Trang mạng của tổ chức bảo vệ người tiêu thụ Choice vừa loan tin những doanh vụ không cho khách hàng của họ biết các chi tiết cá nhân cần được bảo mật của họ đang có nguy cơ bị lọt ra ngoài sẽ bị phạt hàng triệu đô la theo chương trình mới mang tên được ban hành từ ngày 22/2/2018.
Không chỉ có các cơ sở thương mại phải tuân thủ quy định này mà cả các cơ quan chính phủ lẫn những tổ chức phi lợi nhuận cũng bị ảnh hưởng.
Kể từ ngày 22/2/2018, bất cứ cơ sở công ty thương mại, cơ quan chính phủ hay tổ chức vô vụ lợi nào có mức doanh thu hàng năm trên ba triệu đô la đều phải báo cho khách hàng nếu các dữ liệu cá nhân của họ đang được lưu giữ bị lộ ra ngoài. Những cơ sở vi phạm có thể bị phạt đến 2,1 triệu đô la.
Khi các chi tiết về sức khoẻ, lý lịch hay ngân hàng của khách hàng họ bị lọt ra ngoài, những công ty, cơ quan hay tổ chức liên hệ sẽ có được 30 ngày để thẩm định mức độ thiệt hại trước khi báo cho khách hàng.
Tại sao có chương trình này?
Chính phủ đã cho áp dụng chương trình Notifiable Data Breach Scheme sau khi , một công ty cho thuê mướn xe có đến 90.000 khách hàng trên khắp nước Úc, đã để đến 6 tháng mới báo cho khách hàng biết rằng hệ thống lưu giữ các dữ liệu của khách hàng đã bị kẻ gian đột nhập.
Hệ thông này đã bị tin tặc tấn công vào ngày 27/6 năm ngoái và kẻ gian đã tiếp cận được các chi tiết như tên ho, địa chi nhà, địa chỉ email, số điện thoại, ngày sinh, số bằng lái xe vv... của khách hàng, thế nhưng mãi đến ngày 30/1 năm nay, GoGet mới báo cho khách hàng biết về vụ này.
Vụ tin tặc GoGet
Việc thông báo cũng được tiến hành sau khi Biệt đội chống tội phạm trên mạng của Cảnh sát NSW đã truy tố một người đàn ông 37 tuổi về tội tiếp cận bất hợp pháp kho chứa dữ liệu về toàn bộ khách hàng và xe cộ của GoGet.
Hiện GoGet vẫn chưa xác định được số khách hàng bị ảnh hưởng. Dù vậy cảnh sát cho rằng dường như kẻ gian xâm nhập hệ thống của GoGet chỉ để sử dụng xe lậu mà thôi.
Tuy Giám đốc điều hành GoGet Tristan Sender cho biết hiện nay không có bằng chứng nào cho thấy những dữ liệu vừa kể bị lạm dụng hay bị chia sẽ cho người khác, nhưng cảnh sát NSW vẫn đang điều tra xem kẻ gian có cài nhu liệu nào vào hệ thống này để đánh cắp các chi tiết ngân hàng của khách hàng GoGet hay không.
"Hiện nay có rất nhiều thông tin về vấn đề an ninh mạng, cho nên các công ty, cơ quan hay tổ chức lưu giữ các dữ liệu của khách hàng không thể dùng lý do họ không biết cách bảo mật để làm cái cớ cho những vụ chi tiết cá nhân bị lọt ra ngoài được." Bộ trưởng liên bang đặc trách về an ninh mạng ông Angus Taylor
Cảnh sát đã bắt người đàn ông nêu trên tại tư gia ở NSW và tịch thu nhiều máy điện toán, laptops và nhiều thiết bị điện tử khác. Người đàn ông này đã bị truy tố hai tội thâm nhập kho dữ liệu bất hợp pháp và 33 tội lấy và lái nhiều chiếc xe mà không xin phép chủ nhân. Những chiếc xe này đã được sử dụng từ tháng 5 đến tháng 7 năm 2017.
Thám tử Arthur Katsogiannis thuộc Biệt đội Chống tội phạm trên mạng cho biết tuy GoGet thông báo trễ cho khách hàng theo yêu cầu của cảnh sát để không ảnh hưởng đến cuộc điều tra của lực lượng này.
Nhận định của giới hữu trách
Dù vậy giới chức liên bang vẫn khẳng định việc áp đặt hình phạt nặng nề đối với những trường hợp không báo sớm là cần thiết.
Người đứng đầu Ủy ban Thông tin của Úc , ông Timothy Pilgrim nói rằng chương trình Notifiable Data Breach Scheme nhằm đáp ứng đòi hỏi của người dân là họ cần được thông báo khi các chi tiết cá nhân của họ bị tin tặc hoặc bị đánh cắp để họ có thể sớm có những hành động thích hợp nhằm giảm thiểu những sự nguy hại hay tốn kém vì những vụ này, chẳng hạn họ có thể làm lại giấy tờ, thay đổi tài khoản hay mật khẩu vv...
Đối với các doanh vụ, cơ quan hoặc tổ chức phi lợi nhuận thì quy định này cũng giúp củng cố mức khả tín của họ trong việc bảo mật các thông tin cá nhân, đồng thời khuyến khích các ngành công vụ lẫn tư nhân nâng cấp các biện pháp bảo toàn những dữ liệu quan trọng này.
Bộ trưởng liên bang đặc trách về an ninh mạng ông Angus Taylor còn nói thêm: "Hiện nay có rất nhiều thông tin về vấn đề an ninh mạng, cho nên các công ty, cơ quan hay tổ chức lưu giữ các dữ liệu của khách hàng không thể dùng lý do họ không biết cách bảo mật để làm cái cớ cho những vụ chi tiết cá nhân bị lọt ra ngoài được."
Cũng theo Bộ trưởng Taylor, Chương trình Notifiable Data Breach Scheme được đề ra theo Đạo luật bảo vệ quyền riêng tư Privacy Act 1988, sau khi một cuộc thăm dò cho thấy có đến hơn 90 phần trăm những người được hỏi ý kiến cho rằng họ nên được thông báo mỗi khi những dữ liệu cá nhân của họ bị tin tặc hay bị đánh cắp.
