Quy định về an ninh mạng đang bước vào giai đoạn mang tính trừng phạt hơn khi các nhà lập pháp, cơ quan quản lý và tòa án đặt trách nhiệm lớn hơn lên các doanh nghiệp không bảo vệ được dữ liệu cá nhân, tài chính và vận hành. Tại nhiều khu vực pháp lý lớn, các tiêu chuẩn pháp lý đang vượt ra ngoài cách tiếp cận quản trị rủi ro mang tính tự nguyện để chuyển sang các biện pháp kiểm soát bắt buộc, báo cáo vi phạm nhanh hơn và trách nhiệm giải trình chặt chẽ hơn đối với lãnh đạo điều hành và hội đồng quản trị.

Đối với doanh nghiệp, các vụ vi phạm dữ liệu không còn chỉ được xem là thất bại về kỹ thuật. Chúng ngày càng được nhìn nhận là thất bại trong quản trị, thất bại trong tuân thủ và, trong một số trường hợp, là hành vi kinh doanh gây hiểu lầm. Sự thay đổi đó đang mở rộng trách nhiệm pháp lý của doanh nghiệp thông qua luật bảo mật dữ liệu, quy định về chứng khoán, luật bảo vệ người tiêu dùng, nghĩa vụ theo hợp đồng và các vụ kiện từ cổ đông.

Áp lực quản lý gia tăng

Tại Hoa Kỳ, Ủy ban Chứng khoán và Giao dịch đã ban hành các quy định yêu cầu công ty đại chúng công bố các sự cố an ninh mạng trọng yếu và mô tả các thực tiễn quản trị cũng như quản lý rủi ro của mình. Ủy ban Thương mại Liên bang cũng tiếp tục theo đuổi các biện pháp thực thi đối với những công ty bị cho là đã trình bày sai lệch về thực tiễn bảo mật của mình hoặc không áp dụng các biện pháp bảo vệ hợp lý. Luật của các bang, bao gồm các đạo luật về thông báo vi phạm dữ liệu và các luật bảo mật toàn diện, còn tạo thêm một tầng rủi ro pháp lý khác.

Tại châu Âu, Quy định chung về bảo vệ dữ liệu vẫn là một trong những công cụ thực thi mạnh nhất, cho phép cơ quan chức năng áp dụng các khoản phạt lớn đối với việc bảo mật không đầy đủ và xử lý dữ liệu cá nhân trái pháp luật. Các biện pháp mới hơn, bao gồm Chỉ thị NIS2, mở rộng nghĩa vụ an ninh mạng đối với các thực thể thiết yếu và quan trọng, yêu cầu quản trị rủi ro nghiêm ngặt hơn, báo cáo sự cố và trách nhiệm giải trình của ban lãnh đạo. Những xu hướng tương tự cũng đang xuất hiện tại Vương quốc Anh, các thị trường châu Á - Thái Bình Dương và một số khu vực ở Mỹ Latinh, nơi các chính phủ đang tăng cường nghĩa vụ báo cáo sự cố và bảo vệ hạ tầng trọng yếu.

Trách nhiệm pháp lý nay đã vươn tới phòng họp hội đồng quản trị

Một trong những diễn biến pháp lý quan trọng nhất là kỳ vọng ngày càng lớn rằng an ninh mạng phải được giám sát ở cấp cao nhất của doanh nghiệp. Hội đồng quản trị đang chịu áp lực phải chứng minh rằng họ hiểu rủi ro mạng, phân bổ nguồn lực, rà soát các kế hoạch ứng phó sự cố và giám sát các lỗ hổng từ bên thứ ba. Việc không làm như vậy có thể dẫn đến các vụ kiện từ cổ đông với cáo buộc vi phạm nghĩa vụ ủy thác, đặc biệt sau những sự cố lớn gây gián đoạn hoạt động hoặc thiệt hại nghiêm trọng về giá trị thị trường.

Các lãnh đạo điều hành cũng có thể bị soi xét vì các tuyên bố công khai về mức độ sẵn sàng ứng phó an ninh mạng. Nếu một công ty khẳng định có năng lực bảo mật mạnh trong khi các biện pháp kiểm soát nội bộ lại yếu, cơ quan quản lý và nhà đầu tư có thể cho rằng các công bố đó gây hiểu lầm. Rủi ro này càng trở nên cấp bách hơn khi các cuộc tấn công ransomware, các vụ xâm phạm chuỗi cung ứng phần mềm và các mối đe dọa nội gián tiếp tục phơi bày khoảng cách giữa thông điệp doanh nghiệp đưa ra và thực tế vận hành.

Chi phí không chỉ dừng ở tiền phạt

Trách nhiệm pháp lý phát sinh từ một vụ vi phạm dữ liệu hiếm khi kết thúc bằng một án phạt từ cơ quan quản lý. Doanh nghiệp còn có thể đối mặt với các vụ kiện tập thể, khiếu kiện theo hợp đồng từ khách hàng và đối tác, chi phí điều tra pháp chứng số, thiệt hại do gián đoạn kinh doanh và tổn hại danh tiếng kéo dài. Trong những lĩnh vực chịu quản lý chặt như tài chính, y tế và viễn thông, chỉ một sự cố cũng có thể kích hoạt các cuộc điều tra song song từ nhiều cơ quan chức năng.

Bảo hiểm an ninh mạng mang lại một phần bảo vệ, nhưng các nhà bảo hiểm đang siết chặt tiêu chuẩn thẩm định và đòi hỏi bằng chứng tốt hơn về các biện pháp kiểm soát bảo mật. Các hợp đồng bảo hiểm cũng có thể loại trừ một số cuộc tấn công do quốc gia bảo trợ, các khoản tiền chuộc hoặc các sự cố liên quan đến quản trị nội bộ yếu kém. Vì vậy, doanh nghiệp không thể tiếp tục cho rằng bảo hiểm sẽ hấp thụ toàn bộ tác động tài chính của một vụ vi phạm.

Tuân thủ trở thành vấn đề chiến lược

Các chuyên gia pháp lý cho rằng doanh nghiệp nên xem tuân thủ an ninh mạng là một chức năng mang tính chiến lược thay vì chỉ là một vấn đề công nghệ thông tin đơn thuần. Các chương trình hiệu quả hiện nay đòi hỏi phải có đánh giá rủi ro được lập thành văn bản, đào tạo nhân viên, giám sát nhà cung cấp, kế hoạch ứng phó sự cố đã được kiểm thử, quy trình leo thang rõ ràng và công bố thông tin công khai chính xác. Các cơ quan quản lý ngày càng tìm kiếm bằng chứng cho thấy các biện pháp bảo mật không chỉ được thiết kế trên giấy tờ mà còn được duy trì và rà soát một cách chủ động.

Thông điệp rộng hơn từ các nhà hoạch định chính sách là rất rõ ràng: các tổ chức thu thập và thương mại hóa dữ liệu được kỳ vọng phải bảo vệ dữ liệu đó với mức độ nghiêm ngặt tương xứng với rủi ro. Khi các mối đe dọa mạng ngày càng thường xuyên và tinh vi hơn, trách nhiệm pháp lý của doanh nghiệp đang trở thành một công cụ thực thi trung tâm. Đối với các lãnh đạo doanh nghiệp, câu hỏi pháp lý không còn là liệu an ninh mạng có thuộc phạm vi quản trị doanh nghiệp hay không. Vấn đề là liệu doanh nghiệp có đủ khả năng gánh chịu hậu quả nếu xem đó là điều gì đó kém quan trọng hơn hay không.

Source: Bravetopic