Những thay đổi trong tư duy về việc làm an toàn thông tin (ATTT) lần đầu được chia sẻ tại Hội nghị Lãnh đạo Cấp cao Công nghệ thông tin và An toàn thông tin (CIO CSO 2024). Đây được đánh giá là thông điệp mang tính bước ngoặt, cho thấy những thay đổi lớn về tình hình ATTT trên toàn cầu và tại Việt Nam khi mà không một doanh nghiệp, tổ chức nào có thể chắc chắn mình an toàn. 

An toàn thông tin là yêu cầu bắt buộc, không phải sự lựa chọn

Khai mạc sự kiện, đại diện Cục An toàn thông tin, Bộ Thông tin và Truyền thông, khẳng định việc thực hiện các quy định về ATTT giờ đây “không phải là một sự lựa chọn mà là bắt buộc”. Cảnh báo được đưa ra trong bối cảnh các quy định về ATTT đã đầy đủ, nhưng nhiều doanh nghiệp, tổ chức còn chủ quan, chưa có sự chuẩn bị tốt nhất để ứng phó với các nguy cơ. Ở phía ngược lại, tội phạm mạng đang hoạt động ngày càng mạnh mẽ và “đã coi Việt Nam là một thị trường”. Thực tế đã có những đơn vị lớn trong nước bị tấn công gây thiệt hại hàng triệu USD, nhiều đơn vị khác bị phạt vì chưa tuân thủ.

Làm rõ hơn về vấn đề này, ông Nguyễn Sơn Hải - Giám đốc Công ty an ninh mạng Viettel (Viettel Cyber Security - VCS) nói lên thực trạng về sự mở rộng mục tiêu của tội phạm mạng. Các doanh nghiệp lớn, có tiềm lực tài chính mạnh giờ không là ưu tiên duy nhất của tin tặc bởi họ đã phần nào có khả năng phòng thủ. Tin tặc hiện đã mở rộng nhắm tới các “mục tiêu mềm” là những doanh nghiệp nhỏ hơn nhưng chưa chú trọng vào ATTT. Khi đó, chúng sẽ tấn công trên quy mô lớn để thu lời tối đa. Điều này khiến bất cứ doanh nghiệp nào cũng có thể trở thành mục tiêu nhắm đến của những nhóm tin tặc với trình độ tầm cỡ thế giới. 

image001.jpg
Những diến biến, tình hình ATTT mới nhất được chia sẻ tại CIO CSO 2024

Đại diện VCS đánh giá việc tấn công giờ đây không chỉ để lấy dữ liệu, tài sản, mà còn nhắm tới việc làm gián đoạn hoạt động của doanh nghiệp. Điển hình như các cuộc tấn công mã hóa dữ liệu ransomware kết hợp với tấn công có chủ đích APT, mã hóa ít nhất 10 TB dữ liệu, khiến các doanh nghiệp trong nước phải trả hơn 5 triệu USD, đồng thời chịu ảnh hưởng nghiêm trọng về uy tín và tài sản, chưa tính tới hàng chục doanh nghiệp đã bị xâm nhập bước đầu.

Trong khi phe tấn công hoạt động mạnh mẽ, các doanh nghiệp lại gặp nhiều thách thức khi triển khai ATTT. Từ sự bất đối xứng này, ông Hải cho rằng “việc có thể bị tấn công mạng đã trở thành thực tế khách quan không thể tránh khỏi, đòi hỏi doanh nghiệp có cách tiếp cận mới”. 

“Trước đây chúng ta tìm cách ngăn chặn cuộc tấn công, nhưng giờ phải đặt giả thiết bị tấn công thành công thì sẽ như thế nào”, ông nói. “Cần có giải pháp để bọc lọt, đó là tối ưu cho khả năng phục hồi (cyber resilience), với mục tiêu cao nhất là duy trì hoạt động liên tục cho tổ chức, doanh nghiệp”, ông Hải nói. 

Đầu tư ATTT đảm bảo doanh nghiệp hoạt động hiệu quả liên tục

Qua quá trình triển khai thực tế cho hàng trăm đơn vị trong nước, Giám đốc VCS đồng cảm với các thách thức mà các lãnh đạo CNTT & ATTT thường gặp phải. Khi đó, ba vấn đề lớn cần được giải quyết là Nhân lực, Hiệu quả đầu tư, Khả năng tối ưu chi phí. 

image002.jpg
Phiên thảo luận giữa các nhà lãnh đạo cấp cao về chuyển đổi chiến lược an ninh mạng tại CIO CSO 2024

Khi nguồn nhân lực về ATTT luôn trong tình trạng thiếu, nhân sự tốt thường chỉ dành cho 5% công ty lớn. Lời khuyên được chuyên gia VCS đưa ra là cần kết hợp giữa đào tạo nhân sự hiện có và kết hợp với các đối tác để bổ sung nguồn lực, xây dựng đội ngũ giám sát 24/7. 

Về hiệu quả đầu tư, ông Hải gợi ý các đơn vị cần đo đạc bằng các chỉ số về kết quả (outcome) thay vì chỉ là đầu ra của việc đầu tư (output). “Trước đây mục tiêu là ngăn chặn bao nhiêu sự cố, bao nhiêu cuộc tấn công. Nhưng nay mục tiêu cuối cùng là đảm bảo hoạt động kinh doanh duy trì liên tục”, ông Hải nhấn mạnh. 

Cuối cùng theo lãnh đạo VCS, để tối ưu chi phí, ngoài việc thay đổi cách làm theo hướng nhất quán, họ cần phải tìm ra đối tác phù hợp để tăng tính chuyên môn hóa, tránh đầu tư dàn trải.

Một đối tác về ATTT cho doanh nghiệp có thể là các nhà cung cấp sản phẩm hoặc những đơn vị làm dịch vụ ATTT. Tuy nhiên, khi đi đơn lẻ, các đối tác này thường không thể cung cấp một chiến lược toàn diện, không hiểu sâu về tổ chức, thậm chí chi phí cho các đối tác này có thể phình to và khó kiểm soát. 

image003.jpg
“Hoạt động của doanh nghiệp là một hành trình dài. Doanh nghiệp cần đối tác có thể trở thành những người đồng hành lâu dài và bền vững”, ông Hải nói

Đây cũng là lý do trong hai năm qua, VCS phát triển chương trình Cyber Security Maturity Program (CSMP), hướng tới mục tiêu trở thành đối tác dài hạn bằng việc thiết lập các chỉ số quản trị, đo đạc, đồng thời kiểm soát và tối ưu chi phí, đi theo vòng đời của doanh nghiệp để cùng doanh nghiệp trưởng thành về ATTT, đảm bảo hoạt động hiệu quả, liên tục.

Minh Hòa