Nếu một công ty công nghệ bị hacker tấn công, liệu họ có thực sự chịu ảnh hưởng không? Vào những thập kỷ đầu của ngành công nghiệp sản xuất phần mềm, câu trả lời sẽ là "không". Các công ty thường chối bỏ trách nhiệm pháp lý của mình. Cho đến tận khoảng gần đây, lỗ hổng bảo mật vẫn được coi là chuyện tất nhiên phải có. Khi vấn đề bị phát hiện, mọi người hy vọng các công ty sẽ nhanh chóng sửa lỗi đó nhưng hiếm khi nào các công ty chịu trách nhiệm về thiệt hại mà lỗ hổng đó gây ra.
Tuy nhiên, mọi thứ đang thay đổi một cách chóng mặt. Hẳn bạn vẫn còn nhớ vụ việc Sony phải đối mặt với một vụ kiện vì thất thoát thông tin cá nhân của hàng triệu người dùng. Hay tuần này, Dropbox cũng rơi vào vòng lao lý vì hệ thống bảo mật của họ bị "thủng".
Hiện vẫn còn quá sớm để biết các vụ kiện này sẽ đi tới đâu nhưng quả thực, nó đang là một xu hướng ngày càng gia tăng. Khi mà các dịch vụ trực tuyến đang trở nên quan trọng hơn bao giờ hết đối với nền kinh tế Hoa Kỳ, các công ty cung cấp dịch vụ cũng đồng thời nhận ra rằng vấn đề bảo mật đang khiến họ thiệt hại về mặt tài chính, vấn đề cốt tử nhất.
Bảo mật máy tính cũng đang là lĩnh vực được FTC (Federal Trade Commission – Tổ chức bảo vệ người tiêu dùng Mỹ) hết sức quan tâm. Vào giữa tháng 6, đại diện ủy quyền FTC, bà Edith Ramirez đã chứng minh với Quốc hội về nỗ lực của tổ chức này trong việc nâng cao khả năng bảo mật trên mạng. Nhằm áp dụng những luật đặc biệt dành cho lĩnh vực tài chính, FTC yêu cầu quyền lợi từ các bất cứ công ty nào thông báo các thông tin bảo mật giả hay gây tổn hại cho khách hàng khi không có những thước đo bảo mật đúng mực. Ramirez cho biết hai thỏa thuận này sẽ nhắm đến những công ty có hàng rào bảo vệ lỏng lẻo, giúp các hacker dễ dàng chiếm đoạt thông tin cá nhân của khách hàng. Ngoài ra, các công ty đó đồng ý chịu kiểm tra bảo mật độc lập trong vòng 20 năm tới. Những điều này chỉ như một biện pháp kích thích các công ty phải xem trọng vấn đề bảo mật hơn. Song, nếu sản sinh ra quá nhiều điều khoản thì vô tình sẽ làm chậm tiến độ phát triển các phần mềm mới.
Văn hóa bảo mật
Alex Halderman, giáo sư khoa Khoa học Máy tính của trường Đại học Michigan đã đánh giá về những vấn đề bức bối này. Alex cho rằng hầu hết người dùng khó lòng biết được các sản phẩm của công ty phần mềm có thực sự hiệu quả hay không cho đến khi vấn đề trở nên trầm trọng.
Nhưng, ông cũng cho rằng các điều luật của chính phỉ dành cho bảo mật phần mềm cũng chẳng có ý nghĩa mấy. Bởi các cơ quan như FTC vừa không thành thạo trong lĩnh vực này, vừa không có đủ nhân lực để kiểm tra một cách sát sao. Hơn thế nữa, với cương vị là người ngoài nhìn vào, chúng ta khó lòng biết được đó là lỗi cẩu thả trong khâu sản xuất hay đơn giản là lỗi tự nhiên phát sinh trong tất cả mọi dự án.
Khi các cơ quan tìm ra lỗ hổng, Alex cho biết, việc quyết định vấn đề đó cấp bách đến đâu cũng không phải là dễ. Các công ty có thể bị buộc tiêu tốn rất nhiều thời gian vào sửa những lỗi vớ vẩn, trong khi vấn đề nghiêm trọng hơn thì lại bị bỏ qua. Cũng theo Alex, các phần mềm bảo mật tốt có xu hướng xuất phát từ những công ty có truyền thống coi trọng vấn đề đó.
Tuy nhiên, chúng ta chẳng thể nào cưỡng ép hay đánh giá "nhận thức về bảo mật" nếu đứng ngoài công ty. Cơ quan thẩm quyền có thể buộc các công ty phải nâng cao chất lượng bảo mật nhưng nó chỉ thực sự hiệu quả khi ban lãnh đạo đặt mọi nỗ lực, tâm huyết vào nó.
Tất nhiên, cũng có cách để áp dụng trách nhiệm pháp lý như cốt lỗi của chính sách bảo mật. Bằng việc bắt các công ty phải chịu trách nhiệm về tài chính cho những thiệt hại của khách hàng xuất phát từ lỗ hổng bảo mật, các công ty sẽ tự coi trọng vấn đề này hơn mà không cần chính phủ trực tiếp đánh giá và đưa ra án phạt. Với vụ tấn công cách đây không lâu, Sony được cho là đã sa thải những cá nhân phụ trách mảng này. Nhưng như vậy là chưa đủ bởi một vụ kiện tầm cỡ có thể đảm bảo rằng các công ty khác sẽ không lặp lại lỗi này trong tương lai.
Các biện pháp khác
Alex Halderman cảnh báo rằng kiện tụng quá nhiều vẫn có thể khiến các công ty nhận thức sai về bảo mật. Các nhà phát triển phần mềm luôn phải đối mặt giữa bảo mật và các ưu tiên khác như giá thành và thời gian ra mắt. Việc bắt các công ty cống hiến quá nhiều nỗ lực vào nâng cao tính năng bảo mật thì cũng chẳng tốt như mọi người vẫn nghĩ. Vì thế, các nhà đề ra chính sách không nên chỉ tập trung vào tính pháp lý, Alex chia sẻ.
Một chiến thuật khác đòi hỏi sự minh bạch. Một số bang tại Mỹ có luật ủy nhiệm yêu cầu công khai các vụ hack dữ liệu. Alex gợi ý những luật này có thể mở rộng để bao trùm cả những lĩnh vực bảo mật khác, những thứ này sẽ giúp người dùng có nhiều thông tin hơn khi chọn dịch vụ hay các phần mềm.
Alex cũng chỉ ra giá trị của việc đào tạo mà FTC đã từng nhấn mạnh. Hiển nhiên là các công ty có trách nhiệm đào tạo nhân viên của họ về bảo mật nhưng Alex cho rằng trường đại học cũng đóng một vai trò quan trọng. Và các khóa học về bảo mật nên được đề cập trong CV của mỗi sinh viên khoa Khoa học Máy tính.
Cuối cùng, Alex nghĩ các công ty nên tối giản các thông tin lưu trữ về người dùng của mình. Tuy điều này sẽ không ngăn chặn được các vấn đề bảo mật nhưng nó sẽ giảm các thiệt hại nếu sự cố xảy ra. Các công ty nên tự động xóa những thông tin không cần thiết nữa và khách hàng thì cũng có những lựa chọn để kiểm tra và hủy thông tin quan trọng từng cung cấp cho các công ty.