• Thứ Tư, 23/11/2011 18:59 (GMT+7)

    Doanh nghiệp đã có ý thức ATTT nhưng thực thi chưa tốt

    Thiện Phúc
    Rất nhiều dịch vụ và công nghệ An toàn thông tin (ATTT) phổ biến ở các doanh nghiệp nước ngoài nhưng không được doanh nghiệp trong nước biết đến và áp dụng.

    Chưa quan tâm đến đánh giá dự phòng rủi ro

    Kết quả khảo sát đối với 511 tổ chức đại diện cho mọi thành phần (cơ quan nhà nước, doanh nghiệp…) về mức độ nhận thức và ứng dụng an toàn thông tin đã được công bố tại sự kiện Ngày An toàn thông tin 2011 (Security Day) diễn ra tại Hà Nội ngày 23/11/2011. Khảo sát do VNISA phối hợp cùng VNCERT thực hiện cho thấy tỷ lệ các doanh nghiệp có nhận biết về việc bị hacker tấn công vào hệ thống mạng đã tăng lên nhưng tỷ lệ ước lượng được thiệt hại hay có những quy trình phản ứng với tấn công thì rất thấp.

    Theo ông Vũ Quốc Thành, Tổng thư ký VNISA, các quy trình phản ứng với tấn công ở mỗi doanh nghiệp là khác nhau tùy theo cấu trúc của mỗi tổ chức, tuy nhiên khi phát hiện sự cố, doanh nghiệp cần có những quy định về việc phải giữ nguyên hiện trạng ra sao, không được động đến cái gì, ai có trách nhiệm phải báo cáo, báo cáo đi đâu, bộ phận có trách nhiệm xử lý đầu tiên thì phải xử lý trong vòng bao lâu… Mỗi tổ chức cần xây dựng những biện pháp cụ thể, những con người chịu trách nhiệm cụ thể, dần dần tạo thành quy trình.

    Ngoài ra, muốn ước lượng được các tổn thất thì phải có đánh giá về các rủi ro. Đánh giá rủi ro được thực hiện từ trước khi bị tấn công. Với một chuyên viên có kinh nghiệm, họ sẽ biết hệ thống đó sẽ xảy ra những rủi ro nào, nếu xảy ra rủi ro, những tài nguyên nào sẽ bị ảnh hưởng và mỗi tài nguyên có một giá trị mà các phương pháp đánh giá có thể quy thành tiền. Việc đánh giá được các tổn thất cho thấy doanh nghiệp ý thức ra sao về giá trị của các thông tin.

    Việc này phải được đánh giá, đối chiếu từ trước để dự phong rủi ro. Lãnh đạo cấp cao của doanh nghiệp phải là người đứng ra thẩm định thông tin nào là giá trị và để bảo vệ chúng cần đầu tư bao nhiêu. Đánh giá sau khi tấn công sẽ dựa trên những thiệt hại thực tế. Thông thường, tài nguyên thông tin chỉ được đánh giá thiệt hại bằng tiền một cách tương đối và thường do người chủ của tổ chức đó xác định. Vì vậy, khi đánh giá rủi ro cần có sự tham gia của 3 thành phần: chuyên viên tư vấn, chủ doanh nghiệp và đội ngũ kỹ thuật.

    Ước lượng trước được các thiệt hại sẽ giúp doanh nghiệp có được câu trả lời cụ thể cho bài toán chúng ta cần đầu tư bao nhiêu tiền, để bảo vệ cái gì? Điều này là rất quan trọng bởi không nhất thiết phải đầu tư quá nhiều cho những tài nguyên ít giá trị. Ông Thành ví von, “giống như một ngôi nhà, sẽ có cửa được làm bằng kính nhưng cũng có cửa phải làm bằng lưới thép chắc chắn”.

    Nhiều dịch vụ, công nghệ ATTT chưa được biết và sử dụng

    Nhiều khách tham quan triển lãm tại Ngày ATTT 2011 để tìm hiểu về các công nghệ bảo mật mới.

    Đảm bảo an ninh, ATTT ngày nay không chỉ bao gồm 2 yếu tố là con người và chính sách. Trong khuôn khổ hội thảo Security Day 2011, ông Derrick Ng, Giám đốc kinh doanh phụ trách các thị trường Indonesia, Malaysia, Thái Lan và Việt Nam của Check Point đưa ra quan điểm để đảm bảo ATTT cần sự phối hợp của 3 yếu tố: con người, chính sách và sự tuân thủ. Tại Security Day 2011, Check Point giới thiệu sản phẩm 3D Security giám sát sự phối hợp giữa 3 yếu tố này giúp tăng hiệu quả quản lý ATTT.

    Ngoài các sản phẩm mới được giới thiệu tại Security Day 2011, ông Thành cho biết, đánh giá để dự phòng rủi ro là một nghiệp vụ đã được nhiều doanh nghiệp thành viên của hiệp hội phát triển thành dịch vụ nhưng lại chưa được nhiều doanh nghiệp quan tâm, thừa nhận. Các dịch vụ chuyên nghiệp liên quan đến ATTT được nhiều doanh nghiệp nước ngoài sử dụng nhưng chưa phổ biến ở Việt Nam như dịch vụ phát hiện phòng chống virus máy tính; dịch vụ đánh giá điểm yếu an ninh mạng, dịch vụ đánh giá điểm yếu cho website, dịch vụ tư vấn hệ thống ATTT, dịch vụ theo dõi an toàn an ninh mạng.

    Ngoài ra, có những công nghệ mới không thể thiếu trong một số loại hình doanh nghiệp nhưng lại không được các doanh nghiệp Việt Nam biết đến hay áp dụng, chẳng hạn như mật khẩu dùng một lần dùng trong các tổ chức ngân hàng - tài chính; quản lý mật khẩu đặc quyền; quản lý bản vá; qò quét đánh giá an ninh mạng; quản lý định danh; dò quét đánh giá an ninh ứng dụng; hệ thống quản lý chống thất thoát dữ liệu; công cụ đánh giá tính toàn vẹn. 

    Một số sự kiện nổi bật về ATTT tại Việt Nam năm 2011:

    * Chỉ thị 897/CT-TTg về tăng cường các hoạt động đảm bảo an toàn thông tin số và các văn bản khác của cơ quan nhà nước

    * Hàng trăm webiste chính phủ gov.vn bị hacker nước ngoài tấn công

    * Việt Nam vẫn liên tục có tên trong nhiều danh sách quốc tế về các vấn đề ATTT, đặc biệt là thư rác

    * Bùng phát các hình thức lừa đảo mới qua nhiều phương thức như tin nhắn SMS, email, Yahoo chat, website...

    * Các hãng bảo mật của Việt Nam đồng loạt tung ra các giải pháp, phần mềm bảo vệ cho mobile

    * Một số báo điện tử bị lớn của Việt Nam bị tấn công trong thời gian dài

    * Hàng loạt các website, diễn đàn lớn của Việt Nam bị tấn công bằng nhiều phương thức khác nhau như DDOS và lấy cắp tên miền

    *Việt Nam đang trở thành địa bàn hoạt động của tội phạm công nghệ cao từ nước ngoài; tội phạm công nghệ cao tăng theo cấp số nhân

    * Các vụ việc cán bộ ngân hàng lợi dụng kẽ hở trong quản lý, ATTT để đánh cắp tiền, thông tin ngày càng nhiều

    * Nguy cơ lây nhiễm virus, mã độc hại, lừa đảo trực tuyến qua mạng xã hội đang ngày càng cao tại Việt Nam.