Free, SFR, France Travail, Viamédis và Amerys, Boulanger, Cultura, SFR, Truffaut, Grosbill, Quỹ trợ cấp gia đình (CAF)… Công ty hoặc tổ chức công nào chưa từng bị tấn công mạng? Trong báo cáo thường niên được công bố vào thứ Ba tuần trước (ngày 29 tháng 4), CNIL, cơ quan chịu trách nhiệm bảo vệ quyền riêng tư của chúng ta, đã bày tỏ lo ngại về sự gia tăng các vụ vi phạm dữ liệu cá nhân. Những con số này đã tăng 20% từ năm 2023 đến năm 2024, cùng với đó là sự gia tăng đột biến về các vụ rò rỉ trên quy mô lớn.
Để đảm bảo bảo vệ tốt hơn cho các cơ sở dữ liệu lớn, cơ quan quản lý dữ liệu cá nhân sau đó đã công bốloạt khuyến nghị. Từ năm 2026,xác thực hai yếu tố sẽ được yêu cầu đối với các cơ sở dữ liệu rất lớn – những cơ sở dữ liệu có ít nhất hai triệu người. Cụ thể hơn, mật khẩu sẽ không còn đủ nữa.
Đối với 01net.com, Romain Perray, luật sư cộng sự phụ trách mảng Công nghệ & Dữ liệu từ McDermott Will & Emery đã quay trở lại báo cáo thường niên về vi phạm dữ liệu từ CNIL. Đối với chuyên gia về các vấn đề kỹ thuật số và mạng, đánh giá do CNIL đưa ra không có gì đáng ngạc nhiên.
Năm ngoái tại Pháp, Viamedis, một công ty Pháp chuyên quản lý các chế độ phúc lợi sức khỏe bổ sung và Almerys, đối thủ cạnh tranh của công ty này, đã trở thành mục tiêu của các cuộc tấn công mạng. Tổng cộng, gần 33 triệu người Pháp bị ảnh hưởng. Năm 2023, gần 17.772 khiếu nại đã được ghi nhận, nhiều hơn 8% so với năm 2023. Và xu hướng này vẫn tiếp tục, với 2.500 vụ vi phạm dữ liệu đã xảy ra tại Pháp trong quý đầu tiên của năm 2025.
Những con số này có thể được giải thích như thế nào? Đối với nhiều người, "các vấn đề về an ninh thông tin vẫn còn hơi mơ hồ", người đàn ông cũng là giảng viên tại các trường Đại học Paris I, Paris II và Paris V cho biết. "Cho đến khi bạn thấy hành vi trộm cắp như vậy, như thể có ai đó đột nhập vào nhà bạn và bạn thấy rằng có người đã lục soát đồ đạc của bạn, cho đến khi điều đó thực sự xảy ra với bạn, bạn sẽ khó nhận ra rằng mình là mục tiêu dễ dàng", ông nói tiếp.
"Vấn đề không phải là nếu chúng ta sắp bị tấn công mạng, vấn đề thực sự là khi nào", chuyên gia giải thích, một cụm từ cũng được chủ tịch CNIL, Marie-Laure Denis, sử dụng trong buổi trình bày báo cáo vào thứ Ba, ngày 29 tháng 4. Và vấn đề vẫn chưa được tích hợp tốt vào nhận thức của các tổ chức khác nhau. "Cũng vì công cụ CNTT tương đối ít được biết đến và thường được coi là công cụ hỗ trợ cho hoạt động chứ không phải là yếu tố chiến lược của hoạt động", chuyên gia lưu ý.
"Trong mạng lưới này, chúng ta có một điểm mù, đó là tất cả các lĩnh vực hoạt động không nằm trong phạm vi của NIS 2 hoặc phạm vi của DORA", Maître Perray giải thích. NIS 2 áp dụng các yêu cầu quản lý rủi ro và an ninh mạng nghiêm ngặt hơn đối với các thực thể được gọi là “thiết yếu” và “quan trọng”. Đầu tiên bao gồm các cơ quan hành chính công và các bên liên quan thiết yếu cho hoạt động của Nhà nước như năng lượng, nước, giao thông, thông tin liên lạc và một phần y tế. Trong số những ngành sau, chúng ta có bưu điện và các nhà sản xuất thiết bị, đặc biệt là thiết bị cơ khí hoặc điện tử. Chỉ thị DORA liên quan đến các tổ chức tài chính.
Đối với tất cả các tổ chức khác, CNIL "có nghĩa vụ phải hành động, vì phần lớn dữ liệu được lưu trữ trên các hệ thống thông tin, không nằm trong phạm vi của NIS 2 cũng như phạm vi của DORA, đều chứa dữ liệu cá nhân." Tuy nhiên, đối với những hệ thống này, "các biện pháp kỹ thuật được triển khai, cuối cùng, sẽ tốt hơn nếu tương đương với các yêu cầu quy định rõ ràng hơn hoặc mang tính quy định", luật sư cho biết.
"Theo thời gian, các biện pháp cần áp dụng này ngày càng dễ nhận biết hơn vì chúng ta có các tiêu chuẩn đã phát triển, chẳng hạn như "xác thực đa yếu tố", "cần phải thay đổi mật khẩu, ví dụ, sáu tháng một lần, với các tổ hợp ký tự ngày càng dài", ông liệt kê. Kết quả là, "nếu bạn kết thúc với các nhà điều hành cung cấp mật khẩu là 1, 2, 3, 4, thì mức độ bảo mật không đạt yêu cầu và trong trường hợp này, CNIL có thể ghi nhận lỗi và áp dụng các biện pháp trừng phạt, điều mà họ đã thực hiện, hơn nữa."
Nhưng hiện naynhư trong NIS 2 và DORA, " quản lý cấp cao chịu trách nhiệm cho các lựa chọn thiết yếu và chiến lược an ninh mạng». Các thành viên của Hội đồng quản trị " cũng có nghĩa vụ đào tạo", luật sư nhớ lại. Liệu tất cả những yếu tố này có giúp thay đổi tình hình và giảm rò rỉ dữ liệu ở Pháp không? Con đường phía trước có thể còn dài: theo một nghiên cứu của công ty an ninh mạng SurfShark vào cuối năm 2024, Pháp là quốc gia Tây Âu bị ảnh hưởng nhiều nhất bởi rò rỉ dữ liệu.
Để đảm bảo bảo vệ tốt hơn cho các cơ sở dữ liệu lớn, cơ quan quản lý dữ liệu cá nhân sau đó đã công bốloạt khuyến nghị. Từ năm 2026,xác thực hai yếu tố sẽ được yêu cầu đối với các cơ sở dữ liệu rất lớn – những cơ sở dữ liệu có ít nhất hai triệu người. Cụ thể hơn, mật khẩu sẽ không còn đủ nữa.
Đối với 01net.com, Romain Perray, luật sư cộng sự phụ trách mảng Công nghệ & Dữ liệu từ McDermott Will & Emery đã quay trở lại báo cáo thường niên về vi phạm dữ liệu từ CNIL. Đối với chuyên gia về các vấn đề kỹ thuật số và mạng, đánh giá do CNIL đưa ra không có gì đáng ngạc nhiên.
Số lượng các cuộc tấn công ngày càng tăng và các nhà thầu phụ nằm trong tầm ngắm
"Kể từ khi đại dịch xảy ra, mọi thứ đã diễn ra nhanh hơn. "Chúng tôi đã từng bị vi phạm dữ liệu trước đây, nhưng không phải ở quy mô lớn như vậy", ông nói. Các dịch vụ công, đặc biệt là dịch vụ y tế, đã bị tấn công. Nhưng thay vì nhắm vào một tổ chức duy nhất, các nhà thầu phụ đã bị nhắm mục tiêu. "Bằng cách tấn công một nhà cung cấp dịch vụ, chúng tôi ảnh hưởng đến nhiều thực thể", Maître Perray nhấn mạnh, giống như "vụ bê bối SolarWinds xảy ra ở Hoa Kỳ" vào năm 2020.Năm ngoái tại Pháp, Viamedis, một công ty Pháp chuyên quản lý các chế độ phúc lợi sức khỏe bổ sung và Almerys, đối thủ cạnh tranh của công ty này, đã trở thành mục tiêu của các cuộc tấn công mạng. Tổng cộng, gần 33 triệu người Pháp bị ảnh hưởng. Năm 2023, gần 17.772 khiếu nại đã được ghi nhận, nhiều hơn 8% so với năm 2023. Và xu hướng này vẫn tiếp tục, với 2.500 vụ vi phạm dữ liệu đã xảy ra tại Pháp trong quý đầu tiên của năm 2025.
Những con số này có thể được giải thích như thế nào? Đối với nhiều người, "các vấn đề về an ninh thông tin vẫn còn hơi mơ hồ", người đàn ông cũng là giảng viên tại các trường Đại học Paris I, Paris II và Paris V cho biết. "Cho đến khi bạn thấy hành vi trộm cắp như vậy, như thể có ai đó đột nhập vào nhà bạn và bạn thấy rằng có người đã lục soát đồ đạc của bạn, cho đến khi điều đó thực sự xảy ra với bạn, bạn sẽ khó nhận ra rằng mình là mục tiêu dễ dàng", ông nói tiếp.
"Vấn đề không phải là nếu chúng ta sắp bị tấn công mạng, vấn đề thực sự là khi nào", chuyên gia giải thích, một cụm từ cũng được chủ tịch CNIL, Marie-Laure Denis, sử dụng trong buổi trình bày báo cáo vào thứ Ba, ngày 29 tháng 4. Và vấn đề vẫn chưa được tích hợp tốt vào nhận thức của các tổ chức khác nhau. "Cũng vì công cụ CNTT tương đối ít được biết đến và thường được coi là công cụ hỗ trợ cho hoạt động chứ không phải là yếu tố chiến lược của hoạt động", chuyên gia lưu ý.
Một "điểm mù" trong kho vũ khí pháp lý?
Báo cáo thường niên của CNIL, trong đó đưa ra cảnh báo, cũng được giải thích "bởi bối cảnh quản lý hiện tại." Trong khi một số chỉ thị (NIS 2, DORA) sắp được chuyển thành luật quốc gia, đáng chú ý là thông qua dự luật "liên quan đến khả năng phục hồi của cơ sở hạ tầng quan trọng và tăng cường an ninh mạng", một số lĩnh vực vẫn trốn tránh các nghĩa vụ hoặc khuyến nghị liên quan đến dữ liệu cá nhân và bảo mật CNTT."Trong mạng lưới này, chúng ta có một điểm mù, đó là tất cả các lĩnh vực hoạt động không nằm trong phạm vi của NIS 2 hoặc phạm vi của DORA", Maître Perray giải thích. NIS 2 áp dụng các yêu cầu quản lý rủi ro và an ninh mạng nghiêm ngặt hơn đối với các thực thể được gọi là “thiết yếu” và “quan trọng”. Đầu tiên bao gồm các cơ quan hành chính công và các bên liên quan thiết yếu cho hoạt động của Nhà nước như năng lượng, nước, giao thông, thông tin liên lạc và một phần y tế. Trong số những ngành sau, chúng ta có bưu điện và các nhà sản xuất thiết bị, đặc biệt là thiết bị cơ khí hoặc điện tử. Chỉ thị DORA liên quan đến các tổ chức tài chính.
Đối với tất cả các tổ chức khác, CNIL "có nghĩa vụ phải hành động, vì phần lớn dữ liệu được lưu trữ trên các hệ thống thông tin, không nằm trong phạm vi của NIS 2 cũng như phạm vi của DORA, đều chứa dữ liệu cá nhân." Tuy nhiên, đối với những hệ thống này, "các biện pháp kỹ thuật được triển khai, cuối cùng, sẽ tốt hơn nếu tương đương với các yêu cầu quy định rõ ràng hơn hoặc mang tính quy định", luật sư cho biết.
Chuyển sang định dạng mang tính đàn áp hơn?
Hãy cẩn thận, "CNIL không áp đặt bất cứ điều gì, theo nghĩa chặt chẽ của thuật ngữ này. Báo cáo (được công bố vào ngày 29 tháng 4, ghi chú của biên tập viên) không có hiệu lực ràng buộc về mặt pháp lý. Các tài liệu mà CNIL tham chiếu về cơ bản là các khuyến nghị và do đó về bản chất không có hiệu lực ràng buộc", ông giải thích. "Mặt khác, CNIL có thể làm rằng, dựa trên các khuyến nghị của mình, nếu tiến hành thanh tra và thấy các biện pháp an ninh không đủ, thì họ hoàn toàn có thể áp dụng các biện pháp trừng phạt, kể cả dựa trên các khuyến nghị đó", ông giải thích. Lý do rất đơn giản: "CNIL không có thẩm quyền quản lý để áp đặt luật pháp." Nhưng đối với luật sư chuyên về các chủ đề này, điều cơ bản là "nâng cao trình độ giáo dục và nhận thức (về rủi ro mạng, ghi chú của biên tập viên)". Và một trong những cách để đạt được điều đó,"là phải đánh mạnh. Chúng ta đã thấy điều này với GDPR." Quy định bảo vệ dữ liệu của Châu Âu năm 2018 đã giúp bảo vệ dữ liệu cá nhân tốt hơn thông qua các khoản tiền phạt. Câu hỏi sau đó nảy sinh là: "Về mặt thể chế, tức là ANSSI, giống như CNIL, luôn thấy mình trong một triết lý sư phạm. Sau này, triết lý này tự nhiên cần thời gian để chuyển sang một định dạng mang tính đàn áp hơn. ANSSI đã nêu rõ rằng các công ty liên quan (theo NIS 2) sẽ có ba năm để tăng tốc", Maître Perray nhấn mạnh.Các công ty và cơ quan công có bắt buộc phải duy trì mức an ninh mạng tối thiểu không?
Vậy thì các thực thể công hoặc tư phải tuân thủ những nghĩa vụ nào? Đối với dữ liệu cá nhân, GDPR đưa ra hai yêu cầu bảo mật. "Đầu tiên được coi là nguyên tắc cơ bản, được gọi là tính toàn vẹn và bảo mật của dữ liệu cá nhân. Tiếp theo là Điều 32, quy định về "các biện pháp thực hiện nguyên tắc cơ bản này". Về cơ bản, GDPR nêu rõ: một là, đây là nguyên tắc chỉ đạo (tính toàn vẹn và bảo mật của dữ liệu nhạy cảm) và hai là, bạn phải áp dụng các biện pháp bảo mật tương ứng với mức độ rủi ro của mình, dựa trên mức độ nhạy cảm của dữ liệu."Theo thời gian, các biện pháp cần áp dụng này ngày càng dễ nhận biết hơn vì chúng ta có các tiêu chuẩn đã phát triển, chẳng hạn như "xác thực đa yếu tố", "cần phải thay đổi mật khẩu, ví dụ, sáu tháng một lần, với các tổ hợp ký tự ngày càng dài", ông liệt kê. Kết quả là, "nếu bạn kết thúc với các nhà điều hành cung cấp mật khẩu là 1, 2, 3, 4, thì mức độ bảo mật không đạt yêu cầu và trong trường hợp này, CNIL có thể ghi nhận lỗi và áp dụng các biện pháp trừng phạt, điều mà họ đã thực hiện, hơn nữa."
Chỉ các tổ chức "rõ ràng là không đạt yêu cầu" mới bị trừng phạt?
Một công ty hoặc tổ chức công có thể phải chịu trách nhiệm về việc thiếu "sức mạnh" CNTT sau khi bị rò rỉ dữ liệu không? Ý tưởng đầu tiên là "tập trung vào việc khắc phục hậu quả của cuộc tấn công mạng.Và chỉ trong giai đoạn thứ hai, thường là khi có điều gì đó rất rõ ràng, chúng tôi sẽ trừng phạt các tổ chức đã thất bại. Đây là cách mà vấn đề này được xử lý, trong mọi trường hợp ở châu Âu, và đặc biệt là ở Pháp,” Romain Pray giải thích. "Triết lý đằng sau tất cả những điều này là chúng ta sẽ không trừng phạt nạn nhân thêm nữa. Một công ty bị tấn công mạng sẽ phải xử lý rất nhiều vấn đề. Ông nói thêm rằng biện pháp vẫn là biện pháp hợp lý thông thường là đảm bảo rằng hậu quả đối với cá nhân và tổ chức là hạn chế.Nhưng hiện naynhư trong NIS 2 và DORA, " quản lý cấp cao chịu trách nhiệm cho các lựa chọn thiết yếu và chiến lược an ninh mạng». Các thành viên của Hội đồng quản trị " cũng có nghĩa vụ đào tạo", luật sư nhớ lại. Liệu tất cả những yếu tố này có giúp thay đổi tình hình và giảm rò rỉ dữ liệu ở Pháp không? Con đường phía trước có thể còn dài: theo một nghiên cứu của công ty an ninh mạng SurfShark vào cuối năm 2024, Pháp là quốc gia Tây Âu bị ảnh hưởng nhiều nhất bởi rò rỉ dữ liệu.