Chiến lược ATTT toàn diện: Đòn bẩy cho doanh nghiệp hoạt động hiệu quả và liên tục

Những thay đổi trong tư duy về việc làm ATTT lần đầu được chia sẻ tại Hội nghị Lãnh đạo Cấp cao Công nghệ thông tin và An toàn thông tin (CIO CSO 2024). Đây là sự kiện thường niên được tổ chức từ năm 2019, đặc biệt thu hút các lãnh đạo cấp cao của các tổ chức, doanh nghiệp tham gia. Năm nay, sự kiện đề cập đến việc chuyển đổi chiến lược ATTT: Từ phòng ngừa tới phản ứng, phục hồi sau tấn công mạng.

Đây được đánh giá là thông điệp mang tính bước ngoặt, cho thấy những thay đổi lớn về tình hình ATTT trên toàn cầu và tại Việt Nam khi mà không một doanh nghiệp, tổ chức nào có thể chắc chắn an toàn. Việc cần làm là chuẩn bị phương án hướng tới mục tiêu cao nhất là duy trì sự liên tục của hoạt động sản xuất kinh doanh.

An toàn thông tin không phải sự lựa chọn mà bắt buộc

Khai mạc sự kiện, đại diện Cục An toàn thông tin, Bộ Thông tin và Truyền thông, khẳng định việc thực hiện các quy định về ATTT giờ đây "không phải là một sự lựa chọn mà là bắt buộc". Cảnh báo được đưa ra trong bối cảnh các quy định về ATTT đã đầy đủ, nhưng nhiều doanh nghiệp, tổ chức còn chủ quan, chưa có sự chuẩn bị tốt nhất để ứng phó với các nguy cơ. Ở phía ngược lại, tội phạm mạng đang hoạt động ngày càng mạnh mẽ và "đã coi Việt Nam là một thị trường". Thực tế đã có những đơn vị lớn trong nước bị tấn công gây thiệt hại hàng triệu USD, nhiều đơn vị khác bị phạt vì chưa tuân thủ.

Làm rõ hơn về vấn đề này, ông Nguyễn Sơn Hải, Giám đốc Công ty an ninh mạng Viettel (Viettel Cyber Security - VCS) nói lên thực trạng về sự mở rộng mục tiêu của tội phạm mạng. Các doanh nghiệp lớn, có tiềm lực tài chính mạnh giờ không là ưu tiên duy nhất của tin tặc bởi họ đã phần nào có khả năng phòng thủ. Thay vào đó, tin tặc mở rộng nhắm tới các "mục tiêu mềm" là những doanh nghiệp nhỏ hơn nhưng chưa chú trọng vào ATTT. Khi đó, chúng sẽ tấn công trên quy mô lớn để thu lời tối đa. Điều này khiến bất cứ doanh nghiệp nào cũng có thể trở thành mục tiêu nhắm đến của những nhóm tin tặc với trình độ tầm cỡ thế giới.

Tại Việt Nam, báo cáo tình hình nguy cơ mất ATTT của VCS cho thấy tới quý 3 năm nay, 14,5 triệu tài khoản bị đánh cắp, tăng 21% so cùng kỳ; gần 23 nghìn lỗ hổng bảo mật mới xuất hiện. Ngoài ra, 96 triệu dữ liệu bị rao bán, tăng 2,5 lần so với năm trước.

Là đơn vị tham gia ứng cứu nhiều sự cố về ATTT, đại diện VCS đánh giá việc tấn công giờ đây không chỉ để lấy dữ liệu, tài sản, mà còn nhắm tới việc làm gián đoạn hoạt động của doanh nghiệp. Điển hình như những cuộc tấn công từ chối dịch vụ DDoS đã tăng 21% so với cùng kỳ và hầu hết đều vượt quá năng lực phòng chống của đơn vị trong nước. Các cuộc tấn công mã hóa dữ liệu tống tiền ransomware có dấu hiệu liên kết với tấn công có chủ đích APT, đã mã hóa ít nhất 10 TB dữ liệu, khiến các doanh nghiệp trong nước đã phải trả hơn 5 triệu USD vì các sự cố này, chưa tính tới hàng chục doanh nghiệp đã bị xâm nhập bước đầu.

Trong khi phe tấn công gia tăng hoạt động, các doanh nghiệp lại gặp nhiều thách thức khi triển khai các biện pháp bảo vệ, mà nhân lực là một trong những vấn đề lớn nhất. Từ sự bất đối xứng này, ông Hải cho rằng "việc có thể bị tấn công mạng đã trở thành thực tế khách quan không thể tránh khỏi, đòi hỏi doanh nghiệp có cách tiếp cận mới".

"Trước đây chúng ta tìm cách ngăn chặn cuộc tấn công, nhưng giờ phải đặt giả thiết bị tấn công thành công thì sẽ như thế nào", ông nói. "Cần có giải pháp để bọc lọt, đó là tối ưu cho khả năng phục hồi (cyber resilience), với mục tiêu cao nhất là duy trì hoạt động liên tục cho tổ chức, doanh nghiệp", ông Hải nói.

Đầu tư ATTT trong xu hướng mới đảm bảo doanh nghiệp hoạt động hiệu quả liên tục

Trái với các doanh nghiệp đã chịu hậu quả nghiêm trọng từ các vụ tấn công, nhiều đơn vị vẫn còn tâm lý "chúng ta chưa phải nạn nhân tiếp theo". "Họ có biết, có lo lắng, nhưng sẵn sàng thay đổi thì chưa", ông Hải nói.

Qua quá trình triển khai thực tế cho hàng trăm đơn vị trong nước, Giám đốc VCS đồng cảm với các thách thức mà các lãnh đạo ATTT (CSO) thường gặp phải khi cần thuyết phục được người phụ trách tài chính trong doanh nghiệp. Khi đó, ba vấn đề lớn cần được giải quyết, đó là Nhân lực, Hiệu quả đầu tư, Khả năng tối ưu chi phí.

Ba vấn đề lớn cần được giải quyết khi xây dựng hệ thống ATTT: Nhân lực, Hiệu quả đầu tư, Khả năng tối ưu chi phí.

Khi nguồn nhân lực về ATTT luôn trong tình trạng thiếu, nhân sự tốt thường chỉ dành cho nhóm 5% công ty lớn. Lời khuyên được chuyên gia VCS đưa ra là cần kết hợp giữa đào tạo nhân sự hiện có và kết hợp với các đối tác để bổ sung nguồn lực chuyên trách, xây dựng đội ngũ giám sát 24/7.

Với thách thức về hiệu quả đầu tư, ông Hải gợi ý các đơn vị cần xác lập mục tiêu đúng, các loại tài sản cần ưu tiên, đồng thời đo đạc bằng các chỉ số về kết quả (outcome) thay vì chỉ là đầu ra của việc đầu tư (output). "Để giải quyết câu hỏi hiệu quả đầu tư, cần xác lập mục tiêu đúng. Trước đây mục tiêu là bao nhiêu sự cố, bao nhiêu cuộc tấn công bị ngăn chặn, thời gian xử lý trong bao lâu. Nhưng nay mục tiêu cuối cùng đúng là hoạt động kinh doanh cần duy trì một cách liên tục.", ông Hải nhấn mạnh.

Cuối cùng là chi phí - vấn đề quan trọng nhất với phần lớn doanh nghiệp. Theo lãnh đạo VCS, để tối ưu được tiêu chí này, ngoài việc thay đổi cách làm theo hướng nhanh, nhất quán, triệt để, họ cần phải tìm ra đối tác phù hợp để tăng tính chuyên môn hóa, tránh đầu tư dàn trải.

Một đối tác về ATTT cho doanh nghiệp có thể là các nhà cung cấp sản phẩm hoặc những đơn vị làm dịch vụ an ninh mạng. Tuy nhiên, khi đi đơn lẻ, những đối tác này thường không thể cung cấp một chiến lược toàn diện, không hiểu sâu về tổ chức. Đặc biệt khi các nguy cơ về ATTT tăng cao, chi phí cho các đối tác này có thể phình to và khó kiểm soát.

Đây cũng là lý do trong hai năm qua, VCS phát triển chương trình Cyber Security Maturity Program (CSMP), hướng tới mục tiêu trở thành đối tác lâu dài bằng việc thiết lập các chỉ số quản trị, đo đạc, đồng thời kiểm soát và tối ưu chi phí, đi theo vòng đời của doanh nghiệp để cùng doanh nghiệp trưởng thành về ATTT, đảm bảo hoạt động hiệu quả, liên tục.