Các Doanh Nghiệp Cần Làm Gì Để Đảm Bảo An Toàn Thông Tin Trong Thời Đại Số?

Theo các báo cáo, có rất nhiều doanh nghiệp lớn trên thế giới đã phải đối mặt với những sự cố an toàn thông tin nghiêm trọng, gây ra những thiệt hại lớn về tài chính, uy tín và khách hàng. Theo báo cáo của công ty bảo mật McAfee, tổng thiệt hại do các cuộc tấn công mạng chỉ tính riêng năm 2020 ước tính lên đến 1.000 tỷ đô la Mỹ, tăng gần gấp đôi so với năm 2018 ⁽¹⁾.

Một số cuộc tấn công nhằm vào các doanh nghiệp lớn gây ra sự ảnh hưởng nghiêm trọng có thể kể đến:

• Ngân hàng JPMorgan Chase bị rò rỉ dữ liệu của hơn 76 triệu khách hàng, bao gồm số tài khoản, số thẻ tín dụng và thông tin cá nhân. Ngân hàng phải bồi thường cho các khách hàng bị ảnh hưởng và chi ra khoảng 300 triệu đô la Mỹ để khắc phục sự cố. ⁽²⁾
• Hãng dược phẩm Pfizer bị tấn công bởi một nhóm tin tặc có tên là DarkSide, yêu cầu thanh toán 90 triệu đô la Mỹ để không công bố dữ liệu về các loại vaccine Covid-19 của hãng. Pfizer từ chối trả tiền chuộc và thông báo rằng dữ liệu không bị đánh cắp mà chỉ bị mã hóa. Tuy nhiên, sự cố này đã làm giảm niềm tin của công chúng vào vaccine của Pfizer và ảnh hưởng đến chiến dịch tiêm chủng trên toàn cầu. ⁽³⁾

• Hãng giáo dục Pearson bị phát hiện có lỗ hổng an ninh cho phép tin tặc truy cập vào hệ thống quản lý học tập của hơn 10 triệu sinh viên và giáo viên trên thế giới. Tin tặc đã đánh cắp và bán các bài kiểm tra, đáp án và điểm số của các sinh viên trên các trang web lậu. Pearson đã phải đóng cửa hệ thống quản lý học tập trong một tuần để khắc phục sự cố và xin lỗi công khai về sự việc. ⁽⁴⁾
• Hãng bán lẻ Walmart bị một nhóm tin tặc có tên là REvil tấn công và mã hóa dữ liệu của hơn 20 triệu khách hàng trên trang web của hãng. Tin tặc yêu cầu thanh toán 100 triệu đô la Mỹ để giải mã dữ liệu và không tiết lộ cho bên thứ ba. Walmart đã liên hệ với các cơ quan chức năng để điều tra và xử lý sự cố và khuyến cáo các khách hàng thay đổi mật khẩu và theo dõi các giao dịch trực tuyến của mình. ⁽⁵⁾
• Hãng năng lượng Shell bị một nhóm tin tặc có tên là Ragnar Locker tấn công và đánh cắp dữ liệu của hơn 5 triệu khách hàng và nhân viên của hãng. Tin tặc đã công bố một phần dữ liệu trên một trang web riêng và đe dọa sẽ tiếp tục công bố nếu Shell không trả tiền chuộc. Shell đã bác bỏ yêu cầu của tin tặc và tuyên bố rằng dữ liệu bị đánh cắp không ảnh hưởng đến hoạt động sản xuất và phân phối của hãng. ⁽⁶⁾

Trên thực tế, cùng với sự phát triển chung của các công nghệ, những rủi ro về ATTT luôn hiện hữu, tuy nhiên các doanh nghiệp hoàn toàn có thể kiểm soát và giảm thiểu mức độ ảnh hưởng của chúng nếu chú trọng vào công tác ATTT ở đầy đủ các phương diện: Xây dựng cơ chế chính sách, làm chặt chẽ các quy trình, ứng dụng các công nghệ mới liên quan đến ATTT và đón đầu các xu hướng nổi bật về an toàn thông tin. Các xu hướng nổi bật về ATTT hiện nay có thể kể đến:

• Tăng cường bảo mật cho các thiết bị IoT (Internet of Things): Các thiết bị IoT là những thiết bị thông minh có khả năng kết nối với internet và trao đổi dữ liệu. Tuy nhiên, các thiết bị này cũng tiềm ẩn nhiều rủi ro về an toàn thông tin, như bị tấn công từ xa, lộ thông tin cá nhân hay gây ra hậu quả nghiêm trọng cho hệ thống. Do đó, việc tăng cường bảo mật cho các thiết bị IoT là một xu hướng không thể bỏ qua.
• Phát triển các giải pháp an ninh mạng dựa trên AI (Artificial Intelligence): AI là công nghệ có khả năng học hỏi, phân tích và đưa ra quyết định dựa trên dữ liệu. AI có thể giúp cải thiện hiệu quả và chất lượng của các giải pháp an ninh mạng, như phát hiện và ngăn chặn các cuộc tấn công, phân loại và xử lý các sự cố, hay tạo ra các chiến lược bảo mật tùy biến theo từng đối tượng.
• Nâng cao nhận thức và kỹ năng về an toàn thông tin cho người dùng: Người dùng là yếu tố then chốt trong việc bảo vệ an toàn thông tin. Tuy nhiên, nhiều người dùng vẫn thiếu nhận thức và kỹ năng về an toàn thông tin, như sử dụng mật khẩu yếu, không cập nhật phần mềm, hay nhấp vào các liên kết độc hại. Do đó, việc nâng cao nhận thức và kỹ năng về an toàn thông tin cho người dùng là một xu hướng cần thiết và cấp thiết.

Việc hoà nhập với các xu hướng chung của thế giới và khu vực chỉ đạt được hiệu quả khi nền tảng an toàn thông tin cơ bản được đảm bảo. Do đó, các hành động nhằm nâng cao hiệu quả an toàn thông tin trong doanh nghiệp cần phải được ưu tiên liên tục cải thiện với các trọng tâm:

• Đầu tư vào công nghệ và thiết bị bảo mật hiện đại, phù hợp với quy mô và lĩnh vực hoạt động của doanh nghiệp.
• Xây dựng và thực hiện các chính sách, quy trình và tiêu chuẩn an toàn thông tin, đảm bảo tuân thủ các quy định pháp luật và các yêu cầu của khách hàng.
• Tăng cường nhận thức và kỹ năng an toàn thông tin cho toàn bộ nhân viên, đặc biệt là những người có vai trò quan trọng trong việc xử lý và bảo vệ dữ liệu.
• Thường xuyên kiểm tra, đánh giá và cập nhật tình hình an toàn thông tin, phát hiện và xử lý kịp thời các sự cố, rủi ro và mối đe dọa.
• Hợp tác với các cơ quan chức năng, tổ chức chuyên môn và các đối tác trong lĩnh vực an toàn thông tin, học hỏi và chia sẻ kinh nghiệm, giải pháp và thực tiễn tốt nhất.
• Đảm bảo an toàn thông tin trong doanh nghiệp không chỉ là một nhu cầu bắt buộc cho sự phát triển bền vững mà còn mang lại nhiều lợi ích thực tế có thể kể đến:
• Bảo vệ tài sản trí tuệ và dữ liệu nhạy cảm của doanh nghiệp khỏi những kẻ xâm nhập, đánh cắp hoặc làm hại.
• Tăng cường uy tín và niềm tin của khách hàng, đối tác và nhân viên đối với doanh nghiệp, giúp duy trì và phát triển mối quan hệ kinh doanh lâu dài.
• Giảm thiểu rủi ro và thiệt hại về mặt tài chính, pháp lý và danh tiếng doanh nghiệp do vi phạm an toàn thông tin.
• Nâng cao hiệu quả và năng suất hoạt động của doanh nghiệp nhờ việc sử dụng các công nghệ, hệ thống và ứng dụng an toàn, bảo mật và tiện lợi.
• Đáp ứng các yêu cầu và tiêu chuẩn về an toàn thông tin của các cơ quan quản lý, chính phủ và thị trường quốc tế.

Để đạt được những mục tiêu và lợi ích như trên, doanh nghiệp cần có một cách tiếp cận bài bản với các hành động cụ thể nhằm liên tục cải tiến và nâng cao hiệu quả ATTT. Về cơ bản, cách tiếp cận được đánh giá là phù hợp sẽ bao gồm những hoạt động sau:

1. Đánh giá rủi ro: Đánh giá các rủi ro an ninh mạng và xác định các điểm yếu trong hệ thống của doanh nghiệp dựa trên một bộ tiêu chuẩn chất lượng phù hợp, hướng đến của doanh nghiệp (ISO 27001, NIST SP 800-53, CIS Controls, v.v.)
2. Thiết lập chính sách an ninh mạng: Thiết lập các chính sách, quy trình và tiêu chuẩn an ninh mạng để bảo vệ thông tin của doanh nghiệp dựa theo kết quả đánh giá của bước 1 ứng với bộ tiêu chuẩn đã lựa chọn và đặt các hành động lên một lộ trình phù hợp với nguồn lực và mức độ ưu tiên của doanh nghiệp.
3. Đào tạo nhân viên: Đào tạo nhân viên về các chính sách và quy trình an ninh mạng của doanh nghiệp.
4. Bảo vệ hệ thống: Thực thi chính sách, triển khai các công nghệ theo lộ trình đặt ra tại bước 2.
5. Giám sát và phản ứng: Giám sát các hoạt động trên hệ thống và phản ứng kịp thời khi phát hiện các hoạt động bất thường.

Lưu ý quan trọng cho các doanh nghiệp, tổ chức là cần phải tiến hành các hoạt động trên theo một chu kỳ thường xuyên nhất định. Có thể xác định rõ phạm vi của từng hạng mục (Xây dựng cơ chế chính sách, làm chặt chẽ các quy trình, ứng dụng các công nghệ mới liên quan đến ATTT và đón đầu các xu hướng nổi bật về an toàn thông tin) và đặt các chu kỳ khác nhau cho từng hạng mục để tối đa hoá khả năng bảo vệ hệ thống, phát triển năng lực ATTT.

Một lần nữa, chúng tôi xin được nhấn mạnh rằng, doanh nghiệp cần kết hợp đầy đủ các yếu tố về cơ chế chính sách, quy trình và công nghệ để đảm bảo cho sự thành công của việc nâng cao ATTT. Với các doanh nghiệp không có nguồn lực hoặc không tự tin vào việc triển khai chương trình ATTT có thể tìm kiếm sự trợ giúp của các đối tác ở một trọng hai hoặc cả hai giai đoạn quan trọng: Tư vấn xây dựng lộ trình phát triển, củng cố năng lực ATTT và thực thi lộ trình đã đặt ra.

Nguồn tham khảo
(1) McAfee. 2020. New McAfee Report Estimates Global Cybercrime Losses to Exceed $1 Trillion
(2) Forbes. 2014. JP Morgan Says 76 Million Households Affected By Data Breach
(3) CNBC. 2021. Hackers behind Colonial Pipeline attack reportedly received $90 million in bitcoin before shutting down
(4). U.S Securities and Exchange Commission. 2021. SEC Charges Pearson plc for Misleading Investors About Cyber Breach 
(5). CISA. FBI Releases Indicators of Compromise for RagnarLocker Ransomware