Vi phạm dữ liệu (Data Breach) là gì? Đặc điểm và phân loại
Vi phạm dữ liệu
Khái niệm
Vi phạm dữ liệu trong tiếng Anh là Data Breach.
Vi phạm dữ liệu, hay còn được gọi là tràn dữ liệu (Data spill) hoặc rò rỉ dữ liệu (Data leak), là sự truy cập trái phép và truy xuất thông tin nhạy cảm của một cá nhân, một nhóm hoặc hệ thống phần mềm.
Vi phạm dữ liệu là một rủi ro an ninh mạng xảy ra khi dữ liệu, bằng cách cố ý hoặc vô ý, rơi vào tay kẻ xấu mà không có kiến thức của người dùng hoặc chủ sở hữu.
Đặc điểm của Vi phạm dữ liệu
Vi phạm dữ liệu một phần là kết quả của sự gia tăng dữ liệu có sẵn nhờ vào các sản phẩm kĩ thuật số, thứ đã cugn cấp một lượng thông tin quá lớn vào tay các doanh nghiệp.
Một số thông tin không nhạy cảm, nhưng vẫn rất nhiều trong số đó là thông tin độc quyền và nhạy cảm về các cá nhân và công ty.
Việc tập trung vào các công nghệ điều khiển như nền tảng điện toán đám mây cũng giúp thông tin luôn được có sẵn, dễ dàng truy cập và có thể chia sẻ dễ dàng với chi phí thấp.
Các công ty chia sẻ và sử dụng dữ liệu này để cải thiện qui trình của họ và đáp ứng nhu cầu của người dân, những người ngày càng hiểu biết về công nghệ.
Tuy nhiên, một số hành vi sai trái lại tìm cách truy cập vào thông tin này để sử dụng cho các hoạt động bất hợp pháp.
Sự gia tăng các sự cố trong vi phạm dữ liệu được ghi nhận trong các công ty trên toàn thế giới đã làm sáng tỏ vấn đề an ninh mạng và bảo mật dữ liệu, khiến nhiều cơ quan quản lí phải ban hành luật mới để chống lại.
Chủ sở hữu và người dùng của một hệ thống hay mạng bị vi phạm dữ liệu không thể luôn nhận thức được ngay khi vi phạm đó xảy ra.
Năm 2016, Yahoo đã công bố trường hợp vi phạm an ninh mạng lớn nhất, ước tính khoảng 500 triệu tài khoản đã bị vi phạm dữ liệu. Điều tra sâu hơn cho thấy rằng vi phạm dữ liệu đã thực sự xảy ra hai năm trước, năm 2014.
Trong khi một số tội phạm mạng sử dụng thông tin bị đánh cắp để quấy rối hoặc tống tiền từ các công ty và cá nhân, thì một số khác lại bán thông tin vi phạm trong các web thị trường ngầm buôn bán tài sản bất hợp pháp.
Ví dụ về thông tin được mua và bán trong các trang web ngầm này bao gồm thông tin thẻ tín dụng bị đánh cắp, tài sản trí tuệ kinh doanh, SSN và bí mật thương mại của công ty.
Các loại Vi phạm dữ liệu
Vi phạm dữ liệu có 02 dạng: Vi phạm dữ liệu không chủ đích (Unintentional Data Breach) và Vi phạm dữ liệu có chủ đích (Intentional Data Breach)
Vi phạm dữ liệu không chủ đích
Vi phạm dữ liệu không chủ đích xảy ra khi người giám sát hợp pháp thông tin sơ suất khi sử dụng các công cụ của công ty.
Chẳng hạn, một nhân viên truy cập các trang web không bảo mật, tải xuống chương trình phần mềm bị xâm nhập trên máy tính làm việc, kết nối với mạng WiFi không bảo mật, mất máy tính xách tay hoặc điện thoại thông minh ở nơi công cộng,…có thể để dữ liệu công ty vào tay kẻ xấu.
Vào năm 2015, Nutmeg, một công ty quản lí đầu tư trực tuyến, đã bị xâm phạm dữ liệu khi một mã bị lỗi trong hệ thống dẫn đến việc gửi email thông tin nhận dạng cá nhân (PII) của 32 tài khoản đến người nhận bị sai.
Thông tin được gửi đi bao gồm tên, địa chỉ và chi tiết đầu tư và điều này khiến chủ tài khoản có nguy cơ bị đánh cắp danh tính.
Vi phạm dữ liệu có chủ đích
Vi phạm dữ liệu có chủ đích xảy ra khi một kẻ tấn công mạng tấn công vào hệ thống cá nhân hoặc công ty, với mục đích truy cập thông tin cá nhân.
Tin tặc sử dụng nhiều cách khác nhau để xâm nhập vào hệ thống. Một số phần mềm độc hại được nhúng trong các trang web hoặc tệp đính kèm email, mà khi truy cập sẽ khiến hệ thống máy tính dễ bị tấn công và bị truy cập dữ liệu dễ dàng hơn.
Một số tin tặc sử dụng botnet, là các máy tính bị nhiễm virus, sẽ truy cập vào các tệp khác của máy tính.
Botnet cho phép thủ phạm truy cập vào nhiều máy tính cùng một lúc bằng cùng một công cụ phần mềm độc hại.
Tin tặc cũng có thể sử dụng một cuộc tấn công dạng chuỗi để truy cập thông tin.
Khi một công ty có biện pháp bảo mật vững chắc và không thể xuyên thủng, một hacker có thể thông qua một thành viên của mạng lưới chuỗi của công ty, người có hệ thống bảo mật dễ bị tấn công.
Khi xâm nhập vào hệ thống máy tính của nhân viên, tin tặc cũng có thể truy cập vào mạng nội bộ của công ty mục tiêu.
Trong trường hợp đánh cắp thông tin để đánh cắp danh tính, tin tặc với bộ dữ liệu nhận dạng gần đúng có thể ghép các mẩu thông tin lại với nhau để tiết lộ danh tính của một cá nhân.
Các định danh gần giống như giới tính, tuổi tác, tình trạng hôn nhân, chủng tộc và địa chỉ có thể được lấy từ các nguồn khác nhau và được ghép với nhau để nhận dạng.
Năm 2015, Sở Thuế vụ Mỹ IRS xác nhận rằng đã xảy ra vi phạm dữ liệu của hơn 300.000 người nộp thuế. Bọn tội phạm an ninh mạng đã sử dụng các số nhận dạng gần đúng để truy cập thông tin của người nộp thuế trên mạng và điền vào các đơn xin hoàn thuế. Điều này dẫn đến việc IRS phải trả hơn 50 triệu USD hoàn thuế cho những bọn tội phạm.
(Theo Investopedia)