Chỉ công nghệ không đủ để bảo mật dữ liệu

Tại buổi toạ đàm ra mắt đặc san "Toàn cảnh tài chính số" do Tạp chí Đầu tư tài chính – VietnamFinance tổ chức ngày 10/5, nhiều khách mời và đại biểu đều thống nhất rằng, chuyển đổi số hiện nay đang diễn ra ở tất cả các ngành, nghề, trong đó nhiều đơn vị, tổ chức rất tích cực áp dụng công nghệ mới như trí tuệ nhân tạo (AI), dữ liệu lớn (Big Data), blockchain…

Tuy nhiên, sự phát triển nhanh chóng hiện nay cũng đặt ra nhiều thách thức và rủi ro. Một trong những vấn đề lớn nhất hiện nay là vấn đề bảo vệ dữ liệu trước các rủi ro liên quan đến việc ứng dụng các công nghệ mới, trong đó có công nghệ AI.

Đặc biệt, việc bảo đảm về công nghệ chỉ là 1 trong 4 trụ cột trong việc bảo mật dữ liệu. Cụ thể, 4 trụ cột trong việc bảo mật dữ liệu phải bao gồm: con người, quy trình, công nghệ và chiến lược. Doanh nghiệp chỉ bỏ tiền mua công nghệ thì không thể bảo đảm về mặt chiến lược. 

Luật sư Nguyễn Thanh Hà, Chủ tịch Công ty Luật SBLaw cho biết, với sự ra đời của Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, các doanh nghiệp đều phải thực hiện báo cáo về tác động xử lý dữ liệu cá nhân cho Cục An ninh mạng. 

Hiện nay có rất nhiều văn bản pháp luật liên quan đến bảo vệ dữ liệu cá nhân. Tuy nhiên, ở mỗi văn bản pháp luật lại "dán nhãn" dữ liệu cá nhân khác nhau, dẫn đến sự chồng chéo và gây khó khăn cho các doanh nghiệp trong quá trình thực hiện báo cáo. Bên cạnh đó, nhận thức về bảo vệ dữ liệu cá nhân của nhiều doanh nghiệp vẫn còn tương đối sơ khai.

"Trong thời gian tới đây, khi Chính phủ ban hành nghị định về xử lý vi phạm hành chính, vi phạm về dữ liệu cá nhân đối với các doanh nghiệp, có thể mức xử phạt đối với những doanh nghiệp tiết lộ dữ liệu cá nhân, không làm đúng với cam kết về bảo vệ dữ liệu cá nhân có thể lên tới tối đa 5% doanh thu, một con số rất lớn.

Tuy vậy, đến nay, nhiều doanh nghiệp vẫn chưa biết cung cấp báo cáo xử lý tác động dữ liệu cá nhân cho các cơ quan liên quan như thế nào cũng như chưa thực sự hiểu được trách nhiệm tuân thủ ra sao", Luật sư Nguyễn Thanh Hà dẫn chứng. 

Luật sư Nguyễn Thanh Hà cũng chia sẻ, việc xây dựng báo cáo về xử lý dữ liệu cá nhân đòi hòi phải có sự tham gia của các chuyên gia pháp lý và chuyên gia công nghệ. Song nhiều doanh nghiệp lại đang gặp khó khăn, thiếu nguồn lực về cả kỹ thuật lẫn con người để triển khai các báo cáo này. 

Chủ tịch SBLaw khuyến cáo, trong thời gian tới, các doanh nghiệp, đặc biệt là doanh nghiệp trong lĩnh vực tài chính số nên rà soát lại các quy định nội bộ liên quan đến vấn đề tuân thủ Nghị định 13/2023/NĐ-CP. Đồng thời, các cơ quan quản lý, các bộ, ban, ngành liên quan cũng cần phải có hướng dẫn hoàn chỉnh về việc hoàn thành các báo cáo đánh giá dữ liệu cá nhân cũng như ban hành thông tư riêng cho từng ban, ngành".

Cũng liên quan tới thực trạng lộ lọt dữ liệu cá nhân ở Việt Nam, ông Đỗ Danh Thanh, Phó tổng giám đốc Tư vấn chuyển đổi số và An ninh mạnh - Deloitte Việt Nam cho biết, tình trạng này rất nổi trội và được nói nhiều trên các phương tiện truyền thông. Số liệu thống kê cho thấy, tin tặc tấn công liên tục khoảng 1.000 - 1.2000 vụ/tháng để thu dữ liệu, quy mô ngày càng lớn. 

Tuy nhiên, có một thực trạng trong việc bảo mật dữ liệu tại các doanh nghiệp Việt Nam, đó là, không ít doanh nghiệp Việt Nam phát triển khá 'nóng' và có quan điểm bỏ tiền ra mua việc bảo mật thông tin và phó thác cho công ty đó . Theo ông Thanh, các doanh nghiệp khi bỏ tiền mua việc bảo mật thông tin, vẫn phải luôn có trách nhiệm bảo mật dữ liệu của doanh nghiệp mình. 

Một vấn đề khác, đó là việc doanh nghiệp không có dữ liệu "back-up" để xử lý nhanh vấn đề. 

"Trước đây, tôi từng làm với doanh nghiệp Nhật, ông chủ của họ đều yêu cầu backup dữ liệu vào cuối ngày. Tuy nhiên ở nước ta, các doanh nghiệp chứng khoán, bảo hiểm…có rất nhiều dữ liệu khách hàng nhưng hầu như không có backup và không đưa ra được phương án khắc phục các sự cố. Các doanh nghiệp phải luôn cảnh giác với việc bị ảnh hưởng bởi lỗ hổng", ông Đỗ Danh Thanh chia sẻ. 

HM