GDPR và An ninh mạng: Bảo vệ dữ liệu hoạt động như thế nào trong thực tế

Người phụ nữ sử dụng máy tính bảng với hình ảnh khóa bảo mật và lá chắn ba chiều, tượng trưng cho bảo vệ dữ liệu và an ninh mạng

Điều 32 GDPR: Giải thích về bảo mật trong xử lý dữ liệu

Điều 32 là yêu cầu cốt lõi về an ninh mạng trong GDPR. Điều này yêu cầu các doanh nghiệp triển khai “các biện pháp kỹ thuật và tổ chức phù hợp” nhằm bảo đảm mức độ an toàn tương xứng với rủi ro.

Về bản chất, Điều 32 thiết lập một phương pháp tiếp cận bảo mật dựa trên rủi ro. Thay vì quy định một bộ biện pháp kiểm soát cố định, điều khoản này yêu cầu các doanh nghiệp đánh giá mức độ nhạy cảm của dữ liệu mà họ xử lý, phạm vi hoạt động của mình và tác động tiềm tàng của một vụ vi phạm đối với các cá nhân. Sau đó, các biện pháp bảo mật phải được thiết kế và duy trì phù hợp với các rủi ro đó.

Điều này có nghĩa là GDPR không cung cấp một danh sách kiểm tra tuân thủ cố định. Một nhà cung cấp dịch vụ chăm sóc sức khỏe toàn cầu xử lý hồ sơ bệnh nhân nhạy cảm sẽ được kỳ vọng duy trì các biện pháp kiểm soát mạnh mẽ hơn so với một doanh nghiệp nhỏ chỉ xử lý thông tin liên hệ cơ bản. Điều này phản ánh cả bản chất của dữ liệu lẫn hệ quả tiềm tàng nếu xảy ra vi phạm.

“Các biện pháp kỹ thuật và tổ chức phù hợp” có nghĩa là gì?

Trong thực tế, các biện pháp “phù hợp” bao gồm sự kết hợp giữa các biện pháp kiểm soát kỹ thuật và quy trình tổ chức, chẳng hạn như mã hóa, xác thực nhiều yếu tố, quản lý quyền truy cập, sao lưu và khôi phục dữ liệu, quản lý lỗ hổng, giám sát an ninh, ứng phó sự cố, lập kế hoạch khả năng chống chịu và đào tạo nâng cao nhận thức cho nhân viên, được triển khai theo cách phản ánh hồ sơ rủi ro cụ thể của doanh nghiệp.

Điều này thể hiện sự chuyển dịch rộng hơn trong GDPR từ việc tuân thủ một lần sang trách nhiệm giải trình liên tục, trong đó các tổ chức phải chứng minh không chỉ các biện pháp bảo mật tồn tại mà chúng được duy trì và cải tiến thường xuyên theo thời gian. Tuy nhiên, kỳ vọng quan trọng không chỉ là có các biện pháp kiểm soát, mà còn phải chứng minh được rằng các biện pháp đó có hiệu quả, tương xứng với rủi ro và được áp dụng nhất quán.

Các doanh nghiệp được kỳ vọng thực hiện đánh giá rủi ro, ghi nhận các quyết định của mình và thường xuyên đánh giá các biện pháp kiểm soát để bảo đảm chúng vẫn phù hợp với các mối đe dọa không ngừng thay đổi. Các yêu cầu về an ninh mạng không mang tính tĩnh. Những biện pháp từng được xem là đủ vài năm trước có thể không còn đáp ứng được kỳ vọng của cơ quan quản lý ngày nay, khi các nhà quản lý ngày càng nhấn mạnh vào việc cải tiến liên tục và trách nhiệm giải trình thay vì chỉ là một hoạt động tuân thủ một lần.

Tính bảo mật, tính toàn vẹn và tính khả dụng

Các nghĩa vụ bảo mật trong GDPR được xây dựng dựa trên ba nguyên tắc cốt lõi: tính bảo mật, tính toàn vẹn và tính khả dụng. Ba nguyên tắc này cùng xác định cách dữ liệu cá nhân phải được bảo vệ trong thực tế.

Tính bảo mật bảo đảm rằng dữ liệu cá nhân chỉ có thể được truy cập bởi các cá nhân được ủy quyền. Các doanh nghiệp thường đạt được điều này thông qua các biện pháp như xác thực nhiều yếu tố, kiểm soát truy cập dựa trên vai trò, mã hóa và phân đoạn mạng hỗ trợ bởi nguyên tắc cấp quyền tối thiểu cần thiết và các thực tiễn cấu hình an toàn.

Tính toàn vẹn tập trung vào việc bảo vệ dữ liệu khỏi bị thay đổi hoặc làm hỏng trái phép. Điều này thường bao gồm ghi nhật ký kiểm toán, các quy trình quản lý thay đổi, giám sát tính toàn vẹn của tệp, cùng với các biện pháp kiểm soát nhằm ngăn chặn việc sửa đổi dữ liệu ngoài ý muốn.

Tính khả dụng bảo đảm dữ liệu và hệ thống luôn có thể truy cập được khi cần thiết. Điều này đòi hỏi khả năng chống chịu của cơ sở hạ tầng, các chiến lược sao lưu, kế hoạch khôi phục và các quy trình khôi phục hiệu quả sau thảm họa.

Trong ba nguyên tắc này, tính khả dụng thường bị đánh giá thấp. Theo GDPR, các cuộc tấn công bằng mã độc tống tiền khiến dữ liệu cá nhân không khả dụng vẫn có thể được xem là các vụ vi phạm dữ liệu cá nhân phải báo cáo, ngay cả khi không có dữ liệu nào bị đánh cắp, bởi việc mất khả năng truy cập cũng có thể cấu thành hành vi vi phạm theo Điều 4(12).

Mã hóa, giả danh và bảo vệ dữ liệu

Mã hóa được đề cập cụ thể trong Điều 32 vì đây là một trong những phương thức hiệu quả nhất để giảm thiểu rủi ro truy cập trái phép. Dữ liệu truyền qua mạng cần được bảo vệ bằng các giao thức mã hóa hiện đại, trong khi dữ liệu được lưu trữ trên máy tính, máy tính xách tay, ổ đĩa di động, máy chủ, bản sao lưu và môi trường đám mây cũng cần được mã hóa bằng các giải pháp mạnh mẽ (thiết bị mã hóa phần cứng) để bảo đảm bảo vệ có ý nghĩa.

Điều này đặc biệt quan trọng đối với nhân viên làm việc từ xa hoặc nhân viên di động, khi việc thất lạc hoặc bị đánh cắp thiết bị vẫn là nguyên nhân phổ biến dẫn đến rò rỉ dữ liệu. Khi các doanh nghiệp ngày càng hoạt động trong các môi trường lai và đám mây, việc tuân thủ GDPR cũng đòi hỏi phải bảo vệ các thiết bị đầu cuối từ xa, các nền tảng cộng tác, môi trường lưu trữ đám mây và các ứng dụng SaaS của bên thứ ba, đồng thời sử dụng mã hóa phần cứng để giảm thiểu các rủi ro phát sinh khi dữ liệu được xử lý bên ngoài các mạng doanh nghiệp an toàn.

Các thiết bị lưu trữ được mã hóa bằng phần cứng có thể cung cấp thêm bảo vệ cho dữ liệu nhạy cảm được sử dụng bên ngoài phạm vi mạng doanh nghiệp, đặc biệt đối với nhân viên làm việc từ xa, đội ngũ làm việc hiện trường và các doanh nghiệp xử lý thông tin thuộc diện quản lý trong các môi trường phân tán, nơi bảo mật phần cứng của thiết bị vẫn là một yếu tố rủi ro đáng kể.

Tuy nhiên, chỉ mã hóa thôi là chưa đủ. Việc tuân thủ GDPR phụ thuộc vào bảo mật nhiều lớp. Các doanh nghiệp cũng cần quản lý quyền truy cập chặt chẽ, giám sát bảo mật, khả năng ứng phó sự cố, đào tạo nhân viên và các quy trình kiểm tra liên tục nhằm bảo đảm các biện pháp kiểm soát luôn hiệu quả trước các mối đe dọa không ngừng thay đổi.

Giả danh cũng là một kỹ thuật quan trọng. Kỹ thuật này bao gồm việc thay thế, loại bỏ hoặc chuyển đổi các thông tin nhận dạng để dữ liệu cá nhân không thể được liên kết với một cá nhân cụ thể nếu không có thêm thông tin bổ sung. Thông tin bổ sung đó được lưu giữ riêng biệt và được bảo vệ bằng các biện pháp kỹ thuật và tổ chức phù hợp.

Kiểm tra, giám sát và đánh giá liên tục

Điều 32 yêu cầu các doanh nghiệp thường xuyên kiểm tra và đánh giá các biện pháp bảo mật nhằm xác minh cách dữ liệu được thu thập, bảo vệ và lưu trữ. Trên thực tế, điều này bao gồm quét lỗ hổng bảo mật, kiểm tra xâm nhập, giám sát liên tục, kiểm toán an ninh, diễn tập ứng phó sự cố và kiểm tra khả năng khôi phục từ bản sao lưu; tất cả nhằm xác minh rằng các biện pháp kiểm soát vẫn duy trì hiệu quả theo thời gian.

Điều này quan trọng vì các doanh nghiệp không thể báo cáo hoặc kiểm soát sự cố nếu họ không phát hiện được sự cố đó. Khả năng giám sát và quan sát hiệu quả là yếu tố thiết yếu để phát hiện sớm các hoạt động đáng ngờ, hạn chế gián đoạn hoạt động và hỗ trợ các nghĩa vụ báo cáo với cơ quan quản lý, đặc biệt khi yêu cầu thông báo vi phạm nhanh.

Nhiều doanh nghiệp hiện nay xây dựng chương trình GDPR của họ dựa trên các khuôn khổ được công nhận như ISO/IEC 27001, ISO/IEC 27701, Khuôn khổ an ninh mạng NIST, hoặc Cyber Essentials. Các khuôn khổ này giúp các doanh nghiệp xây dựng các quy trình quản trị an ninh có cấu trúc và có thể lặp lại, mặc dù vẫn cần được điều chỉnh để phù hợp với hồ sơ rủi ro GDPR cụ thể của từng doanh nghiệp.

GDPR ảnh hưởng như thế nào đến chiến lược an ninh mạng

GDPR đã thay đổi căn bản cách các doanh nghiệp tiếp cận an ninh mạng, và một trong những thay đổi lớn nhất là trách nhiệm giải trình. Các doanh nghiệp giờ đây phải có khả năng chứng minh việc tuân thủ thay vì chỉ đơn thuần tuyên bố. Điều này bao gồm việc duy trì các đánh giá rủi ro, tài liệu bảo mật, các hồ sơ xử lý dữ liệu, quy trình ứng phó sự cố và quy trình giám sát nhà cung cấp, được hỗ trợ bằng bằng chứng rõ ràng về cách các quyết định bảo mật được đưa ra và xem xét.

GDPR cũng củng cố tầm quan trọng của bảo mật dựa trên rủi ro. Các khoản đầu tư vào bảo mật phải phản ánh mức độ tiếp xúc của doanh nghiệp với các mối đe dọa, lỗ hổng và độ nhạy cảm của dữ liệu được xử lý, bảo đảm rằng các biện pháp kiểm soát tương xứng với các rủi ro đã được xác định.

Việc quản lý rủi ro từ bên thứ ba cũng trở nên quan trọng không kém. Nếu một nhà cung cấp hoặc đơn vị cung cấp dịch vụ xử lý dữ liệu cá nhân thay mặt bạn, doanh nghiệp của bạn vẫn chịu trách nhiệm bảo đảm các biện pháp bảo vệ phù hợp được áp dụng. Vì vậy, hoạt động thẩm định nhà cung cấp và giám sát việc thực hiện hợp đồng hiện đã trở thành những thành phần cốt lõi trong nhiều chương trình tuân thủ GDPR, cùng với việc theo dõi liên tục hiệu năng xử lý dữ liệu và tình trạng an ninh.

Thông tin này có hữu ích không?

Cần trợ giúp?

Bài viết liên quan