Quyền riêng tư dữ liệu: Một trọng tâm trong kế hoạch kiểm toán

Báo cáo Chi phí vi phạm dữ liệu năm 2025 của Tập đoàn Công nghệ máy tính đa quốc gia IBM. Ảnh: ST

Chạy đua với công nghệ nhưng bỏ qua bảo mật

Theo Báo cáo Chi phí vi phạm dữ liệu năm 2025 của Tập đoàn Công nghệ máy tính đa quốc gia IBM, trên toàn cầu, chi phí trung bình cho một vụ vi phạm dữ liệu đã giảm 9%, từ 4,88 triệu USD vào năm 2024 xuống còn 4,44 triệu USD năm 2025. Các tổ chức sử dụng công cụ AI đã rút ngắn đáng kể vòng đời vi phạm dữ liệu xuống 80 ngày và tiết kiệm trung bình gần 1,9 triệu USD.

Tuy nhiên, không phải quốc gia nào cũng đi đúng theo xu hướng này. Hoa Kỳ, Canada và Ấn Độ cùng một số ít quốc gia khác lại có mức chi phí tăng, đặc biệt là Hoa Kỳ đạt mức kỷ lục 10,22 triệu USD - tăng 9% so với năm ngoái - do mức phạt theo quy định cao hơn và leo thang số vụ việc vi phạm dữ liệu.

Báo cáo cũng nhấn mạnh rằng, các tổ chức đang chạy đua áp dụng AI trong khi bỏ qua khâu quản trị và bảo mật. 97% vi phạm liên quan đến AI xảy ra ở những tổ chức không có biện pháp kiểm soát quyền truy cập phù hợp. 63% tổ chức thiếu chính sách quản trị AI và ngay cả trong số những tổ chức có chính sách, rất ít tổ chức thực hiện kiểm toán thường xuyên hoặc thử nghiệm đối kháng.

Ngoài ra, việc nhân viên sử dụng AI trái phép cũng là một yếu tố gây ra các vụ vi phạm (20%), làm tăng thêm 670.000 USD vào chi phí trung bình và làm lộ một lượng lớn thông tin nhận dạng cá nhân. Rõ ràng, khoảng cách giữa an ninh mạng và việc áp dụng AI đã tạo ra những mục tiêu “béo bở” cho kẻ tấn công, hậu quả là hàng loạt vụ việc truy cập trái phép vào dữ liệu nhạy cảm, gián đoạn hoạt động và tổn hại đến uy tín.

Khảo sát của IBM còn cho thấy, cứ 6 vụ xâm phạm thì có 1 vụ liên quan đến kẻ tấn công sử dụng AI, phổ biến nhất là để lừa đảo (37%) và mạo danh (35%). AI tạo sinh cho phép kẻ tấn công tạo ra các tin nhắn lừa đảo có sức thuyết phục chỉ trong vài phút, khiến công nghệ trở nên nguy hiểm hơn bao giờ hết. Đồng thời, các vụ tấn công tống tiền vẫn là một mối lo ngại lớn, với chi phí trung bình cho một vụ tống tiền ở mức 5,08 triệu USD. Đáng lo ngại là ngày càng ít nạn nhân liên hệ với cơ quan thực thi pháp luật, mặc dù dữ liệu cho thấy việc này giúp giảm chi phí.

Ngành chăm sóc sức khỏe vẫn là ngành có chi phí trung bình cao nhất cho một vụ vi phạm dữ liệu, ở mức 7,42 triệu USD. Việc phụ thuộc vào thông tin cá nhân nhạy cảm của bệnh nhân, cùng với thời gian phát hiện và ngăn chặn kéo dài (trung bình 279 ngày), khiến ngành này luôn nằm trong tầm ngắm của kẻ tấn công. Lừa đảo qua mạng cũng chiếm 16% các vụ vi phạm với chi phí trung bình là 4,8 triệu USD. Tiếp theo là xâm phạm chuỗi cung ứng, gây thiệt hại 4,91 triệu USD và trung bình mất 267 ngày mới có thể giải quyết.

Chi phí thực sự của một vụ vi phạm dữ liệu đã vượt xa các khoản tiền phạt theo quy định và chi phí ứng phó. Năm nay, 86% tổ chức báo cáo tình trạng gián đoạn hoạt động, bao gồm trì hoãn bán hàng, gián đoạn dịch vụ hoặc ngừng sản xuất. Trong khi đó, 45% thừa nhận đã tăng giá để bù đắp chi phí vi phạm.

Lưu ý các lĩnh vực quyền riêng tư có rủi ro cao

Theo các chuyên gia về công nghệ, 93% tổ chức cho biết quyền riêng tư nằm trong số 10 mối đe dọa hàng đầu và 36% xếp hạng quyền riêng tư trong top 5. Đây là một kết quả rất đáng lo ngại, buộc các KTV phải xem quyền riêng tư dữ liệu là một lĩnh vực trọng tâm trong kế hoạch kiểm toán.

Hơn nữa, KTV phải lưu ý đến các lĩnh vực quyền riêng tư có rủi ro cao để đưa vào kế hoạch kiểm toán. Có 5 lĩnh vực rủi ro chính trong bối cảnh quyền riêng tư đang thay đổi nhanh chóng hiện nay.

Thứ nhất, quản trị và trách nhiệm giải trình - bao gồm các cơ chế (quy trình, tiêu chuẩn, khuôn khổ) - yêu cầu các cá nhân và nhóm chịu trách nhiệm đáp ứng các nghĩa vụ bảo mật của tổ chức. KTV cần xác định việc có hay không các biện pháp kiểm soát nhất định trong lĩnh vực này, bao gồm: Bằng chứng về sự hỗ trợ của ban quản lý cấp cao đối với chương trình bảo mật; các chính sách và quy trình rõ ràng để xử lý dữ liệu cá nhân; trách nhiệm được xác định rõ ràng; các chương trình đào tạo và nâng cao nhận thức thường xuyên; các thông lệ hoàn thiện để giảm thiểu vi phạm dữ liệu.

Thứ hai, quyền riêng tư được tích hợp ngay từ đầu trong quá trình phát triển - một yêu cầu được nêu trong nhiều luật về quyền riêng tư trên thế giới. Nguyên tắc này nhấn mạnh rằng quyền riêng tư không nên bị xem nhẹ khi triển khai các hệ thống, mô-đun hoặc quy trình mới, cũng như khi sửa đổi một quy trình hiện có. KTV cần xác minh các yếu tố về quyền riêng tư có được xem xét trong mọi giai đoạn phát triển sản phẩm (từ ý tưởng đến khi sản xuất) và được ghi chép đầy đủ.

Thứ ba, quản lý quyền của chủ thể dữ liệu, bao gồm quyền truy cập, chỉnh sửa, xóa hoặc hạn chế xử lý dữ liệu cá nhân. KTV cần xác nhận rằng các quy trình đã thiết lập và được đánh giá thường xuyên.

Thứ tư, quản lý hợp đồng - nghĩa vụ của mỗi bên và các biện pháp bảo mật được áp dụng để bảo vệ dữ liệu. Tại một số tổ chức, quy trình này được tích hợp với khuôn khổ quản lý rủi ro nhà cung cấp. Các KTV cần đảm bảo có sự hợp tác chặt chẽ giữa các nhóm pháp lý để phát triển một bộ quy chuẩn chung về bảo vệ thông tin cá nhân khi chia sẻ với/hoặc nhận được từ các nhà cung cấp.

Thứ năm, bảo mật và xử lý vi phạm - mỗi tổ chức phải có kế hoạch được lập thành văn bản để bảo vệ, ứng phó và giảm thiểu tác động của các sự cố và vi phạm quyền riêng tư. Nhiệm vụ của KTV là xây dựng kế hoạch chi tiết để xác định, báo cáo, điều tra và thông báo cho các cá nhân bị ảnh hưởng và các cơ quan có thẩm quyền về các vi phạm. Việc kiểm tra và cải tiến thường xuyên các quy trình ứng phó, cùng với việc giám sát liên tục và đánh giá rủi ro là rất quan trọng để xác định các điểm yếu tiềm ẩn./.

NGUYỄN LY