Các điều chỉnh của HIPAA chi phối giữa những thứ khác với việc sử dụng và tiết lộ thông tin y tế được
bảo vệ duy trì dưới bất kỳ dạng nào.
36
Các công ty cần phải cẩn thận lựa chọn hệ thống quản lý dữ liệu để nhanh chóng mở rộng chế độ bảo vệ dữ liệu riêng tư. Bác sĩ và giám đốc ngân hàng cần có tính năng mã hoá để bảo đảm thông tin bí mật, cho dù trong chẩn đoán hoặc tài chính, được bảo vệ khỏi việc vô ý tiết lộ. Tường lửa và hạn chế truy cập phải cài đặt để tránh sự phổ biến không được cho phép hoặc quá rộng rãi. Khả năng theo dõi phải tồn tại để nếu một vi phạm bảo mật bị phát hiện, một thông báo và biện pháp điều trị đúng đắn được đưa ra ngay lập tức. Sự vi phạm các đạo luật về bảo mật dữ liệu của bang và Hoa Kỳ không chỉ mang đến hình phạt về hình sự mà còn công kích tính chính trực của công ty và các chi nhánh. Một lần nữa, chuẩn bị kế hoạch trước mắt để tránh sự vi phạm từ xa thì tốt hơn là cố sửa chữa những thiệt hại sau đó.
Sự vi phạm củađạo luật về bảo mật dữ liệu của bang và Hoa Kỳ không chỉ mang đến hình phạt về hình sự mà còn công kích tính chính trực của công ty và các chi nhánh. Một lần nữa, chuẩn bị kế hoạch trước mắt để tránh sự vi phạm từ xa thì tốt hơn là cố sửa chữa những
37
Mã hoá
Mã hoá rất quan trọng, nhưng tất cả kỹ thuật vẫn chưa được tận dụng thường xuyên. “Mã hoá dữ liệu như định nghĩa là một quá trình chuyển đổi xáo trộn hoặc lưu trữ thông tin làm cho thông tin không thể hiểu được cho đến khi nó được xáo trộn lại bằng sự tiếp nhận có dụng ý”.50 Việc này hầu như chủ yếu để bảo vệ bí mật thương mại và thông tin bảo mật có thể được gửi qua internet.
Không có chức năng mã hoá thích hợp, nên công ty để các bí mật công khai. “Trong thế giới bảo mật, năm 2005 được nhớ đến như là năm mà sự rò rỉ dữ liệu trở thành câu chuyện nổi cộm trên trang nhất, thúc đẩy chủ yếu bằng đạo luật mới của Hoa Kỳ uỷ nhiệm phổ biến công cộng khi dữ liệu khách hàng bị đánh cắp hoặc bị mất”.51 Chuyện gì khủng khiếp hơn nữa khi nhân viên truy cập vào dữ liệu bảo mật của chủ doanh nghiệp mà không ưu tiên bảo mật dữ liệu hoặc không quen với việc sử dụng. Trong bài báo còn ảnh hưởng về sau, “Tại sao Johnny Không thể Mã hoá”,52 hai nhà nghiên cứu ở Đại học Carnegie Mellon khám đã phá ra rằng một người dùng trung bình, có học và sử dụng thành thạo email không biết sử dụng kỹ thuật mã hoá. Trong nghiên cứu tiếp theo, “Tại sao Johnny Vẫn Không thể Mã hoá”53 cho thấy có sự cải thiện nhỏ. Các công ty phải có những bước tiên phong để có được hệ thống mã hoá thân thiện với người dùng đáp ứng yêu cầu bảo mật và sau đó đào tạo nhân viên cách sử dụng công nghệ đó.
50 Fred Moore, Chuẩn bị Mã hoá: Mối đe dọa, Yêu cầu Pháp lý Mới Đẩy mạnh Nhu cầu Mã hoá Dữ liệu, TẠP CHÍ CÔNG NGHỆ VI TÍNH, tháng 8-tháng 9 năm 2005. VI TÍNH, tháng 8-tháng 9 năm 2005.
51 Kevin Murphy, Để Mở Bảo mật Email, TẠP CHÍ TRỰC TUYẾN KINH DOANH MÁY VI TÍNH, ngày 1 tháng 11 năm 2005 (trích dẫn Alex Hernandez, giám đốc phát triển sản phẩm cao cấp của CipherTrust). dẫn Alex Hernandez, giám đốc phát triển sản phẩm cao cấp của CipherTrust).
52 Alma Whitten & J.D. Tygar, Tại sao Johnny Không thể Mã hoá: Đánh giá Tiện ích của PGP 5.0, có tại http://www.gaudior.net/alma/johnny.pdf. http://www.gaudior.net/alma/johnny.pdf.
53 Steve Sheng et al, Tại sao Johnny Vẫn Không thể Mã hoá: Đánh giá sự Tiện ích của Phần mềm Mã hoá Email, có tại http://cups.cs.cmu.edu/soups/2006/posters/sheng-poster_abstract.pdf. http://cups.cs.cmu.edu/soups/2006/posters/sheng-poster_abstract.pdf.
38
Hệ thống lưu trữ dữ liệu lưu trữ thông tin chưa mã hoá đặt công ty vào rủi ro bị tin tặc đánh cắp thông tin khách hàng, nhiều khả năng dẫn đến quan hệ công chúng xấu đi, mất khách hàng và chi phí kiện tụng. Ví dụ: trong tháng 1 năm 2007 Công ty TJX, một công ty sản xuất ô, bao gồm T.J. Maxx, Marshalls, Home Goods, Bob’s Stores và chuỗi bán lẻ khác, thông báo hệ thống máy tính của họ bị hack từ 2005-2006, dẫn đến đánh cắp thông tin liên quan 45,7 triệu thẻ thanh toán sử dụng từ 2002-2004 bao gồm tên cá nhân và số thẻ tín dụng và thẻ nợ.54 Radioshack vào tháng 3 năm 2007 biết rằng 20 hộp hồ sơ bị loại bao gồm biên lai bán hàng có số thẻ tín dụng của khách hàng. Viên Chưởng lý bang Texas đề xướng một biện pháp cưỡng chế. Tháng 3 năm 2007, Group Heath Cooperative Healthcare System mất hai máy vi tính xách tay của công ty chứa tên, địa chỉ, số an sinh xã hội và số ID sức khoẻ Nhóm bệnh nhân và nhân viên.
Các vụ việc này có thể ngăn chặn bằng mã hoá. Các công ty có thị trường trung bình đặc biệt dễ bị tấn công. Các tin tặc không còn tạo ra tai tiếng qua việc sinh ra vi rút toàn cầu. Thay vào đó họ tạo ra nó vì tiền. Bởi vì các tin tặc biết rằng các công ty có thị trường trung bình thường chi ít tiền vào bảo mật và mã hoá, ước tính trên 4.000 công ty có thị trường trung bình đặc biệt bị đe dọa tấn công trừ khi họ có kế hoạch bảo vệ dữ liệu.55
54 TJX, Câu hỏi Thường Gặp, www.tjx.com/tjx_faq.htm.
55 Allan Holmes, Nhiều Công ty có Thị trường Trung bình Nói rằng Họ Không có Thời gian, Tiền bạc cũng như Nhân sự Cho việc Bảo mật.Đó Có thể là Lý do Tại sao các Kẻ lừa đảo Nhắm đến Họ và Xem Thị trường Trung bình là Hàng xóm Xấu, CIO, ngày Bảo mật.Đó Có thể là Lý do Tại sao các Kẻ lừa đảo Nhắm đến Họ và Xem Thị trường Trung bình là Hàng xóm Xấu, CIO, ngày 1 tháng 3 năm 2007.
Bởi vì tin tặc biết rằng các công ty có thị trường trung bình
thường chi ít tiền vào bảo mật và mã hoá, ước tính có trên
4.000 công ty có thị trường trung bình đặc biệt bị đe dọa tấn
công trừ phi họ cũng có kế hoạch bảo vệ
39
Như lưu ý ở trên, mã hoá cũng là sự phòng thủ khẳng định với việc vô tình tiết lộ thông tin cá nhân trong Đạo luật Bảo mật Số An sinh Xã hội của California.56 Thêm vào đó, tiêu chuẩn mã hoá khác nhau đòi hỏi được sử dụng bởi các nhà thầu chính phủ liên quan đến cơ quan tình báo.57 Hơn nữa, thật rõ ràng là việc mã hoá nhằm tránh vô tình tiết lộ thông tin độc quyền. Bộ phận CNTT và pháp lý phải phối hợp các nhu cầu của công ty với các dịch vụ mã hoá và xác định hệ thống hiện tại có khả năng bảo vệ tránh khỏi việc hack, mất cắp hoặc kiện tụng không.