Doanh nghiệp đầu tư mạnh cho công nghệ, nhưng vẫn dễ tổn thương trước tấn công mạng

Trước đây, các hệ thống phòng thủ an ninh mạng của doanh nghiệp thường được xây dựng theo mô hình “tường cao, hào sâu”. Doanh nghiệp có hệ thống tường lửa, các lớp bảo vệ rõ ràng, và điểm kết nối Internet thường chỉ tập trung tại một vài cổng chính.

Tuy nhiên, bối cảnh hiện nay đã thay đổi hoàn toàn. Sự xuất hiện của điện toán đám mây và phạm vi phủ sóng Internet rộng khắp đã tạo nên sự khác biệt. Thay vì chỉ có một đường kết nối Internet, hiện nay với sự phổ biến của điện thoại thông minh, kết nối 4G, 5G, gần như mọi thiết bị của người dùng trong tổ chức đều trở thành một điểm kết nối Internet tiềm năng.

KHI HỆ THỐNG MANG TÍNH CÔNG CỘNG VÀ LUÔN KẾT NỐI INTERNET, CÁC MỐI ĐE DỌA SẼ LUÔN HIỆN HỮU

Bài toán quản trị rủi ro của doanh nghiệp trong kỷ nguyên mới trở nên phức tạp và đa chiều hơn bao giờ hết. Theo ông Hoàng Mạnh Đức, Trưởng nhóm Nghiên cứu An toàn Hệ thống, Đại học FPT, bài toán quản trị rủi ro trong an ninh mạng có mối liên hệ trực tiếp với việc kiểm soát các lỗ hổng trong hệ thống của doanh nghiệp. Lý do rất đơn giản: mối đe dọa chỉ có thể gây ra rủi ro thực sự khi nó khai thác được một lỗ hổng tồn tại trong hệ thống.

“Trước đây, hệ thống công nghệ thông tin của doanh nghiệp thường có một ranh giới khá rõ ràng, với nhiều lớp phòng thủ bao quanh. Nhưng ngày nay, khi các hệ thống được triển khai trên nền tảng điện toán đám mây, kết nối từ mọi nơi, mọi thiết bị, mọi thời điểm, thì ranh giới đó gần như không còn nữa”, ông Hoàng Mạnh Đức nói.

Khi hệ thống mang tính công cộng và luôn kết nối Internet, các mối đe dọa sẽ luôn hiện hữu. Do đó, bài toán kiểm soát rủi ro trong an ninh mạng về bản chất là bài toán kiểm soát lỗ hổng. Những lỗ hổng này có thể đến từ công nghệ, từ nhận thức, từ kỹ năng của con người trong tổ chức.

Chia sẻ về cách tiếp cận bài toán an ninh mạng trong bối cảnh công nghệ đang thay đổi nhanh chóng, ông Đức cho rằng về mặt kỹ thuật, an toàn thông tin dựa trên các thuộc tính cơ bản như tính bí mật, tính toàn vẹn và tính sẵn sàng. Để đảm bảo được các thuộc tính này, một yếu tố then chốt là kiểm soát quyền truy cập.

Chỉ những người dùng được ủy quyền và cấp phép mới được phép truy cập dữ liệu, nhằm đảm bảo tính bí mật. Chỉ những người dùng có quyền hợp lệ mới được phép chỉnh sửa dữ liệu, đó là đảm bảo tính toàn vẹn. Và chỉ những người dùng hợp lệ, khi có nhu cầu chính đáng, mới có thể truy cập được dữ liệu và dịch vụ, đó là đảm bảo tính sẵn sàng.

Như vậy, bài toán kiểm soát lỗ hổng cuối cùng sẽ quy về bài toán kiểm soát truy cập. Và bước đầu tiên, quan trọng nhất của kiểm soát truy cập chính là nhận diện và xác thực. Điều này càng trở nên quan trọng trong bối cảnh các hệ thống được triển khai trên nền tảng điện toán đám mây, nơi mà tài nguyên, dữ liệu và dịch vụ nằm ngoài phạm vi vật lý của tổ chức.

Ngoài ra, trong các hệ thống hiện đại, rất nhiều doanh nghiệp phải triển khai các giải pháp xác thực mạnh cho người dùng, đặc biệt là khách hàng. Lý do là người dùng ngày nay không chỉ truy cập bằng máy tính, mà bằng rất nhiều thiết bị thông minh khác nhau. Do đó, trước tiên phải nhận diện và xác thực chính xác, sau đó mới cấp quyền, kiểm soát và ghi nhận đầy đủ các hoạt động truy cập.

VĂN HÓA AN NINH MẠNG PHẢI LÀ MỘT PHẦN KHÔNG THỂ THIẾU TRONG VĂN HÓA DOANH NGHIỆP

Theo Tiến sĩ Đoàn Trung Sơn, Giám đốc Chương trình An ninh mạng, Đại học Phenikaa, các doanh nghiệp Việt Nam hiện nay có nhận thức nhất định về an ninh mạng, nhưng hành động vẫn chưa tương xứng. Việc ban hành quy định hay đầu tư nhiều giải pháp công nghệ như firewall, SOC, phần mềm diệt virus không đồng nghĩa với việc doanh nghiệp đó an toàn.

“Văn hóa an ninh mạng không chỉ là câu chuyện công nghệ, mà là câu chuyện của con người, của suy nghĩ và hành động hàng ngày để đảm bảo an toàn thông tin”, ông Sơn nói. Theo ông, điều cốt lõi là phải thay đổi từ bên trong tổ chức, từ từng cá nhân. Và để làm được điều đó, phải bắt đầu từ lãnh đạo. Khi lãnh đạo có nhận thức đúng, doanh nghiệp mới có chiến lược, chính sách rõ ràng, từ đó lan tỏa xuống toàn bộ người lao động. Doanh nghiệp cần xây dựng quy chế, tổ chức đào tạo, diễn tập, nhận diện rủi ro đặc thù của mình.

“Theo tôi, văn hóa an ninh mạng là một phần không thể thiếu trong văn hóa doanh nghiệp, và các sự cố từng xảy ra với nhiều tổ chức lớn cho thấy chúng ta cần thay đổi cách tiếp cận, không chỉ nhìn nhận mối đe dọa từ bên ngoài mà cả từ bên trong”, ông Đoàn Trung Sơn nói.

“Trong lĩnh vực an ninh mạng cũng vậy. Trước đây, nhiều doanh nghiệp thường “khoán” luôn phần an ninh mạng cho các đơn vị cung cấp đường truyền hoặc máy chủ. Nhưng hiện nay, tôi thấy tư duy đó đang dần thay đổi. Doanh nghiệp bắt đầu nhìn nhận an ninh mạng như một lĩnh vực chuyên sâu, cần có cách tiếp cận chuyên nghiệp hơn”.

Đề cập đến câu chuyện thuê ngoài dịch vụ, đặc biệt là dịch vụ an ninh mạng, ông Phan Hoàng Giáp, Phó Tổng Giám đốc Công ty An ninh mạng Việt Nam, cho rằng luôn tồn tại những lo ngại rất chính đáng, chẳng hạn như nguy cơ rò rỉ dữ liệu, thất thoát thông tin, hoặc thậm chí là rủi ro an ninh đến từ chính nhà cung cấp dịch vụ.

“Những lo ngại này là hoàn toàn dễ hiểu, bởi hiện nay dữ liệu chính là “mỏ vàng”, là “kim cương” của doanh nghiệp. Nếu hệ thống thông tin gặp sự cố, bị xâm nhập hay bị lộ lọt dữ liệu, thì tác động đến hoạt động kinh doanh là vô cùng lớn. Vì vậy, việc các doanh nghiệp thận trọng khi cân nhắc thuê ngoài là điều hoàn toàn hợp lý”, ông Giáp nói.

DOANH NGHIỆP NÊN THUÊ NGOÀI HAY TỰ BẢO VỆ AN NINH MẠNG

Tuy nhiên, ông Giáp cho rằng cần nhìn vấn đề này dưới góc độ phân tích rủi ro. Ví dụ, nếu một doanh nghiệp cho rằng thuê bên thứ ba sẽ không yên tâm, và quyết định tự làm, tự bảo vệ hệ thống của mình. Khi đó, câu hỏi đặt ra là chi phí mà doanh nghiệp phải bỏ ra là bao nhiêu, và khả năng làm tốt việc đó đến đâu, trong bối cảnh doanh nghiệp không có đủ nhân sự chuyên gia an toàn thông tin, ngân sách có hạn, và an ninh mạng không phải là lĩnh vực kinh doanh cốt lõi.

Nếu so sánh với phương án thuê một đơn vị cung cấp dịch vụ chuyên nghiệp, đã được thẩm định bởi các tổ chức uy tín trong nước và quốc tế, có đầy đủ năng lực, quy trình và kinh nghiệm, thì bức tranh rủi ro sẽ rất khác.

Theo đó, đối với các đơn vị cung cấp dịch vụ chuyên nghiệp, việc tối ưu chi phí trên mô hình cung cấp dịch vụ tập trung sẽ hiệu quả hơn rất nhiều so với việc mỗi doanh nghiệp tự xây dựng một hệ thống riêng. Nếu phân tích dưới góc độ rủi ro và chi phí, trong nhiều trường hợp, phương án tự làm có thể tốn kém hơn, trong khi rủi ro nếu làm không tốt lại cao hơn rất nhiều.

“Tất nhiên, điều đó không có nghĩa là doanh nghiệp “phó mặc” hoàn toàn cho nhà cung cấp dịch vụ. Trên thực tế, chúng tôi luôn tư vấn cho khách hàng rằng cần có sự phối hợp chặt chẽ. Ví dụ, với dịch vụ giám sát an ninh mạng 24/7, chúng tôi có các kỹ sư theo dõi, phân tích các sự kiện bất thường trên hệ thống của khách hàng. Tuy nhiên, khi xảy ra sự cố cần can thiệp trực tiếp vào hệ thống, thì sẽ luôn có quy trình leo thang, có sự tham gia và phê duyệt của đội ngũ quản trị phía khách hàng”, ông Phan Học Giáp nói.

Theo ông, cách tiếp cận này giúp giảm thiểu đáng kể nguy cơ rò rỉ hay tác động tiêu cực từ phía nhà cung cấp dịch vụ, đồng thời vẫn đảm bảo hiệu quả trong việc phát hiện và ứng phó sự cố. Trong bối cảnh hiện nay, khi việc xây dựng một bộ máy an toàn thông tin chuyên nghiệp, vận hành 24/7 tại từng doanh nghiệp là rất khó và tốn kém, mô hình thuê ngoài các dịch vụ an ninh mạng chuyên nghiệp là một lựa chọn đáng cân nhắc. Nó giúp doanh nghiệp tập trung nguồn lực vào hoạt động kinh doanh cốt lõi, trong khi vẫn đảm bảo mức độ an toàn cần thiết.