Security Assessment

Tầm quan trọng của bảo mật dữ liệu cá nhân đối với doanh nghiệp vừa và nhỏ

CyStack Avatar

Thy Dang

Content Executive @ Marketing Team|October 29, 2023

Trong bối cảnh công nghệ số phát triển không ngừng hiện nay, dữ liệu cá nhân trở thành một loại tài sản vô cùng giá trị và là mục tiêu yêu thích của tin tặc. Nếu không có những biện pháp bảo vệ đúng đắn, chúng sẽ lợi dụng sơ hở để thực hiện các hành vi vi phạm pháp luật, gây ảnh hưởng đến cuộc sống cá nhân của người dùng và tình hình kinh doanh của doanh nghiệp, đặc biệt đối với doanh nghiệp vừa và nhỏ.

dữ liệu cá nahan

Dữ liệu cá nhân là gì?

Nghị định 13/2023/NĐ-CP đã có giải thích rõ ràng khái niệm dữ liệu cá nhân tại Điều 2.

Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bảndữ liệu cá nhân nhạy cảm.

Theo đó, dữ liệu cá nhân cơ bản gồm: Họ và tên; Thời gian sinh, thời gian mất; Thông tin liên lạc; Tình trạng hôn nhân và mối quan hệ gia đình; Quốc tịch; Giới tính; Hình ảnh của cá nhân; Số định danh cá nhân (Căn cước công dân, hộ chiếu, mã số thuế, số bảo hiểm xã hội/số thẻ bảo hiểm y tế, giấy phép lái xe, biển số xe); Nhóm máu; Tài khoản số; Dữ liệu phản ánh hoạt động của cá nhân trên không gian mạng.

Dữ liệu cá nhân nhạy cảm gắn liền với quyền riêng tư mà khi bị xâm phạm sẽ có ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân. Chúng bao gồm: Quan điểm chính trị và tôn giáo; Tình trạng sức khoẻ và đời tư; Dữ liệu sinh trắc học; Dữ liệu di truyền; Khuynh hướng tình dục; Dữ liệu về tội phạm; Dữ liệu khách hàng của tổ chức tín dụng; Dịch vụ trung gian thanh toán; Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị; Những dữ liệu khác theo quy định của pháp luật. [1]

Để đảm bảo tuân thủ Nghị định 13, doanh nghiệp cần sớm có các biện pháp tăng cường bảo mật. Các biện pháp ấy cần tuân theo ba nhóm hoạt động: Xây dựng chính sách Bảo vệ dữ liệu, Triển khai hoạt động Bảo vệ dữ liệu và Giám sát và phản ứng trước nguy cơ Xâm phạm dữ liệu. Nếu doanh nghiệp chưa biết phải bắt đầu từ đâu, hãy tham khảo giải pháp bảo mật hỗ trợ tuân thủ Nghị định 13 của CyStack tại đây.

Giải pháp bảo mật tuân thủ Nghị định 13 về bảo mật dữ liệu

Các hành vi bị nghiêm cấm về bảo vệ dữ liệu cá nhân

Theo Điều 8 trong Nghị định 13/2023/NĐ-CP, các hành vi bị nghiêm cấm bao gồm:

  • Xử lý dữ liệu cá nhân trái với quy định của pháp luật.
  • Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
  • Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
  • Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
  • Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.

Xem thêm: Những thách thức của Nghị định 13 đối với doanh nghiệp vừa và nhỏ

Tầm quan trọng của bảo mật dữ liệu cá nhân

Việc bảo mật dữ liệu cá nhân là điều vô cùng cần thiết trong xã hội hiện đại. Không chỉ bởi thông tin cá nhân thuộc về quyền riêng tư của mỗi người, mà việc dữ liệu bị rò rỉ hoặc đánh cắp sẽ gây ra những hậu quả nặng nề như: bị tống tiền; lừa đảo chiếm đoạt tài sản; bôi nhọ và xúc phạm nhân phẩm, danh dự; xâm hại tình dục v.v.

Không những thế, dữ liệu cá nhân đã và đang là một “món hàng” giá trị để kẻ xấu bán qua lại cho nhiều đối tượng khác nhau phục vụ cho mục đích tiêu cực. Tuy là một nguồn thu bất chính, song lợi nhuận đem lại cho những kẻ xấu này lại ở ngưỡng khổng lồ. Vì vậy, hành vi này vẫn tiếp tục diễn ra và ngày càng có xu hướng gia tăng một cách chóng mặt. Cuối cùng, những hậu quả về vật chất và tinh thần ấy lại ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của các cơ quan, tổ chức, doanh nghiệp và mỗi người trong xã hội.

Một số thủ đoạn đánh cắp dữ liệu cá nhân

Một số thủ đoạn chiếm đoạt thông tin cá nhân phổ biến nhưng ngày càng trở nên tinh vi hơn, khiến người dùng lẫn doanh nghiệp dễ dàng lao vào bẫy có thể kể đến như:

  • Sử dụng mã độc, phần mềm gián điệp: Qua đó, tin tặc sẽ xâm nhập vào hệ thống máy tính của người dùng, gây ra sự cố gián đoạn hoặc đánh cắp dữ liệu cá nhân bí mật để thực hiện các hành vi gây tổn hại tới cá nhân hoặc doanh nghiệp.
  • Thực hiện tấn công vào hệ thống: Tin tặc trực tiếp sử dụng các kỹ thuật nghiệp vụ để tấn công vào hệ thống lưu trữ dữ liệu, đánh cắp nhằm bán cho các bên đối thủ hoặc mục đích tống tiền.
  • Lợi dụng sơ hở trong quá trình chuyển giao dữ liệu cho bên thứ ba: Các doanh nghiệp và công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng và cho phép bên thứ ba tiếp cận nhưng lại không có các yêu cầu hay quy định chặt chẽ, xảy ra tình trạng bên thứ ba chuyển tiếp hoặc bán cho các đối tác khác. Điều này sẽ trở thành một chuỗi rò rỉ vô cùng khủng khiếp.

Trong quá khứ, đã không ít lần các doanh nghiệp vướng phải những rắc rối do để rò rỉ dữ liệu cá nhân của khách hàng. Điển hình vào tháng 01/2021, trên diễn đàn hacker R.Forums, dữ liệu của gần 19.000 khách hàng từng giao dịch tại chuỗi siêu thị điện máy Nguyễn Kim đã bị rao bán với giá 800 USD (khoảng 20 triệu VND). Các thông tin bao gồm tên, tuổi, địa chỉ, số điện thoại, đơn hàng đã mua, tình trạng bảo hành sản phẩm v.v. [2] Nếu có những thông tin cá nhân này trong tay, kẻ gian có thể dễ dàng đóng vai là người của siêu thị để chào mời mua hàng giả, mặt hàng không có thật hoặc những hành vi lừa đảo nguy hiểm khác. Điều này có thể đẩy khách hàng vào nguy hiểm, khi những thông tin giao dịch có sự trùng khớp chính xác đến tuyệt đối và khiến họ tin tưởng mà thực hiện theo chỉ dẫn của kẻ gian.

đánh cắp dữ liệu cá nhân
Hacker PieWithNothing rao bán dữ liệu khách hàng của Nguyễn Kim trên diễn đàn R.Forums vào ngày 29/01/2021.

Cách phòng ngừa rò rỉ dữ liệu cá nhân

Chỉ với một vài cách đơn giản, người dùng và doanh nghiệp hoàn toàn có thể ngăn ngừa nguy cơ rò rỉ dữ liệu và đảm bảo tuân thủ Nghị định 13 ở mức cơ bản:

  • Sử dụng mật khẩu mạnh với nhiều ký tự đặc biệt, không sử dụng một mật khẩu cho nhiều trang web và phần mềm.
  • Bật tính năng xác thực 2 bước (2-Factor Authentication).
  • Thường xuyên kiểm tra và cập nhật phần mềm.
  • Kiểm tra kỹ nhà sản xuất ứng dụng, điều khoản sử dụng và thông tin thu thập trước khi tiến hành cài đặt.
  • Không cắm ổ đĩa cứng và ổ cứng di động không rõ nguồn gốc vào máy tính.
  • Hạn chế tối đa sử dụng Wifi công cộng.

Ở mức độ cao hơn, cá nhân và doanh nghiệp cần sử dụng các phần mềm hoặc dịch vụ từ các công ty an ninh mạng uy tín. Với giải pháp bảo mật hỗ trợ tuân thủ Nghị định 13 của CyStack, doanh nghiệp không chỉ được trợ giúp trong quá trình xây dựng chính sách, mà còn đảm bảo an toàn dữ liệu về lâu dài với các gói dịch vụ và phần mềm đa dạng phục vụ cho từng nhu cầu cụ thể.

tư vấn nghị định 13

Danh sách các giải pháp bảo mật của CyStack hỗ trợ tuân thủ Nghị định 13 theo nhóm hoạt động.

Kết luận

Dữ liệu cá nhân là một tài sản quý giá, và doanh nghiệp có trách nhiệm lớn lao trong việc bảo vệ sự riêng tư của những thông tin cá nhân này trong một thời kỳ đầy thách thức về bảo mật như hiện nay. Nghị định 13 đã đặt ra những yêu cầu nghiêm ngặt mà doanh nghiệp bắt buộc phải tuân thủ. Vì vậy, hãy coi đây là một cơ hội để xây dựng một cam kết với đối tác và khách hàng, hướng tới một tương lai kỹ thuật số an toàn và phát triển bền vững.

Tài liệu tham khảo

[1] Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân (2023), https://bocongan.gov.vn/pbgdpl/van-ban-quy-pham.html?ItemId=2686#parentHorizontalTab4

[2] Hà Thanh (2021), Thông tin gần 19.000 khách hàng của Nguyễn Kim bị rao bán, https://kinhtedothi.vn/thong-tin-gan-19-000-khach-hang-cua-nguyen-kim-bi-rao-ban.html

Bài viết liên quan

Pentest là gì? Những điều cần biết về Kiểm thử xâm nhập
Pentest là gì? Những điều cần biết về Kiểm thử xâm nhập
28/05/2024|Security Assessment

Khi xây dựng ứng dụng công nghệ như web app hay mobile app, một trong những bước không thể thiếu để gia tăng bảo mật cho sản phẩm là kiểm thử xâm nhập – penetration testing, hay còn gọi là pentest. Vậy, pentest thực chất là gì, vai trò cụ thể của module này với …

Lỗ hổng bảo mật là gì? – Tìm hiểu về lỗ hổng Website và Phần mềm
Lỗ hổng bảo mật là gì? – Tìm hiểu về lỗ hổng Website và Phần mềm
28/05/2024|Security Assessment

Trong lĩnh vực an ninh mạng, lỗ hổng bảo mật là một điểm yếu có thể bị khai thác bởi một tác nhân xấu để thực hiện các cuộc tấn công mạng nhằm mục đích thực hiện các hành động phi pháp lên hệ thống mục tiêu. Các lỗ hổng có thể cho phép kẻ …

Vì sao doanh nghiệp cần minh bạch trong việc bảo mật thông tin khách hàng?
Vì sao doanh nghiệp cần minh bạch trong việc bảo mật thông tin khách hàng?
29/10/2023|Security Assessment

Trong thời đại bùng nổ công nghệ số hiện nay, cuộc đua thu thập thông tin hành vi người dùng đang trở nên cực kỳ cạnh tranh. Tuy nhiên, đáng tiếc rằng chỉ một số ít doanh nghiệp chú trọng đến việc bảo mật thông tin khách hàng và nỗ lực chứng minh sự minh …