• Thứ Sáu, 10/04/2009 17:39 (GMT+7)

    Giảm hiệu ứng phụ trong luật công bố vi phạm thông tin

    Dù quyền lợi của khách hàng cần biết điều gì đã xảy ra với họ nhưng cần công bằng hơn cho các công ty bị vi phạm an toàn thông tin

    Thời điểm 20/01 khi mà gần như mọi công dân của nước Mỹ trong ngóng vào ngày nhậm chức tổng thống Obama thì công ty Heartland Payment Systems, công ty xử lý giao dịch bằng thẻ tín dụng, đã  xác nhận rằng tin tặc sử dụng phần mềm gián điệp đánh cắp thông tin của người dùng từ công ty này suốt năm 2008 vừa qua. Họ cho biết thêm, mỗi tháng có gần 100 triệu giao dịch thanh toán và cũng chưa biết được bao nhiêu thông tin đã bị đánh cắp. Cây bút Erik Larkin của PCWorld bình luận có lẽ đây là vụ trộm thông tin lớn nhất từ trước đến giờ.

    Ai cần quan tâm đến điều này? Hay bất kỳ ai cũng phải quan tâm?

    Ở Mỹ có Luật về thông tin, buộc các công ty phải công bố thông tin nếu xảy ra sự cố mất dữ liệu cá nhân/khách hàng vì trộm hay lỗi hệ thống. Ngay khi công ty Heartland xảy ra chuyện, thông tin cũng được phơi bày trên 2008breach.com. Mặc dù các công ty được khuyến khích thực hiện các phương pháp an toàn để bảo vệ thông tin nhạy cảm, nhưng dường như, luật đã không đạt được mục đích cao nhất của nó là đảm bảo an toàn cho người dùng cuối.

    The Indentiy Theft Resource Center (ITRC), một tổ chức phi lợi nhuận hỗ trợ người dùng chống và hiểu ra trò bịp đánh cắp thông tin cá nhân, đã chỉ ra số số lượng báo cáo về vi phạm mất thông tin cá nhân từ các công ty đã tăng 47% trong năm 2008.

    Ông Jay Foley của ITRC tin rằng, số lượng báo cáo được tung ra từ giới truyền thông không phải là con số chính xác, nó được thôi phồng. Điều này cho thấy , luật vừa thành công vừa thất bại. Luật sẽ tốt hơn, nếu nó làm cho các công ty ý thức được khi nào phạm luật, thay vì, thực tế các công ty phải chịu một áp lực “làm cái gì đó” ngăn ngừa mất dữ liệu trong hoạt động của mình.

    Luật cũng cho phép các phương tiện truyền thông công khai chỉ trích và chính điều này tạo ra những tổn thương cho tên tuổi của công ty nhiều hơn mức độ đúng ra nó phải gánh chịu. Con số vi phạm đã lên đến 656 vụ trong 1 năm vừa rồi (2008) đã làm cho giới truyền thông “ngán” và không muốn ồn ào nữa lại là một điều tốt.

    Foley tin cho rằng với cách thức hành động khác, như yêu cầu công ty vi phạm báo cáo tập trung vào 1 cơ quan đại diện chung của cả nước, rồi thông báo khách hàng liên quan và khắc phục sự cố triệt để thì luật sẽ có ảnh hưởng tích cực hơn.

    Tuy vậy, Chris Hoofnagel, giám đốc trung tâm luật thông tin riêng tư, nhấn mạnh rằng: “tôi thì không chắc, tôi nhận thấy các công ty rất e ngại công bố thông tin để né tránh những cuộc “tấn công” của công chúng vào họ một cách quá mức khi công bố thông tin vi phạm được công bố. Vấn đề là ở chỗ đó.”

    Hoofnagle cũng chia sẻ thêm rằng nếu chúng ta có cách thức hạn chế tin tức đến những người không cần thiết, sẽ bớt đi rất nhiều tai tiếng cho công ty. Đồng thời, cần hướng dư luận vào các công ty xử lý tài sản thông tin của chúng ta tốt hơn.

    Cách mà công ty bảo vệ thông tin của khách hàng như thế nào không quan trọng, mà là cách họ làm cho người sử dụng thấy tin tưởng rằng các công ty cũng lo lắng như mất tài sản của chính các công ty. Nhưng điều đó lại đến từ một ý thức mạnh mẽ hay đã từng có một thực tế đau thương.

    Hải Phạm
    Theo PC World Mỹ 04/2009

    Từ khóa: ATTT, security
    ID: O0903_5