Liệu France Travail (trước đây là Pôle Emploi) có phải chịu thêm các cuộc tấn công mạng khác vào năm 2025 sau cuộc tấn công vào tháng 3 năm 2024 không? Đây rõ ràng là điều mà Ủy ban Quốc gia về Công nghệ Thông tin và Quyền Tự do Dân sự (CNIL) muốn tránh, dựa trên cuộc thảo luậnđược công bố vào ngày 1 tháng 1 trên Công báo. Cơ quan độc lập chịu trách nhiệm bảo vệ quyền riêng tư của chúng tôi đã bày tỏ "mối quan ngại" của mình tại đó, trong khi họ đang xem xét kỹ lưỡng, theo yêu cầu của Bộ Lao động và Việc làm, dự án cập nhật hệ thống thông tin của France Travail.
Xin nhắc lại, luật lao động đầy đủ vào tháng 12 năm 2023, cải cách tổ chức dành riêng cho người thất nghiệp, đã đưa ra "con đường mới được cải tiến để hỗ trợ những người tìm việc", một phần trong số đó dựa trên phân tích dữ liệu. Để thực hiện điều này, France Travail đang triển khai sáu hoạt động xử lý dữ liệu cá nhân mới. Những điều này sẽ bao gồm việc chia sẻ dữ liệu của người tìm việc với các tổ chức khác nhau, tất cả đều được mô tả trong một nghị định cũng được công bố vào ngày 1 tháng 1 trên Công báo.
Và chính xác là các hoạt động xử lý dữ liệu trong tương lai này và các hoạt động chia sẻ mới này khiến CNIL lo lắng. Tổ chức chịu trách nhiệm hỗ trợ việc làm và tái hòa nhập sẽ cho phép các "đối tác" của "mạng lưới việc làm" truy cập dữ liệu của ít nhất sáu triệu người. Các đối tác này bao gồm "các khu vực, sở, thành phố và nhóm thành phố, các phái bộ địa phương về hội nhập nghề nghiệp và xã hội cho những người trẻ tuổi (các phái bộ địa phương), Cap emploi", Quỹ trợ cấp gia đình quốc gia và Quỹ trung ương cho tương trợ xã hội nông nghiệp.
Điều này có nghĩa là dữ liệu về những người tìm việc, cho đến nay chủ yếu chỉ giới hạn ở các đại lý Pôle emploi, sẽ có thể được nhiều tổ chức hơn tiếp cận. Mặc dù CNIL không chỉ trích việc truy cập và chia sẻ dữ liệu này, nhưng họ chỉ ra rằng chúng phải đi kèm với "các biện pháp bảo mật phù hợp với rủi ro".
CNIL lưu ý rằng vì các hệ thống thông tin mới của France Travail sẽ được mở rộng rãi và "trong thời hạn cực kỳ gấp" đối với các thực thể mới này. "Phần mở rộng này làm tăng rủi ro bảo mật khi xử lý" vì chúng có khả năng là điểm xâm nhập mới cho tin tặc. Đặc biệt là nếu các nguyên tắc an ninh mạng không được tuân thủ nghiêm ngặt.
Và thật không may, không thiếu các ví dụ về các tổ chức khu vực xã hội không được bảo vệ đầy đủ là mục tiêu của các cuộc tấn công mạng. Vào năm 2024, CAF và đặc biệt là France Travail đã bị tấn công mạng. Vào tháng 3 năm 2024, dữ liệu của 43 triệu người Pháp có khả năng đã bị đánh cắp khỏi hệ thống máy tính của Pôle emploi trước đây.
Theo cuộc điều tra của Văn phòng Công tố Paris, tin tặc thực sự đã xâm nhập vào hệ thống của Pôle emploi trước đây thông qua "một đối tác" của France Travail: Cap emploi, một tổ chức chuyên hỗ trợ người khuyết tật.
Điều này giải thích lý do tại sao cơ quan độc lập "mời", trong một ý kiến không ràng buộc, "Bộ (Lao động và Việc làm, Ghi chú của biên tập viên) yêu cầu triển khai các biện pháp bảo mật hiệu quả cho tất cả các cấu trúc trong mạng lưới việc làm trước khi cung cấp bất kỳ công cụ mới nào (...)". Ví dụ, nó đề xuất chấm dứt "các miễn trừ đối với các yêu cầu bảo mật (...) được cấp khi thực hiện các hoạt động xử lý có liên quan".
Cơ quan độc lập đang yêu cầu bộ đảm bảo rằng cơ quan công đã triển khai đủ các biện pháp bảo mật trước khi triển khai các hoạt động xử lý CNTT mới – và trước khi chia sẻ dữ liệu của người tìm việc.
Cần phải nói rằng dữ liệu được thu thập “trên quy mô lớn” đặc biệt mang tính chiến lược: nó bao gồm “cái gọi là dữ liệu nhạy cảm (đặc biệt là dữ liệu liên quan đến sức khỏe), “dữ liệu liên quan đến các bản án hình sự, hành vi phạm tội hoặc các biện pháp bảo mật liên quan”, cũng như cái gọi là dữ liệu “mang tính cá nhân cao” (dữ liệu ngân hàng)”. "Người kiểm soát dữ liệu phải đảm bảo rằng dữ liệu này được thu thập và xử lý hết sức cẩn thận và bằng cách đưa ra các đảm bảo cụ thể", cơ quan này nhấn mạnh.
Dữ liệu mà các quy trình CNTT dự định trích xuất và xử lý có thực sự cần thiết không? CNIL cũng chỉ ra rằng chỉ khi cần thiết mới có thể thu thập dữ liệu.
Ngoài những yếu tố quan trọng này, cơ quan độc lập này cũng lấy làm tiếc về cách Bộ Lao động và Việc làm liên hệ với cơ quan này. Bà lấy làm tiếc rằng dự án France Travail "có quy mô lớn" đến mức CNIL không thể, thông qua một quy trình khẩn cấp và chỉ trong một lần chuyển giao - "kiểm tra chính xác các bản dự thảo văn bản đã gửi". Nói cách khác, cơ quan này lấy làm tiếc vì Chính phủ đã không chia yêu cầu đánh giá của mình thành nhiều phần. "Việc không tuân thủ (...) một số điều khoản của dự thảo nghị định không thể đánh giá trước tính hợp pháp của tất cả các hoạt động xử lý có liên quan," bà tuyên bố.
Nói cách khác, CNIL có ý định theo dõi vụ việc trong những tháng tới. Bà "hơn nữa còn mời Bộ quay lại gặp bà để tiếp tục thảo luận về việc tuân thủ các hoạt động xử lý khác nhau" dữ liệu cá nhân. Lời mời có được thực hiện không?
Xin nhắc lại, luật lao động đầy đủ vào tháng 12 năm 2023, cải cách tổ chức dành riêng cho người thất nghiệp, đã đưa ra "con đường mới được cải tiến để hỗ trợ những người tìm việc", một phần trong số đó dựa trên phân tích dữ liệu. Để thực hiện điều này, France Travail đang triển khai sáu hoạt động xử lý dữ liệu cá nhân mới. Những điều này sẽ bao gồm việc chia sẻ dữ liệu của người tìm việc với các tổ chức khác nhau, tất cả đều được mô tả trong một nghị định cũng được công bố vào ngày 1 tháng 1 trên Công báo.
Dữ liệu của người tìm việc có thể được nhiều tổ chức hơn truy cập
Và chính xác là các hoạt động xử lý dữ liệu trong tương lai này và các hoạt động chia sẻ mới này khiến CNIL lo lắng. Tổ chức chịu trách nhiệm hỗ trợ việc làm và tái hòa nhập sẽ cho phép các "đối tác" của "mạng lưới việc làm" truy cập dữ liệu của ít nhất sáu triệu người. Các đối tác này bao gồm "các khu vực, sở, thành phố và nhóm thành phố, các phái bộ địa phương về hội nhập nghề nghiệp và xã hội cho những người trẻ tuổi (các phái bộ địa phương), Cap emploi", Quỹ trợ cấp gia đình quốc gia và Quỹ trung ương cho tương trợ xã hội nông nghiệp.
Điều này có nghĩa là dữ liệu về những người tìm việc, cho đến nay chủ yếu chỉ giới hạn ở các đại lý Pôle emploi, sẽ có thể được nhiều tổ chức hơn tiếp cận. Mặc dù CNIL không chỉ trích việc truy cập và chia sẻ dữ liệu này, nhưng họ chỉ ra rằng chúng phải đi kèm với "các biện pháp bảo mật phù hợp với rủi ro".
CNIL lưu ý rằng vì các hệ thống thông tin mới của France Travail sẽ được mở rộng rãi và "trong thời hạn cực kỳ gấp" đối với các thực thể mới này. "Phần mở rộng này làm tăng rủi ro bảo mật khi xử lý" vì chúng có khả năng là điểm xâm nhập mới cho tin tặc. Đặc biệt là nếu các nguyên tắc an ninh mạng không được tuân thủ nghiêm ngặt.
Vào tháng 3 năm 2024, tin tặc đã truy cập... một đối tác của France Travail
Và thật không may, không thiếu các ví dụ về các tổ chức khu vực xã hội không được bảo vệ đầy đủ là mục tiêu của các cuộc tấn công mạng. Vào năm 2024, CAF và đặc biệt là France Travail đã bị tấn công mạng. Vào tháng 3 năm 2024, dữ liệu của 43 triệu người Pháp có khả năng đã bị đánh cắp khỏi hệ thống máy tính của Pôle emploi trước đây.
Theo cuộc điều tra của Văn phòng Công tố Paris, tin tặc thực sự đã xâm nhập vào hệ thống của Pôle emploi trước đây thông qua "một đối tác" của France Travail: Cap emploi, một tổ chức chuyên hỗ trợ người khuyết tật.
Điều này giải thích lý do tại sao cơ quan độc lập "mời", trong một ý kiến không ràng buộc, "Bộ (Lao động và Việc làm, Ghi chú của biên tập viên) yêu cầu triển khai các biện pháp bảo mật hiệu quả cho tất cả các cấu trúc trong mạng lưới việc làm trước khi cung cấp bất kỳ công cụ mới nào (...)". Ví dụ, nó đề xuất chấm dứt "các miễn trừ đối với các yêu cầu bảo mật (...) được cấp khi thực hiện các hoạt động xử lý có liên quan".
Cơ quan độc lập đang yêu cầu bộ đảm bảo rằng cơ quan công đã triển khai đủ các biện pháp bảo mật trước khi triển khai các hoạt động xử lý CNTT mới – và trước khi chia sẻ dữ liệu của người tìm việc.
Có thể truy cập được một lượng lớn dữ liệu
Cần phải nói rằng dữ liệu được thu thập “trên quy mô lớn” đặc biệt mang tính chiến lược: nó bao gồm “cái gọi là dữ liệu nhạy cảm (đặc biệt là dữ liệu liên quan đến sức khỏe), “dữ liệu liên quan đến các bản án hình sự, hành vi phạm tội hoặc các biện pháp bảo mật liên quan”, cũng như cái gọi là dữ liệu “mang tính cá nhân cao” (dữ liệu ngân hàng)”. "Người kiểm soát dữ liệu phải đảm bảo rằng dữ liệu này được thu thập và xử lý hết sức cẩn thận và bằng cách đưa ra các đảm bảo cụ thể", cơ quan này nhấn mạnh.
Dữ liệu mà các quy trình CNTT dự định trích xuất và xử lý có thực sự cần thiết không? CNIL cũng chỉ ra rằng chỉ khi cần thiết mới có thể thu thập dữ liệu.
Đối với CNIL, vụ việc chưa được khép lại
Ngoài những yếu tố quan trọng này, cơ quan độc lập này cũng lấy làm tiếc về cách Bộ Lao động và Việc làm liên hệ với cơ quan này. Bà lấy làm tiếc rằng dự án France Travail "có quy mô lớn" đến mức CNIL không thể, thông qua một quy trình khẩn cấp và chỉ trong một lần chuyển giao - "kiểm tra chính xác các bản dự thảo văn bản đã gửi". Nói cách khác, cơ quan này lấy làm tiếc vì Chính phủ đã không chia yêu cầu đánh giá của mình thành nhiều phần. "Việc không tuân thủ (...) một số điều khoản của dự thảo nghị định không thể đánh giá trước tính hợp pháp của tất cả các hoạt động xử lý có liên quan," bà tuyên bố.
Nói cách khác, CNIL có ý định theo dõi vụ việc trong những tháng tới. Bà "hơn nữa còn mời Bộ quay lại gặp bà để tiếp tục thảo luận về việc tuân thủ các hoạt động xử lý khác nhau" dữ liệu cá nhân. Lời mời có được thực hiện không?
