Bảo vệ thông tin nhận dạng cá nhân (PII)

Nhiều quốc gia khác nhau đã áp dụng các quy định về bảo mật thông tin để đưa ra các quy tắc cho các tổ chức trong việc thu thập, lưu trữ và cung cấp thông tin cá nhân của khách hàng. Một phần của các tiêu chuẩn thiết yếu đã được đóng khung, bởi các quy định này thể hiện rằng một số dữ liệu nhạy cảm không nên được thu thập ngoại trừ những trường hợp đặc biệt.

Tương tự như vậy, các quy tắc quản trị quy định rằng thông tin phải được xóa với giả định là không cần thiết vì lý do thông tin cá nhân không được truyền đạt cho các nguồn chưa có sự bảo vệ.

Các tội phạm mạng truy cập trái phép vào hệ thống dữ liệu PII, sau đó cung cấp cho những người sẵn sàng mua trong các sàn thương mại ngầm, ẩn danh và thường là các trang web tối(dark web) hay các nhóm riêng trên mạng xã hội (group private).

Facebook - Trường hợp ví dụ về thông tin nhận dạng cá nhân

Vào giữa năm 2018, Công ty Facebook hiện là Meta, đã vướng vào một vụ vi phạm dữ liệu nghiêm trọng. Hồ sơ của 30 triệu khách hàng của Facebook đã được một tổ chức bên ngoài có tên là Cambridge Analytica thu thập mà không có sự đồng ý của họ. Cambridge Analytica đã lấy thông tin từ Facebook thông qua một nhà khoa học làm việc tại Đại học Cambridge. Chuyên gia này đã xây dựng một ứng dụng Facebook để kiểm tra ký tự. Ứng dụng (App) này là một sản phẩm được sử dụng trên điện thoại di động và các trang web.

App này nhằm lấy dữ liệu từ những người đã bầu cử chọn để cho thông tin vào bài kiểm tra của họ. Đáng buồn thay, ứng dụng thu thập thông tin của người tạo bài kiểm tra cũng tuân theo điều khoản trong khuôn khổ của Facebook, hơn nữa app có khả năng thu thập thông tin từ những tài khoản thân quen của người tạo bài kiểm tra. Vụ vi phạm dữ liệu cũng ảnh hưởng đến các khách hàng của Facebook.

Các tổ chức chắc chắn sẽ đưa các nguồn lực vào các cách thu thập thông tin, như sẽ nhận biết rõ hơn về PII, để cung cấp các mặt hàng cho người mua và mở rộng lợi ích. Trong mọi trường hợp, họ sẽ được đáp ứng các hướng dẫn nghiêm ngặt bổ sung trong những năm tiếp theo.

Kế hoạch bảo mật cá nhân

Là một người thường xuyên truy cập internet, các quyết định bảo mật tốt bắt đầu bằng việc có kiến thức đúng đắn về tình hình của chính mình. Để bắt đầu, hãy tự hỏi bản thân những câu hỏi sau:

- Mình muốn bảo vệ điều gì?

- Mình muốn bảo vệ nó khỏi ai?

- Khả năng cần bảo vệ là bao nhiêu?

- Hậu quả tồi tệ như thế nào nếu thất bại?

 - Có sẵn sàng trải qua bao nhiêu rắc rối để cố gắng ngăn chặn những hậu quả có thể xảy ra?

Vấn đề liên kết yếu – Những phương tiện truyền tải:

Câu ngạn ngữ cũ nói rằng: "Một sợi dây xích chỉ khỏe bằng mắt xích yếu nhất của nó" (The chain is as strong as its weakest link) cũng áp dụng cho bảo mật. Ví dụ, lối vào cửa chính được khóa tốt nhất nhưng cửa sổ lại có then cài lỏng lẻo.

Ngoài ra, việc mã hóa email của người dùng để không bị nghẽn trên đường gửi đi sẽ không bảo vệ an toàn cho việc phân loại email đó, giả sử khi lưu trữ một bản sao email đã được giải mã trên máy tính và máy tính đã bị chiếm quyền sử dụng… lúc đó thật tai hại.

Hãy xem xét tất cả các khía cạnh của việc sử dụng dữ liệu và máy tính của người dùng và cố gắng phân biệt bất kỳ điểm lỗi nào trong các phương pháp bảo mật trên máy tính của họ. Vì vậy, người dùng có đang mã hóa dữ liệu cá nhân, email và ứng dụng của mình không?

Các công cụ sử dụng để bảo vệ dữ liệu: Các công cụ có sẵn để bảo vệ thông tin của người dùng là gì, điều này phụ thuộc vào thiết bị và mức độ thông tin quan trọng mà người đó nắm giữ. Cách ứng xử khá tốt nhất là đừng khiến bản thân bị dồn vào chân tường bằng cách trộn tất cả các công cụ và trở nên bối rối, đồng thời làm tăng tình trạng khó xử khi so sánh cái nào tốt hơn? Ví dụ, đối với một ứng dụng trình duyệt web, ta có thể sử dụng các tiện ích mở rộng như: Add Blocker, HTTPS Everywhere, Privacy Badger, Duck Duck go...

Đối với điện thoại di động, thường là điện thoại smart phone (Apple, Samsung...) đang được các công ty mã hóa theo mặc định như một biện pháp bảo vệ tiêu chuẩn, cùng với đó người dùng có thể sử dụng/cài đặt phần mềm chống vi-rút, quét mã độc... cho các ứng dụng và dữ liệu bên trong điện thoại thông minh. Hãy cài đặt các công cụ này hoặc các tiện ích bổ sung có thể giúp bảo vệ thông tin cá nhân của mình. Vì vậy, cái nào người dùng đang sử dụng?

Các vấn đề về siêu dữ liệu (metadata)

Chỉ đơn giản là dữ liệu về dữ liệu (data about data). Cụ thể, nó là mô tả về dữ liệu, giúp chúng ta có thể tập hợp, tìm và hiểu dữ liệu. Siêu dữ liệu thường được mô tả là mọi thứ ngoại trừ nội dung thông tin liên lạc. Có thể coi siêu dữ liệu như một dạng kỹ thuật số tương đương với một phong bì. Giống như một phong bì chứa thông tin về người gửi, người nhận và đích đến của một thư, siêu dữ liệu cũng vậy. Siêu dữ liệu chứa thông tin về thông tin liên lạc kỹ thuật số để gửi và nhận. Một số ví dụ về siêu dữ liệu bao gồm: Dòng chủ đề của email; độ dài của các cuộc trò chuyện; khung thời gian mà một cuộc trò chuyện diễn ra; vị trí khi giao tiếp.

In dấu chân số (Digital Footprint)

Bất cứ khi nào sử dụng internet, chúng ta đều để lại dấu vết thông tin được gọi là in dấu chân số. In dấu chân số phát triển theo nhiều cách - ví dụ: đăng bài viết trên phương tiện truyền thông xã hội, đăng ký nhận bản tin, để lại đánh giá trực tuyến hoặc mua sắm trực tuyến. Nó cũng bao gồm các trang web đã truy cập, email đã gửi và thông tin gửi trực tuyến. In dấu chân số có thể được sử dụng để theo dõi các hoạt động và thiết bị trực tuyến của một người. Người dùng Internet tạo ra dấu chân số của họ một cách chủ động hoặc bị động.

Điều này sẽ giúp doanh nghiệp xác định các mẫu hành vi của người dùng trực tuyến và kết nối chúng với AI (Trí tuệ nhân tạo) để báo trước những suy nghĩ và giao dịch mua hàng tiếp theo mà người dùng sẽ thực hiện.

Đôi khi điều đáng sợ là, điều gì sẽ xảy ra khi/nếu họ có quyền truy cập vào thông tin tài chính và trích dẫn trạng thái liên quan, phân loại, sử dụng thông tin đó!

Lời khuyên cho việc bảo mật máy tính là không nên tin tưởng tuyệt đối vào ai khác ngoài chính mình. Trong thế giới thực, chúng ta gần như chắc chắn tin tưởng nhiều người với ít nhất một số thông tin của chúng ta, từ gia đình hoặc những người bạn thân thiết đến bác sĩ hay luật sư của chúng ta. Điều khó khăn trong không gian mạng là hiểu được mình đang tin tưởng ai và tin điều gì.

Chúng ta có thể cung cấp danh sách mật khẩu cho luật sư của mình: nhưng có nên suy nghĩ về sức mạnh nào có thể mang lại cho họ - hoặc sau đó kẻ xấu có thể truy cập mật khẩu của chúng ta dễ dàng như thế nào. Khi tải lên một tài liệu vào một dịch vụ đám mây như Dropbox hoặc Google cũng đồng nghĩa là chính mình cũng đang cho phép Dropbox và Google truy cập chúng. Trực tuyến hoặc ngoại tuyến, càng ít người chúng ta chia sẻ bí mật, thì chúng ta càng có cơ hội giữ bí mật đó ở chế độ riêng tư.

Do đó, với dữ liệu cá nhân thì không nên lưu trữ tất cả tài liệu trực tuyến, tốt hơn nên giữ chúng trong ổ đĩa riêng và mã hóa chúng ở mức tốt nhất và chia ra làm nhiều nơi lưu trữ(như là: trứng để nhiều giỏ hay tiền để nhiều túi). Rõ ràng việc bảo mật với nhiều lớp không phải là thuận tiện nhưng điều đó sẽ giúp giải quyết được những gì cần bảo vệ nhiều nhất.

Vì vậy, trả lời cho suy nghĩ: Quyền riêng tư có phải là một huyền thoại? Trong kỷ nguyên số, quyền riêng tư là một quyền cơ bản, không thể thiếu của tất cả các giao tiếp trên internet, và quyền đó được pháp luật bảo vệ. Cho nên cá nhân hay tổ chức nào tiết lộ thông tin của người khác mà chưa được sự cho phép phải trả giá đắt vì điều đó. Tất nhiên, cần hiểu rằng đó không phải là trận chiến một người, mà chúng ta có một phần trong đó.

Các “ông lớn” công nghệ vẫn theo dõi? Theo quan điểm riêng của cá nhân, cho dù đó là vì lợi ích của tổ chức hay mục tiêu ngoại giao, thì những người đứng đầu lĩnh vực công nghệ luôn muốn biết những gì chúng ta làm. Rõ ràng là ở một số tổ chức đã thiết lập những luật riêng mà họ thậm chí không tiết lộ nó cho người dùng. Chỉ đề cập đến nó là vì sự an toàn của cộng đồng bằng cách giữ cho đứng dưới chiếc ô giả và giả định với người dùng rằng mưa sẽ đến bất cứ lúc nào. Do đó, câu trả lời là "Có" cho suy nghĩ này.

Làm thế nào chúng ta có thể tránh khỏi giám sát? Có nhiều cách dựa trên kịch bản này đến kịch bản khác. Điều cần thiết là luôn có con mắt thứ ba nghĩ rằng ai đó luôn theo dõi và cần lấy những dữ liệu đó. Thế nên, ẩn danh là một việc khó khăn nhưng nó có thể là một nhiệm vụ có thể thực hiện được.

Bảo mật như một thực tiễn: Những gì an toàn hôm nay có thể không an toàn vào ngày mai. Điều tối quan trọng là phải liên tục đánh giá lại các phương pháp bảo mật. Chỉ vì chúng được bảo mật vào năm ngoái hoặc tuần trước không có nghĩa là chúng vẫn an toàn!