5 bước cơ bản để giảm thiểu nguy cơ rò rỉ dữ liệu khách hàng

Kiến Lập| 08/12/2021 08:58
Theo dõi ICTVietnam trên

Các doanh nghiệp ngày càng phụ thuộc nhiều vào dữ liệu. Trong mỗi lần tương tác, thông tin từ khách hàng giúp họ cải tiến dịch vụ và mở rộng thêm lĩnh vực hoạt động. Tuy nhiên, dữ liệu mà doanh nghiệp thu thập được cũng khiến họ trở thành mục tiêu hấp dẫn đối với tội phạm mạng.

5 bước cơ bản để giảm thiểu nguy cơ rò rỉ dữ liệu khách hàng - Ảnh 1.

Doanh nghiệp cần chuẩn bị đầy đủ để bảo mật thông tin khách hàng. (Ảnh: Getty Images)

Trong vòng vài tháng, đã có hàng loạt vụ xâm phạm dữ liệu lớn nhắm vào các tập đoàn tên tuổi như Neiman Marcus, Facebook và ứng dụng giao dịch chứng khoán Robinhood. Đây cũng là xu hướng đáng lo ngại diễn ra nhiều năm qua. Theo hãng nghiên cứu thị trường Statista, trung bình mỗi ngày xảy ra 3 vụ truy cập trái phép vào dữ liệu khách hàng của doanh nghiệp.

Con số này gióng lên hồi chuông báo động đối với các công ty. Họ cần nhanh chóng trang bị khả năng phòng thủ trước nguy cơ bị xâm phạm. Dưới đây là 5 bước chuẩn bị cơ bản để doanh nghiệp bảo vệ dữ liệu khách hàng.

1. Xem xét và điều chỉnh các tiêu chuẩn thu thập dữ liệu

Bước đầu tiên mà các doanh nghiệp cần thực hiện để tăng cường bảo mật cho dữ liệu khách hàng là xem xét loại dữ liệu đang thu thập. Hầu hết công ty bất ngờ trước những gì họ ghi nhận từ khách hàng. Theo thời gian, nhiều loại thông tin được thu thập vượt khỏi mục đích ban đầu của doanh nghiệp.

Chẳng hạn, tên và địa chỉ email khách hàng có thể xem là thông tin chuẩn, đủ phục vụ cho hoạt động cung cấp hàng hóa, dịch vụ. Nếu dữ liệu của doanh nghiệp chỉ bao gồm nội dung này thì sẽ không thu hút sự quan tâm của những kẻ tấn công.

Tuy nhiên, họ có thể thu thập thêm địa chỉ nhà, dữ liệu tài chính, thông tin nhân khẩu học… nhằm tăng thêm số kênh liên lạc với khách hàng và mở rộng lĩnh vực kinh doanh. Đó là một tệp dữ liệu hấp dẫn trong mắt hacker.

Vì vậy, khi xác định giá trị giá trị của dữ liệu, doanh nghiệp nên tự hỏi: dữ liệu này phục vụ cho chức năng kinh doanh nào. Nếu câu trả lời là không quan trọng, họ nên xóa và ngừng thu thập dữ liệu đó.

Nếu dữ liệu thật sự cần thiết nhưng không quá quan trọng, thì doanh nghiệp nên cân nhắc giữa lợi ích mà dữ liệu mang lại so với hậu quả có thể xảy ra nếu họ để lộ thông tin.

2. Giảm thiểu quyền truy cập dữ liệu

Sau khi cắt giảm lượng dữ liệu cần bảo vệ, bước tiếp theo là giảm phạm vi tấn công nhằm dữ liệu bằng cách giảm thiểu người có quyền truy cập nó.

Kiểm soát truy cập đóng vai trò to lớn trong việc bảo vệ dữ liệu. Kẻ tấn công thường tìm cách đánh cắp thông tin xác thực của những người có quyền truy cập, từ đó mở đường xâm nhập vào hệ thống bảo mật của doanh nghiệp. Vì vậy, các doanh nghiệp cần áp dụng nguyên tắc đặc quyền tối thiểu (PoLP) cho cả kho dữ liệu cũng như các hệ thống kết nối với chúng.

Và việc giảm thiểu quyền truy cập vào dữ liệu cũng giúp ngăn chặn các mối đe dọa từ nội bộ. Theo công ty nghiên cứu Forrester, số vụ rò rỉ dữ liệu xuất phát từ nhân viên nội bộ chiếm 31% trong năm nay và sẽ tiếp tục tăng lên. Do đó, bằng cách giữ cho dữ liệu khách hàng nằm ngoài tay của hầu hết nhân viên, doanh nghiệp sẽ giải quyết các mối đe dọa bên trong và bên ngoài cùng một lúc.

3. Loại bỏ sự phục thuộc vào mật khẩu

Sau khi giảm số lượng người có quyền truy cập vào dữ liệu khách hàng, doanh nghiệp có thể khiến tin tặc khó xâm nhập bằng cách loại bỏ việc dùng mật khẩu làm phương pháp xác thực chính. Đó là một thay đổi nhỏ có thể tạo ra sự khác biệt.

Theo báo cáo điều tra vi phạm dữ liệu của Verizon, 61% vụ vi phạm dữ liệu vào năm ngoái liên quan đến việc sử dụng thông tin đăng nhập bị đánh cắp.

Có một số cách để giảm sự phụ thuộc vào các hệ thống xác thực mật khẩu thông thường. Đầu tiên là sử dụng xác thực hai yếu tố (2FA). Tính năng này yêu cầu cả mật khẩu và mã thông báo bảo mật có giới hạn thời gian, thường được gửi qua ứng dụng hoặc SMS.

Cách tiếp cận tốt hơn nữa là sử dụng các khóa bảo mật phần cứng. Chúng là các thiết bị vật lý dựa trên thông tin đăng nhập mật mã, không thể phá vỡ để kiểm soát quyền truy cập dữ liệu. Khi sử dụng phương thức này, những mối đe dọa trực tuyến và các cuộc tấn công phi kỹ thuật khác giảm đi đáng kể.

4. Mã hóa dữ liệu khi lưu trữ và di chuyển

Vượt qua xác thực, xâm nhập vào tài khoản có quyền truy cập là mối đe dọa lớn nhất đối với dữ liệu doanh nghiệp, nhưng nó không phải là duy nhất. Kẻ tấn công có khả năng khai thác lỗi phần mềm hoặc lỗ hổng bảo mật khác để xuyên thủng các phương pháp kiểm soát truy cập thông thường, giành quyền truy cập vào dữ liệu khách hàng.

Điều đáng lo nhất là các cuộc tấn công như vậy khó phát hiện, thậm chí khó ngăn chặn hơn khi đang diễn ra.

Do đó, trong bước tiếp theo để bảo vệ dữ liệu khách hàng, doanh nghiệp cần mã hóa toàn bộ thông tin. Bao gồm việc sử dụng phần mềm có khả năng mã hóa mạnh khi xử lý dữ liệu; phần cứng mạng và các phương tiện lưu cũng phải có chức năng bảo mật này.

Mã hóa dữ liệu giúp giảm thiểu khả năng thông tin phơi bày trước kẻ tấn công, ngay cả khi chúng vượt qua được những hàng rào bảo mật khác.

5. Xây dựng kế hoạch ứng phó với xâm phạm dữ liệu

Cho dù doanh nghiệp chuẩn bị chu đáo, không có giải pháp bảo mật nào an toàn tuyệt đối. Những kẻ tấn công luôn tìm cách khai thác các điểm yếu tiềm ẩn. Một công ty chú trọng vấn đề an ninh mạng sẽ giảm thiểu nguy cơ xâm nhập nhưng không đồng nghĩa với việc họ không bao giờ bị rò rỉ dữ liệu.

Do đó, bước cuối cùng để bảo vệ tốt dữ liệu khách hàng là xây dựng kế hoạch ứng phó trong điều kiện bị rò rỉ thông tin. Nó sẽ cung cấp cho doanh nghiệp một lộ trình rõ ràng, giúp họ đưa ra phản ứng phù hợp nếu kẻ tấn công có quyền truy cập vào dữ liệu khách hàng.

Và cuối cùng, có thể là quan trọng nhất, sau khi bị xâm phạm dữ liệu, cách doanh nghiệp ứng phó sự cố sẽ ảnh hưởng đến khả năng phục hồi hoạt động kinh doanh.

Công ty nên hợp tác với các hãng bảo mật để giải quyết sự việc, đồng thời minh bạch thông tin với khách hàng bị ảnh hưởng, có chế độ bảo vệ, ngăn ngừa gian lận tài chính và giữ gìn danh tính người dùng. Điều này giảm thiểu khả năng bị xâm phạm dữ liệu trong tương lai cũng như phục hồi niềm tin ở khách hàng.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Bưu điện chi trả tiền cứu trợ nhanh nhất cho người dân sau bão Yagi
    Với số tiền hơn 10 tỷ đồng được hỗ trợ từ Chương trình Phát triển Liên Hợp Quốc (UNDP) và Tổ chức Di cư Quốc tế (IOM), Bưu điện Việt Nam (Vietnam Post) sẽ chi trả cho hơn 2.600 hộ gia đình bị ảnh hưởng nặng nề bởi cơn bão số 3 (Yagi) tại tỉnh Yên Bái, Lào Cai và TP. Hải Phòng ngay trong tháng 12/2024.
  • Báo chí truyền thông và vấn đề quyền riêng tư
    Vấn đề bảo vệ quyền riêng tư cũng được coi như là một phần của việc bảo vệ quyền con người, và quyền riêng tư cần được tôn trọng, đặc biệt là trong bối cảnh bùng nổ truyền thông số hiện nay - khi mà các phương tiện truyền thông hiện đại có khả năng thu thập và phát tán thông tin, hình ảnh đời tư của con người một cách dễ dàng và vô cùng nhanh chóng.
  • FPT mở văn phòng tại Cần Thơ, bổ sung nguồn nhân lực cho mảng dịch vụ CNTT nước ngoài
    Văn phòng làm việc mới tại Cần Thơ của FPT được kỳ vọng sẽ góp phần đáp ứng không gian làm việc cho 1.000 nhân sự mảng dịch vụ CNTT cho thị trường nước ngoài của Tập đoàn vào năm 2025, hướng tới mục tiêu thu hút 3.000 nhân sự vào năm 2030.
  • Công trình nghiên cứu đồ sộ về tôn giáo và chính trị
    Cuốn sách “Lịch sử Cơ Đốc giáo Việt Nam thế kỷ 16 - 19” của GS. Trịnh Vĩnh Thường, một chuyên gia nghiên cứu lịch sử quan hệ Trung - Việt, vừa được giới thiệu đến độc giả như một tài liệu tham khảo chuyên sâu về mối quan hệ phức tạp giữa Thiên Chúa giáo và các triều đại phong kiến Việt Nam.
  • Lệnh cấm Internet tại một số quốc gia châu Á gây "khó" cho các nhà mạng viễn thông
    Việc hạn chế quyền truy cập Internet của một số quốc gia châu Á vì mục đích chính trị đã khiến các nhà mạng viễn thông chịu nhiều tổn thất về tài chính và danh tiếng.
Đừng bỏ lỡ
5 bước cơ bản để giảm thiểu nguy cơ rò rỉ dữ liệu khách hàng
POWERED BY ONECMS - A PRODUCT OF NEKO