
Nhiều tổ chức vẫn xem GDPR chủ yếu là một yêu cầu pháp lý hoặc tuân thủ. Tuy nhiên, trên thực tế, GDPR đã phát triển thành một trong những khuôn khổ an ninh mạng có ảnh hưởng lớn nhất. Hiện nay, GDPR định hình cách các doanh nghiệp bảo vệ dữ liệu cá nhân, quản lý rủi ro mạng và xây dựng khả năng chống chịu trong vận hành trên toàn bộ hệ sinh thái công nghệ của mình.
Ngày nay, các doanh nghiệp phải đối mặt với những mối đe dọa an ninh mạng ngày càng tinh vi, bao gồm mã độc tống tiền, tấn công giả mạo, đánh cắp thông tin xác thực, đe dọa từ nội bộ và tấn công vào chuỗi cung ứng. Khi các nhà quản lý tăng cường hoạt động thực thi quy định trong nhiều lĩnh vực như tài chính, y tế, bán lẻ, sản xuất và năng lượng, doanh nghiệp đang chịu áp lực ngày càng lớn trong việc chứng minh cơ chế quản trị an ninh mạng và thực hành bảo vệ dữ liệu mạnh.
GDPR yêu cầu các doanh nghiệp triển khai các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân. Trong thực tế, các biện pháp này bao gồm mã hóa, kiểm soát truy cập, giám sát, đảm bảo khả năng chống chịu, kiểm tra, lưu trữ an toàn, lập kế hoạch ứng phó sự cố và đánh giá rủi ro liên tục. Những biện pháp trên không còn được xem là các thông lệ CNTT tốt tùy chọn nữa; chúng đã trở thành những kỳ vọng được quy định bởi pháp luật.
Bài viết này sẽ giải thích các yêu cầu bảo mật quan trọng của GDPR:
- GDPR có ý nghĩa gì đối với các nhóm an ninh mạng
- Điều 32 ảnh hưởng như thế nào đến các hoạt động bảo mật hằng ngày
- Cách doanh nghiệp có thể tăng cường khả năng chống chịu trước các mối đe dọa mạng và giảm thiểu rủi ro về quy định
GDPR là gì và phạm vi áp dụng của nó gồm những gì?
Quy định chung về Bảo vệ dữ liệu (GDPR) là khuôn khổ của Liên minh Châu Âu về bảo vệ dữ liệu cá nhân. GDPR áp dụng đối với mọi công ty xử lý dữ liệu cá nhân của các cá nhân tại EU hoặc Vương quốc Anh, bất kể công ty đó đặt trụ sở ở đâu, và đã được đưa vào hệ thống pháp luật của Vương quốc Anh dưới tên gọi UK GDPR.
Dữ liệu cá nhân không chỉ bao gồm tên và địa chỉ email. Theo Điều 4 GDPR, các thông tin như địa chỉ IP, mã định danh thiết bị, hồ sơ nhân sự của nhân viên, thông tin tài chính, dữ liệu sức khỏe, dữ liệu vị trí, hành vi duyệt web và thông tin sinh trắc học đều có thể được xem là dữ liệu cá nhân nếu chúng có thể được liên kết với một cá nhân có thể xác định danh tính.
Một số loại dữ liệu được xem là đặc biệt nhạy cảm và yêu cầu mức bảo vệ cao hơn (Điều 9). Những dữ liệu này bao gồm thông tin sức khỏe, dữ liệu sinh trắc học dùng để nhận diện, quan điểm chính trị, tín ngưỡng tôn giáo và các dạng thông tin cá nhân nhạy cảm khác. GDPR quy định cách thức dữ liệu cá nhân được thu thập, lưu trữ, sử dụng, chia sẻ và xóa bỏ. GDPR cũng mang đến cho các cá nhân các quyền cụ thể đối với dữ liệu của mình, bao gồm quyền truy cập, chỉnh sửa và xóa dữ liệu (thường được gọi là “quyền được lãng quên”), cùng với các quyền khác như chuyển dữ liệu và quyền hạn chế việc xử lý dữ liệu.
Đối với các nhóm CNTT và an ninh mạng, GDPR quan trọng vì quy định này gắn trực tiếp việc bảo vệ dữ liệu với an ninh vận hành. Các doanh nghiệp phải có khả năng chứng minh rằng dữ liệu cá nhân được bảo vệ khỏi:
- Truy cập trái phép
- Tiết lộ ngoài ý muốn
- Đánh cắp
- Hỏng dữ liệu
- Phá hủy
- Mất khả năng truy cập
Điều này đã biến an ninh mạng từ một vấn đề thuần túy kỹ thuật thành một rủi ro kinh doanh ở cấp lãnh đạo, một phần do khả năng phải đối mặt với các khoản phạt quản lý rất lớn và tổn hại đến uy tín.
GDPR và các quy định an ninh mạng khác của EU
GDPR không thay thế các quy định an ninh mạng chuyên ngành, thay vào đó, tồn tại song song với chúng trong một hệ sinh thái quy định rộng lớn hơn. Các khuôn khổ khác, chẳng hạn như Chỉ thị NIS2 và Đạo luật khả năng chống chịu hoạt động kỹ thuật số (DORA), giải quyết những khía cạnh khác nhau của rủi ro an ninh mạng, bao gồm bảo vệ các dịch vụ trọng yếu và khả năng chống chịu vận hành trong các lĩnh vực cụ thể.
Các quy định này cùng nhau hoạt động ở những tầng khác nhau, với GDPR tập trung vào việc bảo vệ dữ liệu cá nhân, trong khi các quy định khác hướng đến khả năng chống chịu của hệ thống, bảo mật hạ tầng và các rủi ro theo ngành. Đối với nhiều doanh nghiệp, điều này đồng nghĩa với việc phải kết hợp các yêu cầu bảo vệ dữ liệu với các yêu cầu rộng hơn về an ninh mạng và quy định, thay vì coi việc tuân thủ là một hoạt động độc lập.