Chủ trì cuộc thảo luận, ông Brian Herr, Giám đốc an ninh thông tin (CISO) tại Mainline Information Systems (công ty đối tác công nghệ có trụ sở tại Mỹ) nhấn mạnh, việc các tổ chức ngày càng phụ thuộc vào các bên thứ ba có nghĩa là ngày càng có nhiều bên có khả năng truy cập vào thông tin bí mật của tổ chức. Ông giải thích, các tổ chức đang cho quyền truy cập dữ liệu ngoài tầm kiểm soát của họ, đồng thời cho biết hành lang quy định và pháp lý đang cố gắng đi sâu vào vấn đề này và nó đang thay đổi hoạt động của các tổ chức.
Quy định Chung về Bảo vệ dữ liệu (GDPR) của EU thường được coi là tiên phong cho các quy định bảo vệ dữ liệu, trong khi các quốc gia khác như Mỹ bắt đầu theo sau với các quy định riêng. Hiện nay, có một số điều cần làm rõ trong GDPR liên quan đến quyền truy cập dữ liệu của bên thứ ba, có thể có tác động trên toàn thế giới. Ông Patrick Burke, cựu luật sư về quy định và quyền riêng tư tại Philip Nizer (công ty luật có trụ sở tại New York, Mỹ) đã chỉ ra rằng, ngày càng có nhiều vấn đề tập trung vào các bên thứ ba. Theo GDPR, các tổ chức cần phải chịu trách nhiệm một cách rõ ràng để vượt qua các đánh giá rủi ro và các đánh giá, kiểm tra khác khi chuyển giao dữ liệu cho bên thứ ba.
Ông Burke lưu ý rằng, trong một số trường hợp gần đây, án phạt được đưa ra bởi Văn phòng Ủy viên Thông tin của Anh (ICO) đối với BA (Hãng Hàng không Quốc gia Anh), Marriott (chuỗi khách sạn quốc tế) và Ticketmaster (công ty bán vé trực tuyến tại Anh), có người lập luận rằng các bên thứ ba phải chịu trách nhiệm. Nhưng trong những trường hợp này, ICO cho biết đó là trách nhiệm của chính các tổ chức, họ hoàn toàn không đổ lỗi cho các bên thứ ba phải chịu trách nhiệm. Điều này là do họ đã không thực hiện trách nhiệm tuân theo các quy trình cần thiết.
Ông Burke nói thêm rằng, các nguyên tắc tương tự cũng được áp dụng trong Đạo luật Quyền riêng tư của Người tiêu dùng California (CCPA).
Ông Dimitri Nemirovsky, đồng sáng lập và là Giám đốc Vận hành (COO) tại Atakama cũng đồng tình, cho rằng các tổ chức cuối cùng vẫn là bên kiểm soát những gì xảy ra với dữ liệu của họ. Trong một môi trường ngày càng được số hóa nhiều hơn, ông không nghĩ rằng tổ chức có thể tồn tại mà không cần sử dụng bên thứ ba dưới hình thức này hay hình thức khác. Trong bối cảnh này, điều quan trọng là các tổ chức phải tìm ra cách tiếp cận phù hợp để đảm bảo duy trì tính toàn vẹn của dữ liệu giao cho các bên thứ ba. Cũng theo ông Nemirovsky, điều thực sự quan trọng là tổ chức phải kiểm tra những công cụ đang sử dụng, để sử dụng nó đúng theo cách mà tổ chức mong muốn.
Ông Nemirovsky cho biết, quản lý việc phân phối các khóa mã hóa là đặc biệt quan trọng để đạt được điều này. Ông cho rằng điều này thực sự liên quan đến vấn đề quản lý danh tính và quyền truy cập. Đó là do nếu thông tin đăng nhập của người dùng được ủy quyền bị xâm phạm, nếu khóa mã hóa bị lộ lọt thì tất cả dữ liệu sẽ được kẻ tấn công giải mã.
Do đó, xâm phạm tài khoản được cho là vấn đề bảo mật lớn nhất khi liên quan đến bên thứ ba, vì vi phạm vẫn có thể xảy ra ngay cả khi đã thực hiện đánh giá rủi ro đầy đủ. Ông Herr cho hay, đây sẽ trở thành một vấn đề rất lớn mà ngành an ninh mạng sẽ phải giải quyết. Cuối cùng, tổ chức cần hiểu và thực hiện mã hóa càng sát với dữ liệu người dùng càng tốt để những gì xảy ra ở giữa là không quan trọng.
Đỗ Đoàn Kết
(Theo InfoSecurity)
17:00 | 31/01/2020
09:00 | 21/09/2022
08:00 | 07/02/2020
17:00 | 08/12/2021
09:00 | 16/10/2019
11:00 | 31/03/2023
08:00 | 24/08/2021
13:00 | 05/04/2024
Chính phủ Hoa Kỳ đang cảnh báo thống đốc các bang về việc tin tặc nước ngoài đang thực hiện các cuộc tấn công mạng gây rối loạn hệ thống nước và nước thải trên khắp đất nước.
09:00 | 01/04/2024
Mới đây, các nhà nghiên cứu của nhóm bảo mật Unit42 tới từ công ty an ninh mạng Palo Alto Networks (Mỹ) cho biết một số nhóm tin tặc APT có liên kết với Trung Quốc đã được quan sát nhắm mục tiêu vào các thực thể và các nước thành viên của Hiệp hội các quốc gia Đông Nam Á (ASEAN), như một phần của chiến dịch gián điệp mạng kéo dài trong ba tháng qua.
10:00 | 28/03/2024
Một công dân Trung Quốc và là cựu kỹ sư phần mềm Google đã bị truy tố vì bị cáo buộc đánh cắp các tập tin nhạy cảm và bí mật thương mại liên quan đến công nghệ AI của Google.
08:00 | 24/01/2024
Sáng 23/01, Tạp chí An toàn thông tin tổ chức Hội nghị tổng kết công tác báo chí xuất bản và công tác cộng tác viên năm 2023. Đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ, Chủ tịch Hội đồng biên tập các Ấn phẩm của Tạp chí chủ trì Hội nghị.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Đoàn Công tác số 8 đi thăm các chiến sĩ và nhân dân trên quần đảo Trường Sa đã thành công tốt đẹp. Hành trình để lại nhiều cảm xúc với các thành viên đoàn công tác nhất là khi tham dự những buổi Lễ đặc biệt như: Lễ Giỗ Tổ Hùng Vương, Lễ dâng hương tưởng niệm các anh hùng liệt sĩ hi sinh khi làm nhiệm vụ trên quần đảo Trường Sa, Lễ chào cờ trên đảo Trường Sa.
11:00 | 26/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024
