- Tuần này, AT&T đã thông báo cho hàng triệu khách hàng rằng dữ liệu của họ có thể đã bị đánh cắp trong một vụ rò rỉ hồi tháng 4 mà công ty tiết lộ vào đầu tháng này. Trong khi đó, các luật toàn diện nhằm bảo vệ khách hàng khỏi bị hack vẫn tiếp tục gặp khó khăn để được thông qua, vì AT&T và các đối thủ của họ đã chống lại những luật đó vì cho rằng cách tiếp cận này không giải quyết được vấn đề.
Thông tin bị đánh cắp của các khách hàng của AT&T có giá trị đối với tội phạm mạng đến mức FBI đã yêu cầu công ty trì hoãn việc tiết lộ thông tin với Ủy ban Chứng khoán và Giao dịch vì những lo ngại tiềm ẩn về an ninh quốc gia và an toàn công cộng. Dữ liệu đã bị xâm phạm từ “gần như tất cả” khách hàng di động của AT&T và khách hàng của các nhà cung cấp dịch vụ không dây đã sử dụng mạng của họ trong khoảng thời gian từ ngày 1/5/2022 đến ngày 31/10/2022.
Đây không phải là lần đầu tiên – kể cả trong năm nay – AT&T bị tấn công mạng. Công ty đã phải vật lộn với vụ rò rỉ dữ liệu không liên quan xảy ra vào tháng 3. Vào thời điểm đó, AT&T cho biết thông tin cá nhân, chẳng hạn như số An sinh xã hội của 73 triệu khách hàng hiện tại và trước đây, đã bị tung lên web đen.
Những người ủng hộ người tiêu dùng và một số nhà lập pháp từ lâu đã tranh luận về việc bảo vệ dữ liệu khách hàng nhiều hơn. Mặc dù luật của các tiểu bang đã được thông qua ở hầu hết 20 tiểu bang, nhưng sự chắp vá của các quy định giữa các tiểu bang và cơ quan quản lý quyền riêng tư dữ liệu có thể dẫn đến sự thiếu nhất quán, mâu thuẫn và thiếu sót. Mọi thứ còn phức tạp hơn nữa, các hoạt động vận động hành lang từ các công ty công nghệ lớn (Big Tech) đến các nhà cung cấp dịch vụ điện thoại đã ảnh hưởng nặng nề đến nhiều nỗ lực quản lý của tiểu bang và địa phương.
Trong một tuyên bố, AT&T cho biết: “Từ lâu, chúng tôi đã ủng hộ chính sách quyền riêng tư toàn diện của liên bang bảo vệ tất cả người Mỹ áp dụng trên toàn hệ sinh thái internet. Chúng tôi tiếp tục tin rằng chính sách quyền riêng tư của liên bang sẽ thiết lập một bộ biện pháp bảo vệ nhất quán, được thực thi bởi một cơ quan quản lý duy nhất, cho tất cả người tiêu dùng.”
Vận động hành lang đang là “mấu chốt của vấn đề”
Các công ty lưu giữ thông tin cá nhân như người bạn đã nhắn tin, nội dung bạn đang xem – ngoài địa chỉ và số An sinh xã hội của bạn – khiến dữ liệu của các công ty viễn thông trở thành mục tiêu có giá trị cao. Đó có thể là dữ liệu vô giá cho các nỗ lực lừa đảo có chủ đích.
Ông Dominic Sellitto - một giáo sư an ninh mạng tại Đại học Buffalo, cho biết, những dữ liệu mà các nhà cung cấp dịch vụ điện thoại nắm giữ là “cửa ngõ tiếp cận vào mọi thứ khác trên Internet. Mọi thông tin liên lạc mà chúng ta có, mọi thứ đều thông qua nhà cung cấp dịch vụ viễn thông hoặc nhà cung cấp dịch vụ Internet.” Và lượng dữ liệu dồi dào đó thu hút tin tặc.
Ông Sellitto lưu ý: “Những công ty lớn hơn này do quy mô và kho dữ liệu của họ chắc chắn sẽ trở thành mục tiêu của các tin tặc”.
Không chỉ các công ty viễn thông và các nhà cung cấp dịch vụ Internet, chỉ trong năm qua, các cuộc tấn công mạng lớn đã khiến hàng loạt đại lý ô tô bị đóng băng và xe cứu thương bị trì hoãn.
Hiện tại, luật bảo mật dữ liệu cá nhân tồn tại ở 19 tiểu bang bao gồm ít nhất 150 triệu người Mỹ, mặc dù có sự khác nhau về quy mô và phạm vi. Có các quy định của liên bang về các lĩnh vực riêng tư cụ thể, chẳng hạn như luật về dữ liệu y tế hoặc thông tin về trẻ em và các cơ quan như FCC quản lý hoạt động viễn thông. Nhưng không có luật bảo mật dữ liệu lớn, toàn diện ở cấp liên bang và nhiều luật của bang về cơ bản được các ngành viết ra thông qua các nhà vận động hành lang của họ, ông Alan Butler, giám đốc điều hành và chủ tịch của Trung tâm Thông tin Bảo mật Điện tử cho biết.
Giám đốc điều hành của nhà cung cấp an ninh mạng CyberSheath - Eric Noonan cho biết: “Mấu chốt của vấn đề trong việc lập pháp về viễn thông là các nhà vận động hành lang và tính hiệu quả của họ trong nhiều thập kỷ”.
An ninh mạng và quyền riêng tư dữ liệu đi đôi với nhau. Quy định được đề xuất có tính nghiêm ngặt nhất sẽ áp đặt các quy tắc giảm thiểu dữ liệu - có nghĩa là nếu các công ty thu thập ít dữ liệu hơn thì ngay từ đầu sẽ có ít cơ hội để tin tặc đánh cắp hơn. Cũng sẽ có các quy tắc thông báo và bảo mật dữ liệu chặt chẽ hơn nếu xảy ra một vụ hack.
Không rõ liệu những quy tắc nói trên có ngăn chặn các vụ hack như vào AT&T hay bảo vệ khách hàng của họ tốt hơn hay không. Nhưng những người ủng hộ người tiêu dùng đã chỉ trích ngành viễn thông vì cản trở các luật toàn diện hơn.
Các nhóm thương mại nhấn mạnh rằng luật riêng tư thực tế đã thành công ở nhiều bang.
“Trong trường hợp không có luật bảo mật dữ liệu liên bang khả thi, liên minh đa ngành của chúng tôi tự hào là một trong nhiều bên liên quan đã xây dựng khuôn khổ bảo mật toàn diện hiện bao trùm hơn 100 triệu người Mỹ và đã nhận được sự ủng hộ đông đảo của lưỡng đảng trên khắp các cơ quan lập pháp tiểu bang với các động lực chính trị khác biệt đáng kể,” ông Andrew Kingman, cố vấn của Liên minh An ninh và Quyền riêng tư Nhà nước cho biết trong một tuyên bố.
Các nhóm thương mại trong ngành nói rằng mặc dù an ninh mạng và quyền riêng tư dữ liệu có thể liên quan đến nhau nhưng vẫn có sự căng thẳng giữa những khái niệm đó có thể không được đề cập đầy đủ trong luật bảo mật dữ liệu.