Các sự cố dữ liệu của Chính phủ Singapore tăng trở lại, nhưng ít nghiêm trọng hơn

Theo SNDGO, không có sự cố nào trong năm 2020 được đánh giá là có mức độ nghiêm trọng "cao", so với con số 5 sự cố nghiêm trọng "cao" trong năm trước đó, các sự cố lần này chủ yếu do lỗi của con người.

Cụ thể, khi làm việc tại nhà gia tăng và có nhiều thảo luận hơn thông qua email cũng như những phương thức số, các sự cố xảy ra khi các cán bộ công nhân viên nhà nước gửi thông tin đến địa chỉ email sai đã tăng lên.

Một số người quên không sử dụng chế độ "bcc" khi gửi email cho nhiều người nhận cùng một lúc để bảo mật danh tính của những người nhận khác, trong khi một số lại chuyển tiếp thông tin hoặc tài liệu đến tài khoản email cá nhân của họ để làm việc tại nhà trên trang thiết bị cá nhân của họ.

Theo SNDGO, các cán bộ công nhân viên nhà nước sẽ phải chịu trách nhiệm về những sự cố dữ liệu này với các biện pháp xử lý từ khiển trách đến các hình phạt về tài chính. Sự gia tăng các sự cố dữ liệu được báo cáo này tương quan với xu hướng chung trong khu vực tư nhân và trên toàn cầu, với việc trao đổi và sử dụng dữ liệu ngày càng tăng. Điều này cũng phản ánh sự gia tăng về nhận thức và cải thiện hiểu biết của các cán bộ công nhân viên nhà nước khi báo cáo tất cả các sự cố dữ liệu, bất kể quy mô hoặc tác động.

SNDGO cho biết các sự cố đã được giải quyết trong vòng 48 giờ và nhấn mạnh rằng các biện pháp kỹ thuật và quy trình được thực hiện có hiệu quả trong việc giảm thiểu tác động của việc vi phạm dữ liệu tiềm ẩn. Ví dụ: quy trình bảo vệ tập tin bằng mật khẩu và gửi mật khẩu qua một kênh riêng biệt đã ngăn chặn ít nhất một sự cố dữ liệu trong năm 2020 tiếp tục leo thang.

"Trong một sự cố, một email đính kèm các tập tin chứa dữ liệu cá nhân nhạy cảm đã bị gửi nhầm đến các nhân viên của một cơ quan chính phủ, những người không được phép nhận tệp... May mắn thay, các tập tin đã được bảo vệ bằng mật khẩu và nhân viên gửi nhầm email đã phát hiện ra lỗi của mình khi chuẩn bị gửi mật khẩu qua một kênh riêng biệt. Những người nhận email không thể mở tập tin mà không có mật khẩu và không có dữ liệu nào bị tiết lộ", SNDGO giải thích thêm.

Các số liệu về sự cố dữ liệu trên là một phần của bản cập nhật thứ hai trong nỗ lực bảo vệ dữ liệu cá nhân của Chính phủ. Bản cập nhật hàng năm là khuyến nghị do Ủy ban đánh giá bảo mật dữ liệu khu vực công (PSDSRC) đưa ra vào tháng 11/2019, nhằm cải thiện tính minh bạch về cách Chính phủ sử dụng và bảo mật dữ liệu công dân.

PSDSRC được Thủ tướng Singapore thành lập vào 31/3/2019 sau khi tại Singapore xảy ra một số vụ lộ, lọt dữ liệu thông tin trên mạng như vụ thông tin cá nhân của hơn 800.000 người hiến máu được đăng tải trên một server không chính thức hoặc vụ tin tặc đã đánh cắp thông tin cá nhân của 1,5 triệu bệnh nhân Trung tâm y tế SingHealth. Do khối lượng thông tin mà các cơ quan nhà nước nắm giữ rất lớn nên khi có những sự cố về lộ, lọt dữ liệu xảy ra, cần thiết phải có những quy định chung để các cơ quan nhà nước hành động một cách kịp thời và giảm thiểu tối đa những rủi ro có thể xảy ra.

Nhận thức được tầm quan trọng trong việc bảo vệ dữ liệu cũng như cần thiết phải có biện pháp cụ thể để ngăn ngừa các sự cố về lộ, lọt dữ liệu trong khu vực công, PSDSRC đã rà soát, thanh tra toàn diện 336 hệ thống CNTT thuộc 94 cơ quan nhà nước Singapore và tổng hợp thành 5 khuyến nghị chính sách chính. Những khuyến nghị này đã được Chính phủ Singapore chấp nhận triển khai với lộ trình cụ thể như sau: 80% hệ thống của tổ chức khu vực công sẽ hoàn thành áp dụng vào cuối năm 2021 và 100% hệ thống sẽ hoàn thành áp dụng vào cuối năm 2023.

PSDSRC cũng khuyến nghị cải thiện các khuôn khổ kiểm toán và quản lý bên thứ ba, tăng cường các quy trình để ứng phó kịp thời với các sự cố dữ liệu cũng như tăng cường trách nhiệm giải trình về bảo mật dữ liệu ở mọi cấp độ.

Nhiều biện pháp bảo vệ dữ liệu khác đã được triển khai

Theo SNDGO, tính đến ngày 31/3, Chính phủ đã triển khai 21 trong số 24 sáng kiến theo khuyến nghị của PSDSRC, trong đó có ba sáng kiến được triển khai kể từ tháng 10/2020. Trong đó có việc thiết lập Trung tâm bảo vệ quyền riêng tư dữ liệu (Data Privacy Protection Capability Centre) để nâng cao kỹ năng chuyên môn trong lĩnh vực này và thực hiện các biện pháp kỹ thuật tiên tiến để bảo vệ dữ liệu trong hệ thống của chính phủ.

"Ba sáng kiến còn lại trong số 24 sáng kiến là các biện pháp kỹ thuật, đòi hỏi phải tái cấu trúc đáng kể các hệ thống kỹ thuật và cần nhiều thời gian hơn để phát triển", SNDGO cho biết, đồng thời Chính phủ cũng đang nỗ lực hoàn thành các sáng kiến này theo kế hoạch đề ra vào cuối năm 2023.

Để đảm bảo các dịch vụ công được chuẩn bị tốt để ứng phó với những sự cố dữ liệu, SNDGO cho biết Chính phủ sẽ tiến hành diễn tập tập trung về CNTT và truyền thông (ICT) và quản lý sự cố dữ liệu trong với sự tham gia của nhiều cơ quan chính phủ. Theo đó, 4 bộ đã được lựa chọn để tham gia cuộc diễn tập đầu tiên sẽ được tổ chức vào tháng 9 tới.

Ở cấp độ cá nhân, Chính phủ đã tiến hành các hội thảo chuyên ngành về bảo mật dữ liệu từ tháng 7 cho những lãnh đạo chủ chốt được bổ nhiệm cũng như các nhóm CNTT và dữ liệu.

Trước đó, vào tháng 2, Singapore đã triển khai khóa học trực tuyến (e-learning) về bảo mật dữ liệu, bao gồm những nội dung mới về cách làm việc tại nhà an toàn và cách bảo vệ dữ liệu khi sử dụng công nghệ lướt Internet an toàn mới được triển khai vào năm ngoái.

SNDGO tuyên bố: "Không thể loại bỏ hoàn toàn các sự cố dữ liệu và chúng ta sẽ cần phải phản ứng nhanh chóng khi chúng xảy ra"./.