Bảo mật thông tin: “Vấn đề chính là sự thiếu hiểu biết!”
"Bảo mật an toàn thông tin không nên chỉ được nhìn nhận như một vấn đề kỹ thuật"
"Bảo mật an toàn thông tin không nên chỉ được nhìn nhận như một vấn đề kỹ thuật".
Đó là quan điểm của bà Vilaiporn Taweelappontong, Giám đốc PriceWaterhouseCoopers FAS Ltd., trong cuộc trò chuyện dưới đây.
Thưa bà, với việc nền kinh tế Việt Nam ngày càng hội nhập sâu vào kinh tế thế giới, thì vấn đề bảo mật thông tin, nhất là trong lĩnh vực tài chính ngân hàng, đang nổi lên như một vấn đề thời sự. Vậy bà đánh giá như thế nào về mức độ an toàn thông tin trong các ngân hàng và tổ chức tài chính tại Việt Nam hiện nay?
Tôi cho rằng các chuyên gia bảo mật ở Việt Nam trong lĩnh vực này sẽ có rất nhiều việc phải làm, bởi luôn luôn có những chỗ cần phải cải tiến và nâng cấp. Các kỹ thuật tấn công mạng lưới ngày càng tinh vi hơn nên chúng ta luôn phải đảm bảo là các dịch vụ tài chính phải được bảo vệ đúng.
Vậy bà có những khuyến nghị gì đối với các ngân hàng và tổ chức tài chính của Việt Nam trong việc nâng cao bảo mật an toàn thông tin của mình?
Chúng tôi luôn luôn nói rằng bảo mật an toàn thông tin không nên chỉ được nhìn nhận như vấn đề kỹ thuật thuần túy mà là một vấn đề kinh doanh. Có nghĩa là đó không phải chỉ là trách nhiệm của nhân viên công nghệ thông tin mà còn là trách nhiệm của người sử dụng hệ thống thông tin. Cần phải có một giải pháp tổng thể cho vấn đề này.
Ví dụ, nhân viên công nghệ thông tin có thể lắp đặt nhiều hệ thống bảo vệ đối với máy tính của doanh nghiệp nhưng những hệ thống đó sẽ mất tác dụng nếu các nhân viên vẫn viết từ khoá (password) của hệ thống đó lên giấy và dán lên trước màn hình của mình.
Chúng tôi đã thấy tình trạng đó diễn ra tại rất nhiều công ty ở đây. Hoặc là họ tiết lộ thông tin một cách vô ý như nói chuyện trên xe bus hoặc những nơi công cộng về những thông tin nhạy cảm.
Vấn đề chính là sự thiếu hiểu biết về bảo mật thông tin. Các nhân viên sử dụng máy tính và có thông tin phải hiểu được tầm quan trọng của việc bảo mật và thực hiện nghiêm túc các quy tắc bảo mật. Đó là việc huấn luyện nhân viên về việc bảo mật thông tin.
Giao dịch trực tuyến sẽ sớm được áp dụng rộng rãi trên thị trường chứng khoán Việt Nam. Bà đánh giá nguy cơ gì là lớn nhất khi mọi người đều có thể sử dụng hệ thống giao dịch trực tuyến?
Đối với giao dịch trực tuyến, một vấn đề lớn là nhà cung cấp dịch vụ giao dịch không thể chỉ dựa vào firewall hoặc iDS vì chúng không thể ngăn những kẻ tấn công ăn cắp các thông tin và số liệu thông qua các ứng dụng của hệ thống hoặc từ chính khách hàng.
Nhà cung cấp dịch vụ phải tiến hành đánh giá toàn bộ hệ thống và các ứng dụng để tìm ra những điểm yếu cụ thể mà kẻ cắp có thể tấn công. Ví dụ, hiện nay có một kỹ thuật có thể điều khiển các thông số để ăn cắp dữ liệu từ kho dữ liệu và kỹ thuật này có thể vượt qua firewall. Có kỹ thuật thậm chí cho phép hacker xâm nhập hệ thống và điều khiển các giao dịch.
Các ngân hàng và công ty muốn cung cấp dịch vụ giao dịch trực tuyến cần phải tiến hành đánh giá độ an toàn của các ứng dụng trước khi cung cấp dịch vụ. Họ cần phải có một ứng dụng có khả năng chống bị đánh cắp dữ liệu và kiểm tra tính xác thực của các dữ liệu đầu vào trước khi cho phép tiến hành dịch vụ. Họ vừa phải bảo vệ an toàn hệ thống cơ sở hạ tầng thông tin và an toàn trong các ứng dụng.
Nhưng có công ty thấy rằng chi phí cho một hệ thống bảo mật như vậy quá lớn?
Nhưng hãy nghĩ đến những thiệt hại có thể xảy ra đối với công ty hoặc khách hàng nếu không có những biện pháp bảo mật thích hợp. Ví dụ, một ngân hàng chẳng hạn. Chỉ cần một sự cố xảy ra là ngân hàng không chỉ mất tiền mà còn cả uy tín và rất nhiều khách hàng về sau.
Vì vậy, ngân hàng cần phải có những xem xét và đánh giá độ an toàn của toàn hệ thống, cả mạng lõi, các máy chủ, các ứng dụng và thậm chí cả những ứng dụng trên thiết bị di động.
PriceWaterhouseCoopers FAS có những dịch vụ gì liên quan đến bảo mật thông tin trong lĩnh vực tài chính và ngân hàng ở Việt Nam?
Chúng tôi thực hiện việc đánh giá sự an toàn về thông tin trong lĩnh vực tài chính ngân hàng, cả hệ thống bên trong và bên ngoài. Chúng tôi có một nhóm ở Hà Nội và Tp.HCM để kiểm tra và đánh giá hệ thống ứng dụng và cơ sở hạ tầng thông tin của các khách hàng là ngân hàng và công ty chứng khoán.
Đó là quan điểm của bà Vilaiporn Taweelappontong, Giám đốc PriceWaterhouseCoopers FAS Ltd., trong cuộc trò chuyện dưới đây.
Thưa bà, với việc nền kinh tế Việt Nam ngày càng hội nhập sâu vào kinh tế thế giới, thì vấn đề bảo mật thông tin, nhất là trong lĩnh vực tài chính ngân hàng, đang nổi lên như một vấn đề thời sự. Vậy bà đánh giá như thế nào về mức độ an toàn thông tin trong các ngân hàng và tổ chức tài chính tại Việt Nam hiện nay?
Tôi cho rằng các chuyên gia bảo mật ở Việt Nam trong lĩnh vực này sẽ có rất nhiều việc phải làm, bởi luôn luôn có những chỗ cần phải cải tiến và nâng cấp. Các kỹ thuật tấn công mạng lưới ngày càng tinh vi hơn nên chúng ta luôn phải đảm bảo là các dịch vụ tài chính phải được bảo vệ đúng.
Vậy bà có những khuyến nghị gì đối với các ngân hàng và tổ chức tài chính của Việt Nam trong việc nâng cao bảo mật an toàn thông tin của mình?
Chúng tôi luôn luôn nói rằng bảo mật an toàn thông tin không nên chỉ được nhìn nhận như vấn đề kỹ thuật thuần túy mà là một vấn đề kinh doanh. Có nghĩa là đó không phải chỉ là trách nhiệm của nhân viên công nghệ thông tin mà còn là trách nhiệm của người sử dụng hệ thống thông tin. Cần phải có một giải pháp tổng thể cho vấn đề này.
Ví dụ, nhân viên công nghệ thông tin có thể lắp đặt nhiều hệ thống bảo vệ đối với máy tính của doanh nghiệp nhưng những hệ thống đó sẽ mất tác dụng nếu các nhân viên vẫn viết từ khoá (password) của hệ thống đó lên giấy và dán lên trước màn hình của mình.
Chúng tôi đã thấy tình trạng đó diễn ra tại rất nhiều công ty ở đây. Hoặc là họ tiết lộ thông tin một cách vô ý như nói chuyện trên xe bus hoặc những nơi công cộng về những thông tin nhạy cảm.
Vấn đề chính là sự thiếu hiểu biết về bảo mật thông tin. Các nhân viên sử dụng máy tính và có thông tin phải hiểu được tầm quan trọng của việc bảo mật và thực hiện nghiêm túc các quy tắc bảo mật. Đó là việc huấn luyện nhân viên về việc bảo mật thông tin.
Giao dịch trực tuyến sẽ sớm được áp dụng rộng rãi trên thị trường chứng khoán Việt Nam. Bà đánh giá nguy cơ gì là lớn nhất khi mọi người đều có thể sử dụng hệ thống giao dịch trực tuyến?
Đối với giao dịch trực tuyến, một vấn đề lớn là nhà cung cấp dịch vụ giao dịch không thể chỉ dựa vào firewall hoặc iDS vì chúng không thể ngăn những kẻ tấn công ăn cắp các thông tin và số liệu thông qua các ứng dụng của hệ thống hoặc từ chính khách hàng.
Nhà cung cấp dịch vụ phải tiến hành đánh giá toàn bộ hệ thống và các ứng dụng để tìm ra những điểm yếu cụ thể mà kẻ cắp có thể tấn công. Ví dụ, hiện nay có một kỹ thuật có thể điều khiển các thông số để ăn cắp dữ liệu từ kho dữ liệu và kỹ thuật này có thể vượt qua firewall. Có kỹ thuật thậm chí cho phép hacker xâm nhập hệ thống và điều khiển các giao dịch.
Các ngân hàng và công ty muốn cung cấp dịch vụ giao dịch trực tuyến cần phải tiến hành đánh giá độ an toàn của các ứng dụng trước khi cung cấp dịch vụ. Họ cần phải có một ứng dụng có khả năng chống bị đánh cắp dữ liệu và kiểm tra tính xác thực của các dữ liệu đầu vào trước khi cho phép tiến hành dịch vụ. Họ vừa phải bảo vệ an toàn hệ thống cơ sở hạ tầng thông tin và an toàn trong các ứng dụng.
Nhưng có công ty thấy rằng chi phí cho một hệ thống bảo mật như vậy quá lớn?
Nhưng hãy nghĩ đến những thiệt hại có thể xảy ra đối với công ty hoặc khách hàng nếu không có những biện pháp bảo mật thích hợp. Ví dụ, một ngân hàng chẳng hạn. Chỉ cần một sự cố xảy ra là ngân hàng không chỉ mất tiền mà còn cả uy tín và rất nhiều khách hàng về sau.
Vì vậy, ngân hàng cần phải có những xem xét và đánh giá độ an toàn của toàn hệ thống, cả mạng lõi, các máy chủ, các ứng dụng và thậm chí cả những ứng dụng trên thiết bị di động.
PriceWaterhouseCoopers FAS có những dịch vụ gì liên quan đến bảo mật thông tin trong lĩnh vực tài chính và ngân hàng ở Việt Nam?
Chúng tôi thực hiện việc đánh giá sự an toàn về thông tin trong lĩnh vực tài chính ngân hàng, cả hệ thống bên trong và bên ngoài. Chúng tôi có một nhóm ở Hà Nội và Tp.HCM để kiểm tra và đánh giá hệ thống ứng dụng và cơ sở hạ tầng thông tin của các khách hàng là ngân hàng và công ty chứng khoán.