The thông tin từ ThriveDX, các vi phạm dữ liệu (Data Breach) đang gia tăng với tốc độ đáng báo động. Năm 2001, có khoảng 6 nạn nhân mỗi giờ; con số này đã tăng lên khoảng 97 nạn nhân mỗi giờ vào năm 2022, tương đương với một tăng trưởng 1.517%. Trong thế giới siêu kết nối ngày nay, những vi phạm này đang đe dọa nghiêm trọng đến nhiều tổ chức và nhà lãnh đạo của họ. Điều này làm nổi bật nhu cầu đào tạo an ninh mạng toàn diện và nỗ lực đáng kể trong việc triển khai phần mềm, công cụ và chính sách phù hợp để bảo vệ tổ chức của bạn. Các nội dung hướng dẫn quy trình đào tạo an ninh mạng được đăng tải nhiều trên trang Exlusive Network Vietnam.
Tác động của vi phạm dữ liệu đối với doanh nghiệp là gì?
Mark Hurd của Oracle ghi nhận rằng vi phạm dữ liệu là một trong những lo ngại lớn nhất đối với một tổ chức, từ quan điểm rủi ro kinh doanh. Và dễ thấy tại sao; những rủi ro mở rộng và đa dạng mà các doanh nghiệp phải đối mặt khi trở thành nạn nhân của vi phạm dữ liệu có thể gây thiệt hại cho doanh thu và danh tiếng của họ, như chúng ta sẽ khám phá bên dưới.
1. Thiệt hại tài chính
Có lẽ hậu quả đáng chú ý nhất của vi phạm dữ liệu là thiệt hại tài chính liên quan đến nó. Tùy thuộc vào tính chất của vi phạm, có nhiều vấn đề tài chính khác nhau có thể xảy ra. Dữ liệu từ Statista làm nổi bật cách chi phí của vi phạm dữ liệu đối với các tổ chức tại Hoa Kỳ đã tăng lên mức cao kỷ lục khoảng 9,44 tỷ đô la vào năm 2022. Điều này gần ba lần con số ghi nhận vào năm 2006. Con số này có thể tăng lên, cho mỗi ngày mà vi phạm không được giải quyết.
Tuy nhiên, chi phí không dừng lại ở đó. Các doanh nghiệp gặp phải vi phạm có thể phải đối mặt với chi phí để kiềm chế việc vi phạm, bồi thường khách hàng bị ảnh hưởng, thực hiện việc giá trị cổ phần giảm sút và chi phí an ninh tăng cao do cần đầu tư thêm vào an ninh mạng.
Lịch sử cho thấy, những thiệt hại tài chính là đáng kể:
- Năm 2018, Uber bị phạt 148 triệu đô la vì không tiết lộ vi phạm trước đó
- Năm 2019, Google bị phạt 170 triệu đô la vì vi phạm quyền riêng tư trẻ em
- Năm 2021, Amazon Europe nhận được khoản phạt phá kỷ lục 746 triệu đô la vì việc sử dụng không đúng dữ liệu khách hàng
- Năm 2020, Vodafone Italia bị phạt 12,25 triệu đô la vì các hoạt động telemarketing quá khích
- Năm 2022, Meta phải đối mặt với khoản tiền phạt 17 triệu đô la vì nhiều thông báo vi phạm dữ liệu.
Danh sách này chắc chắn không đầy đủ và nó cho thấy rằng ngay cả các công ty công nghệ lớn nhất cũng không miễn phí khỏi các cuộc tấn công mạng. Tuy nhiên, đừng nhầm lẫn; các doanh nghiệp nhỏ cũng bị tiếp cận như nhau.
Gần nửa số các cuộc vi phạm dữ liệu ảnh hưởng đến các doanh nghiệp có 1.000 nhân viên hoặc ít hơn, đó là lý do tại sao mỗi nhân viên đều nên được đào tạo để hiểu cách nhận biết các mối đe dọa mạng.
2. Tổn hại danh tiếng
Trong thế giới liên kết siêu tốc hiện nay, tin tức lan truyền rất nhanh. Ngay cả những người có thể chưa từng nghe về công ty của bạn cũng có thể nghe về một cuộc vi phạm trong vài ngày tiếp theo. Tổn hại mà một cuộc vi phạm dữ liệu có thể gây ra cho một doanh nghiệp có thể là tàn khốc, đặc biệt là nếu cuộc vi phạm là một cuộc tránh được hoặc đặt dữ liệu khách hàng vào nguy cơ.
Sự mất niềm tin, báo chí tiêu cực, những vụ trộm danh tính liên quan và ý kiến tiêu cực có thể của khách hàng về công ty của bạn có thể ảnh hưởng đến doanh nghiệp của bạn, để lại một đám mây tối trên danh tiếng của bạn và gieo nghi ngờ về tính trung thực của công ty và sự an toàn của sản phẩm và dịch vụ của nó. Trong thực tế, nghiên cứu về lĩnh vực này là đáng báo động và không nên bị bỏ qua:
3. Gián đoạn vận hành
Từ khi dữ liệu của bạn bị xâm nhập, cho đến quá trình điều tra và phục hồi hoàn toàn, những ảnh hưởng của việc xâm nhập dữ liệu ảnh hưởng đáng kể đến hoạt động kinh doanh. Tùy thuộc vào mức độ nghiêm trọng, việc xâm nhập dữ liệu có thể dẫn đến mất hoàn toàn dữ liệu quan trọng, đòi hỏi nạn nhân phải dành nhiều thời gian để phục hồi hoạt động bình thường.
Hành động phổ biến nhất trong những tình huống này là hoàn toàn đóng cửa hoạt động cho đến khi tìm được giải pháp, cho phép có đủ thời gian tập trung vào việc tìm nguồn gốc của cuộc tấn công. Không ngạc nhiên rằng điều này có tác động tràn lan. Càng lâu hoạt động bị đóng cửa, khách hàng càng có khả năng ra đi, điều này có thể dẫn đến thêm nhiều khoản doanh thu bị mất. Đáng tiếc, 60% các doanh nghiệp vừa và nhỏ đóng cửa trong vòng sáu tháng sau một cuộc tấn công mạng."
Càng tồi tệ hơn, tác động đến hoạt động dự kiến sẽ trở nên tệ hơn trong thập kỷ tới. Hiện tại, tác động đến hoạt động thường có nghĩa là mất tiền do không thể mang về doanh số mới hoặc duy trì các hoạt động bình thường hàng ngày khác. Tuy nhiên, nghiên cứu mới của Gartner dự đoán vào năm 2025, 30% các tổ chức cơ sở hạ tầng quan trọng sẽ trải qua một vụ vi phạm bảo mật, dẫn đến việc ngừng hoạt động hoàn toàn. Đến năm 2025, điều này có thể mở rộng đến các kẻ tấn công mạng sử dụng công nghệ vận hành để gây ra tổn thương vật lý.
Thông điệp rõ ràng: tác động của các cuộc tấn công và vi phạm mạng ngày càng trở nên nghiêm trọng hơn, và các tổ chức không thể chậm trễ trong việc triển khai một chiến lược bảo mật mạnh mẽ.
4. Các vụ vi phạm liên quan đến thông tin cá nhân của cá nhân thường dẫn đến các vụ kiện tập thể.
Trong những năm gần đây, các ví dụ về việc xâm nhập ảnh hưởng đến người tiêu dùng và dẫn đến hàng chục triệu đô la được thanh toán qua các vụ kiện và thỏa thuận bao gồm Target, Home Depot và Neiman Marcus.
Tuy nhiên, không chỉ riêng người tiêu dùng cá nhân có thể tận dụng pháp luật để trừng phạt các công ty vượt quá giới hạn. Một số trường hợp gần đây không thể không kể đến là Clearview AI, một công ty khởi nghiệp công nghệ nhận diện khuôn mặt đã vi phạm quyền riêng tư dữ liệu trên toàn cầu. Hơn nữa, điều này không phải là vô tình. Clearview đã thu thập hàng tỉ hình ảnh khuôn mặt của con người mà không được phép, lưu trữ chúng cho mục đích trí tuệ nhân tạo (AI) và học máy. Khi tin tức này được phát hành:
- Văn phòng Ủy ban Thông tin của Vương quốc Anh (ICO) đã phạt Clearview AI hơn 7,5 triệu bảng.
- Chủ tịch CNIL (Commission Nationale de L'informatique et Des Libertés) ở Pháp đã yêu cầu ngừng các hoạt động thu thập dữ liệu, và Clearview AI đã bị phạt 20 triệu euro, mức phạt tối đa cho phép theo GDPR (Nghị định bảo vệ dữ liệu chung).
- Tương tự, Cơ quan bảo vệ dữ liệu Hy Lạp đã phạt Clearview 20 triệu euro.
- Clearview đã bị yêu cầu ngừng hoạt động tại Úc.
Vi phạm rõ ràng các quy định về bảo vệ dữ liệu làm rõ ràng sự phẫn nộ của các lập pháp viên, và ngoài những mất mát tài chính đáng kể, Clearview phải đối mặt với sự suy vong của hoạt động kinh doanh của mình tại một số quốc gia và khu vực.
Tổng thể, khi tính cả các khoản phí pháp lý đi kèm với các khoản thanh toán cho các vụ kiện hoặc vi phạm pháp luật, các doanh nghiệp có thể đối mặt với các chi phí cao hơn so với hầu hết các doanh nghiệp có thể chịu đựng. Và như ví dụ của Clearview cho thấy, các cơ quan chức năng có thể cảnh báo các công ty không được thực hiện các hoạt động cụ thể cho đến khi điều tra pháp lý hoàn thành, điều này có thể dẫn đến các vấn đề dài hạn khác.
Tóm tắt
Nếu bạn cảm thấy đã nhận ra một mô hình trong bốn phần trên, bạn đã đúng. Những hậu quả sau đó đều liên quan đến nhau một cách tình cờ, và một khi bạn đã sa vào một vấn đề, ba vấn đề còn lại sẽ chắc chắn theo sau.
Việc chuẩn bị cho mối đe dọa của một cuộc tấn công và thực hiện các biện pháp phòng ngừa đúng cách là cách tốt nhất để đảm bảo doanh nghiệp của bạn không trở thành nạn nhân của một cuộc tấn công mạng. Nếu tổ chức của bạn không coi trọng an ninh mạng, đảm bảo rằng tất cả nhân viên đều nhận thức được các nguy cơ và hậu quả của cuộc tấn công mạng, thì doanh nghiệp của bạn sẽ phải trả giá.
Như các thương hiệu công nghệ lớn đã cho chúng ta thấy, không ai là an toàn khỏi cuộc tấn công. Điều này không phải là câu hỏi liệu nó sẽ xảy ra với tổ chức của bạn, mà là khi nào.
ThriveDX cung cấp các giải pháp đào tạo đoạt giải thưởng để giúp ngăn chặn các cuộc vi phạm dữ liệu xảy ra tại tổ chức của bạn. Nền tảng đào tạo đổi mới của ThriveDX có thể tùy chỉnh dựa trên các nhu cầu độc nhất của tổ chức của bạn. Hãy nói chuyện với một trong các chuyên gia an ninh mạng của chúng tôi ngay hôm nay để biết cách chiến lược không lời nói của chúng tôi có thể giảm đáng kể nguy cơ bị tấn công.
Nguồn ThriveDX, (Exlcusive Network Vietnam dịch)
Nhận xét
Đăng nhận xét