng của California (California Consumer Privacy Act - CCPA) và Luật Bảo vệ Dữ liệu chung (General Data Protection Law - LGPD) của Brazil nên việc hiểu biết dữ liệu mà các TC/DN lưu trữ và phân tích ngày càng trở nên khẩn thiết hơn. Các quy định an toàn thông tin nhưng đồng thời áp lực trích xuất nhiều giá trị hơn từ thông tin lưu trữ đòi hỏi các TC/DN phải chú trọng đến việc đảm bảo quyền riêng tư dữ liệu.
Trước đây, các TC/DN đã quan tâm đầu tư vào công nghệ kiểm kê tài sản vật lý nhưng lại thiếu công nghệ thích hợp để tìm kiếm, lập bản đồ và kiểm kê tài sản dữ liệu. Cân bằng giữa xu thế trở thành một TC/DN hướng dữ liệu và yêu cầu đảm bảo quản trị dữ liệu tôn trọng quyền riêng tư đang trở thành một mối quan tâm chiến lược. Tuy nhiên, các công cụ phân loại và kiểm kê dữ liệu truyền thống đơn giản là thiếu khả năng cần thiết để tìm kiếm, lập bản đồ và kiểm kê tài sản dữ liệu một cách chính xác, hiệu quả trong thời đại mới với GDPR và các quy định an toàn thông tin khác. TC/DN cần đảm bảo rằng, các hành động nhằm truy cập, phân tích và chia sẻ dữ liệu luôn phải song hành với những cân nhắc về sự tuân thủ, rủi ro và quyền riêng tư.
Các TC/DN có thể bắt đầu xây dựng sổ đăng ký dữ liệu hiện đại bằng một tiếp cận mới đối với khai phá dữ liệu, đó là tập trung tạo một danh sách đầy đủ, bao gồm dữ liệu nào được lưu giữ ở đâu và với mục đích gì. Với cách tiếp cận mới này, các tổ chức có thể đáp ứng tốt hơn các yêu cầu về quyền riêng tư, đảm bảo an toàn và quản trị dữ liệu.
Các TC/DN cần phải bắt đầu với những điều cơ bản. Một sổ đăng ký dữ liệu hiện đại không thể là một kho dữ liệu, với việc chỉ đơn giản là sao chép dữ liệu mà nó ánh xạ và đưa ra giới hạn về quy mô. Thay vào đó, các TC/DN nên xây dựng sổ đăng ký với một bản đồ có chỉ mục, tập trung vào năm chức năng và đặc điểm hoạt động chính sau:
Mức độ chi tiết của nội dung: Các quy định về quyền riêng tư yêu cầu các TC/DN giải trình về dữ liệu họ thu thập, tức là chỉ cần biết loại dữ liệu nào họ thu thập là chưa đủ. Các TC/DN cần biết họ có dữ liệu gì và dữ liệu đó thuộc về ai. Quyền riêng tư là về con người, vì vậy biết về yếu tố “con người” của dữ liệu là rất cần thiết để đáp ứng các yêu cầu về quyền riêng tư.
Bối cảnh sử dụng: Biết dữ liệu là gì và của ai là bước quan trọng đầu tiên, nhưng tạo ra một sổ đăng ký dữ liệu hiện đại với thông tin, dữ liệu thông minh (data intelligence) hoàn chỉnh là bước tiếp theo. Điều này đòi hỏi kiến thức vận hành, kỹ thuật và nghiệp vụ. Chẳng hạn như ai có quyền truy cập dữ liệu, những ứng dụng nào đang sử dụng dữ liệu, bên thứ ba nào có quyền truy cập dữ liệu và liệu tổ chức có được sự đồng thuận thích đáng trong việc thu thập và xử lý dữ liệu hay không.
Phạm vi bao quát nguồn dữ liệu: Sổ đăng ký dữ liệu chỉ bao gồm các tập tin không có cấu trúc hoặc cơ sở dữ liệu quan hệ thì sẽ không cung cấp được bản kiểm kê dữ liệu đầy đủ. Với số lượng nguồn dữ liệu và ứng dụng được sử dụng trong toàn bộ TC/DN ngày căng gia tăng, thì cần tạo ra một quy trình bao quát được cả những chia sẻ tập tin không có cấu trúc và cơ sở dữ liệu có cấu trúc, dữ liệu lớn, đám mây, NoSQL, nhật ký, thư điện tử, tin nhắn, ứng dụng...
Khả năng mở rộng quy mô: Các TC/ DN thường tập hợp và phân tích hàng chục, thậm chí hàng trăm PB (1 PB = 1.024 TB) dữ liệu. Với áp lực ngày càng gia tăng trong việc trích xuất nhiều giá trị từ dữ liệu hơn, thì con số đó sẽ còn tăng cao hơn nữa. Sổ đăng ký dữ liệu hiện đại cần cung cấp cách chỉ mục dữ liệu hiệu quả cũng như việc sử dụng dữ liệu liên quan và phải thực hiện với phương thức mà có thể mở rộng sang quy mô một TC/DN toàn cầu.
Không cố định: Khi sổ đăng ký dữ liệu được tạo ra, các tổ chức phải biết trước rằng nó sẽ được thay đổi và di chuyển không ngừng. Do đó, sổ đăng ký phải có khả năng tự cập nhật và điều chỉnh với mọi thay đổi theo gần với thời gian thực để cung cấp bức tranh toàn cảnh rõ ràng và chính xác nhất về việc dữ liệu nào được lưu giữ ở đâu, khi nào và thuộc về ai.
Sau khi nền tảng chức năng và hoạt động của sổ đăng ký dữ liệu hiện đại được xây dựng, đó là lúc tạo một bản kế toán và kiểm kê đầy đủ các tài sản dữ liệu được phân phối của TC/DN. Điều này yêu cầu thông tin tình báo dữ liệu của cả những giá trị thực thể rời rạc - điều không thể làm chỉ với siêu dữ liệu. Để có được mức dữ liệu này, yêu cầu một phương thức tiếp cận kết hợp giữa khai phá nội dung và bối cảnh hóa có thể đạt được bằng cách xem xét bốn yêu cầu chính sau:
Khai phá và giải quyết thực thể: Để có được mức độ thông tin tình báo dữ liệu cần thiết nhằm đảm bảo quyền riêng tư và an toàn thông tin, cần một cơ chế khai phá dữ liệu mà có thể trích xuất và giải quyết các thực thể dữ liệu dựa trên các giá trị dữ liệu, bất kể dữ liệu đó được lưu trữ cấu trúc, không có cấu trúc hoặc bán cấu trúc. Các tổ chức cũng cần triển khai hệ thống quét mà có thể phân biệt dữ liệu gần giống nhau dựa trên bối cảnh. Ví dụ, hệ thống có thể phân biệt số an sinh xã hội với số ID tài khoản, mặc dù cả hai có thể có cùng giá trị.
Tương quan và bối cảnh đầu vào: Cần nhấn mạnh rằng quyền riêng tư là về con người. Để tuân thủ các quy định về quyền riêng tư, các TC/ DN cần giải trình được dữ liệu của họ và cho biết mối tương quan hoặc liên kết của dữ liệu với chủ thể dữ liệu. Điều này phải được phản ánh trong sổ đăng ký dữ liệu hiện đại. Ngoài việc cần thiết đối với quyền riêng tư, điều này cũng có thể cung cấp thêm một mức độ hiểu biết về tính kết nối của dữ liệu với các định danh có giá trị cao như ID giao dịch, ID tài khoản và ID bằng sáng chế.
Phân loại thực thể theo Loại và Danh mục: Để xây dựng sổ đăng ký dữ liệu hiện đại cần phải sử dụng nhiều hơn là các công cụ phân loại truyền thống. Sổ đăng ký dữ liệu hiện đại phải có độ chi tiết cấp thực thể với yêu cầu phân loại tốt hơn. Nếu được xây dựng bằng trí tuệ nhân tạo hoặc học máy thì sẽ hỗ trợ mở rộng cách nhận biết dữ liệu với các cách phân loại và suy luận.
Thu thập và lập danh mục siêu dữ liệu: Mặc dù danh mục siêu dữ liệu đơn thuần là không thực sự cần thiết khi xét theo quan điểm xây dựng sổ đăng ký dữ liệu nhưng chúng vẫn cung cấp giá trị vì có thể lưu lại nơi chứa các danh mục dữ liệu. Điều này giúp phân loại chính xác các thực thể dữ liệu và xác định vị trí cần ưu tiên để tìm kiếm sâu hơn. Thách thức nằm ở việc phải dựa vào thẻ nhãn và chú thích của con người vì lỗi của con người khiến dữ liệu này trở nên bí mật đến mâu thuẫn. Vì vậy, trong khi siêu dữ liệu kỹ thuật là quan trọng thì cũng cần nắm bắt bối cảnh hoạt động và nghiệp vụ như quyền truy cập, mục đích sử dụng hoặc sự đồng thuận.
Có thể nói, cách duy nhất để tuân thủ các quy định về quyền riêng tư như GDPR và CCPA là các TC/DN có khả năng giải trình dữ liệu họ lưu trữ và những cá nhân sở hữu dữ liệu đó hay không.
Để xây dựng sổ đăng ký dữ liệu hiện đại cần nhìn xa hơn việc phân loại và lập danh mục dữ liệu một cách đơn giản để thể hiện mối tương quan và liên kết của dữ liệu với chủ thể dữ liệu. Điều này có nghĩa là cần phải cung cấp một mức độ hiểu biết mới về tính kết nối của dữ liệu với các định danh có giá trị cao, dù chúng nằm tại trung tâm dữ liệu hoặc trên đám mây.
Đỗ Đoàn Kết (Theo Tạp chí INSecure, số 62)
14:00 | 20/01/2021
07:00 | 18/01/2021
10:00 | 12/01/2021
10:00 | 10/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
08:00 | 15/03/2024
Bảo mật công nghệ trí tuệ nhân tạo (AI) đặt ra nhiều thách thức và luôn thay đổi trong bối cảnh chuyển đổi số hiện nay. Khi công nghệ AI phát triển, rủi ro và bề mặt tấn công cùng các mối đe dọa mới ngày càng tăng cao. Điều này đặt ra yêu cầu đối với các nhà phát triển, tổ chức và doanh nghiệp phải có cách tiếp cận chủ động, thường xuyên đánh giá và cập nhật các biện pháp bảo mật.
08:00 | 12/03/2024
Lộ thông tin thẻ tín dụng gây ra nhiều hệ lụy nghiêm trọng, nguy cơ mất tiền là rất cao. Bài báo giới thiệu một số cách thức giúp người dùng giảm nguy cơ khi phát hiện thông tin thẻ tín dụng bị lộ.
08:00 | 09/01/2024
Nhiều người trong chúng ta thường có thói quen chỉ để ý đến việc bảo vệ an toàn máy tính và điện thoại của mình nhưng lại thường không nhận ra rằng đồng hồ thông minh (ĐHTM) cũng có nguy cơ bị tấn công mạng. Mặc dù ĐHTM giống như một phụ kiện cho các thiết bị chính nhưng chúng thường được kết nối với điện thoại, máy tính cá nhân và có khả năng tải các ứng dụng trên mạng, cài đặt tệp APK hay truy cập Internet. Điều đó có nghĩa là rủi ro mất an toàn thông tin trước các cuộc tấn công của tin tặc là điều không tránh khỏi. Vậy nên để hạn chế những nguy cơ này, bài báo sau đây sẽ hướng dẫn người dùng cách sử dụng ĐHTM an toàn nhằm tránh việc bị tin tặc lợi dụng đánh cắp thông tin.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024
