Tại sao bảo vệ dữ liệu cá nhân (Data Privacy) không chỉ là Security

Tại sao bảo vệ dữ liệu cá nhân (Data Privacy) không chỉ là Security?

January 30, 2019 | vietsunshine

Ngày 28 tháng 1 là Ngày Bảo Vệ Dữ Liệu Cá Nhân (Data Privacy Day) – Một ngày để nâng cao nhận thức về việc thu thập dữ liệu và những gì tổ chức, người dùng có thể làm để hạn chế rủi ro.

Ngày bảo mật dữ liệu cá nhân không phải là một sự kiện mới, nhưng các sự cố xảy ra trong năm vừa qua có lẽ đã khiến nhu cầu bảo mật dữ liệu tốt hơn thậm chí còn rõ rệt hơn. Năm 2018, vụ bê bối Facebook liên quan đến việc lạm dụng dữ liệu của Cambridge Analytica đã tiết lộ rằng thông tin hàng triệu hồ sơ người dùng đã được bên thứ ba sử dụng mà không có sự đồng ý của user. Cũng trong năm 2018, một vi phạm được báo cáo từ công ty con của Marriott Hotels, Star Starwood đã ảnh hưởng đến quyền riêng tư dữ liệu của hàng trăm triệu người dùng khác. Ngoài các vi phạm dữ liệu, năm 2018 cũng là năm mà Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh châu Âu có hiệu lực, cung cấp một bộ quy định tuân thủ mà các tổ chức cần tuân theo để giúp bảo vệ quyền riêng tư của người dùng.

Theo tinh thần của Ngày bảo mật dữ liệu,  dưới đây là điểm chính và mẹo về những điều mà cả người dùng cuối và tổ chức có thể làm để giúp giữ dữ liệu được bảo mật.

Privacy không giống như security.

Mặc dù có sự liên quan giữa quyền riêng (provacy) và bảo mật (security) dữ liệu, hai thuật ngữ này không đồng nghĩa với nhau. Bảo mật có thể được sử dụng để giúp bảo vệ quyền riêng tư dữ liệu, với các công nghệ như mã hóa dữ liệu, nhưng quyền riêng tư không chỉ là bảo mật dữ liệu. Quyền riêng tư dữ liệu là về người dùng cuối và cá nhân có tiếng nói và một số quyền kiểm soát dữ liệu của chính họ, cách chia sẻ và cách sử dụng dữ liệu.

Mật khẩu thường là một chìa khóa để bảo mật dữ liệu

Nhiều trang web và dịch vụ mà người dùng cuối truy cập hàng ngày yêu cầu sử dụng một số hình thức xác thực, điển hình là mật khẩu, để có quyền truy cập. Mật khẩu trong khía cạnh đó không chỉ là một công cụ truy cập, mà thực sự là chìa khóa để bảo mật dữ liệu. Trong nhiều vi phạm dữ liệu, kẻ tấn công có thể đánh cắp các kho mật khẩu lớn, sau đó được sử dụng trong các cuộc tấn công “nhồi” thông tin xác thực (credential stuffing attacks). Trong một cuộc tấn công nhồi thông tin xác thực, tin tặc cố gắng sử dụng mật khẩu bị đánh cắp trên các trang web và dịch vụ khác, điều này thường dẫn đến một số thành công do thực tế là nhiều người dùng sử dụng lại mật khẩu.

Không sử dụng cùng một mật khẩu trên nhiều trang web và luôn luôn sử dụng các tùy chọn xác thực đa yếu tố khi có thể. Với xác thực đa yếu tố, ngay cả khi tin tặc có quyền truy cập vào mật khẩu, chúng vẫn cần yếu tố thứ hai để có quyền truy cập.

Xem lại cài đặt phương tiện truyền thông xã hội và nhận thức được cách chia sẻ dữ liệu

Các trang truyền thông xã hội cung cấp một cách tuyệt vời để chia sẻ thông tin với bạn bè, gia đình và đồng nghiệp, nhưng không phải tất cả thông tin đó nên được chia sẻ với bất kỳ ai.

Khi cài đặt các ứng dụng truyền thông xã hội, trò chơi, plugin, công cụ và khảo sát, hãy xem lại những quyền và quyền truy cập nào đang được yêu cầu. Khi đăng thông tin cá nhân, hãy xem lại cài đặt truy cập và đảm bảo rằng tài liệu riêng tư được đặt thành riêng tư. Đối với các loại thông tin nhạy cảm nhất, như thông tin thẻ tín dụng và số An sinh xã hội, không bao giờ cần phải đăng công khai hoặc chia sẻ hình ảnh về thông tin đó.

Đừng chọn tham gia vào tất cả mọi thứ

Khi đăng ký dịch vụ trực tuyến trực tiếp, người tiêu dùng thường được yêu cầu chọn tham gia vào các danh sách gửi thư khác nhau. Những danh sách đó thu thập thông tin người dùng, sau đó có thể được sử dụng, chia sẻ và bán lại theo vô số cách.

Mặc dù có thể có những trường hợp sử dụng hợp lý khi chọn tham gia vào danh sách gửi thư và chia sẻ thông tin của bạn, hãy nhớ thuật ngữ này là “chọn tham gia” (opt-in) tùy thuộc vào bạn để quyết định xem bạn muốn, hoặc cần, để chia sẻ thông tin của bạn.

Xem xét các trình duyệt chế độ riêng tư

Các trang web thường sử dụng các cơ chế khác nhau bao gồm cookie và các dạng trình theo dõi khác để theo dõi hoạt động của người dùng. Những gì bạn làm trực tuyến, nơi bạn đến và những gì bạn nhấp vào là một bộ sưu tập dữ liệu biểu mẫu và có những lúc người dùng muốn hoặc cần giữ kín thông tin đó vì những lý do khác nhau.

Có một số cách để hạn chế rủi ro tiếp xúc với dữ liệu đối với trình theo dõi trực tuyến. Trong số các cách tiếp cận đơn giản nhất là chỉ cần sử dụng chế độ riêng tư trong trình duyệt web. Hiện tại tất cả các trình duyệt web chính đều có chế độ riêng tư, ít nhất là không theo dõi lịch sử người dùng và không lưu trữ cookie ngoài phiên trình duyệt.

Sử dụng VPN khi cần thiết

Các điểm truy cập WiFi công cộng rất thuận tiện, nhưng chúng cũng có thể là một vấn đề đối với bảo mật người dùng. Với điểm truy cập WiFi công khai mở, dữ liệu có thể dễ dàng bị chặn, gây nguy hiểm cho quyền riêng tư.

Với việc sử dụng VPN (virtual private network – mạng riêng ảo), người dùng có thể tạo đường hầm và mã hóa dữ liệu, ngay cả khi chạy qua mạng WiFi công khai, điều này có thể giúp giảm thiểu rủi ro.

Nếu bạn không cần nó, đừng thu thập nó.

Quyền riêng tư dữ liệu không chỉ là về người dùng cuối; Nó cũng là một chủ đề quan tâm của các tổ chức, vì đó là các công ty thu thập dữ liệu. Trong những năm gần đây, với sự xuất hiện của dữ liệu lớn (big data) và phân tích nâng cao, đã có xu hướng các tổ chức thu thập càng nhiều thông tin càng tốt, nhưng đó có thể không phải là phương pháp phù hợp. Việc thu thập thông tin cá nhân hiện cũng mang đến những thách thức tuân thủ ngày càng tăng với các quy tắc như GDPR và các quy định bảo mật khác trên toàn thế giới.

Michelle Dennedy của Cisco, nói rằng các tổ chức nên có kế hoạch trước khi thu thập dữ liệu một cách ngớ ngẩn. “Tôi vẫn khuyên mọi người, nếu bạn không cần nó, đừng thu thập nó,”

Bảo mật dữ liệu là một hành trình liên tục

Quyền riêng tư dữ liệu không chỉ là về mã hóa và theo dõi; đó là về người dùng cá nhân. Cảnh giác là chìa khóa.

Nhận thức về cách dữ liệu được thu thập, chia sẻ và sử dụng trên cơ sở hoạt động là cơ sở của quyền riêng tư dữ liệu. Nâng cao nhận thức và nhắc nhở tất cả chúng ta rằng bảo vệ dữ liệu là một nhiệm vụ tích cực cần được xem xét không chỉ tại một thời điểm, mà luôn luôn.

(Nguồn: eWeek)

Tags: , ,