Hai khái niệm "privacy" (sự riêng tư) và "confidentiality" (tính bảo mật) liên quan đến bảo vệ thông tin và dữ liệu, nhưng chúng có ý nghĩa khác nhau. Dưới đây là sự phân biệt giữa chúng cùng với các ví dụ thực tế:
- Privacy (Sự Riêng Tư):
- Privacy liên quan đến quyền của một cá nhân hoặc tổ chức để kiểm soát thông tin cá nhân của họ và quyết định ai có thể truy cập thông tin đó. Sự Riêng Tư bao gồm quyền không bị xâm phạm vào cuộc sống riêng tư của bạn, bao gồm cả thông tin cá nhân, hình ảnh và hoạt động cá nhân.
- Một người không muốn ai biết địa chỉ nhà của họ và do đó giữ thông tin này là bí mật.
- Việc giữ kín lịch trình cá nhân của bạn để tránh người khác biết bạn đang ở đâu và làm gì (như lịch và hành trình bay của Elon Musk bị một sinh viên xâm phạm).
- Confidentiality (Tính Bảo Mật):
- Confidentiality liên quan đến việc bảo vệ thông tin quan trọng và đặc biệt khỏi việc truy cập trái phép hoặc sử dụng thông tin đó bởi những người không có quyền.
- Nó thường áp dụng cho doanh nghiệp, tổ chức hoặc giao dịch có thông tin quan trọng cần được bảo vệ khỏi lọt vào tay người không được ủy quyền.
- Một công ty có một hợp đồng với một đối tác và hợp đồng này chứa thông tin về giá cả và điều khoản mà hai bên không muốn tiết lộ cho bất kỳ ai khác.
- Dữ liệu y tế của bệnh nhân được bảo vệ bởi tính bảo mật để ngăn việc truy cập trái phép bởi những người không có quyền truy cập.
Tóm lại, "privacy" liên quan đến sự riêng tư cá nhân và quyền kiểm soát thông tin của bạn, trong khi "confidentiality" liên quan đến việc bảo vệ thông tin quan trọng khỏi sự truy cập trái phép bởi người không được ủy quyền, thường áp dụng trong môi trường công việc hoặc giao dịch kinh doanh.
Ví dụ về Bảo mật và Riêng tư trong Cuộc Sống
Hình ảnh trong Camera An Ninh Gia Đình
Bảo mật: Bạn cài đặt một hệ thống camera an ninh tại nhà để bảo vệ tài sản và an toàn gia đình. Hệ thống này chỉ cho phép bạn và những người bạn hoặc gia đình đã được ủy quyền truy cập hình ảnh và video từ camera.
Riêng tư: Mặc dù bạn quan tâm đến sự an toàn của gia đình và tài sản của mình, bạn cũng quan trọng việc bảo vệ sự riêng tư của hộ gia đình. Bạn không muốn hình ảnh của gia đình bạn bị truy cập hoặc sử dụng một cách trái phép. Do đó, bạn thiết lập các quy tắc và mật khẩu mạnh để đảm bảo rằng chỉ những người có quyền mới có thể truy cập hệ thống camera.
Trong ví dụ này, việc sử dụng hệ thống camera an ninh thể hiện sự kết hợp giữa bảo mật (bảo vệ hình ảnh và video khỏi truy cập trái phép) và riêng tư (đảm bảo thông tin cá nhân và hình ảnh không bị lộ ra ngoài).
Các bạn hãy xem thêm Chương 35 Privacy & Confidentialitycủa giáo trình Security+ do Comptia VN biên tập.
Chương 35 PRIVACY & CONFIDENTIALITY
Trong chương này, bạn sẽ
Khám phá các khái niệm về quyền riêng tư và dữ liệu nhạy cảm
Liên hệ các nỗ lực về quyền riêng tư với các nỗ lực bảo mật
Thực tiễn bảo mật dữ liệu và quyền riêng tư có mối quan hệ với nhau vì tiền đề cơ bản là để có quyền riêng tư, bạn phải có bảo mật. Quyền riêng tư được định nghĩa là quyền kiểm soát mà bạn thực hiện đối với dữ liệu của mình và bảo mật là yếu tố kiểm soát chính. Quyền riêng tư dữ liệu trong một tổ chức là việc ngăn chặn việc sử dụng trái phép dữ liệu do tổ chức đó nắm giữ. Một phương pháp đảm bảo quyền riêng tư là thông qua việc sử dụng các kỹ thuật nâng cao quyền riêng tư. Các yếu tố cho phép nỗ lực bảo mật dữ liệu bao gồm ghi nhãn và xử lý dữ liệu nhạy cảm đúng cách, phân công trách nhiệm bảo vệ dữ liệu và lưu trữ an toàn dữ liệu đã lưu, tất cả đều được đề cập trong chương này.
Certification Objective Chương này bao gồm CompTIA Security+ mục tiêu kỳ thi 5.5: Giải thích các khái niệm về quyền riêng tư và dữ liệu nhạy cảm liên quan đến bảo mật.
Organizational Consequences of Privacy Breaches
Khi một công ty mất dữ liệu mà họ đã lưu trữ trên mạng của mình, thuật ngữ được sử dụng là vi phạm dữ liệu. Vi phạm dữ liệu đã trở thành một mục tin tức gần như hàng ngày và kết quả là mọi người ngày càng trở nên nhạy cảm với sự xuất hiện của chúng. Vi phạm dữ liệu hoạt động như một phương tiện thông báo rằng các nỗ lực bảo mật đã thất bại.
Verizon xuất bản báo cáo vi phạm dữ liệu hàng năm để xem xét các loại và nguyên nhân của vi phạm dữ liệu trong năm dương lịch trước đó. Các kết quả này được trình bày dưới nhiều hình thức, phân bổ theo kiểu tấn công, kiểu kẻ tấn công, ngành, khu vực địa lý, quy mô công ty, v.v., cung cấp mức độ phân tích chi tiết đáng kể về các sự cố. Báo cáo này là một khuôn khổ về những gì đã thực sự xảy ra với các công ty thực với các chương trình bảo mật thực, hoặc bất chấp các chương trình bảo mật của họ. Đây là một bộ sưu tập dữ liệu cực kỳ có giá trị có thể cung cấp hướng dẫn về môi trường đe dọa hiện tại và kết quả của các cuộc tấn công và lỗi thực tế.
Reputation Damage
Thiệt hại về danh tiếng (Reputation damage) là một dạng thiệt hại đối với thương hiệu của một công ty. Khách hàng quyết định lựa chọn khi họ tham gia vào một giao dịch thương mại, và các doanh nghiệp dành nhiều thời gian và nguồn lực để xây dựng thương hiệu tạo điều kiện thuận lợi cho quyết
định mua hàng đối với công ty của họ. Việc phải thông báo cho tất cả khách hàng về sự kiện vi phạm / tiết lộ thực sự gây tổn hại cho thương hiệu của công ty. Một nhà cung cấp máy tính trực tuyến, Egghead, đã bị một sự kiện vi phạm/tiết lộ gần mùa mua sắm nghỉ lễ và họ đã chứng kiến doanh số
bán hàng cạn kiệt trong giai đoạn quan trọng đó, dẫn đến phá sản ngay sau đó.
Target Corporation tiếp tục là ví dụ về kỷ lục cho các vụ vi phạm tốn kém, với vụ vi phạm năm 2013 gây thiệt hại hàng trăm triệu đô la và khiến nhiều giám đốc điều hành cấp cao phải mất việc. Facebook đã gia nhập câu lạc bộ này với vụ bê bối Cambridge Analytica năm 2018 của họ, nơi họ không bảo vệ
được thông tin cá nhân của người dùng và phải đối mặt với các yêu cầu giám sát pháp lý và quy định, cũng như kích hoạt các phản hồi chỉ thị bảo vệ dữ liệu của Liên minh Châu Âu.
Identity Theft
Hành vi trộm cắp danh tính (Identity theft) xảy ra khi một tội phạm sử dụng thông tin bị đánh cắp, giả định danh tính của một cá nhân khác để lấy và sử dụng tín dụng dưới danh nghĩa của nạn nhân. Nếu việc tiết lộ dữ liệu dẫn đến mất thông tin cá nhân của khách hàng, các quy định có thể quy định một công ty chịu trách nhiệm chia sẻ rủi ro bị đánh cắp danh tính cho nạn nhân. Phản ứng thông thường của một công ty là mua một chính sách dịch vụ bảo vệ chống trộm danh tính cho những cá nhân bị ảnh hưởng bởi một hành vi vi phạm. Điều này có thể tiêu tốn hơn 50 đô la cho mỗi người bị ảnh hưởng, làm cho việc vi phạm một triệu hồ sơ trở thành một vấn đề tốn kém.
Fines
Các cơ quan quản lý, chẳng hạn như Ủy ban Thương mại Liên bang (FTC – Federal Trade Commission), có khả năng thu tiền phạt khi các quy định không được tuân thủ. Những khoản tiền phạt này không phải là nhỏ. Ở Liên minh Châu Âu, tiền phạt theo Quy định chung về bảo vệ dữ liệu (GDPR – General
Data Protection Regulation) có thể là 4% doanh thu của một công ty và số tiền phạt hàng trăm triệu euro đã được tính. Tại Hoa Kỳ, Equifax đã bị phạt gần 700 triệu đô la để bồi thường cho người dùng bị ảnh hưởng bởi vi phạm dữ liệu của họ.
IP Theft
Một trong những mục tiêu chính của kẻ tấn công vào hệ thống là tài sản trí tuệ. Hành vi trộm cắp quyền sở hữu trí tuệ (IP theft) là một hậu quả lớn về mặt tổ chức khi nó xảy ra, bởi vì khi nó xảy ra, thiệt hại có thể không trở nên rõ ràng cho đến khi tài liệu được đối thủ cạnh tranh sử dụng. Trong các tổ chức có mức sở hữu trí tuệ đáng kể, nó là một trong những hạng mục quan trọng nhất cần
được bảo vệ để chống lại sự mất mát. Số năm đầu tư và nhiều năm doanh thu và lợi nhuận tiềm năng có thể biến mất nhanh chóng nếu IP bị đánh cắp và được sử dụng tích cực chống lại một công ty.
Exam Tip Lưu ý rằng hậu quả tổ chức của việc vi phạm quyền riêng tư dữ liệu có thể dẫn đến thiệt hại về danh tiếng, xác định hành vi trộm cắp, tiền phạt hoặc trộm cắp quyền sở hữu trí tuệ (IP theft).
Notifications of Breaches
Trong một thế giới lý tưởng, sẽ không bao giờ có bất kỳ vi phạm dữ liệu nào, vì vậy sẽ không bao giờ cần đến các quy trình trong trường hợp vi phạm dữ liệu. Nhưng thực tế không phải là một thế giới lý tưởng, và những vi phạm vẫn xảy ra. Và ngay cả khi một sự cố chưa xảy ra với công ty của bạn, hầu như mọi cơ quan tài phán của chính phủ đều ban hành một loạt luật và quy định về trách nhiệm của công ty trong trường hợp vi phạm. Việc hiểu và chuẩn bị sẵn sàng để đưa ra thông báo về các vi phạm theo các luật và chỉ thị này là rất quan trọng, bởi vì một khi vi phạm xảy ra, thời gian để thực hiện những điều đúng là ngắn và các hình phạt có thể rất đáng kể..
Các luật và quy định về thông báo vi phạm thường có các định nghĩa cụ thể về những gì bao gồm vi phạm, những thực thể nào được bảo vệ, các yêu cầu thông báo cụ thể là gì và các yếu tố chính như sự chậm trễ theo yêu cầu của các cơ quan thực thi pháp luật. Vì có rất nhiều quy tắc và quy định khác nhau, nên phương pháp tốt nhất thường là tuân theo các quy định nghiêm ngặt nhất, chẳng hạn như quy định về quyền riêng tư của California ở Hoa Kỳ và GDPR ở Liên minh Châu Âu, để đảm bảo phạm vi áp dụng đầy đủ.
Escalation
Khi một vi phạm dữ liệu xảy ra trong doanh nghiệp, điều quan trọng là phải có một quy trình để báo cáo sự cố thông qua tổ chức của bạn. Hầu hết các vi phạm dữ liệu được phát hiện như là một phần của một số quy trình ứng phó sự cố và vi phạm cần phải có phản hồi riêng biệt với sự cố bắt đầu. Việc thiết lập chính sách leo thang vi phạm, cùng với các thủ tục kèm theo, sẽ đảm bảo các cấp quản lý quan tâm đúng mức đến quá trình quan trọng này. Việc không báo cáo vi phạm cho các cơ quan có thẩm quyền thích hợp có thể dẫn đến rủi ro tài chính và pháp lý bên ngoài, và do đó, ban giám đốc cần phải nhận thức được sự việc và tiến trình thực hiện trách nhiệm của công ty.
