Trong bối cảnh ngành tài chính chứng khoán ngân hàng liên tiếp chứng kiến những vụ tấn công gần đây, câu chuyện đảm bảo an toàn hệ thống công nghệ thông tin, bảo mật được đặc biệt quan tâm.
Trong phiên thảo luận về giải pháp an toàn và bảo vệ tài sản số tại Diễn đàn Tài sản số 2024, nhiều chuyên gia có kinh nghiệm đã có những chia sẻ về thực trạng lổ hổng bảo mật, công tác đảm bảo an toàn thông tin tại các doanh nghiệp ở Việt Nam.
Lỗ hổng con người trong công tác bảo đảm bảo an toàn thông tin
Nói về những lỗ hổng có thể khiến những doanh nghiệp Việt Nam bị tấn công, ông Nguyễn Xuân Quang, chuyên gia an toàn thông tin với hơn 15 năm kinh nghiệm chia sẻ lỗ hổng rất đa dạng và có thể tồn tại lên tới vài chục năm.
Thực trạng nhiều doanh nghiệp Việt Nam có hệ thống có tuổi đời rất lâu, admin hoặc những người vận hành không có bản update nào để xử lý vấn đề nên có thể bị tấn công. Các đối tượng tấn công phổ biến sử dụng các thông tin, mật khẩu có thể mua được trên trang web hoặc trên các diễn đàn.
Lỗ hổng sẽ thay đổi theo thời gian và mỗi thời điểm sẽ có những cái lỗ hổng khác nhau và mức độ nguy hiểm khác nhau. Song một vấn đề được vị chuyên gia này nhắc đến đó chính là con người.
Lỗ hổng con người có thể dẫn đến việc tuân thủ hoặc nhận thức không được tốt.
“Nhận thức về an toàn thông tin ở Việt Nam chưa được tốt. Khi nhận thức chưa đủ tốt sẽ không thể hiểu, đặt và duy trì an toàn thông tin sao cho tốt. Ví dụ khi tôi làm việc với doanh nghiệp khi phát hiện hệ thống có lỗ hổng thì giải pháp doanh nghiệp hay làm là hệ thống đang ở Internet thì đưa vào trong mạng LAN. Đó là xong.
Tuy vậy giải pháp nó có vấn đề gì? Thứ nhất, người vận hành, chủ doanh nghiệp thực sự là không quan trọng vấn đề hệ thống có an toàn thông tin hay không. Đặc biệt, khi vào trong mạng LAN, còn rất nhiều các yếu tố mà người tấn công hoàn toàn có thể thành công. Có rất nhiều tổ chức có bài học, sau khi đi tấn công người ta mua được một tài khoản để truy cập vào trong VPN trong hệ thống, lại tấn công bằng chính lỗi đấy”, ông Nguyễn Xuân Quang lấy ví dụ.
Vị chuyên gia này nhấn mạnh, nếu mà mình không thay đổi tư duy an toàn thông tin thì không bao giờ có thể thay đổi được, có rất nhiều ví dụ khác về an toàn thông tin kể cả tư duy của những người làm về an toàn thông tin. Tư duy người làm an toàn thông tin không được tốt sẽ dẫn đến việc những người vận hành, chủ doanh nghiệp không hiểu được an toàn thông tin quan trọng như thế nào, cần làm như thế nào và cần làm thế nào để đảm bảo an toàn thông tin tốt.
Thực trạng tại Việt Nam, hoạt động an toàn thông tin còn rất trẻ, đặc biệt trong lĩnh vực tài sản số. Điều này dẫn đến việc không có đủ đội ngũ chuyên gia tốt, đáp ứng nhu cầu của xã hội. Có những doanh nghiệp có nhu cầu tuyển dụng 10 chuyên gia nhưng chỉ tuyển được 2 người. Đó là lỗ hổng thứ hai liên quan đến con người.
Xuất phát từ kinh nghiệm nhiều năm làm việc, ông Quang khuyến nghị doanh nghiệp cần phải tuân thủ ba thành tố khi đảm bảo an toàn thông tin là con người, công nghệ và quy trình. Về mặt công nghệ, phải xây sao cho phù hợp. Ít nhất là khi hệ thống bị tấn công thì có thể bảo vệ được. Về mặt quy trình, phải xây nên quy trình sao cho những người làm an toàn thông tin có đủ quyền lực, có căn cứ pháp lý có thể làm việc được. Khi giải quyết được vấn đề con người, sau đó là hai lỗ hổng còn lại thì việc bảo vệ tài sản số sẽ hiệu quả hơn.
Doanh nghiệp Việt Nam cần làm gì để đảm bảo an toàn thông tin?
Bên cạnh vấn đề con người như đề cập trên, các chuyên gia an ninh mạng khác cũng có những chia sẻ về tình trạng thực tế và giải pháp để doanh nghiệp Việt Nam đảm bảo được an toàn thông tin, bảo mật.
Ông Nguyễn Duy Lân, đại diện Hiệp hội Blockchain Việt Nam, người sáng lập đồng sáng lập công ty Veramine (Mỹ) – tổ chức từng xây dựng hệ thống an ninh mạng cho các Tập đoàn lớn của Mỹ, tổ chức tài chính, ngân hàng và bộ quốc phòng các nước chia sẻ những lỗ hổng khiến tin tặc có thể tấn công.
Lấy ví dụ liên quan đến vụ việc trên thị trường tài chính Việt Nam gần đây, lỗ hổng có thể đến từ công tác xác thực, nhiều tổ chức không đủ ba yếu tố. Chẳng hạn, password (mật khẩu) của máy chủ cần một password mạnh. Thứ hai liên quan đến công tác phân quyền. Trong hệ thống của mình cần phải phân quyền hợp lý, ai được tiếp cận vào đâu hoặc là phân quyền theo độ quan trọng của hệ thống đó.
Cái thứ ba về mặt bảo vệ bí mật, bảo mật tính đúng đắn của dữ liệu. Có những tổ chức khá tùy tiện trong việc bảo mật dữ liệu của họ đó là người dùng có thể vào đọc được dữ liệu, thay đổi được dữ liệu và không có cách nào có thể phòng chống.
Về mặt giám sát hệ thống, nhiều tổ chức thực hiện không đầy đủ. Ví dụ tổ chức có 1000 máy hệ thống thì chỉ giám sát 500 máy, 500 máy khác không giám sát. Về mặt phát hiện, cần phải thu thập dữ liệu khá đầy đủ và xây dựng bộ quy tắc để phát hiện ra người tấn công đó.
“Về việc xử lý sự cố, rất nhiều tổ chức không có bộ quy trình xử lý sự cố khi sự cố xảy ra, khi có sự cố xảy ra thì gọi điện cho anh A, anh B. Hoặc sử dụng những công cụ, có thể đầu tư rất nhiều tiền cho bảo mật nhưng không chọn được những bộ công cụ mạnh.
Tôi biết có trường hợp sử dụng công cụ giám sát điểm cuối khá đắt tiền nhưng mà không có khả năng tìm kiếm trên bộ nhớ. Việc tìm kiếm mã độc trên bộ nhớ rất quan trọng vì bình thường mã độc có thể là file mã hóa trên đó, nếu mà tìm kiếm trên đó thì không thể tìm kiếm được trừ khi nó giải mã để chạy những cái đoạn mã độc đó thì mình mới có thể tìm kiếm được”, ông Lân nói.
Đồng quan điểm, ông Ngô Minh Hiếu (HieuPC), Chuyên gia công nghệ, Giám đốc Công ty TNHH doanh nghiệp xã hội Chống lừa đảo, cho biết rất nhiều doanh nghiệp Việt Nam không có quy trình xử lý sự cố đảm bảo khi có vụ tấn công xảy ra thì xử lý sự cố như thế nào theo quy trình, quy chuẩn.
Nếu tuân thủ theo quy chuẩn của ISO 27001, quy trình sẽ có các bước cụ thể để có thể thực hiện khi có sự cố xảy ra, đảm bảo hệ thống được an toàn.
Liên quan đến công tác phân quyền, chuyên gia HieuPC cho biết tính chất phân quyền không tốt, một user bình thường nhưng vẫn có thể tiếp cận vào thông tin dữ liệu nhạy cảm khác của tập đoàn, công ty đó thì họ có thể lấy hết dữ liệu họ mang về sau đó mang lên trang web bán. Cho nên việc thường xuyên giám sát tình hình trên không gian mạng có thể giám sát thông tin bị lộ lọt từ đâu để còn ngăn chặn.
Bên cạnh giải pháp trên ông HieuPC đưa ra một ví dụ khác là công ty nên thiêt lập hai đội là Blue Team và Red Team. Red Team là đội kiểm thử xem hệ thống của mình có thể tấn công từ đâu và Blue Team sẽ là người bảo vệ hệ thống đó.