Singapore sử dụng mật khẩu an toàn để bảo vệ dữ liệu lĩnh vực công

Trong những nỗ lực đảm bảo an toàn, an ninh thông tin trước các cuộc tấn công mạng nhằm vào hệ thống dữ liệu nội bộ trong lĩnh vực công, Chính phủ Singapore đã ban hành Sổ tay hướng dẫn 8 để cung cấp các biện pháp phòng tránh thông qua mật khẩu an toàn.

Năm 2020, Singapore sẽ bổ sung và cập nhật các quy định bảo vệ dữ liệu nội bộ trong lĩnh vực công - gọi là Sổ tay Hướng dẫn 8 (IM8), nhằm đảm bảo các biện pháp bảo vệ dữ liệu trở nên “rõ ràng hơn” và xóa bỏ “các khoảng cách” với các quy định trong lĩnh vực tư nhân.

Bà Quek Su Lynn, Giám đốc Văn phòng Dữ liệu Chính phủ Singapore.

Ngày 14/12, Giám đốc Văn phòng Dữ liệu Chính phủ Singapore Quek Su Lynn cho biết tất cả các cơ quan chính phủ sẽ được yêu cầu trong vòng 72 giờ kể từ khi phát hiện lộ lọt dữ liệu phải đưa ra quyết định có hay không thông báo tới các đối tượng bị ảnh hưởng.

Nếu các cơ quan này không có sự chắc chắn (như trong những vụ việc liên quan đến các lo ngại an ninh quốc gia), họ phải thông báo tới Văn phòng Dữ liệu Chính phủ Singapore để có hướng dẫn giải quyết.

Hiện tại, quy định này không được áp dụng như là một yêu cầu bắt buộc trong IM8. Trong khi đó, Luật Bảo vệ dữ liệu cá nhân (PDPA) quy định bắt buộc các công ty tư nhân phải thông báo tới cơ quan quản lý thông tin cá nhân của Singapore trong vòng 72 giờ kể từ khi phát hiện lộ lọt dữ liệu.

Với các bổ sung mới cho IM8, lần đầu tiên các công chức sẽ được thông báo về những yếu tố để tạo thành một mật khẩu an toàn. Ngoài ra, một số biện pháp kỹ thuật có tính bắt buộc khác để bảo vệ dữ liệu sẽ được bổ sung trong IM8.

Trong số những biện pháp kỹ thuật này có việc bắt buộc có hình mờ kỹ thuật số trong các file được tải xuống để hỗ trợ điều tra trong trường hợp xảy ra sự cố dữ liệu, bổ sung thêm chuỗi dữ liệu ngẫu nhiên nhằm thay đổi mật khẩu lưu trữ để các tác nhân xấu không thể sử dụng khi mật khẩu bị đánh cắp, và bắt buộc các file chỉ được truyền qua các kênh chia sẻ dữ liệu nội bộ đảm bảo an toàn...

Ngày 27/11 vừa qua, Ủy ban Xem xét an ninh dữ liệu lĩnh vực công (PSDSRC) đã đưa ra những khuyến nghị nhằm tăng hiệu quả của các biện pháp bảo vệ dữ liệu hiện tại của Singapore, trong đó có các quy định nêu trên.

PSDSRC được thành lập ngày 31/3 theo yêu cầu của Thủ tướng Lý Hiển Long sau khi xảy ra một loạt các vụ rò rỉ, vi phạm dữ liệu thông tin cá nhân trên không gian mạng trong nhiều năm qua.

Cũng trong tháng 3 năm nay, thông tin cá nhân của hơn 800.000 người hiến máu đã bị rò rỉ. Trước đó, tháng 6/2018, tin tặc đã đánh cắp dữ liệu của khoảng 1,5 triệu bệnh nhân, trong đó có cả thông tin cá nhân Thủ tướng Lý Hiển Long.

Những vụ việc vi phạm, rò rỉ dữ liệu cá nhân như vậy đã khiến các chuyên gia trong lĩnh vực bảo vệ thông tin cá nhân đặt ra câu hỏi liệu các biện pháp bảo mật trong khu vực công có được áp dụng mạnh mẽ như của khu vực tư nhân hay không.

Chính phủ Singapore cho biết các khuyến nghị của PSDSRC sẽ được đặt ra dưới dạng các chính sách và quy trình trong IM8, và sẽ áp dụng trong 80% các hệ thống công cộng của Singapore vào cuối năm 2021. Các cơ quan còn lại sẽ triển khai vào cuối năm 2023 vì một số cơ quan bắt buộc phải có sự thiết kế lại.