Dữ liệu được thu thập trong mười
năm cho thấy các nhân tố độc hại và không độc hại đã dẫn đến những xâm phạm dữ
liệu tại các hãng bán lẻ, các dịch vụ tài chính và chăm sóc sức khỏe.
Mặc dù có sự giảm trong số sự cố
được báo cáo trong năm 2014, khu vực tư nhân Mỹ vẫn giữ nguyên số lượng bị xâm
phạm dữ liệu.
"Khi mà Internet mở rộng và những ứng dụng mới được giới thiệu, các
doanh nghiệp đang phát triển đều đặn sự sử dụng trực tuyến của họ, dẫn đến sự
gia tăng các cuộc tấn công bằng phần mềm độc hại hay hack chống lại họ," theo
tuyên bố từ một báo cáo mới của Trend Micro.

Phân tích của
Trend Micro cho thấy 81,3% tất cả các sự cố diễn ra ở một trong năm lĩnh vực:
bán lẻ, dịch vụ tài chính, y tế, giáo dục và chính phủ.
Trong ngành công nghiệp chăm sóc
sức khỏe và tài chính, thông tin nhận dạng cá nhân (personally identifiable
information - PII) và dữ liệu sức khỏe hoặc tài chính thể hiện đặc biệt dễ bị
xâm phạm bởi việc bị mất hoặc bị đánh cắp máy tính xách tay, máy tính văn phòng
và các thiết bị cầm tay khác.
Trong khi lĩnh vực bán lẻ cũng phải
vật lộn để duy trì tính bảo mật của tên, địa chỉ, số an sinh xã hội, ngày tháng
năm sinh và các thông tin PII khác, ngành này có phần lớn các vụ xâm phạm (47,6
phần trăm) thông qua việc bị hack hay phần mềm độc hại.
Tuy nhiên, mất điện thoại di động
và phần mềm độc hại không phải là các mối đe dọa duy nhất. Theo một báo cáo thứ
hai của Trend Micro, các tổ chức được ghi nhận trong bộ cơ sở dữ liệu PRC trong
giai đoạn 2005-2015 cũng đã trải qua việc bị dữ liệu nguyên do từ những người
trong công ty vô tình tiết lộ hoặc rò rỉ ngoài ý muốn. Những nguyên nhân này lần
lượt chiếm 17,4 phần trăm và 12 phần trăm các trường hợp vi phạm.
Dù nguồn gốc xâm phạm có là gì,
các vụ vi phạm đã gây ra tổn thất rất lớn cho các công ty Mỹ. Nghiên cứu của Viện
Ponemon mang tên "2015 Những hao tổn gây ra bởi xâm phạm dữ liệu năm 2015
tại Mỹ" (2015 Cost of Data Breach Study: United States) nhận thấy rằng các
xâm phạm dữ liệu đã gây tổn thất cho các công ty trung bình 217 USD cho mỗi bản
dữ liệu bị xâm phạm. Con số này giảm xuống còn 198 USD nếu vi phạm bắt nguồn từ
lỗi của con người, nhưng đã tăng lên 230 USD nếu xuất phát từ một cuộc tấn công
độc hại hoặc hình sự. Trong năm 2015, thiệt hại đến bình quân tới chi phí của
doanh nghiệp là 6.530.000 USD.
Để giúp các công ty đối phó với
các xâm phạm dữ liệu gây tốn kém này, Hội đồng về an ninh mạng khuyến cáo doanh
nghiệp cập nhật danh sách các Chính sách kiểm soát bảo mật quan trọng (Critical
Security Controls), trong đó bao gồm các biện pháp thực hành tốt nhất sau đây:
1.
Chủ động quản lý kiểm kê các phần cứng và phần mềm
được phép và trái phép
2.
Thiết lập, thực hiện và chủ động quản lý cấu
hình an toàn của phần cứng và phần mềm
3.
Liên tục đánh giá và khắc phục các lỗ hổng
Nhận thức cao sẽ dẫn đến sự cảnh
giác cao và áp lực sẽ dồn vào các chính phủ liên bang và các doanh nghiệp hoặc
tổ chức phải đưa ra những giải pháp hiệu quả và lâu dài.
MAI KHÔI