6 phút đọc 7 thg 2 2020
fire fighters on an aircraft

Quản trị rủi ro an ninh mạng với phương thức tiếp cận Bảo mật từ trong Thiết kế

Tác giả Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.

6 phút đọc 7 thg 2 2020

Bảo mật từ trong Thiết kế là một cách tiếp cận mới đối với vấn đề an ninh mạng, xây dựng sẵn tư duy quản trị rủi ro ngay từ khi bắt đầu, tạo điều kiện đổi mới toàn cầu một cách chắc chắn.

Ngày nay hầu hết các tổ chức hiểu rằng họ phải nắm bắt công nghệ mới và liên tục đổi mới để duy trì năng lực cạnh tranh và theo kịp thời đại. Tuy nhiên, trong khi gấp gáp hiện đại hóa các hệ thống và hoạt động của mình, họ cũng tạo ra nhiều điểm dễ bị tổn thương trong toàn bộ hoạt động kinh doanh và tự đặt mình vào thế ngày càng phải chịu nhiều rủi ro.

Trong khi đó, luôn có nhiều kẻ tấn công tiềm tàng sẵn sàng khai thác những điểm yếu này, với khả năng truy cập gần như không giới hạn vào vô số phần mềm và dịch vụ chỉ bằng một cú nhấp chuột. Các tác nhân đe dọa này không còn chỉ tập trung vào việc đánh cắp dữ liệu nhằm kiếm tiền như trước đây. Số lượng các cuộc tấn công có động cơ chính trị ngày càng gia tăng, thậm chí ở cấp độ địa phương hay khu vực nhỏ. Chúng tôi cũng đã chứng kiến sự gia tăng của chủ nghĩa phá hoại và khủng bố mạng –những mối đe dọa lớn đối với an ninh mạng trên toàn thế giới. Bất cứ ai đang có những bất đồng, muốn gây sự chú ý hoặc đơn giản chỉ là muốn phá hoại đều có thể sẵn sàng làm những việc như vậy.

Fire fighters getting ready
(Chapter breaker)
1

Chương 1

Khi mức độ đe dọa tăng lên, chất kết dính sống còn của sự tin cậy đang bị nguy hiểm

Đối với các tổ chức và các định chế nói chung hậu quả có thể mang tính thảm họa và thậm chí đe dọa chính sự sống còn của họ.

Kết quả rõ ràng nhất của các cuộc tấn công mạng là tổn thất về mặt tài chính, là hậu quả gây nên bởi lừa đảo, bị ép buộc phải trả tiền chuộc, bị phạt tiền hoặc bị tổn thất doanh thu và chi phí cơ hội. Chỉ trong năm ngoái ước tính các công ty Mỹ đã mất đến 654 tỷ đô la Mỹ do các cuộc tấn công mạng. Con số này năm nay được dự đoán sẽ còn tồi tệ hơn.

Tuy nhiên, không chỉ có các tổ chức, doanh nghiệp là mục tiêu của tội phạm mạng. Ở các nước phát triển, ngày càng có nhiều cơ sở hạ tầng được chính phủ xây dựng vận hành để phục vụ quản lý và điều hành trực tuyến, kết nối với nhau sâu rộng nên cũng có nhiều điểm dễ bị tổn thương giống như các doanh nghiệp. Các cuộc tấn công vào các hệ thống này có khả năng làm gián đoạn hoạt động của toàn bộ khu vực và quốc gia, gây ra sự hỗn loạn chưa từng thấy và thậm chí có thể đe dọa đến sự an toàn của người dân. Năm 2016, tin tặc đã tấn công và ngắt mạng lưới truyền tải điện của toàn bộ một khu vực thuộc Ukraine, khiến 230.000 người sống trong tình cảnh không có điện trong nhiều giờ.

Tội phạm mạng và tin tặc có thể gây ra tác động đáng kể ở quy mô xã hội, đặc biệt thông qua việc lan truyền các thông tin thất thiệt. Việc phổ biến tin tức giả trong các sự kiện chính trị quan trọng trong thời gian gần đây đã chỉ ra rằng, thông tin giả thường được lan truyền thông qua các kênh với nội dung không đáng tin cậy, được xây dựng cẩu thả, và việc truyền bá thông tin sai lệch có thể dẫn đến nhiều hậu quả nghiêm trọng. Những tác động này có thể còn nghiêm trọng hơn nữa khi thông tin thất thiệt được lan truyền qua các kênh hợp pháp. Năm 2013, khi tài khoản Twitter của Associated Press bị đột nhập để đăng bản tin mới nhất về một vụ đánh bom tại Nhà Trắng làm Tổng thống Barack Obama bị thương, 136 tỷ USD giá trị vốn hóa đã bị bốc hơi khỏi thị trường chứng khoán Dow Jones của Mỹ gần như ngay lập tức. 

Cuối cùng, hậu quả tai hại và lâu dài nhất của những sự cố này, đặc biệt là khi không được xử lý và giảm thiểu nhanh chóng, là sự mất niềm tin giữa mọi người và các tổ chức hoặc định chế mà họ phụ thuộc. Một bên là các chủ thể liên quan, người lao động, các bên thứ ba và người tiêu dùng, bên kia là người nộp thuế và cử tri; tất cả đều mong đợi hệ thống hoạt động ổn định, đáng tin cậy cũng như việc bảo vệ an toàn và an ninh của chính họ, cả trên mạng và ngoài đời thực. Khi tính bảo mật, tính toàn vẹn hoặc tính sẵn sàng của dữ liệu bị xâm phạm hoặc các sản phẩm và dịch vụ không hoạt động tốt như mong đợi, niềm tin được xây dựng qua nhiều năm có thể bị đánh mất chỉ trong một ngày.

Seamean working offshore
(Chapter breaker)
2

Chương 2

An ninh mạng: một thị trường phức tạp, biến động theo khủng hoảng

Các tổ chức đang vật lộn để duy trì một bộ phận bảo mật hoạt động hiệu quả, gắn kết và rõ ràng.

Ngày nay, quá nhiều tổ chức áp dụng cách tiếp cận mang tính bị động đối với vấn đề an ninh mạng, đó là chỉ thực hiện các biện pháp xử lý sau khi cuộc tấn công mạng đã xảy ra, hoặc lỗi đã được tìm thấy, hoặc khi bị phạt, hoặc luật đã được thông qua. Kết quả ban đầu từ “Khảo sát An toàn Thông tin Toàn cầu của EY 2019-2020” phỏng vấn gần 1.300 nhà lãnh đạo an ninh mạng, cho thấy 65% doanh nghiệp chỉ xem xét vấn đề an ninh mạng sau khi đã quá muộn. Một thực trạng dễ thấy là việc các doanh nghiệp trang bị thêm các công cụ bảo mật xung quanh các hệ thống hiện có, đơn giản để phục vụ mục đích tuân thủ theo quy định, thay vì xây dựng chức năng bảo mật tích hợp vào trong các sản phẩm và dịch vụ mới trên cơ sở các tính toán rủi ro kinh doanh từ trước.

Trong Khảo sát An toàn Thông tin Toàn cầu của EY 2020 cho biết

65%

doanh nghiệp chỉ xem xét vấn đề an ninh mạng khi đã quá muộn - 1.300 nhà lãnh đạo an ninh mạng.

Tâm lý dựa vào danh mục tuân thủ này không những không hiệu quả mà còn là gốc rễ của một số vấn đề làm cản trở vai trò và tính hiệu quả chức năng an ninh mạng. Thứ nhất, có một thực tế là giám đốc an ninh mạng (CISO) và các nhóm phụ trách bảo mật thông tin bị coi là trở ngại trong các doanh nghiệp và cần phải nhanh chóng đổi mới để tồn tại. Thứ hai, tâm lý này đã tạo ra một thị trường bảo mật cực kỳ manh mún và phức tạp, bao gồm hàng ngàn nhà cung cấp cạnh tranh để phù hợp với ngân sách chi tiêu cho bảo mật. Bối cảnh này có thể khiến các tổ chức rất khó có thể duy trì bộ phận bảo mật thông tin rõ ràng, hiệu quả, và gắn kết.

Khi hội đồng quản trị và ban giám đốc bắt đầu nắm bắt được tầm quan trọng của bộ phận an ninh mạng, họ bắt đầu nhìn thấy nhu cầu rõ ràng về cách tiếp cận mới cho phép triển khai đổi mới một cách tự tin đồng thời giảm thiểu và quản trị được nhiều rủi ro do tội phạm mạng gây ra.

Hiker with harness ready to jump
(Chapter breaker)
3

Chương 3

Bảo mật từ trong Thiết kế: bảo vệ niềm tin trong Kỷ nguyên Chuyển đổi

Xem bảo mật như một biện pháp bổ sung đã không còn đủ để bảo vệ hiệu quả các hoạt động và duy trì niềm tin ở mọi cấp độ trong tổ chức.

Các chuyên gia an ninh mạng của EY tin rằng đã đến lúc cần một nhận thức mới về an ninh mạng: một cách tiếp cận chủ động, thực tế và chiến lược, xem xét vấn đề rủi ro và bảo mật ngay từ khi bắt đầu bất kỳ dự án mới nào và nuôi dưỡng niềm tin ở mọi giai đoạn. Đó chính là Bảo mật từ trong Thiết kế.

Rather than avoiding risk altogether, Security by Design is about enabling trust in systems, designs and data so that organizations can take on more risk, lead transformational change and innovate with confidence.

Chẳng hạn, trong lĩnh vực Trí tuệ Nhân tạo (AI) đang phát triển không ngừng, nhu cầu về cách tiếp cận như vậy đang trở nên rõ ràng hơn mỗi ngày. Hai hình thức phổ biến nhất của Máy học (Machine Learning) trong lĩnh vực này - không giám sát và có giám sát - là các mục tiêu chính cho sự thay đổi. Kết quả được tạo ra bởi các phương pháp này phụ thuộc một cách tự nhiên vào các thuật toán đưa chúng vào cuộc sống. Tuy nhiên, ngay cả các thuật toán tiên tiến nhất cũng sẽ dẫn đến kết quả thất bại nếu dữ liệu đưa vào chúng bị thao túng.

Ngày nay, chúng ta chưa quan tâm đúng mức cho việc bảo vệ tính toàn vẹn của dữ liệu nạp vào các hệ thống Máy học trung tâm đang hỗ trợ ngày càng nhiều sản phẩm và dịch vụ chính thống. Tội phạm mạng biết điều này và về nguyên tắc có thể tấn công các hệ thống bằng cách thêm vào, xóa đi hoặc thay đổi các tập dữ liệu cơ bản. Ngày nay hầu hết các hệ thống công nghệ số đều đang có nguy cơ bị thao túng như vậy.

Khi AI mở rộng phạm vi của các quyết định được tự động hóa, cơ hội cho sự phá hoại cũng mở rộng. Ví dụ, hệ thống điều khiển không lưu được lập trình để tự động điều chỉnh vận tốc hoặc độ cao của máy bay dựa trên dữ liệu có thể bị làm nhiễu - hoặc phần mềm Máy học được thiết kế để phát hiện các vấn đề y tế, trong đó dữ liệu không chuẩn có thể làm cho thuật toán bỏ qua các dấu hiệu ung thư. Những kết quả hoàn toàn không mong muốn như vậy chỉ có thể tránh được bằng cách thực hiện đầy đủ việc quản trị dữ liệu, các giao thức quản lý định danh và truy cập ở trung tâm các hệ thống AI.

Sự phổ biến ngày càng gia tăng của các thiết bị Internet Vạn vật (IoT) cho thấy một trường hợp thuyết phục khác cho phương pháp Bảo mật từ trong Thiết kế. Người tiêu dùng ngày càng phụ thuộc vào các sản phẩm IoT mà họ cho phép đưa vào nhà và truy cập thông tin cá nhân rất nhạy cảm. Tuy nhiên, khó có thể bảo đảm niềm tin như vậy theo cách mà các thiết bị này thường được sản xuất.

Việc lắp ráp các thiết bị IoT trải qua ba bước riêng biệt. Quá trình này bắt đầu với các chip máy tính chuyên dụng được chế tạo với ít hàm lượng kỹ thuật hoặc ít chi phí nhất có thể để không làm ảnh hưởng đến biên lợi nhuận vốn đã rất nhỏ. Các chip này sau đó được chuyển cho các nhà sản xuất thiết bị gốc (ODM), được thuê để xây dựng dựa trên đặc điểm kỹ thuật, được tạo ra bằng sự kết hợp giữa mã nguồn mở và phần mềm độc quyền. Một lần nữa, mục đích ở đây là tối đa hóa lợi nhuận, ít quan tâm đến bảo mật hoặc hiệu suất mà các chức năng cần có. Cuối cùng, công ty có thương hiệu hướng dẫn người tiêu dùng tải giao diện của họ và tùy chỉnh các thiết bị một cách vừa đủ để đảm bảo chúng hoạt động. Ở mỗi giai đoạn, trọng tâm là tối đa hóa lợi nhuận hơn là đảm bảo chức năng bảo mật hoặc tính toàn vẹn.

Cách tiếp cận ngắn hạn, đặt lợi nhuận lên trên hết này là một phương thức chắc chắn dẫn đến thảm họa. Năm 2015, một thương hiệu ô tô hàng đầu đã buộc phải thu hồi 1,4 triệu xe sau khi các chuyên gia bảo mật đột nhập vào hệ thống thông tin giải trí trên xe ô tô của họ và chứng minh rằng hầu như ai cũng có thể truy cập và kiểm soát các chức năng chủ chốt như hệ thống phanh và hệ thống lái. Khi các nhà sản xuất ô tô và chính phủ trên toàn thế giới đang nỗ lực hướng tới sản xuất ô tô thông minh và các thành phố được hỗ trợ bởi các công nghệ IoT, nhu cầu về bảo mật cao hơn là điều hiển nhiên.

Những ví dụ này có điểm gì chung? Đây đơn giản không còn là các thay đổi đơn lẻ. Chúng là sự kết nối của tương lai trên phạm vi toàn cầu, và sẽ tự kết nối với nhau để tạo thành nền tảng ngày càng vững chắc của mọi hoạt động hàng ngày của chúng ta. Điều cực kỳ cấp bách là các tổ chức và các định chế phát triển và sử dụng các công nghệ này đều áp dụng quan điểm Bảo mật từ trong Thiết kế. Những tổ chức nào không làm như vậy sẽ chịu vô số rủi ro, từ thiệt hại tài chính đến hỗn loạn cơ cấu, đỉnh điểm là sự sụp đổ của niềm tin – thứ vốn không thể khôi phục được. Một cách tiếp cận chiến lược, thực tế và chủ động, xem xét rủi ro ngay từ khi bắt đầu - và không phải là biện pháp bổ sung - có thể tạo ra sự khác biệt giữa những người thất bại và những người vươn tới thành công trong Kỷ nguyên Chuyển đổi.  

Tóm lược

Bài viết này đánh giá bối cảnh an ninh mạng hiện tại và tìm cách truyền cảm hứng cho các tổ chức áp dụng phương pháp tiếp cận mới để quản lý công tác bảo mật trong Kỷ nguyên Chuyển đổi. Ngày nay các tổ chức bắt buộc phải đổi mới để tồn tại, nhưng khi làm như vậy họ phải đối mặt với các mối đe dọa tấn công mạng ngày càng gia tăng. Trước những hậu quả nghiêm trọng tiềm tàng, các tổ chức cần một quan điểm mới để xem xét những rủi ro này ngay từ giai đoạn đầu của bất kỳ sản phẩm hoặc dịch vụ nào, chứ không phải là một biện pháp bổ sung.

Về bài viết này

Tác giả Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.