Đâu là gót chân Achilles trong thời đại chuyển đổi số

Ở thời đại mà thông tin của chúng ta dễ dàng rò rỉ khắp nơi, An toàn Thông tin sẽ làm gì để đảm bảo một môi trường mạng trong lành thân thiện với người dùng?

Đảm bảo an toàn thông tin trong thời kỳ chuyển đổi số

Ông Trương Đức Lượng (áo xanh) – Chủ tịch HĐQT Công ty Cổ phần An ninh mạng Việt Nam 

Vừa đặt xong vé máy bay, hàng loạt tin nhắn kéo đến mời chào bạn mua dịch vụ taxi chở khách. Vừa nhận một căn hộ mới, vô số cuộc điện thoại hỏi bạn có đang tìm người thiết kế nội thất không. Đó là lúc bạn biết thông tin mình đã bị bán ra và quyền riêng tư bạn bị xâm phạm.

Làm sao để bảo đảm thông tin chúng ta được riêng tư? An toàn Thông tin (ATTT) chính là chìa khóa để xử lý mọi “lỗ hổng” bảo mật trong hệ thống dữ liệu, giúp bảo vệ quyền riêng tư của bạn.

Đặc biệt với xu hướng Chuyển đổi số hiện nay, mọi loại hình doanh nghiệp lớn nhỏ từ tập đoàn đa quốc gia đến các SMEs và startup đều bắt đầu lưu trữ dữ liệu trên đám mây, và ATTT là cốt lõi giúp doanh nghiệp trụ vững trước bốn bề đe dọa bảo mật.

Tham dự Webinar: “Gót chân Achilles trong thời đại chuyển đổi số”, anh Trương Đức Lượng – Co-Founder & Chairman của Công ty Cổ phần An ninh mạng Việt Nam (VSEC) – nhà cung cấp dịch vụ quản trị An toàn Thông tin đầu tiên tại Việt Nam đạt chứng nhận CREST quốc tế cho cả 2 dịch vụ Đánh giá ATTT (Pentest) và dịch vụ Trung tâm giám sát vận hành ATTT (SOC) đã có những chia sẻ thẳng thắn cùng anh Tạ Ngọc Hiếu – Head of Engineering Tyme – một trong những tập đoàn phát triển Ngân hàng số tăng trưởng nhanh nhất thế giới.

Tại Webinar, các diễn giả sẽ lý giải cách An toàn Thông tin bảo mật dữ liệu cho người dùng, cũng như cơ hội & thách thức của ngành này tại Việt Nam.

An toàn Thông tin đang ở đâu trên bản đồ Việt Nam?

Từ tác động hậu đại dịch COVID-19, việc chuyển đổi số đang diễn ra ngày một mạnh mẽ hơn ở hầu hết các doanh nghiệp lớn nhỏ.

Đảm bảo an toàn thông tin trong thời kỳ chuyển đổi số - vsec
Đảm bảo an toàn thông tin trong thời kỳ chuyển đổi số – vsec

Không phải loại hình doanh nghiệp nào ở Việt Nam cũng ưu tiên ATTT hàng đầu 

Tuy nhiên không phải nhu cầu dùng ATTT ở ngành hàng nào cũng giống nhau. Quá trình chuyển đổi số sẽ giúp ta thấy rõ sự phân hóa mức độ ưu tiên ATTT ở các loại hình doanh nghiệp, ví dụ như:

  • Ở các Ngân hàng và sàn Thương mại Điện tử, ATTT sẽ là trụ cột, là mối ưu tiên hàng đầu. Vì ngân hàng số (digital bank) rất dễ bị tấn công, cũng như các sàn thương mại cần bảo mật cao cho các dữ liệu khổng lồ về “hành vi mua sắm online”.
  • Ở khối Nhà nước, ATTT chỉ được ưu tiên với mức chi phí vừa đủ. Khi ngân sách chi cho ATTT ở các công ty nhà nước không đủ lớn, mức độ bảo mật thông tin sẽ không thể cao bằng 2 ngành kể trên.
  • Cuối cùng, ở nhóm ngành Công nghệ – Giáo dục (EdTech) và Y tế, ATTT ít được ưu tiên nhất. Doanh nghiệp dù biết cần ATTT nhưng vẫn chưa thật sự chú trọng vào ngân sách cho ATTT.

Xây dựng “niềm tin” khi làm việc với đối tác An toàn Thông tin như thế nào?

  • Từ góc độ khách hàng sử dụng dịch vụ ATTT

Khi một công ty quyết định thuê bên thứ 3 làm dịch vụ ATTT (outsource), nghĩa là họ phải đưa tất cả dữ liệu của mình cho một bên nữa nắm. Làm sao để yên tâm chọn mặt gửi vàng khi mọi dữ liệu đều là tuyệt mật? Đối với những ngành đặc thù chuyên sâu (như tài chính, ngân hàng) thì bản thân công ty cần phải có 1 phòng ban chuyên về bảo mật thông tin để đủ chuyên môn hợp tác cùng bên thứ 3.

  • Từ góc độ nhà cung cấp dịch vụ ATTT

Từ góc độ nhà cung cấp, anh Lượng ở VSEC cho biết bản thân nhà cung cấp cũng có khả năng bị kẻ xấu lợi dụng để tấn công vào công ty khách hàng. Do đó luôn cần có biện pháp dự phòng, để cảnh báo khách và kịp thời xử lý.

Anh Lượng đề xuất, để đề phòng rủi ro bị kẻ xấu xâm nhập, ATTT có thể dùng “Zero Trust”. Đây là một thuật ngữ bảo mật phổ biến nhất trong an ninh mạng hiện nay, đang được các ông lớn công nghệ như Amazon hay Microsoft áp dụng. Zero Trust sẽ yêu cầu tất cả người dùng bất kể trong hay ngoài mạng của tổ chức được xác thực, ủy quyền trước khi được cấp hoặc giữ quyền truy cập vào dữ liệu. Dịch vụ ATTT nghe có vẻ “xa vời” với nhiều người, nhưng anh Lượng cũng cho biết thêm xu hướng outsource dịch vụ ATTT sẽ không còn là tương lai xa mà là biện pháp tối ưu nhất hiện hữu ở hiện tại cho doanh nghiệp.

Trước khi bắt tay vào cùng đối tác xây dựng hệ thống ATTT, doanh nghiệp phải có kế hoạch trang bị hạ tầng trước đó. Ta không thể chuyển đổi số khi chưa có kế hoạch. Ví dụ một công ty Y tế từ xa phải phát triển công nghệ hỗ trợ làm y tế từ xa trước, rồi mới nghĩ đến chuyện outsource dịch vụ ATTT để bảo vệ hệ thống đó.

Việt Nam cần làm gì khi bước vào cuộc đua An ninh mạng?

  • Cơ hội và thách thức cho Việt Nam

Trước khi đầu tư về an ninh mạng sao cho phù hợp với hạ tầng Việt Nam hiện nay, ta cần hiểu rõ đâu là cơ hội và thách thức của Việt Nam khi bước vào đường đua ATTT.

Đảm bảo an toàn thông tin trong thời kỳ chuyển đổi số - vsec
Đảm bảo an toàn thông tin trong thời kỳ chuyển đổi số – vsec

Nhìn chung, thách thức lớn nhất của Việt Nam trong ngành ATTT vẫn là vấn đề nhân lực

Xét về cơ hội, Việt Nam có khả năng học hỏi và thích nghi rất nhanh với công nghệ từ đó có thể nắm bắt xu hướng số hóa để “thừa thắng xông lên”. Không những thế cơ hội việc làm toàn cầu cho ngành ATTT lại dồi dào khi thống kê thế giới cho biết các doanh nghiệp đang thiếu hụt tổng cộng khoảng 4 triệu kỹ sư về ATTT. Tuy nhiên, ATTT đặt ra thách thức lớn về đào tạo chuyên môn khi ngành này còn khá mới, và chưa có nhiều kỹ sư tốt nghiệp từ với bằng cấp chính thống. Phần lớn các bạn kỹ sư ATTT hiện nay vẫn phải tự mày mò từ đủ các nguồn học khắp nơi, dẫn đến thiếu nhân lực chuyên môn cao. Bên cạnh đó, việc làm ATTT cũng cần kiên trì theo đuổi thời gian dài, dễ “đứt gánh”.

Để dễ hình dung ta có thể so sánh kỹ sư ATTT với lập trình viên. Lập trình viên có thể thấy ngay thành phẩm mình làm trên App Store sau khi phát triển app, nhưng kỹ sư ATTT phải mất ít nhất 2 năm để thấy được thành quả này.Nhìn chung, thách thức lớn nhất của ngành ATTT ở Việt Nam vẫn là vấn đề thiếu hụt nhân sự. Sự khan hiếm nhân lực này có thể được giải quyết bằng cách nào?

1/ Tự động hóa: giảm thiểu các đầu công việc của con người bằng máy móc. Cả anh Hiếu và anh Lượng đều đầu tư vào 1 nền tảng tự động hóa để máy móc làm hết 60% phần việc thủ công giúp con người.

2/ Chắt lọc nhân sự: kỹ sư ATTT được trả lương cao, với số lượng nhân sự ít. Làm việc 5×8, nghĩa là 5 ngày 1 tuần, 1 ngày 8 tiếng. Thời gian còn lại sẽ đưa đối tác bên ngoài giám sát.

3/ Kết hợp làm In-house và Outsource: kể cả các ngân hàng lớn ở Việt Nam vẫn làm song song 2 mô hình nội bộ và thuê ngoài để tối ưu ATTT.