Theo báo cáo* “The Identity Crisis” của Varonis về khủng hoảng danh tính, hơn một nửa (57%) các cuộc tấn công mạng năm 2025 đều bắt nguồn từ việc khai thác danh tính và kết thúc với các vụ đánh cắp dữ liệu. Vì vậy, Quản lý danh tính chính là “chìa khóa” để mở ra cánh cửa an toàn dữ liệu trong thời đại số.
Quản lý danh tính: “Điểm mù” trong bảo mật dữ liệu cá nhân
Phần lớn các tổ chức đang vận hành hệ thống CNTT mà không có khả năng kiểm soát rõ ràng ai có quyền truy cập vào dữ liệu gì. Điều này tạo ra một “điểm mù” nguy hiểm – nơi mà các quyền truy cập được cấp tràn lan, không được giám sát sát sao, khiến dữ liệu cá nhân dễ bị rò rỉ hoặc khai thác trái phép.
Ví dụ, khi một nhân viên chuyển phòng ban hoặc nghỉ việc, nhưng tài khoản của họ vẫn còn quyền truy cập vào các hệ thống nội bộ, rủi ro rò rỉ dữ liệu cá nhân sẽ tăng cao vì danh tính chính là chìa khóa để tiếp cận hệ thống và dữ liệu quý giá.
Rò rỉ dữ liệu cá nhân – Mối nguy hại nghiêm trọng trong bảo mật thông tin.
Các mục đích xấu có thể kể đến như:
- Đánh cắp thông tin khách hàng nhằm lừa đảo tài chính
- Yêu cầu tiền chuộc dữ liệu cao (như tấn công Ransomware, email phishing…)
- Gián điệp thương mại và cạnh tranh không lành mạnh
- Lạm dụng AI để khai thác dữ liệu
Tất cả rủi ro trên đã minh chứng cho thấy quản lý danh tính không chỉ là bài toán kỹ thuật, mà còn là một phần sống còn trong chiến lược bảo mật tổng thể.
*Đọc thêm báo cáo tại đây: The Identity Crisis
Vì sao việc quản lý danh tính là thách thức lớn nhất trong bảo vệ dữ liệu cá nhân?
Bảo mật dữ liệu và danh tính cần được quản lý đồng bộ, nếu chỉ tập trung vào bảo vệ dữ liệu mà thiếu kiểm soát danh tính từ quyền truy cập thì những rủi ro về tấn công mạng có thể đến bất cứ lúc nào. Điểm qua một số thách thức có thể kể đến như:
- Hệ thống phức tạp, người dùng đa dạng: Tổ chức hiện đại có hàng trăm, thậm chí hàng nghìn tài khoản người dùng với các cấp quyền khác nhau.
- Thiếu công cụ quản trị tập trung: Nhiều tổ chức vẫn dùng phương pháp thủ công để cấp và thu hồi quyền truy cập, dễ xảy ra sai sót.
- Mối đe dọa nội bộ (insider threats): Không phải lúc nào mối đe dọa cũng đến từ bên ngoài. Nhân viên cũ, cộng tác viên hoặc đối tác có thể trở thành điểm yếu nếu quyền truy cập không được thu hồi đúng cách.
Bảo vệ danh tính – Nhiệm vụ ưu tiên trong chiến lược đảm bảo an ninh mạng.
Hệ thống pháp lý tăng cường bảo vệ dữ liệu cá nhân tại Việt Nam
Việt Nam đã có bước tiến lớn khi ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, do Chính phủ công bố ngày 17/4/2023. Nghị định này yêu cầu các tổ chức phải áp dụng các biện pháp kỹ thuật và quản trị để bảo vệ dữ liệu, trong đó việc phân quyền, kiểm soát truy cập, và định danh người dùng là bắt buộc.
Mới đây, Luật Bảo vệ dữ liệu cá nhân – đã được Quốc hội thông qua ngày 26/6/2025 và sẽ chính thức có hiệu lực từ ngày 1/1/2026, nêu rõ một số quy định:
- Doanh nghiệp phải xóa dữ liệu cá nhân của người nghỉ việc
- Ngân hàng không được dùng dữ liệu cá nhân của khách để xếp hạng, chấm điểm tín dụng
- Cấm bán dữ liệu cá nhân dưới mọi hình thức
- Cấm xác thực mạng xã hội từ giấy tờ tùy thân
Với thực trạng đáng báo động về việc thu thập, rao bán, và đánh cắp dữ liệu cá nhân trên diện rộng, ảnh hưởng nghiêm trọng đến quyền riêng tư và an toàn thông tin, Việt Nam đã và đang ngày càng siết chặt an ninh và đảm bảo hệ thống công nghệ thông tin an toàn hơn.
Giải quyết thách thức về việc bảo vệ dữ liệu cá nhân với Varonis
Kể từ tháng 5 /2023, Mi2 JSC trở thành nhà phân phối chính thức tại Việt Nam cho giải pháp bảo mật dữ liệu Varonis – nền tảng tự động hàng đầu trong việc phát hiện và ngăn chặn rủi ro dữ liệu doanh nghiệp. Với trọng tâm là bảo vệ dữ liệu cá nhân gắn liền với kiểm soát danh tính và quyền truy cập, Varonis giúp tổ chức:
Phát hiện sớm mối đe dọa từ danh tính người dùng
Theo tiêu chuẩn NIST CSF 2.0, việc liên kết sự kiện danh tính với hành vi truy cập dữ liệu là yếu tố then chốt để phát hiện vi phạm bảo mật. Ví dụ:
- Một người dùng đặt lại mật khẩu rồi truy cập vào tệp quan trọng vào thời điểm bất thường.
- Người dùng tự điều chỉnh quyền truy cập dữ liệu.
Những hành vi này nếu tách rời có thể không đáng ngờ, nhưng khi tổng hợp lại sẽ lộ rõ dấu hiệu của một cuộc tấn công từ bên trong.
Giải quyết vấn đề danh tính rời rạc trên nhiều hệ thống
Một người dùng có thể tồn tại dưới nhiều danh tính khác nhau – từ hệ thống tại chỗ đến các ứng dụng đám mây. Varonis giúp hợp nhất các danh tính, từ đó phát hiện các cuộc tấn công sớm hơn, đặc biệt là các di chuyển ngang (lateral movement) thường diễn ra âm thầm trong hệ thống.
Đảm bảo sử dụng AI an toàn trước những rủi ro
Khi AI ngày càng được tích hợp vào quy trình làm việc hàng ngày, Skyhigh AI giúp các tổ chức bảo vệ hơn 1.300 ứng dụng GenAI. Với các công cụ AI như Microsoft 365 Copilot, vốn dựa vào quyền truy cập để tạo phản hồi từ email, tài liệu,… rủi ro càng cao nếu danh tính không được kiểm soát chặt chẽ. Các giải pháp DLP truyền thống có thể không ngăn được truy cập trái phép qua AI.
Với khả năng hiển thị sâu, bảo vệ dữ liệu mạnh mẽ và tuân thủ dựa trên chính sách, Skyhigh giúp doanh nghiệp tận dụng AI mà không phải tốn nhiều công sức bảo mật cũng như quản trị.
Tích hợp với Entra ID tăng cường kiểm soát danh tính
Varonis tích hợp sâu với Entra ID giúp các tổ chức có cái nhìn toàn diện và theo thời gian thực về:
- Tư cách thành viên nhóm
- Vai trò đặc quyền
- Tài khoản không có xác thực đa yếu tố (MFA)
- Các thay đổi quyền truy cập xảy ra ngoài tầm kiểm soát
Nhờ khả năng đồng bộ danh tính và vai trò từ Entra ID, Varonis cho phép đội ngũ bảo mật phát hiện sớm các hành vi bất thường – chẳng hạn như người dùng cũ vẫn giữ quyền quản trị, hoặc tài khoản được thêm vào nhóm có quyền “toàn quyền kiểm soát” mà không bị phát hiện.
Điều này loại bỏ nguy cơ “đúng quyền, đúng truy cập nhưng sai người”, đồng thời tránh các tình huống AI như Microsoft 365 Copilot tự động truy xuất dữ liệu nhạy cảm mà không bị giới hạn bởi chính sách DLP truyền thống.
Bảo vệ danh tính và quyền truy cập hiệu quả với hệ thống cảnh báo thông minh của Varonis.
Đọc thêm: Varonis dẫn đầu nền tảng bảo mật dữ liệu 2025
Kết Luận
Việc quản lý danh tính không chỉ là bài toán kỹ thuật mà còn là vấn đề sống còn trong bảo vệ dữ liệu cá nhân. Vì vậy, đối với một tổ chức – nơi tập trung nhiều thông tin nhạy cảm và là mục tiêu của các cuộc tấn công mạng ngày càng tinh vi – việc xây dựng một hệ thống quản lý danh tính và truy cập (Identity and Access Management – IAM) hiệu quả không chỉ giúp đảm bảo an toàn thông tin mà còn góp phần duy trì uy tín, tuân thủ quy định pháp luật và bảo vệ quyền lợi của khách hàng cũng như đối tác.
