Bảo mật dữ liệu trên Cloud – Trách nhiệm không của riêng ai

VSEC - BLOG Bảo mật trên đám mây Nổi bật

Ngày 13/05, Công ty Cổ phần An ninh mạng Việt Nam (VSEC) cùng cộng đồng CIO Vietnam và Noventiq vừa tổ chức một buổi chia sẻ và thực hành xử lý s cố an ninh mạng trên nền tảng điện toán đám mây Azure. Tham dự sự kiện còn có đại diện của Cục An toàn thông tin, Bộ Thông tin truyền thông chia sẻ về các chính sách về bảo mật trên môi trường điện toán đám mây cho doanh nghiệp.

Bên cạnh các thông tin chung cập nhật về những xu hướng bảo mật trên toàn cầu hay tầm quan trọng của việc chuyển đổi số lên môi trường điện toán đám mây, người tham gia được tiếp cận rõ hơn về các hoạt động cộng đồng của CIO Vietnam, chính sách – quy định đảm bảo vấn đề An toàn thông tin (ATTT) khi sử dụng cloud, mô hình NIST giúp tổ chức sắp xếp quy trình hoạt động bảo mật và các công cụ mà Microsoft trang bị trên môi trường Azure.

Ngày 13/05/2023, Boot camps “Cyber Security in the Cloud” được tổ chức tại TP.HCM.

Về vấn đề nhiều thành viên tham gia quan tâm trong quá trình chuyển đổi số lên môi trường cloud như các quy định về quản lý dữ liệu trên môi trường cloud, Ông Trần Nguyên Chung – Trưởng phòng An toàn hệ thống thông tin, Cục ATTT chia sẻ từ góc nhìn của cơ quan quản lý ATTT là vấn đề cốt lõi giúp chuyển đổi số thành công, đây là cái phanh để chuyển đổi số cán đích thành công chứ không phải là rào cản. Ông cũng khuyến nghị các doanh nghiệp trong quá trình sử dụng cloud cần đảm bảo các vấn đề cần lưu ý như:  Đánh giá hiện trạng – nhu cầu thực tế để lựa chọn đúng mô hình cloud phù hợp, tuân thủ các quy định – văn bản CQNN đã ban hành, tuân thủ tiêu chuẩn về trung tâm dữ liệu, quy định về quản lý 4 lớp – nâng cao năng lực của các doanh nghiệp – CQTC, … , quy định về chủ quyền dữ liệu giúp minh bạch về dữ liệu và bảo vệ quyền lợi của doanh nghiệp.

Với hai văn bản mà Cục ATTT đã tham mưu Bộ TT&TT ban hành là Văn bản số 1145/BTTTT-CATTT ngày 03/4/2020 của Bộ Thông tin và Truyền thông v/v hướng dẫn bộ tiêu chí, chỉ tiêu kỹ thuật để đánh giá và lựa chọn giải pháp nền tảng điện toán đám mây phục vụ Chính phủ điện tử/Chính quyền điện tử, Văn bản số 2612/BTTTT-CATTT ngày 17/7/2021 của Bộ Thông tin và Truyền thông v/v bổ sung bộ tiêu chí, chỉ tiêu để đánh giá và lựa chọn giải pháp nền tảng điện toán đám mây phục vụ Chính phủ điện tử/Chính quyền điện tử. Đây là hai văn bản giúp các doanh nghiệp bảo đảm vấn đề an toàn thông tin mạng trong quá trình chuyển đổi số, tính đến thời điểm hiện tại.

Ông Trần Nguyên Chung – Trưởng phòng An toàn hệ thống thông tin, Cục ATTT chia sẻ tại Boot Camps

Trước các câu hỏi liên quan đến bảo mật dữ liệu trên môi trường cloud cả Ông Chung và Ông Huân Trần – Chủ tịch CIO Vietnam đều nhấn mạnh, dữ liệu trên cloud có là bản gốc hay bản back-up thì đều cần xem xét dữ liệu đó có phải là dữ liệu dùng được hay không. Trách nhiệm lưu trữ dữ liệu không phải chỉ là câu chuyện mặc định là trách nhiệm của nhà cung cấp dịch vụ điện toán đám mây mà doanh nghiệp, đội ngũ IT luôn phải chủ động sao lưu, back-up hệ thống dữ liệu của chính đơn vị mình. Ở một góc độ khác, dữ liệu của người dùng được khai thác từ doanh nghiệp nào thì trách nhiệm đầu tiên nằm ở phía đơn vị sở hữu dữ liệu khách hàng đó chứ không chỉ quy trách nhiệm cho đơn vị được bàn giao lưu trữ. Ông Huân Trần chia sẻ “Càng ngày việc thu thập dữ liệu để cạnh tranh sẽ càng ngày càng được siết chặt, điều này trên thế giới ko còn là điều gì mới mẻ. Dữ liệu khách hàng – ownership là thuộc về khách hàng, khi khách hàng trao cho chúng ta để đổi lại những đặc quyền được cung cấp dịch vụ tốt hơn thì trách nhiệm của đơn vị khai thác là phải đảm bảo sử dụng đúng và an toàn mới giữ được niềm tin của người dùng.” Vì vậy, việc chủ động trong việc lựa chọn nhà cung cấp dịch vụ hay các hình thức để bảo mật dữ liệu của người dùng là trách nhiệm mà doanh nghiệp cần lưu tâm trong quá trình chuyển đổi số an toàn.

“Chủ động trong việc lựa chọn nhà cung cấp dịch vụ hay các hình thức để bảo mật dữ liệu của người dùng là trách nhiệm mà doanh nghiệp cần lưu tâm trong quá trình chuyển đổi số an toàn.” – Ông Huân Trần – Chủ tịch CIO Vietnam cho biết.

Trong vai trò là đơn vị cung cấp dịch vụ quản trị an toàn thông tin, Ông Lê Minh Quý – Chuyên gia tư vấn giải pháp cao cấp đặt ra bài toán xoay quanh vấn đề nhận thức an toàn thông tin trong doanh nghiệp. Trong 20 năm tiến hành rà soát bảo mật ở nhiều doanh nghiệp với quy mô cả lớn lẫn nhỏ, VSEC nhận thấy đôi khi những “lỗ hổng” khó lường nhất lại nằm ở những vị trí tưởng như an toàn nhất mà nếu không rà soát khó có thể nhìn ra. Có thể là hệ thống mạng, cấu hình sai khi chuyển đổi lên cloud, … hay đơn giản từ việc thiếu trang bị thông tin và kiến thức, diễn tập thực tế về an toàn thông tin cho “con người” – nhân viên trong tổ chức.

Trong một khảo sát về an ninh mạng từ người dùng cuối, dù có nhận thức được về vấn đề an toàn thông tin nhưng vẫn có đến 45% số người trả lời vẫn nhấp chuột vào các link lừa đảo. Nhiều trường hợp, ransomeware không đến trực tiếp từ hacker mà hacker sẽ tấn công vào 1 đối tượng, nhân viên cụ thể, từ dó tấn công vào hệ thống của doanh nghiệp. Con người được cho là “mắt xích yếu” nhất trong việc quản trị an toàn thông tin.” Ông Lê Minh Quý, VSEC chia sẻ.

Ông Lê Minh Quý – Chuyên gia tư vấn giải pháp ATTT VSEC chia sẻ về những vấn đề bảo đảm an toàn thông tin trong quá trình chuyển đổi số tại Boot Camps

Dù đầu tư rất lớn vào hệ thống công nghệ thông tin với chi phí lớn nhưng việc bỏ quên yếu tố con người có thể lại là rủi ro tiềm ẩn mà doanh nghiệp không nên bỏ qua. Vì vậy, việc trang bị các hoạt động đào tạo, diễn tập an toàn thông tin trong doanh nghiệp là việc cần thiết chủ động thực hiện, tuỳ thuộc quy mô của từng doanh nghiệp. Tương tự như vấn đề mà các start-up tại Việt Nam hiện nay đang gặp phải là giảm hoặc thậm chí cắt bỏ chi phí rà soát, nâng cao các tính năng bảo mật trên các ứng dụng để đảm bảo thời gian cung cấp ứng dụng, giải pháp do phải tối ưu hoá chi phí vận hành. Ông Trần Thanh Long – Giám đốc điều hành VSEC cũng như Ông Huân Trần đều đồng ý rằng khi lựa chọn môi trường cloud để phát triển nhanh hơn và bỏ qua vấn đề cybersecurity là bài toán khó giải cho các start-up.

Tuy nhiên, start-up hay các doanh nghiệp đầu từ vào dịch vụ trên nền tảng cloud có thể cân nhắc việc lựa chọn làm từng bước hoặc từng mảng quan trọng nào cần đầu tư về an ninh bảo mật cao. Bên cạnh đó, mấu chốt là khi start-up hoàn thành dịch vụ chào bán cho các Big ENT thì câu hỏi mà các Big ENT đặt ra lại là sản phẩm này đáp ứng được các tiêu chuẩn bảo mật nào, có rủi ro nào về cybersecurity hay không, … chứ không phải tập trung vào các tính năng của sản phẩm. Như vậy, có thể nhìn nhận rằng, an ninh mạng hay an toàn thông tin vẫn sẽ là mối quan tâm hàng đầu mà doanh nghiệp cần cân nhắc ngay trong quá trình phát triển dịch vụ và chuyển đổi trên cloud.

Ông Phạm Minh Sang – đại diện Novetiq 

Ông Vũ Thế Hải – Trưởng phòng Trung tâm Giám sát ATTT VSEC – hướng dẫn các đơn vị trước khi tiến hành tham gia phiên Huấn luyện thực chiến

Trong phiên cuối sự kiện, đại diện từ Noventiq và VSEC cũng chia sẻ về các công cụ bảo mật được trang bị trên hệ thống Azure – Microsoft 365 Defender được phát triển dựa trên core value là mô hình Zero Trust. Người tham gia nắm được các thông tin chi tiết về mô hình vận hành của dịch vụ, đặc biệt được trực tiếp trải nghiệm công tác diễn tập rà quét mã độc, phát hiện và xử lý mã độc trên môi trường cloud.

Các đơn vị tham dự diễn tập thực chiến ngay trên thao trường

Theo VSEC