Dữ liệu được thu thập trong mười năm cho thấy các nhân tố độc hại và không độc hại đã dẫn đến những xâm phạm dữ liệu tại các hãng bán lẻ, các dịch vụ tài chính và chăm sóc sức khỏe.

Mặc dù có sự giảm trong số sự cố được báo cáo trong năm 2014, khu vực tư nhân Mỹ vẫn giữ nguyên số lượng bị xâm phạm dữ liệu.

"Khi mà Internet mở rộng và những ứng dụng mới được giới thiệu, các doanh nghiệp đang phát triển đều đặn sự sử dụng trực tuyến của họ, dẫn đến sự gia tăng các cuộc tấn công bằng phần mềm độc hại hay hack chống lại họ," theo tuyên bố từ một báo cáo mới của Trend Micro.

Phân tích của Trend Micro cho thấy 81,3% tất cả các sự cố diễn ra ở một trong năm lĩnh vực: bán lẻ, dịch vụ tài chính, y tế, giáo dục và chính phủ.

Trong ngành công nghiệp chăm sóc sức khỏe và tài chính, thông tin nhận dạng cá nhân (personally identifiable information - PII) và dữ liệu sức khỏe hoặc tài chính thể hiện đặc biệt dễ bị xâm phạm bởi việc bị mất hoặc bị đánh cắp máy tính xách tay, máy tính văn phòng và các thiết bị cầm tay khác.

Trong khi lĩnh vực bán lẻ cũng phải vật lộn để duy trì tính bảo mật của tên, địa chỉ, số an sinh xã hội, ngày tháng năm sinh và các thông tin PII khác, ngành này có phần lớn các vụ xâm phạm (47,6 phần trăm) thông qua việc bị hack hay phần mềm độc hại.

Tuy nhiên, mất điện thoại di động và phần mềm độc hại không phải là các mối đe dọa duy nhất. Theo một báo cáo thứ hai của Trend Micro, các tổ chức được ghi nhận trong bộ cơ sở dữ liệu PRC trong giai đoạn 2005-2015 cũng đã trải qua việc bị dữ liệu nguyên do từ những người trong công ty vô tình tiết lộ hoặc rò rỉ ngoài ý muốn. Những nguyên nhân này lần lượt chiếm 17,4 phần trăm và 12 phần trăm các trường hợp vi phạm.

Dù nguồn gốc xâm phạm có là gì, các vụ vi phạm đã gây ra tổn thất rất lớn cho các công ty Mỹ. Nghiên cứu của Viện Ponemon mang tên "2015 Những hao tổn gây ra bởi xâm phạm dữ liệu năm 2015 tại Mỹ" (2015 Cost of Data Breach Study: United States) nhận thấy rằng các xâm phạm dữ liệu đã gây tổn thất cho các công ty trung bình 217 USD cho mỗi bản dữ liệu bị xâm phạm. Con số này giảm xuống còn 198 USD nếu vi phạm bắt nguồn từ lỗi của con người, nhưng đã tăng lên 230 USD nếu xuất phát từ một cuộc tấn công độc hại hoặc hình sự. Trong năm 2015, thiệt hại đến bình quân tới chi phí của doanh nghiệp là 6.530.000 USD.

Để giúp các công ty đối phó với các xâm phạm dữ liệu gây tốn kém này, Hội đồng về an ninh mạng khuyến cáo doanh nghiệp cập nhật danh sách các Chính sách kiểm soát bảo mật quan trọng (Critical Security Controls), trong đó bao gồm các biện pháp thực hành tốt nhất sau đây:

1. Chủ động quản lý kiểm kê các phần cứng và phần mềm được phép và trái phép

2. Thiết lập, thực hiện và chủ động quản lý cấu hình an toàn của phần cứng và phần mềm

3. Liên tục đánh giá và khắc phục các lỗ hổng

Nhận thức cao sẽ dẫn đến sự cảnh giác cao và áp lực sẽ dồn vào các chính phủ liên bang và các doanh nghiệp hoặc tổ chức phải đưa ra những giải pháp hiệu quả và lâu dài.

MAI KHÔI