Chuyển đổi số đang là xu thế của sự phát triển và đã được nhiều quốc gia trên thế giới thực hiện từ nhiều năm qua. Ở nước ta, trong thời điểm dịch Covid-19 bùng phát và có những diễn biến phức tạp, nhiều DN dù trước đó chưa “mặn mà” với chuyển đổi số, đã buộc phải có những thay đổi theo hướng tiếp cận công nghệ để thay thế cho hình thức kinh doanh thông thường. Xu hướng này gia tăng khi DN đi vào hoạt động trong giai đoạn “bình thường mới”.
Tuy nhiên, trong quá trình tư vấn về bảo mật thông tin, chúng tôi đã chứng kiến không ít chuyện “dở khóc dở cười” bởi chính DN khi chuyển đổi số chưa biết cách quản trị bảo mật thông tin để hạn chế rủi ro.
Chẳng hạn, một DN làm về đào tạo tại thành phố Thủ Đức (TP.HCM) gặp rắc rối không nhỏ với vấn đề bị rò rỉ dữ liệu, khi phát hiện toàn bộ dữ liệu quan trọng của ứng viên và học viên bị đưa ra ngoài. Khi kiểm tra thì lý do là lúc đưa dữ liệu lên hệ thống lưu trữ đã không có quy trình quản lý chặt chẽ, gần như mọi nhân viên đều có thể tiếp cận được. Mặc dù DN có tiến hành điều tra, tìm nguyên nhân nhưng không phát hiện được ai là người đưa thông tin ra bên ngoài, đành phải... cho qua, rút kinh nghiệm nội bộ.
Trong khi đó, tại Bình Dương, để đơn giản quá trình quản lý, một DN xây dựng phần mềm tích hợp nhiều công cụ, như chatbox, lưu trữ tài liệu, báo cáo kinh doanh... DN này đã thuê một công ty công nghệ thông tin thực hiện phần việc ấy. Tuy nhiên, trong quá trình sử dụng thì phần mềm phát sinh sự cố nhưng công ty công nghệ thông tin lại lúng túng trong việc khắc phục vì lý do nhân sự cũ (khi xây dựng hệ thống) đã nghỉ việc, nhân sự mới cần thời gian kiểm tra. Kết quả là sau nhiều tháng, phần mềm vẫn chưa khắc phục xong, DN phải quay về làm thủ công, chịu nhiều thiệt hại.
Từ thực tế chuyển đổi số thời gian gần đây cho thấy, thứ nhất, rủi ro đối với DN do bị tấn công mạng, hệ thống chuyển đổi số sử dụng ngôn ngữ lập trình dễ bị tấn công nên bị các đối tượng ăn cắp thông tin. Thứ hai, rủi ro từ việc lộ thông tin ra bên ngoài gây ra bởi bên thứ ba. Bên thứ ba thường là nhóm khách hàng, đối tác, các nhà cung cấp được tham gia vào quá trình vận hành, hoạt động của DN, nên nếu giữa DN với bên thứ ba không có ràng buộc về mặt pháp lý dẫn đến các hành vi vô ý hoặc cố ý tiết lộ thông tin ra bên ngoài. Thứ ba, DN không có bộ phận quản trị bảo mật thông tin, nên khi có rủi ro phát sinh thì không kịp thời xử lý hoặc xử lý không đúng cách dẫn đến rủi ro phát sinh lớn hơn và gây ra nhiều thiệt hại. Thứ tư, rủi ro về việc chậm cập nhật các tuân thủ theo quy định pháp luật, ví dụ DN xây dựng quy trình quản trị nhân sự trên phần mềm nhưng khi quy định pháp luật thay đổi lại không cập nhật kịp thời dẫn đến sai sót trong thực hiện hồ sơ, hoặc tính lương, bảo hiểm sai theo quy định. Thứ năm, những rủi ro khác như các yếu tố khách quan, nhân sự của DN nghỉ việc (hoặc nhân sự của nhà cung cấp nghỉ việc) kéo theo việc làm lộ thông tin.
Ở góc độ pháp lý, hiện nay tuy các văn bản pháp luật như Bộ Luật Dân sự, Bộ Luật Hình sự, Luật Công nghệ thông tin, Luật An ninh mạng đều có quy định về đảm bảo an ninh, an toàn cho DN, nhưng trong thực tế thì việc áp dụng các quy định này vào xử lý rủi ro trong chuyển đổi số vẫn còn nhiều khó khăn.
Đơn cử là khi xảy ra tranh chấp về bảo mật thông tin thì việc khởi kiện rất phức tạp do DN gặp khó trong việc chứng minh thiệt hại. Có nhiều DN biết thông tin quan trọng của mình bị đánh cắp nhưng khi khởi kiện ra tòa và tính toán thiệt hại thì rất mất thời gian, dẫn đến tranh chấp kéo dài và không biết khi nào xong.
Vì vậy, khi tiến hành chuyển đổi số, để tránh các rắc rối và thiệt hại, DN cần phải bảo vệ chính mình bằng những giải pháp mang tính chủ động, có phương án dự phòng rủi ro về pháp lý một cách phù hợp.
Đó là xây dựng hệ thống cơ sở hạ tầng kỹ thuật theo hướng DN chủ động quản lý thông tin, tức là nơi lưu trữ thông tin (data center) nên để tại trụ sở, trường hợp để tiết giảm chi phí mà sử dụng từ bên thứ ba thì cần tìm hiểu chính sách của bên thứ ba có phù hợp hay không.
DN phải xây dựng đội ngũ nhân sự có kiến thức về công nghệ thông tin phụ trách công tác chuyển đổi số và có kiến thức liên quan đến bảo mật thông tin để xử lý kịp thời các rủi ro khi mới chớm, tránh gây ra thiệt hại lớn.
Trường hợp việc chuyển đổi số cho DN được thực hiện bởi bên thứ ba thì trong hợp đồng giữa các bên cần có các điều khoản ràng buộc liên quan đến bảo mật và bồi thường, cần liệt kê hành vi, tình huống cụ thể cũng như mức phạt vi phạm phù hợp mà không cần chứng minh để tạo cơ sở ràng buộc cho các bên.
Xây dựng hệ thống văn bản bảo mật thông tin đúng quy định của pháp luật và phù hợp với đặc thù của từng DN. Những văn bản này có thể là quy chế bảo mật thông tin, cam kết của nhân sự trong công ty hoặc của bên thứ ba nếu cần thiết. Bên cạnh đó, DN cũng cần có các quy định về chính sách tuân thủ.
Cuối cùng là cần có cơ chế vận hành khi triển khai, tính toán rủi ro nếu có, từ đó DN đưa ra các giải pháp dự phòng.
LS. Trần Quốc Hưng