Sử dụng dữ liệu an toàn: Cân bằng giữa tiếp cận thông tin và quyền riêng tư

9/27/2020 1:43:00 PM

 Dữ liệu đã và đang trở thành một trong những tài sản quý giá nhất đối với các công ty. Dữ liệu tạo sức mạnh cho các chiến lược và quyết định của các công ty nhưng cũng tiềm ẩn nhiều rủi ro.

 


 Nhiều công ty đang bắt đầu tận dụng những thông tin chi tiết theo hướng dữ liệu (data driven insights) để có được vị thế trong cuộc đua cạnh tranh. Một cuộc khảo sát vào tháng 4/2019 của Deloitte đã nhấn mạnh thực tế rằng các công ty có nền tảng phân tích mạnh mẽ "đã đạt vượt mức các mục tiêu kinh doanh của họ trong 12 tháng".

Điều này đạt được là nhờ sử dụng dữ liệu. Kết quả càng củng cố thêm cho cuộc khảo sát của Aberdeen năm 2017, trong đó ghi nhận rằng các công ty khai thác dữ liệu để thúc đẩy chiến lược và phát triển sản phẩm đã rút ngắn 45% thời gian đưa sản phẩm ra thị trường.
 
20200817-pg1.png
 
Dữ liệu và quyền riêng tư
Tuy nhiên, sự phổ biến của dữ liệu cũng đang tạo ra các vấn đề về quyền riêng tư do các quy định liên quan đến quản lý và sử dụng dữ liệu không thể theo kịp với sự phát triển thực tế. Điều này đã dẫn đến sự gia tăng các vụ xâm phạm dữ liệu lớn, như vụ bê bối Equifax khét tiếng năm 2017, dẫn đến việc làm lộ thông tin tín dụng của 147,9 triệu người tiêu dùng.
 
Các công ty hiện đã nhận thức rõ hơn về các vấn đề về quyền riêng tư và đang ứng phó với các xâm phạm bằng những biện pháp an ninh mạng, nhưng lỗ hổng bảo mật mạng vẫn là một mối đe dọa.
 
Theo Noam Dror, Phó chủ tịch phụ trách kỹ thuật bảo mật toàn cầu của công ty bảo mật dữ liệu Privitar, một lưu ý đối với các công ty là sự tham gia ngày càng tăng của các bên thứ ba, bao gồm những công ty tiếp thị di động hoặc các nhà cung cấp giải pháp CRM. Những công ty này hỗ trợ đắc lực cho hoạt động của doanh nghiệp nhưng họ cũng là những "cửa hậu" (backdoor) tiềm ẩn rủi ro khiến các công ty bị lộ lọt dữ liệu gián tiếp.
 
Báo cáo về khả năng phục hồi không gian mạng (State of Cyber Resilience Report) của Accenture năm 2020 chỉ ra rằng tin tặc và các tác nhân độc hại đang khai thác các phương thức tấn công ngày càng tinh vi: 40% các cuộc tấn công mạng đã chuyển sang nhằm vào các bên thứ ba.
 
Vụ việc Equifax là trường hợp của một trong những vụ xâm phạm dữ liệu lớn nhất năm 2019. Hay nhà phát triển ứng dụng trò chơi Zynga, chuyên cung cấp các game được và tích hợp với Facebook, đã bị tấn công vào năm ngoái, dẫn đến việc rò rỉ 170 triệu mật khẩu của người dùng. Tin tặc không cần phải tấn công trực tiếp Facebook, thay vào đó, chúng đã khai thác các lỗ hổng trong hệ sinh thái của nền tảng này.
 
Không có bảo mật tuyệt đối
Khi cuộc sống hàng ngày của chúng ta ngày càng phụ thuộc vào các dịch vụ kỹ thuật số và các nền tảng truyền thông xã hội, thì việc loại bỏ hoàn toàn tất cả các rủi ro về quyền riêng tư và bảo mật dường như là không thể.
 
Dror của Privitar khẳng định: "Không có bảo mật tuyệt đối. Chúng ta có thể khóa tất cả các ngôi nhà của mình, nhưng chúng ta vẫn sẽ bị đột nhập".
 
Ông đưa ra một ví dụ về rủi ro quyền riêng tư: việc kết hợp dữ liệu Covid-19 với thông tin truyền thông xã hội dễ dàng được truy cập để xác định các ca lây nhiễm. Dữ liệu được kết hợp tạo ra tình huống "tấn công liên kết" (linkage attack), trong đó nhiều nguồn thông tin được kết hợp để "xác định lại" dữ liệu ẩn danh. Hậu quả không chỉ gây nguy hiểm cho những cá nhân bị lộ dữ liệu mà còn cả trách nhiệm pháp lý nghiêm trọng đối với các công ty xử lý dữ liệu.
 
Theo Dror, vấn đề không nhất thiết là số lượng dữ liệu cá nhân trôi nổi, mà là dữ liệu cá nhân hiển thị như thế nào. Nền tảng bảo mật dữ liệu của Privitar nhằm mục đích giảm thiểu khả năng các bộ dữ liệu được sử dụng để tái nhận dạng các cá nhân.
 
Ví dụ, trong vấn đề về thông tin bệnh nhân Covid-19, dữ liệu bao gồm các chi tiết cụ thể như tuổi, giới tính, khu vực cư trú và nơi làm việc. Bằng cách thay thế các điểm dữ liệu này bằng thông tin tổng quát hơn, dữ liệu sẽ khó được sử dụng để nhận dạng lại.
 
Một phương pháp khác là áp dụng "hình mờ" (watermark) trong các bộ dữ liệu cho các trường hợp sử dụng cụ thể. Hình mờ chứa thông tin người nhận và trường hợp sử dụng sẽ được nhúng trong bộ dữ liệu và có thể theo dõi trên các ổ cứng, email, định dạng.
 
Dror cho biết: Các hình mờ cung cấp "bằng chứng rằng dữ liệu này thuộc về bạn. Điều này sẽ kiểm soát hành vi của mọi người và khiến họ phải tôn trọng việc sử dụng dữ liệu và đảm bảo dữ liệu đó an toàn".
 
Kỹ thuật cụ thể này đặc biệt phù hợp với một trong những khách hàng lớn của Privitar là National Health Service Digital (NHS Digital), Vương quốc Anh. NHS Digital muốn khai thác khối lượng lớn dữ liệu bệnh nhân để cung cấp dịch vụ y tế tốt hơn thông qua công nghệ phân tích và học máy của bên thứ ba. Tuy nhiên, các nhà quản lý đã gắn cờ các vấn đề vi phạm quyền riêng tư lớn với việc chia sẻ thông tin bệnh nhân một cách công khai.
 
NHS Digital đã sử dụng các dịch vụ của Privitar để tạo ra một giải pháp tập trung nhằm loại bỏ danh tính hồ sơ bệnh nhân và hình mờ được nhúng trong bộ dữ liệu giúp chúng an toàn để phổ biến tới các môi trường nghiên cứu của bên thứ ba đáng tin cậy.
 
Đại dịch Covid-19 đã khiến thông tin y tế trở nên quan trọng hơn và bị lộ lọt nhiều hơn trước. Các vụ xâm phạm dữ liệu trong lĩnh vực y tế đang gia tăng do tội phạm mạng lợi dụng dịch bệnh để khai thác các lỗ hổng bảo mật.
 
Dror lưu ý rằng các công ty cũng đang tăng tốc chuyển đổi số, điều này làm tăng nhu cầu về các dịch vụ thu thập và quản lý dữ liệu mạnh mẽ hơn. Ông cho biết: "Có những khách hàng đến với chúng tôi để yêu cầu trợ giúp thêm vì họ có nhiều dữ liệu nhạy cảm hơn".
 
Dror cho hay: "Dữ liệu và quyền riêng tư sẽ ngày càng trở thành những vấn đề cốt lõi". Các công ty sẽ phải cân bằng các mối quan tâm về bảo mật và việc tối ưu hóa lợi ích của dữ liệu để tìm ra giải pháp phù hợp nhất cho mình