Nhiều tổ chức, doanh nghiệp không "mặn mà" với việc bảo vệ dữ liệu cá nhân

Khi lợi nhuận ngắn hạn lấn át trách nhiệm dài hạn

Tư duy quản lý đóng vai trò nền tảng trong việc xây dựng một hệ thống bảo vệ dữ liệu cá nhân hiệu quả. Tuy nhiên, không ít lãnh đạo doanh nghiệp (DN) lại xem nhẹ tầm quan trọng của việc này, dẫn đến việc ưu tiên lợi nhuận ngắn hạn thay vì bảo vệ dữ liệu cá nhân như một mục tiêu chiến lược.

Vụ Ashley Madison năm 2015 là một trong những minh chứng rõ ràng nhất. Công ty này cung cấp dịch vụ xóa hoàn toàn dữ liệu cá nhân của khách hàng với mức phí 20 USD.

Tuy nhiên, thực tế lại trái ngược khi dữ liệu vẫn được lưu trữ. Năm 2015, một cuộc tấn công mạng đã khiến dữ liệu của hàng triệu người dùng bị rò rỉ, bao gồm cả thông tin nhạy cảm. Hậu quả không chỉ là tổn thất tài chính để khắc phục thiệt hại, mà còn khiến uy tín của công ty sụp đổ hoàn toàn, dẫn đến hàng loạt vụ kiện tụng kéo dài.

Lỗ hổng trong hệ thống bảo vệ dữ liệu cá nhân có thể đe dọa đến sự tồn vong của DN. (Ảnh: Deep Software Inc).

Mối nguy lớn lại đến từ con người

Bên cạnh tư duy quản lý, nhân sự - những người vận hành trực tiếp hệ thống - lại chính là một trong những nguyên nhân lớn nhất tạo ra các lỗ hổng bảo vệ dữ liệu. Điều này bắt nguồn từ việc chưa đẩy lên cao nhất việc bảo mật mạng và tuân thủ các quy định bảo vệ dữ liệu cá nhân.

Có thể lấy một ví dụ về vụ tấn công vào hệ thống máy tính của Ủy ban toàn quốc của Đảng Dân chủ Mỹ (DNC) vào năm 2016. Tin tặc đã xâm nhập thành công hệ thống nhờ vào việc một nhân viên bất cẩn nhấp vào email chứa mã độc. Vụ việc này không chỉ làm rò rỉ hàng loạt thông tin quan trọng mà còn gây ảnh hưởng nghiêm trọng đến hình ảnh của tổ chức này trong cuộc bầu cử Tổng thống Mỹ.

Bên cạnh đó, việc nhân sự không thực hiện các biện pháp bảo mật cơ bản cũng là lỗ hổng nghiêm trọng. Nhiều nhân viên sử dụng mật khẩu yếu, truy cập hệ thống qua mạng Wi-Fi công cộng không an toàn, hoặc không thay đổi mật khẩu định kỳ. Những hành động tưởng như nhỏ nhặt này lại mở đường cho tin tặc xâm nhập hệ thống.

Lỗ hổng từ đầu vào đến đầu ra của dữ liệu

Quy trình xử lý dữ liệu cá nhân trong tổ chức, DN trải dài từ khâu thu thập, xử lý đến xóa dữ liệu. Nếu không được xây dựng và triển khai đúng cách, mỗi giai đoạn đều có thể trở thành lỗ hổng tiềm tàng.

Trong khâu thu thập dữ liệu, nhiều DN không đảm bảo tính hợp pháp khi thu thập thông tin cá nhân của khách hàng. Vụ việc Cambridge Analytica là một minh chứng rõ nét. Dữ liệu của 50 triệu người dùng Facebook bị thu thập mà không hề có sự đồng ý, dẫn đến một trong những vụ bê bối lớn nhất trong lịch sử công nghệ.

Không chỉ dừng lại ở đó, quá trình chuyển giao dữ liệu cá nhân cho bên thứ ba cũng tiềm ẩn nhiều rủi ro. Một số DN không thiết lập các thỏa thuận hợp pháp hoặc không kiểm soát chặt chẽ cách bên thứ ba sử dụng dữ liệu. Hậu quả là thông tin bị rò rỉ hoặc lạm dụng mà không thể truy cứu trách nhiệm.

Khâu xóa dữ liệu cá nhân cũng không kém phần rủi ro. Nhiều DN không đảm bảo rằng dữ liệu đã được xóa hoàn toàn, tạo điều kiện cho việc lạm dụng dữ liệu sau này. Đây là lỗ hổng thường bị bỏ qua nhưng lại tiềm ẩn hậu quả nghiêm trọng.

Con dao công nghệ hai lưỡi

Công nghệ lỗi thời hoặc không được quản lý đúng cách là cánh cửa mở cho tấn công mạng. Vụ tấn công ransomware khai thác lỗ hổng WannaCry năm 2017 cho thấy hậu quả khủng khiếp khi các tổ chức vẫn sử dụng hệ điều hành Windows cũ không còn được hỗ trợ, tạo điều kiện cho mã độc tấn công.

Hiện nay, sự phát triển của trí tuệ nhân tạo (AI) mang lại nhiều lợi ích nhưng cũng đi kèm những thách thức lớn. AI có thể tự động hóa các cuộc tấn công mạng, tạo ra các vụ tấn công bằng email giả mạo (phishing) tinh vi, hoặc khai thác lỗ hổng bảo mật trong hệ thống.

Vụ việc của Clearview AI, một công ty nhận dạng khuôn mặt của Mỹ, cung cấp phần mềm chủ yếu cho các cơ quan thực thi pháp luật và các cơ quan chính phủ khác, khi công ty này thu thập dữ liệu sinh trắc học mà không có sự đồng ý, đã dẫn đến hàng loạt án phạt lên tới hàng triệu USD ở nhiều quốc gia.

Cụ thể, Clearview AI hồi tháng 9/2024 đã bị Cơ quan bảo vệ dữ liệu Hà Lan (DPA) cáo buộc vi phạm Quy định bảo vệ dữ liệu chung của châu Âu (GDPR). Cơ quan này cho biết việc lưu trữ và xử lý dữ liệu sinh trắc học chỉ được phép trong một số điều kiện nhất định mà Clearview AI không đáp ứng. Ngoài ra, công ty không minh bạch và từ chối quyền truy cập của những người bị ảnh hưởng đối với dữ liệu được lưu trữ về họ.

Đây không phải là khoản tiền phạt đầu tiên đối với Clearview AI ở Liên minh châu Âu (EU). Công ty từng lĩnh án phạt tương tự tại Anh, Pháp cùng Italy và đã bị kiện ở Mỹ.

Clearview AI là một DN khởi nghiệp tại Mỹ, được biết đến vào năm 2020 qua tin tức đăng tải trên tờ New York Times. Công ty này đã phát triển một ứng dụng có thể tìm ra khuôn mặt của bất cứ ai trên mạng gần như ngay lập tức dù cho người đó đã xóa ảnh hoặc thay đổi thiết lập quyền riêng tư trên Internet.

Để làm được điều này, Clearview AI đã thu thập hàng tỷ hình ảnh khuôn mặt từ các trang như Facebook, Twitter và Google để dùng vào hệ thống nhận diện của họ. Theo thông tin trên trang web Clearview AI, cơ sở dữ liệu này hiện được cho là chứa hơn 50 tỷ bức ảnh.

Giám đốc công ty này từng tuyên bố đã có hơn 600 cơ quan thực thi pháp luật ở Mỹ và Canada sử dụng ứng dụng Clearview AI.

Tại Việt Nam, một số DN đã đối mặt với những rủi ro pháp lý nghiêm trọng do không bảo vệ dữ liệu nhân sự đúng cách. Ví dụ, việc lưu trữ thông tin cá nhân của nhân viên sau khi họ nghỉ việc mà không có sự đồng ý, hoặc sử dụng thông tin cá nhân để kiểm tra tham chiếu mà không thông báo, đều tiềm ẩn nguy cơ vi phạm pháp luật. Những hành vi tưởng như nhỏ này lại có thể dẫn đến các vụ kiện tụng, làm mất uy tín và gây tổn thất lớn cho DN.

Có thể nói, những lỗ hổng luôn là "quả bom nổ chậm", đe dọa uy tín và sự sống còn của tổ chức, DN. Rà soát hệ thống, nhận diện rủi ro và khắc phục kịp thời là cách duy nhất để bảo vệ dữ liệu cá nhân, đảm bảo phát triển bền vững trong thời đại số hóa./.