Chủ trì cuộc thảo luận, ông Brian Herr, Giám đốc an ninh thông tin (CISO) tại Mainline Information Systems (công ty đối tác công nghệ có trụ sở tại Mỹ) nhấn mạnh, việc các tổ chức ngày càng phụ thuộc vào các bên thứ ba có nghĩa là ngày càng có nhiều bên có khả năng truy cập vào thông tin bí mật của tổ chức. Ông giải thích, các tổ chức đang cho quyền truy cập dữ liệu ngoài tầm kiểm soát của họ, đồng thời cho biết hành lang quy định và pháp lý đang cố gắng đi sâu vào vấn đề này và nó đang thay đổi hoạt động của các tổ chức.
Quy định Chung về Bảo vệ dữ liệu (GDPR) của EU thường được coi là tiên phong cho các quy định bảo vệ dữ liệu, trong khi các quốc gia khác như Mỹ bắt đầu theo sau với các quy định riêng. Hiện nay, có một số điều cần làm rõ trong GDPR liên quan đến quyền truy cập dữ liệu của bên thứ ba, có thể có tác động trên toàn thế giới. Ông Patrick Burke, cựu luật sư về quy định và quyền riêng tư tại Philip Nizer (công ty luật có trụ sở tại New York, Mỹ) đã chỉ ra rằng, ngày càng có nhiều vấn đề tập trung vào các bên thứ ba. Theo GDPR, các tổ chức cần phải chịu trách nhiệm một cách rõ ràng để vượt qua các đánh giá rủi ro và các đánh giá, kiểm tra khác khi chuyển giao dữ liệu cho bên thứ ba.
Ông Burke lưu ý rằng, trong một số trường hợp gần đây, án phạt được đưa ra bởi Văn phòng Ủy viên Thông tin của Anh (ICO) đối với BA (Hãng Hàng không Quốc gia Anh), Marriott (chuỗi khách sạn quốc tế) và Ticketmaster (công ty bán vé trực tuyến tại Anh), có người lập luận rằng các bên thứ ba phải chịu trách nhiệm. Nhưng trong những trường hợp này, ICO cho biết đó là trách nhiệm của chính các tổ chức, họ hoàn toàn không đổ lỗi cho các bên thứ ba phải chịu trách nhiệm. Điều này là do họ đã không thực hiện trách nhiệm tuân theo các quy trình cần thiết.
Ông Burke nói thêm rằng, các nguyên tắc tương tự cũng được áp dụng trong Đạo luật Quyền riêng tư của Người tiêu dùng California (CCPA).
Ông Dimitri Nemirovsky, đồng sáng lập và là Giám đốc Vận hành (COO) tại Atakama cũng đồng tình, cho rằng các tổ chức cuối cùng vẫn là bên kiểm soát những gì xảy ra với dữ liệu của họ. Trong một môi trường ngày càng được số hóa nhiều hơn, ông không nghĩ rằng tổ chức có thể tồn tại mà không cần sử dụng bên thứ ba dưới hình thức này hay hình thức khác. Trong bối cảnh này, điều quan trọng là các tổ chức phải tìm ra cách tiếp cận phù hợp để đảm bảo duy trì tính toàn vẹn của dữ liệu giao cho các bên thứ ba. Cũng theo ông Nemirovsky, điều thực sự quan trọng là tổ chức phải kiểm tra những công cụ đang sử dụng, để sử dụng nó đúng theo cách mà tổ chức mong muốn.
Ông Nemirovsky cho biết, quản lý việc phân phối các khóa mã hóa là đặc biệt quan trọng để đạt được điều này. Ông cho rằng điều này thực sự liên quan đến vấn đề quản lý danh tính và quyền truy cập. Đó là do nếu thông tin đăng nhập của người dùng được ủy quyền bị xâm phạm, nếu khóa mã hóa bị lộ lọt thì tất cả dữ liệu sẽ được kẻ tấn công giải mã.
Do đó, xâm phạm tài khoản được cho là vấn đề bảo mật lớn nhất khi liên quan đến bên thứ ba, vì vi phạm vẫn có thể xảy ra ngay cả khi đã thực hiện đánh giá rủi ro đầy đủ. Ông Herr cho hay, đây sẽ trở thành một vấn đề rất lớn mà ngành an ninh mạng sẽ phải giải quyết. Cuối cùng, tổ chức cần hiểu và thực hiện mã hóa càng sát với dữ liệu người dùng càng tốt để những gì xảy ra ở giữa là không quan trọng.
Đỗ Đoàn Kết
(Theo InfoSecurity)
17:00 | 31/01/2020
09:00 | 21/09/2022
08:00 | 07/02/2020
17:00 | 08/12/2021
09:00 | 16/10/2019
11:00 | 31/03/2023
08:00 | 24/08/2021
22:00 | 30/01/2025
Nhân dịp Xuân mới Ất Tỵ 2025, Tạp chí An toàn thông tin trân trọng gửi lời chúc mừng năm mới và lời cảm ơn sâu sắc nhất tới Lãnh đạo Ban Cơ yếu Chính phủ, Lãnh đạo các Bộ, ban, ngành Trung ương và địa phương, các cơ quan, đơn vị, hiệp hội, tổ chức, doanh nghiệp, cùng quý bạn đọc và cộng tác viên đã đồng hành, ủng hộ để Tạp chí hoàn thành tốt nhiệm vụ và có những bước phát triển mới trong năm qua.
14:00 | 24/01/2025
Công ty an ninh mạng Cyberhaven (Mỹ) đã công bố thông tin mới về một chiến dịch lừa đảo nhắm vào các nhà phát triển tiện ích mở rộng của trình duyệt Chrome, dẫn đến việc xâm nhập ít nhất 35 tiện ích mở rộng để chèn mã độc hại nhằm đánh cắp dữ liệu.
14:00 | 14/01/2025
Thời điểm cuối năm luôn là giai đoạn cao điểm của các cuộc tấn công mạng và lừa đảo trực tuyến. Hàng trăm nghìn vụ tấn công nhắm vào doanh nghiệp, cơ quan và cá nhân đã được ghi nhận.
16:00 | 20/12/2024
Trong 02 ngày 20 - 21/12, tại Hà Nội, Trường Quốc tế - Đại học Quốc gia Hà Nội và Viện nghiên cứu LCOMS, Trường Đại học Lorraine (Pháp) đăng cai tổ chức Hội thảo quốc tế về Toán ứng dụng và Khoa học máy tính (ICAMCS 2024).
Nền tảng truyền thông xã hội Bluesky với cách thức hoạt động tương tự X (trước đây là Twitter) hiện đang trở thành sự lựa chọn ngày càng phổ biến trong cộng đồng khoa học.
09:00 | 03/02/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
ByteDance - công ty mẹ TikTok vừa giới thiệu mô hình trí tuệ nhân tạo (AI) mới có tên OmniHuman-1, có khả năng sản xuất video deepfake mà người dùng thông thường gần như không thể phân biệt với video thật.
08:00 | 07/02/2025