Làm gì sau khi bị rò rỉ dữ liệu?

Nếu bạn nghĩ doanh nghiệp của mình đã gặp sự cố rò rỉ dữ liệu, đừng bỏ qua và cũng đừng hoảng sợ. Hãy bắt đầu bằng việc hạn chế thiệt hại tiếp diễn, ghi lại những gì bạn biết được, và tìm đúng sự hỗ trợ có chuyên môn. Một phương án xử lý tốt là bình tĩnh, nhanh chóng và có tổ chức.

Nói một cách dễ hiểu, rò rỉ dữ liệu nghĩa là thông tin kinh doanh hoặc thông tin khách hàng đã bị lộ ra, bị đánh cắp, bị truy cập trái phép hoặc có thể bị thay đổi. Điều này có thể bao gồm tài khoản email, ứng dụng trên nền tảng đám mây, hồ sơ lương, thông tin thanh toán, tệp dữ liệu khách hàng hoặc dữ liệu của nhân viên.

Các ưu tiên đầu tiên của bạn khá đơn giản: giảm rủi ro đang diễn ra; lưu hồ sơ về những gì đã xảy ra; xác định xem hệ thống và dữ liệu nào có thể bị ảnh hưởng. Sau đó, thực hiện tuần tự các bước liên quan đến pháp lý, bảo hiểm, thông báo cho khách hàng và khôi phục hệ thống theo đúng thứ tự.

Nếu bạn chưa có nhà cung cấp công nghệ thông tin (IT) hoặc bạn cần một lựa chọn thứ hai, NodeBridge IT có thể giúp bạn tìm một nhà cung cấp dịch vụ IT được quản lý độc lập. Nhà cung cấp dịch vụ IT được quản lý (MSP) là công ty hỗ trợ doanh nghiệp quản lý và vận hành công nghệ. Chúng tôi chỉ cung cấp nội dung giáo dục chung và dịch vụ ghép nối miễn phí.

Trước hết, hãy cô lập sự cố trong phạm vi mà bạn có thể làm hợp lý. Việc này có thể bao gồm ngắt kết nối một máy tính khỏi Wi‑Fi, tạm dừng truy cập từ xa, khóa một tài khoản email có khả năng bị xâm nhập, hoặc yêu cầu nhân viên không sử dụng hệ thống đáng ngờ cho đến khi nhà cung cấp kiểm tra. Đừng tự ý bắt đầu xóa tệp hoặc xóa sạch (wipe) thiết bị trừ khi một chuyên gia đủ năng lực yêu cầu. Bạn có thể vô tình phá hủy bằng chứng có ích để giải thích điều gì đã xảy ra.

Hãy ghi lại dòng thời gian ngay lập tức. Ghi rõ thời điểm phát hiện sự cố, ai là người báo, những hệ thống có vẻ bị ảnh hưởng, những thông báo nào xuất hiện trên màn hình và các hành động đã được thực hiện. Nếu làm an toàn, hãy lưu ảnh chụp màn hình. Lưu bản sao các email đáng ngờ, thư tống tiền (ransom note), thông báo đăng nhập và thông báo từ nhà cung cấp.

Thay mật khẩu cho các tài khoản kinh doanh bị ảnh hưởng trên các thiết bị “sạch”, và bật xác thực đa yếu tố, hoặc MFA, nếu có. MFA có nghĩa người dùng cần một bước xác minh thứ hai, ví dụ mã qua điện thoại hoặc lời nhắc trên ứng dụng, chứ không chỉ dùng mật khẩu. Hãy ưu tiên trước cho email, ngân hàng, tiền lương, lưu trữ đám mây, các ứng dụng phục vụ nghiệp vụ (line-of-business) và các tài khoản quản trị.

Nếu có thể liên quan đến thẻ thanh toán, quyền truy cập ngân hàng, thông tin y tế hoặc hồ sơ nhân viên, hãy liên hệ nhanh với ngân hàng của bạn, bên cung cấp bảo hiểm mạng (cyber insurance), bộ phận tư vấn pháp lý và các nhà cung cấp (vendor) liên quan. Yêu cầu sẽ khác nhau theo ngành và theo từng bang, vì vậy các bước thông báo cho khách hàng không giống nhau giữa mọi doanh nghiệp.

Sự cố rò rỉ dữ liệu không chỉ là vấn đề công nghệ. Nó có thể làm gián đoạn việc bán hàng, chi trả lương, lịch làm việc, dịch vụ khách hàng và mối quan hệ với nhà cung cấp. Nó cũng có thể tạo ra nghĩa vụ pháp lý liên quan đến thông báo, lưu trữ hồ sơ và các bước theo dõi, đặc biệt nếu dữ liệu cá nhân, tài chính hoặc y tế có thể đã bị phơi bày.

Với doanh nghiệp nhỏ, phần khó nhất thường là không biết đã xảy ra gì hoặc bước tiếp theo cần làm gì. Sự không chắc chắn này có thể dẫn đến các quyết định vội vàng, bỏ lỡ thời hạn và phát sinh thêm chi phí. Một quy trình rõ ràng giúp bạn tránh làm tình hình tệ hơn.

Ngoài ra còn có vấn đề về niềm tin. Khách hàng, nhân viên và đối tác thường hiểu rằng các sự cố có thể xảy ra. Điều quan trọng là doanh nghiệp của bạn có phản hồi trung thực, cẩn thận và trong một khung thời gian hợp lý hay không. Không nhà cung cấp trung thực nào hứa hẹn mạng không thể bị tấn công hoặc không có thời gian gián đoạn (downtime). Tuy nhiên, một nhà cung cấp tốt sẽ giúp bạn cải thiện mức độ sẵn sàng và cách phản ứng.

Nếu bạn đang tìm cách hiểu các lựa chọn hỗ trợ trước khi chọn nhà cung cấp, các trang answers và services của chúng tôi có thể giúp bạn nắm nền tảng bằng tiếng Anh đơn giản.

Phản hồi sự cố rò rỉ dữ liệu tốt thường có một vài điểm quan trọng xảy ra theo đúng thứ tự. Doanh nghiệp đã khống chế sự cố trong mức có thể, bảo toàn được bằng chứng hữu ích, mời đúng đội ngũ hỗ trợ có chuyên môn, và đưa ra quyết định dựa trên dữ kiện thay vì đoán mò.

Một nhà cung cấp mạnh sẽ giúp đánh giá phạm vi, tức là các hệ thống, tài khoản, thiết bị và dữ liệu nào có thể bị ảnh hưởng. Họ có thể xem xét log (nhật ký), hoạt động email, cấu hình đám mây, trạng thái sao lưu (backup), tài khoản người dùng và các biện pháp bảo vệ thiết bị. Nếu họ đề xuất công cụ, họ nên giải thích bằng ngôn ngữ dễ hiểu.

Ví dụ, họ có thể trao đổi về phát hiện và phản hồi trên thiết bị đầu cuối (endpoint detection and response), hoặc EDR. Đây là phần mềm chạy trên laptop, máy tính để bàn và máy chủ nhằm giúp phát hiện hành vi đáng ngờ và hỗ trợ cho việc điều tra. “Endpoint” là bất kỳ thiết bị riêng lẻ nào kết nối vào hệ thống của doanh nghiệp bạn. Họ cũng có thể nói về giám sát và quản lý từ xa, hoặc RMM. RMM là phần mềm mà nhiều nhà cung cấp dùng để theo dõi sức khỏe thiết bị và thực hiện các công việc hỗ trợ định kỳ.

Họ cũng có thể xem xét việc vá lỗi (patching), tức là áp dụng các bản cập nhật phần mềm và cập nhật bảo mật; cấu hình sao lưu; quyền truy cập tài khoản; bảo mật email; và đào tạo nhân viên. Nếu sao lưu là vấn đề quan trọng, hãy hỏi liệu họ có theo cách sao lưu 3-2-1 hay không. “3-2-1” có nghĩa là giữ 3 bản dữ liệu, trên 2 loại hình lưu trữ khác nhau, với 1 bản được lưu ngoài địa điểm (offsite). Đây là một thực hành tốt phổ biến, không phải là cam kết rằng mọi tệp luôn có thể được khôi phục.

Nếu bạn đang mời hỗ trợ từ bên ngoài, hãy hỏi thẳng các câu hỏi. Bạn không cần biết thuật ngữ kỹ thuật để yêu cầu câu trả lời rõ ràng. Một nhà cung cấp tốt sẽ giải thích những gì họ biết, những gì hiện tại họ chưa biết, và bước tiếp theo họ khuyến nghị.

Hãy hỏi họ sẽ điều tra sự cố như thế nào, họ cần bạn cung cấp những thông tin gì, họ ghi nhận (document) kết quả ra sao và họ sẽ liên lạc với bạn như thế nào trong quá trình phản hồi. Hỏi họ sẽ rà soát những biện pháp bảo vệ tức thời nào, chẳng hạn như MFA, sao lưu, quyền truy cập tài khoản, cấu hình email và các biện pháp bảo vệ thiết bị. Hỏi họ sẽ hỗ trợ việc lập kế hoạch khôi phục sau khi giai đoạn khẩn cấp đầu tiên kết thúc ra sao.

Ngoài ra, hãy hỏi về thỏa thuận dịch vụ và hỗ trợ liên tục. Thỏa thuận mức dịch vụ, hoặc SLA, là phần văn bản nêu rõ các mục tiêu phản hồi, phạm vi và điều khoản dịch vụ. Một số doanh nghiệp cũng muốn có hướng dẫn mang tính chiến lược từ giám đốc công nghệ thông tin ảo, hoặc vCIO. vCIO là cố vấn bên ngoài giúp lên kế hoạch ưu tiên công nghệ, ngân sách và các quyết định liên quan đến rủi ro.

Nếu doanh nghiệp của bạn có yêu cầu tuân thủ, hãy hỏi thêm về điều đó. HIPAA là Đạo luật về Khả năng Chuyển đổi và Trách nhiệm Bảo hiểm Y tế (Health Insurance Portability and Accountability Act), ảnh hưởng đến một số loại thông tin y tế. PCI thường đề cập đến Tiêu chuẩn An ninh Dữ liệu Ngành Thẻ Thanh toán (Payment Card Industry Data Security Standard) đối với doanh nghiệp xử lý thanh toán bằng thẻ. SOC 2 là một khung báo cáo mà nhiều nhà cung cấp phần mềm dùng để thể hiện cách họ quản lý các biện pháp kiểm soát liên quan đến bảo mật. Yêu cầu khác nhau theo ngành và theo từng bang, vì vậy hãy hỏi nhà cung cấp xử lý tình huống cụ thể của bạn như thế nào.

Bạn không cần tự giải quyết một mình. Nếu doanh nghiệp bạn cần hỗ trợ để hiểu các lựa chọn, NodeBridge IT có thể kết nối bạn với một MSP độc lập phục vụ khu vực và quy mô doanh nghiệp của bạn. Dịch vụ của chúng tôi miễn phí cho chủ doanh nghiệp. Chúng tôi nhận phí tiếp thị cố định từ các nhà cung cấp tham gia.

Chúng tôi không quản lý hệ thống, không bảo mật mạng, không điều tra sự cố, không sửa chữa thiết bị và không truy cập vào tài khoản của bạn. Chúng tôi chỉ thu thập các thông tin cơ bản về doanh nghiệp và liên hệ để giúp bạn tìm một nhà cung cấp có thể phù hợp với nhu cầu của bạn.

Chi phí phụ thuộc vào số lượng nhân sự, số lượng thiết bị, nhu cầu bảo mật và khu vực của bạn. Như một ước lượng, IT được quản lý liên tục cho doanh nghiệp nhỏ thường bắt đầu khoảng vài trăm đô la mỗi tháng cho mức hỗ trợ rất nhẹ, và có thể dao động từ khoảng 100 đến 250 đô la hoặc hơn cho mỗi người dùng mỗi tháng đối với dịch vụ và bảo mật toàn diện hơn. Phần xử lý sự cố hoặc công việc theo dự án thường là hạng mục riêng. Đây là các khoảng tham chiếu chung, không phải báo giá.

Nếu bạn muốn so sánh các lựa chọn mà không chịu nhiều áp lực bán hàng, hãy bắt đầu tại đây: get matched.