Các cơ quan của Úc chịu sự điều chỉnh của Đạo luật về quyền riêng tư đã báo cáo 519 trường hợp vi phạm dữ liệu trong 6 tháng cuối năm, tăng 5% so với nửa đầu năm 2020.
Thông báo vi phạm dữ liệu cho Văn phòng Ủy viên Thông tin Úc (OAIC) đã trở thành bắt buộc trong chương trình Thông báo Vi phạm Dữ liệu (NDB) vào tháng 2/2018.
Kể từ khi việc thông báo những vụ vi phạm dữ liệu trở thành bắt buộc, y tế là lĩnh vực bị ảnh hưởng nhiều nhất. Báo cáo mới nhất không cho thấy sự thay đổi, với lĩnh vực sức khỏe có tới 123 thông báo, tiếp theo là lĩnh vực tài chính với 83 thông báo. Chính phủ Úc lần đầu tiên lọt vào top 5 lĩnh vực hàng đầu thông báo vi phạm dữ liệu, chiếm 6% tổng số, với 33 thông báo.
Các Đạo luật về quyền riêng tư năm 1988 liên quan đến các cơ quan chính phủ Úc nhiều nhất. Tuy nhiên, nó không bao gồm một số cơ quan tình báo và an ninh quốc gia, cũng không bao gồm các cơ quan chính quyền tiểu bang và địa phương, bệnh viện công và trường học công.
Tìm hiểu sâu hơn về những vụ vi phạm dữ liệu của cơ quan chính phủ, lỗi của con người là nguyên nhân gây ra 29 trong tổng số thông báo trong lĩnh vực này, 02 thông báo xuất phát từ một cuộc tấn công ác ý hoặc tội phạm, 01 thông báo là do sự cố mạng và 01 thông báo còn lại là do thủ đoạn lừa đảo/mạo danh.
.jpg)
Trong đó, sự cố mạng được xác nhận là một cuộc tấn công vét cạn (brute force) nhằm vào thực thể giấu tên.
Lỗi phổ biến nhất của con người trong các vụ vi phạm được thông báo của chính phủ là thông tin cá nhân được gửi đến sai người nhận. Việc không thực hiện đúng là nguyên nhân của 05 thông báo.
Tổng cộng, các cuộc tấn công bằng mã độc hoặc tội phạm, bao gồm cả sự cố mạng vẫn là nguồn vi phạm dữ liệu hàng đầu, chiếm 58% tổng số thông báo (310 trường hợp vi phạm). Các vi phạm dữ liệu do lỗi của con người chiếm 38% các thông báo, ở mức 204. Lỗi hệ thống chiếm 25 vi phạm còn lại được thông báo.
OAIC cho biết: “Mặc dù có thể sự gia tăng này liên quan đến các hoạt động kinh doanh và xử lý thông tin đã thay đổi do làm việc từ xa, OAIC vẫn chưa xác định được bất kỳ thông tin hoặc sự cố nào chứng minh mối liên hệ một cách rõ ràng”. Văn phòng này cũng chỉ ra rằng các biện pháp giãn cách do COVID-19 đã làm gia tăng các vi phạm liên quan đến lỗi của con người.
91% các vi phạm dữ liệu được thông báo theo chương trình NDB từ tháng 7 đến tháng 12/2020 liên quan đến thông tin liên hệ, chẳng hạn như địa chỉ nhà riêng, số điện thoại hoặc địa chỉ email của một cá nhân.
Vi phạm dữ liệu do thủ đoạn lừa đảo phi kỹ thuật hoặc mạo danh chiếm 34 thông báo. Các hành động được thực hiện bởi một nhân viên gian lận hoặc mối đe dọa nội bộ chiếm 35 thông báo (tăng từ 23 thông báo) và hành vi trộm cắp giấy tờ hoặc thiết bị lưu trữ dẫn đến 29 thông báo.
23% các thông báo mà OAIC nhận được liên quan đến các đối tượng độc hại giành quyền truy cập vào tài khoản bằng thông tin đăng nhập bị xâm phạm hoặc bị đánh cắp, với phương pháp phổ biến nhất là lừa đảo qua email. Báo cáo cho biết: “Điều này khẳng định rằng lỗ hổng qua email là một trong những rủi ro lớn nhất đối với bảo mật thông tin mà các tổ chức phải đối mặt. Yếu tố con người là một yếu tố quan trọng trong thông tin tổng thể của một tổ chức và tình trạng an ninh mạng, do các cuộc tấn công này dựa vào một người nhấp vào liên kết lừa đảo”.
68% các vụ vi phạm dữ liệu ảnh hưởng đến 100 cá nhân hoặc ít hơn, nhưng một trong các thông báo đã ảnh hưởng đến hơn 10 triệu cá nhân.
Tháng 8/2020 có 208 thông báo được thực hiện và tháng 11/2020 chỉ có 62 thông báo. OAIC cũng cho biết, họ đã nhận được một số thông báo liên quan đến việc nhà cung cấp dịch vụ được quản lý (MSP) lưu trữ hoặc nắm giữ dữ liệu thay mặt cho một hoặc nhiều tổ chức khác.
Nguyễn Anh Tuấn
(theo ZDNet)
