An toàn thông tin là yêu cầu bắt buộc đối với mỗi doanh nghiệp để đảm bảo tính liên tục, hiệu quả

Đại diện Cục An toàn thông tin, Bộ Thông tin và Truyền thông cho biết, trong bối cảnh các quy định về an toàn thông tin đã đầy đủ, nhưng nhiều doanh nghiệp, tổ chức chủ quan, chưa có sự chuẩn bị tốt nhất để ứng phó với các nguy cơ. Trong khi đó, tội phạm mạng đang hoạt động ngày càng mạnh mẽ, coi Việt Nam là một thị trường. Nhiều đơn vị lớn trong nước bị tấn công gây thiệt hại hàng triệu USD, nhiều đơn vị khác bị phạt vì chưa tuân thủ.

Làm rõ hơn về vấn đề này, ông Nguyễn Sơn Hải, Giám đốc Công ty An ninh mạng Viettel (Viettel Cyber Security - VCS) cho biết, các doanh nghiệp lớn, có tiềm lực tài chính mạnh hiện nay không phải là ưu tiên duy nhất của tin tặc, do họ có khả năng phòng thủ mạnh. Thay vào đó, tin tặc nhắm tới các mục tiêu mềm, doanh nghiệp nhỏ hơn, nhưng chưa chú trọng an toàn thông tin. Khi đó, chúng tấn công trên quy mô lớn để thu lời tối đa khiến doanh nghiệp nào cũng trở thành mục tiêu của tin tặc tầm cỡ thế giới. Động lực tài chính lớn, sự hỗ trợ công nghệ mới như AI làm tăng mối nguy.

Tại Việt Nam, báo cáo tình hình nguy cơ mất an toàn thông tin của VCS cho thấy tới quý 3 năm nay, 14,5 triệu tài khoản bị đánh cắp, tăng 21% so cùng kỳ, gần 23.000 lỗ hổng bảo mật mới xuất hiện. 96 triệu dữ liệu bị rao bán, tăng 2,5 lần so với năm trước.

Theo các chuyên gia, cần nhìn nhận mục tiêu cuối cùng của an toàn thông tin không phải là xử lý bao nhiêu lỗ hổng, ngăn chặn bao nhiêu cuộc tấn công. Cốt lõi là bảo đảm tính liên tục hiệu quả hoạt động kinh doanh sản xuất.

Đối với mỗi doanh nghiệp việc đảm bảo an toàn thông tin giúp hoạt động hiệu quả, an toàn. Ảnh: VnxEpress

Là đơn vị tham gia xử lý nhiều sự cố về an toàn thông tin, đại diện VCS đánh giá việc tấn công hiện nay không chỉ để lấy dữ liệu, tài sản. Chúng nhắm tới gián đoạn hoạt động doanh nghiệp. Điển hình là cuộc tấn công từ chối dịch vụ (DDoS) tăng 21% so với cùng kỳ và hầu hết đều vượt quá năng lực phòng chống của đơn vị trong nước. Cuộc tấn công mã hóa dữ liệu tống tiền ransomware có dấu hiệu liên kết với tấn công có chủ đích APT, đã mã hóa ít nhất 10 TB dữ liệu, khiến doanh nghiệp trong nước phải trả hơn 5 triệu USD vì sự cố. Ngoài ra còn có hàng chục doanh nghiệp đã bị xâm nhập bước đầu.

Trong khi phe tấn công tăng hoạt động, doanh nghiệp gặp nhiều thách thức khi triển khai biện pháp bảo vệ, nhân lực là một trong những vấn đề lớn nhất. Từ sự bất đối xứng này, ông Hải cho rằng nguy cơ bị tấn công mạng không thể tránh, đòi hỏi doanh nghiệp có cách tiếp cận mới.

"Trước đây tìm cách ngăn chặn cuộc tấn công, nhưng nay phải đặt giả thiết, bị tấn công thì sao. Từ đó cần có giải pháp bọc lót, tối ưu cho khả năng phục hồi (cyber resilience), với mục tiêu cao nhất là duy trì hoạt động liên tục cho tổ chức, doanh nghiệp", ông Hải nói.

Theo chuyên gia của VCS, khi hiểu được bối cảnh, doanh nghiệp mới có thể đưa ra nhận thức đúng, từ đó có sự chuẩn bị đối diện với vấn đề và tìm ra hướng ứng phó. "Trái với doanh nghiệp chịu hậu quả nghiêm trọng từ các vụ tấn công, nhiều đơn vị vẫn còn tâm lý "chưa phải nạn nhân tiếp theo". Họ có biết, có lo lắng, nhưng chưa sẵn sàng thay đổi", ông Hải nói.

Qua quá trình triển khai thực tế cho hàng trăm đơn vị trong nước, Giám đốc VCS đồng cảm với thách thức các lãnh đạo an toàn thông tin (CSO) thường gặp khi đưa ra được chiến lược phù hợp để thuyết phục những người phụ trách tài chính trong doanh nghiệp. Khi đó, ba vấn đề lớn cần được giải quyết: nhân lực, hiệu quả đầu tư, khả năng tối ưu chi phí.

Lời khuyên chuyên gia VCS đưa ra là cần kết hợp giữa đào tạo nhân sự hiện có và kết hợp với các đối tác để bổ sung nguồn lực, xây dựng đội ngũ giám sát 24/7. Với thách thức về hiệu quả đầu tư, ông Hải gợi ý các đơn vị cần xác lập mục tiêu đúng, các loại tài sản cần ưu tiên, đồng thời đo đạc bằng các chỉ số về kết quả (outcome) thay vì chỉ đầu ra của việc đầu tư (output).

"Trước đây mục tiêu là bao nhiêu sự cố, bao nhiêu cuộc tấn công bị ngăn chặn, thời gian xử lý trong bao lâu. Nhưng nay mục tiêu đúng là hoạt động kinh doanh cần duy trì một cách liên tục", ông Hải nhấn mạnh.

Nhấn mạnh vấn đề an toàn thông tin đối với các doanh nghiệp, Thứ trưởng Bộ Thông tin và Truyền thông Bùi Hoàng Phương cũng cho rằng, để hiện thực hóa mục tiêu vươn mình của dân tộc, đưa Việt Nam thành nước phát triển có thu nhập cao, một trong những trụ cột chính là đẩy mạnh ứng dụng công nghệ số, thúc đẩy chuyển đổi số toàn diện trong mọi lĩnh vực kinh tế, chính trị, xã hội.

Với dân số trẻ, nguồn nhân lực năng động và có khả năng tiếp thu công nghệ nhanh nhạy, các nền tảng công nghệ số Make in Việt Nam đã và đang có sự phát triển vượt bậc. Đi kèm với đó là những xu thế phát triển tất yếu hết sức mạnh mẽ của hạ tầng dữ liệu để phục vụ cho các nền tảng số, phục vụ chuyển đổi số. Tuy nhiên, để quá trình chuyển đổi số quốc gia thành công, một trong những yêu cầu tất yếu, bắt buộc là phải đảm bảo an toàn, an ninh mạng cho các hệ thống và dữ liệu. 

Theo các chuyên gia, mục tiêu cuối cùng của an toàn thông tin không phải là xử lý được bao nhiêu lỗ hổng, ngăn chặn bao nhiêu cuộc tấn công, mà là bảo đảm tính liên tục, hiệu quả cho hoạt động của doanh nghiệp. Đây được đánh giá là thông điệp mang tính bước ngoặt, cho thấy những thay đổi lớn về tình hình an toàn thông tin trên toàn cầu và tại Việt Nam khi mà không một doanh nghiệp, tổ chức nào có thể chắc chắn mình an toàn.

An Dương