Kinh nghiệm thực tế và giải pháp tuân thủ nghị định bảo vệ dữ liệu cá nhân

Sự kiện Nổi bật VSEC - BLOG

Ngày 12 tháng 8 vừa qua, tại chương trình CIO Leadership, chủ đề “Hành trình tuân thủ nghị định bảo vệ dữ liệu cá nhân”, do cộng đồng CIO Vietnam phối hợp cùng Công ty Cổ phần An ninh mạng Việt Nam (VSEC) tổ chức đã thu hút hơn 80 Anh, Chị là đại diện các doanh nghiệp, tổ chức đã tới cùng gặp gỡ, giao lưu, thảo luận cùng với các diễn giả khách mời.

Trong bối cảnh mối quan ngại về bảo vệ dữ liệu cá nhân ngày càng tăng cao, việc Nghị định 13/2023/NĐ-CP bảo vệ dữ liệu cá nhân ra đời nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức. Nghị định 13 đã đặt dữ liệu của bản thân mỗi người lên một vị trí rất khác so với trước đây. 

Sự kiện “Hành trình tuân thủ Nghị định bảo vệ dữ liệu các nhân” do VSEC và Cộng đồng CIO tổ chức thu hút đông đảo sự tham gia của mọi người.

1. Nghị định 13/2023/NĐ-CP

Vào ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định 13”) sau một thời gian dài chờ đợi. Nghị định 13 có hiệu lực từ ngày 01/7/2023. Cùng với Luật An ninh mạng (Luật số 24/2018/QH14) ngày 12 tháng 6 năm 2018 và văn bản hướng dẫn thi hành đầu tiên là Nghị định số 53/2022/NĐ-CP ngày 15 tháng 8 năm 2022, Nghị định 13 là văn bản pháp lý thứ ba được ban hành trong kế hoạch của Chính phủ nhằm tăng cường khung pháp lý điều chỉnh các hoạt động trên không gian mạng. Nghị định 13 quy định chi tiết hơn về nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý dữ liệu cá nhân.

Nội dung chủ yếu: Nghị định 13/2023/NĐ-CP gồm 44 Điều, chia thành 04 chương; cụ thể:

  • Chương I. Những Quy định chung, gồm 08 điều (Điều 1 tới Điều 8), quy định về phạm vi điều chỉnh; đối tượng áp dụng; giải thích từ ngữ; nguyên tắc bảo vệ dữ liệu cá nhân; xử lý vi phạm quy định bảo vệ dữ liệu cá nhân; quản lý nhà nước về bảo vệ dữ liệu cá nhân; áp dụng Nghị định bảo vệ dữ liệu cá nhân, các luật liên quan và Điều ước quốc tế; hợp tác quốc tế về bảo vệ dữ liệu cá nhân; hành vi bị nghiêm cấm.
  • Chương II. Xử lý dữ liệu cá nhân, gồm 04 mục, 20 điều (từ Điều 9 đến Điều 31), gồm: Mục 1 quy định về quyền và nghĩa vụ của chủ thể dữ liệu. Mục 2 quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân. Mục 3 quy định về đánh giá tác động và chuyển dữ liệu cá nhân ra nước ngoài. Mục 4 quy định về biện pháp, điều kiện bảo đảm bảo vệ dữ liệu cá nhân.
  • Chương III. Trách nhiệm của cơ quan, tổ chức, cá nhân, gồm 11 điều (từ Điều 32 đến Điều 42), quy định về: Trách nhiệm của Bộ Công an, Bộ Thông tin và Truyền thông, Bộ Khoa học và Công nghệ, Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ Ba, tổ chức, cá nhân có liên quan.
  • Chương IV. Điều khoản thi hành, gồm 02 điều (từ Điều 43 đến Điều 44), quy định về: Hiệu lực thi hành; Trách nhiệm thi hành.

2. “An toàn thông tin không phải là thời điểm, mà là cả một quá trình”

Anh Trương Đức Lượng – Co-founder & Chairman Công ty Cổ phần An ninh mạng Việt Nam

Trong phần chia sẻ của mình tại chương trình, anh Trương Đức  Lượng – Chủ tịch HĐQT VSEC đã tập trung vào góc nhìn thực tế và dễ hiểu về việc bảo vệ dữ liệu cá nhân. Anh đã chia sẻ và phân tích  những ví dụ thực tiễn ở cả trên thế giới và Việt Nam về những trường hợp bị phạt do vi phạm về dữ liệu người dùng. Việc vi phạm dữ liệu người dùng không chỉ có 1 cách mà các hình thức vi phạm rất đa dạng. Thông qua những ví dụ này, anh Lượng đã nhấn mạnh tới các nguy cơ tiềm ẩn và tác động tiêu cực mà việc lạm dụng thông tin cá nhân có thể mang lại.

Hiện nay, ngân hàng là lĩnh vực tiên phong trong việc tuân thủ theo Nghị định 13 một cách  triệt để và mạnh mẽ. Còn đối với các ngành khác, tùy thuộc vào mức độ trưởng thành của từng ngành sẽ có mức độ áp dụng việc tuân thủ Nghị định khác nhau. Tại sự kiện anh Lượng cũng đã giải đáp các thắc mắc của một số công ty nước ngoài xoay quanh việc tuân thủ Nghị định 13. Các cơ quan chức năng không cung cấp chứng chỉ tuân thủ Nghị định 13 mà họ sẽ thông qua các biện pháp kiểm tra đối với các doanh nghiệp, tổ chức mà họ nhìn thấy có khả năng xảy ra vi phạm. Để có thể tuân thủ theo Nghị định 13, đại diện VSEC cho biết mọi người có thể áp dụng các framework theo tiêu chuẩn hoặc có thể hợp tác với một nhà cung cấp dịch vụ đạt chứng nhận CREST (cơ quan kiểm định được quốc tế công nhận, nhằm xác thực khả năng, chuyên môn kỹ thuật và chất lượng dịch vụ cho các nhà cung cấp an ninh mạng và cá nhân hoạt động chuyên nghiệp trong lĩnh vực này.)

Anh Lượng cũng nhấn mạnh việc bị phạt khi làm rõ rỉ dữ liệu có thể xảy ra khi bị hacker tấn công trong quá trình dịch chuyển dữ liệu. Điều này có thể xử lý và can thiệp kịp thời bằng biện pháp kỹ thuật. Các phương pháp có thể hỗ trợ phát hiện và giảm thiểu rủi ro chính là đánh giá bảo mật và giám sát ATTT – đây cũng chính là hai dịch vụ chủ lực mà VSEC cung cấp. Bên cạnh đó, việc giám sát thông tin đảm bảo vận hành ATTT cho doanh nghiệp luôn luôn trong trạng thái an toàn nhất. Việc phát hiện lỗ hổng trên hệ thống của mình càng sớm, xử lý càng sớm thì khả năng bị tấn công, rò rỉ dữ liệu sẽ giảm đi rất nhiều, giúp chúng ta đáp ứng việc tuân thủ Nghị định 13.

Các diễn giả giao lưu cùng đại diện các tổ chức, doanh nghiệp

Có thể nói, thông qua chương trình CIO Leadership lần này, các vấn đề các doanh nghiệp, tổ chức đang quan tâm đến bảo vệ dữ liệu cá nhân đã được thảo luận và tìm hiểu chuyên sâu, đồng thời được các khách mời gợi ý đưa ra các biện pháp cần thiết để các doanh nghiệp có thể tuân thủ, áp dụng nghị định bảo vệ dữ liệu cá nhân một cách chủ động và hiệu quả.  

Bảo mật dữ liệu trên Cloud – Trách nhiệm không của riêng ai

VSEC - BLOG Bảo mật trên đám mây Nổi bật

Ngày 13/05, Công ty Cổ phần An ninh mạng Việt Nam (VSEC) cùng cộng đồng CIO Vietnam và Noventiq vừa tổ chức một buổi chia sẻ và thực hành xử lý s cố an ninh mạng trên nền tảng điện toán đám mây Azure. Tham dự sự kiện còn có đại diện của Cục An toàn thông tin, Bộ Thông tin truyền thông chia sẻ về các chính sách về bảo mật trên môi trường điện toán đám mây cho doanh nghiệp.

Bên cạnh các thông tin chung cập nhật về những xu hướng bảo mật trên toàn cầu hay tầm quan trọng của việc chuyển đổi số lên môi trường điện toán đám mây, người tham gia được tiếp cận rõ hơn về các hoạt động cộng đồng của CIO Vietnam, chính sách – quy định đảm bảo vấn đề An toàn thông tin (ATTT) khi sử dụng cloud, mô hình NIST giúp tổ chức sắp xếp quy trình hoạt động bảo mật và các công cụ mà Microsoft trang bị trên môi trường Azure.

Ngày 13/05/2023, Boot camps “Cyber Security in the Cloud” được tổ chức tại TP.HCM.

Về vấn đề nhiều thành viên tham gia quan tâm trong quá trình chuyển đổi số lên môi trường cloud như các quy định về quản lý dữ liệu trên môi trường cloud, Ông Trần Nguyên Chung – Trưởng phòng An toàn hệ thống thông tin, Cục ATTT chia sẻ từ góc nhìn của cơ quan quản lý ATTT là vấn đề cốt lõi giúp chuyển đổi số thành công, đây là cái phanh để chuyển đổi số cán đích thành công chứ không phải là rào cản. Ông cũng khuyến nghị các doanh nghiệp trong quá trình sử dụng cloud cần đảm bảo các vấn đề cần lưu ý như:  Đánh giá hiện trạng – nhu cầu thực tế để lựa chọn đúng mô hình cloud phù hợp, tuân thủ các quy định – văn bản CQNN đã ban hành, tuân thủ tiêu chuẩn về trung tâm dữ liệu, quy định về quản lý 4 lớp – nâng cao năng lực của các doanh nghiệp – CQTC, … , quy định về chủ quyền dữ liệu giúp minh bạch về dữ liệu và bảo vệ quyền lợi của doanh nghiệp.

Với hai văn bản mà Cục ATTT đã tham mưu Bộ TT&TT ban hành là Văn bản số 1145/BTTTT-CATTT ngày 03/4/2020 của Bộ Thông tin và Truyền thông v/v hướng dẫn bộ tiêu chí, chỉ tiêu kỹ thuật để đánh giá và lựa chọn giải pháp nền tảng điện toán đám mây phục vụ Chính phủ điện tử/Chính quyền điện tử, Văn bản số 2612/BTTTT-CATTT ngày 17/7/2021 của Bộ Thông tin và Truyền thông v/v bổ sung bộ tiêu chí, chỉ tiêu để đánh giá và lựa chọn giải pháp nền tảng điện toán đám mây phục vụ Chính phủ điện tử/Chính quyền điện tử. Đây là hai văn bản giúp các doanh nghiệp bảo đảm vấn đề an toàn thông tin mạng trong quá trình chuyển đổi số, tính đến thời điểm hiện tại.

Ông Trần Nguyên Chung – Trưởng phòng An toàn hệ thống thông tin, Cục ATTT chia sẻ tại Boot Camps

Trước các câu hỏi liên quan đến bảo mật dữ liệu trên môi trường cloud cả Ông Chung và Ông Huân Trần – Chủ tịch CIO Vietnam đều nhấn mạnh, dữ liệu trên cloud có là bản gốc hay bản back-up thì đều cần xem xét dữ liệu đó có phải là dữ liệu dùng được hay không. Trách nhiệm lưu trữ dữ liệu không phải chỉ là câu chuyện mặc định là trách nhiệm của nhà cung cấp dịch vụ điện toán đám mây mà doanh nghiệp, đội ngũ IT luôn phải chủ động sao lưu, back-up hệ thống dữ liệu của chính đơn vị mình. Ở một góc độ khác, dữ liệu của người dùng được khai thác từ doanh nghiệp nào thì trách nhiệm đầu tiên nằm ở phía đơn vị sở hữu dữ liệu khách hàng đó chứ không chỉ quy trách nhiệm cho đơn vị được bàn giao lưu trữ. Ông Huân Trần chia sẻ “Càng ngày việc thu thập dữ liệu để cạnh tranh sẽ càng ngày càng được siết chặt, điều này trên thế giới ko còn là điều gì mới mẻ. Dữ liệu khách hàng – ownership là thuộc về khách hàng, khi khách hàng trao cho chúng ta để đổi lại những đặc quyền được cung cấp dịch vụ tốt hơn thì trách nhiệm của đơn vị khai thác là phải đảm bảo sử dụng đúng và an toàn mới giữ được niềm tin của người dùng.” Vì vậy, việc chủ động trong việc lựa chọn nhà cung cấp dịch vụ hay các hình thức để bảo mật dữ liệu của người dùng là trách nhiệm mà doanh nghiệp cần lưu tâm trong quá trình chuyển đổi số an toàn.

“Chủ động trong việc lựa chọn nhà cung cấp dịch vụ hay các hình thức để bảo mật dữ liệu của người dùng là trách nhiệm mà doanh nghiệp cần lưu tâm trong quá trình chuyển đổi số an toàn.” – Ông Huân Trần – Chủ tịch CIO Vietnam cho biết.

Trong vai trò là đơn vị cung cấp dịch vụ quản trị an toàn thông tin, Ông Lê Minh Quý – Chuyên gia tư vấn giải pháp cao cấp đặt ra bài toán xoay quanh vấn đề nhận thức an toàn thông tin trong doanh nghiệp. Trong 20 năm tiến hành rà soát bảo mật ở nhiều doanh nghiệp với quy mô cả lớn lẫn nhỏ, VSEC nhận thấy đôi khi những “lỗ hổng” khó lường nhất lại nằm ở những vị trí tưởng như an toàn nhất mà nếu không rà soát khó có thể nhìn ra. Có thể là hệ thống mạng, cấu hình sai khi chuyển đổi lên cloud, … hay đơn giản từ việc thiếu trang bị thông tin và kiến thức, diễn tập thực tế về an toàn thông tin cho “con người” – nhân viên trong tổ chức.

Trong một khảo sát về an ninh mạng từ người dùng cuối, dù có nhận thức được về vấn đề an toàn thông tin nhưng vẫn có đến 45% số người trả lời vẫn nhấp chuột vào các link lừa đảo. Nhiều trường hợp, ransomeware không đến trực tiếp từ hacker mà hacker sẽ tấn công vào 1 đối tượng, nhân viên cụ thể, từ dó tấn công vào hệ thống của doanh nghiệp. Con người được cho là “mắt xích yếu” nhất trong việc quản trị an toàn thông tin.” Ông Lê Minh Quý, VSEC chia sẻ.

Ông Lê Minh Quý – Chuyên gia tư vấn giải pháp ATTT VSEC chia sẻ về những vấn đề bảo đảm an toàn thông tin trong quá trình chuyển đổi số tại Boot Camps

Dù đầu tư rất lớn vào hệ thống công nghệ thông tin với chi phí lớn nhưng việc bỏ quên yếu tố con người có thể lại là rủi ro tiềm ẩn mà doanh nghiệp không nên bỏ qua. Vì vậy, việc trang bị các hoạt động đào tạo, diễn tập an toàn thông tin trong doanh nghiệp là việc cần thiết chủ động thực hiện, tuỳ thuộc quy mô của từng doanh nghiệp. Tương tự như vấn đề mà các start-up tại Việt Nam hiện nay đang gặp phải là giảm hoặc thậm chí cắt bỏ chi phí rà soát, nâng cao các tính năng bảo mật trên các ứng dụng để đảm bảo thời gian cung cấp ứng dụng, giải pháp do phải tối ưu hoá chi phí vận hành. Ông Trần Thanh Long – Giám đốc điều hành VSEC cũng như Ông Huân Trần đều đồng ý rằng khi lựa chọn môi trường cloud để phát triển nhanh hơn và bỏ qua vấn đề cybersecurity là bài toán khó giải cho các start-up.

Tuy nhiên, start-up hay các doanh nghiệp đầu từ vào dịch vụ trên nền tảng cloud có thể cân nhắc việc lựa chọn làm từng bước hoặc từng mảng quan trọng nào cần đầu tư về an ninh bảo mật cao. Bên cạnh đó, mấu chốt là khi start-up hoàn thành dịch vụ chào bán cho các Big ENT thì câu hỏi mà các Big ENT đặt ra lại là sản phẩm này đáp ứng được các tiêu chuẩn bảo mật nào, có rủi ro nào về cybersecurity hay không, … chứ không phải tập trung vào các tính năng của sản phẩm. Như vậy, có thể nhìn nhận rằng, an ninh mạng hay an toàn thông tin vẫn sẽ là mối quan tâm hàng đầu mà doanh nghiệp cần cân nhắc ngay trong quá trình phát triển dịch vụ và chuyển đổi trên cloud.

Ông Phạm Minh Sang – đại diện Novetiq 

Ông Vũ Thế Hải – Trưởng phòng Trung tâm Giám sát ATTT VSEC – hướng dẫn các đơn vị trước khi tiến hành tham gia phiên Huấn luyện thực chiến

Trong phiên cuối sự kiện, đại diện từ Noventiq và VSEC cũng chia sẻ về các công cụ bảo mật được trang bị trên hệ thống Azure – Microsoft 365 Defender được phát triển dựa trên core value là mô hình Zero Trust. Người tham gia nắm được các thông tin chi tiết về mô hình vận hành của dịch vụ, đặc biệt được trực tiếp trải nghiệm công tác diễn tập rà quét mã độc, phát hiện và xử lý mã độc trên môi trường cloud.

Các đơn vị tham dự diễn tập thực chiến ngay trên thao trường

Theo VSEC

An ninh mạng và những câu hỏi thường gặp

Bảo mật cho người mới

An ninh mạng là một trong những vấn đề quan trọng đối với các đơn vị đang hoạt động trên nền tảng số. Trong bài viết này, VSEC sẽ cung cấp cho bạn những câu hỏi thường gặp khi mới tiếp cận với lĩnh vực An toàn thông tin.

1. An ninh mạng là gì?

An ninh mạng là hoạt động bảo vệ máy tính, máy chủ, thiết bị di động, hệ thống điện tử, mạng và dữ liệu khỏi các mối đe dọa nguy hiểm. Nó còn được gọi là an toàn thông tin hoặc bảo mật thông tin điện tử. Thuật ngữ này có thể áp dụng trong nhiều ngữ cảnh khác nhau và có thể được chia thành một số loại phổ biến như sau:

– Bảo mật ứng dụng: tập trung vào việc giữ cho phần mềm và thiết bị không bị đe dọa. Một ứng dụng bị xâm nhập có thể cung cấp quyền truy cập vào dữ liệu được thiết kế để bảo vệ. Bảo mật nên được bắt đầu từ giai đoạn thiết kế, trước khi một chương trình hoặc thiết bị được triển khai.

– Bảo mật thông tin: bảo vệ tính toàn vẹn và quyền riêng tư của dữ liệu, cả trong quá trình lưu trữ và truyền tải.

– An ninh vận hành: bao gồm các quy trình, quy định về xử lý và bảo vệ tài sản dữ liệu. Các quyền mà người dùng có khi truy cập mạng và các quy trình xác định cách thức và vị trí dữ liệu có thể được lưu trữ hoặc chia sẻ đều thuộc phạm vi bảo trợ này.

– Phục hồi sau sự cố và tính liên tục của doanh nghiệp: xác định cách thức một tổ chức ứng phó với sự cố an ninh mạng hoặc bất kỳ sự kiện nào khác gây ra tổn thất về hoạt động hoặc dữ liệu. Các chính sách khắc phục sự cố quy định cách tổ chức khôi phục hoạt động và thông tin của mình để trở lại hoạt động như trước khi xảy ra sự cố. Tính liên tục trong kinh doanh là kế hoạch mà tổ chức dựa vào khi cố gắng vận hành mà không có một số nguồn lực nhất định.

– Giáo dục người dùng cuối: giải quyết yếu tố an ninh mạng khó lường nhất: con người. Bất kỳ ai cũng có thể vô tình đưa vi-rút vào một hệ thống an toàn nếu không tuân theo các biện pháp bảo mật tốt. Hướng dẫn người dùng xóa các tệp đính kèm email đáng ngờ, không cắm ổ USB không xác định và nhiều bài học quan trọng khác là rất quan trọng đối với bảo mật của bất kỳ tổ chức nào.

2. Ai hoặc tổ chức nào có thể bị tấn công?

Thực tế là trong thế giới ngày nay, tất cả các tổ chức đều có nguy cơ bị tấn công mạng. Cuộc cách mạng kỹ thuật số đang thúc đẩy sự đổi mới trong kinh doanh, nhưng nó cũng khiến các tổ chức phải đối mặt với các mối đe dọa mới. Các công nghệ mới thú vị như ảo hóa, AI và Cloud… giúp các tổ chức tăng cường tích hợp và giảm chi phí, nhưng chúng cũng đi kèm với rủi ro và khả năng bị lợi dụng. Càng nhiều những con đường khai thác mới đồng nghĩa với việc các tổ chức phải đối mặt với nhiều cuộc tấn công mạng hơn.

Tuy nhiên, đối với nhiều doanh nghiệp, khái niệm về an ninh mạng vẫn còn khá mơ hồ và phức tạp. Mặc dù nó có thể nằm trong chương trình chiến lược nhưng nó thực sự có ý nghĩa gì? Và tổ chức có thể làm gì để củng cố hệ thống phòng thủ và tự bảo vệ mình khỏi các mối đe dọa trên mạng? Một lầm tưởng phổ biến là các cuộc tấn công mạng chỉ xảy ra với một số loại tổ chức, chẳng hạn như các doanh nghiệp công nghệ nổi tiếng hoặc tổ chức tài chính. Tuy nhiên, sự thật là mọi tổ chức đều có nhiều thứ quý giá để mất.

Tổn thất đến từ các cuộc tấn công mạng là rất lớn. Chi phí hữu hình bao gồm từ tiền bị đánh cắp và hệ thống bị hư hỏng, thiệt hại pháp lý và bồi thường tài chính cho các bên bị thiệt hại. Tuy nhiên, điều có thể gây tổn hại nhiều hơn là các chi phí vô hình – chẳng hạn như mất lợi thế cạnh tranh do tài sản trí tuệ bị đánh cắp, mất lòng tin của khách hàng hoặc đối tác kinh doanh, mất tính toàn vẹn do tài sản kỹ thuật số bị xâm phạm và thiệt hại tổng thể đối với danh tiếng và thương hiệu của tổ chức – tất cả những điều này có thể khiến ảnh hưởng mạnh và trong những trường hợp cực đoan, thậm chí có thể khiến một công ty ngừng hoạt động.

3. Ransomware là gì?

Ransomware là phần mềm độc hại sử dụng mã hóa để giữ thông tin của nạn nhân nhằm nhiều mục đích, trong đấy phổ biến nhất là đòi tiền chuộc. Dữ liệu quan trọng của người dùng hoặc tổ chức được mã hóa để họ không thể truy cập tệp, cơ sở dữ liệu hoặc ứng dụng và cần điều kiện để được yêu cầu để cung cấp quyền truy cập này.
Ransomware thường được thiết kế để lây lan trên mạng và nhắm mục tiêu vào cơ sở dữ liệu và máy chủ tệp, do đó có thể nhanh chóng làm tê liệt toàn bộ tổ chức. Các mối đe dọa liên quan đến ransomware ngày càng tăng, gây thiệt hại lên đến hàng tỷ đô la thanh toán cho tội phạm mạng đến từ các doanh nghiệp và tổ chức chính phủ trên toàn thế giới.

4. Phân biệt Hacker mũ đen và Hacker mũ trắng?

Tin tặc là một cá nhân hoặc tổ chức sử dụng các kỹ năng của mình để phá vỡ hệ thống phòng thủ an ninh mạng. Trong thế giới An ninh mạng, tin tặc thường được phân loại theo hệ thống ‘mũ’. Hệ thống này có thể xuất phát từ văn hóa phim cao bồi cũ, nơi các nhân vật tốt thường đội mũ trắng và những nhân vật xấu đội mũ đen.

Có 3 “mũ” chính trong không gian mạng:

– Mũ trắng: Mũ trắng giống như Captain America của Marvel. Họ luôn đứng lên bảo vệ lẽ phải và bảo vệ người dân cũng như các tổ chức nói chung bằng mọi cách tìm và báo cáo các lỗ hổng trong hệ thống trước khi kẻ xấu tìm thấy chúng
Họ thường làm việc cho các tổ chức và đảm nhận các vai trò như Kỹ sư an ninh mạng, kỹ sư kiểm thử thâm nhập, Nhà phân tích bảo mật, CISO (Giám đốc an ninh thông tin) và các vị trí bảo mật khác.

– Mũ xám: Hiệp sĩ bóng đêm của DC và hacker mũ xám có rất nhiều điểm chung. Cả hai đều muốn bảo vệ lẽ phải nhưng lại sử dụng những phương pháp khá độc đáo để làm điều đó.
Hacker mũ xám là sự cân bằng giữa mũ trắng và mũ đen. Trái ngược lại với mũ trắng, họ không xin phép để được tấn công hệ thống, nhưng cũng không thực hiện bất kỳ hoạt động phi pháp nào khác như hacker mũ đen.
Mũ xám có một lịch sử khá gây tranh cãi, một số thậm chí còn phải ngồi tù vì những gì họ làm.

– Mũ đen: Joker là hình tượng so sánh sát nhất cho những hacker mũ đen. Họ thực hiện các hoạt động bất hợp pháp vì lợi ích tài chính, thử thách hoặc đơn giản là để giải trí. Họ tìm kiếm các hệ thống dễ có thể khai thác, khai thác chúng và sử dụng chúng để đạt được bất kỳ lợi thế nào có thể.
Họ có thể sử dụng các biên pháp kỹ thuật và phi kỹ thuật, miễn sao đạt được mục tiêu cuối cùng.

5. Tại sao Hacker tấn công bạn?

Tin tặc là những cá nhân/tổ chức truy cập trái phép vào hệ thống công nghệ thông tin khác với một mục tiêu cụ thể, chẳng hạn như đạt được danh tiếng bằng cách đánh sập hệ thống máy tính, đánh cắp tiền hoặc khiến mạng không khả dụng.

Kinh nghiệm thu được từ những lần tấn công này và sự thỏa mãn bắt nguồn từ việc tấn công thành công có thể trở thành một cơn nghiện. Một số lý do phổ biến để tấn công bao gồm danh tiếng, tò mò, trả thù, buồn chán, thử thách, trộm cắp vì lợi ích tài chính, phá hoại, gián điệp công ty, tống tiền… Tin tặc được biết là thường xuyên trích dẫn những lý do này để giải thích hành vi của họ.

Ngoài ra, một thường hợp rất phổ biến là tin tặc đánh cắp dữ liệu để giả định danh tính và sau đó sử dụng dữ liệu đó cho mục đích khác như vay tiền, chuyển tiền, v.v. Sự xuất hiện của những sự cố như vậy đã tăng lên sau khi dịch vụ mobie banking và Internet banking bắt đầu trở nên phổ biến.

6. Làm thế nào để bảo vệ dữ liệu cá nhân của bạn?

Dưới đây là một số mẹo để đảm bảo thông tin cá nhân của bạn không rơi vào tay kẻ xấu.

a. Tạo mật khẩu mạnh

Khi tạo mật khẩu, hãy nghĩ xa hơn những từ hoặc số mà tội phạm mạng có thể dễ dàng tìm ra, chẳng hạn như ngày sinh của bạn. Chọn kết hợp các chữ thường và chữ hoa, số và ký hiệu và thay đổi chúng theo định kỳ. Bạn cũng nên tạo một mật khẩu duy nhất thay vì sử dụng cùng một mật khẩu trên nhiều trang web, trong trường hợp bạn lo lắng vì khoogn thể nhớ quá nhiều loại mật khẩu thì công cụ quản lý mật khẩu có thể giúp bạn theo dõi.

b. Không chia sẻ quá nhiều trên mạng xã hội

Tất cả chúng ta đều có một người bạn đăng quá nhiều chi tiết về cuộc sống của họ lên mạng. Điều này không chỉ gây phiền nhiễu mà còn có thể khiến thông tin cá nhân của bạn gặp rủi ro. Kiểm tra cài đặt bảo mật của bạn để bạn biết ai đang xem bài đăng của mình và thận trọng khi đăng vị trí, quê quán, ngày sinh hoặc các thông tin cá nhân khác.

c. Thận trọng khi sử dụng Wi-Fi miễn phí

Hầu hết các mạng Wi-Fi công cộng miễn phí đều có rất ít biện pháp bảo mật, điều đó có nghĩa là những người khác sử dụng cùng một mạng có thể dễ dàng truy cập hoạt động của bạn.

d. Coi chừng các liên kết và tệp đính kèm

Tội phạm mạng hoạt động lén lút và thường sẽ thiết kế các âm mưu lừa đảo của chúng để trông giống như các thông tin liên lạc hợp pháp từ ngân hàng, công ty tiện ích hoặc tổ chức doanh nghiệp khác. Hãy để ý những lỗi nhỉ như lỗi chính tả, số hoặc ký tự đặc biệt, sai tên thương hiệu, địa chỉ email khác với người gửi thông thường… đấy có thể là manh mối cho thấyđấy là một cãi bẫy.

e. Kiểm tra xem trang web có an toàn không

Trước khi nhập thông tin cá nhân vào một trang web, hãy xem phần đầu trình duyệt của bạn. Nếu có biểu tượng khóa và URL bắt đầu bằng “https”, điều đó có nghĩa là trang web an toàn. Có một số cách khác để xác định xem trang web có đáng tin cậy hay không, chẳng hạn như chính sách bảo mật của trang web, thông tin liên hệ hoặc con dấu “an toàn đã được xác minh”.

f. Xem xét bảo vệ bổ sung

Cài đặt phần mềm chống vi-rút, phần mềm chống phần mềm gián điệp và tường lửa,… là phương pháp không quá hữu hiệu nhưng nên có để tự bảo vệ bản thân trước những mối đe dọa cấp thấp trong thời địa thế giới phẳng hiện nay.

————————————

Trên đây là một số câu hỏi thường gặp khi mới tiếp cận đến khái niệm An toàn thông tin/an ninh mạng. Nếu có bất kỳ câu hỏi nào không thuộc phía trên, vui lòng liên hệ theo thông tin tại đây để được giải đáp,

Webinar: Hack hacker bằng chiến thuật phòng thủ “đa chiều”

VSEC - BLOG Sự kiện

Ngày 11/07/2023, webinar “Hack hacker bằng chiến thuật phòng thủ “đa chiều” do Công ty Cổ phần An ninh mạng Việt Nam phối hợp cùng Hiệp hội Internet Việt Nam (VIA) tổ chức, đã diễn ra thành công và để lại nhiều ấn tượng tốt đẹp trong cộng đồng IT và doanh nghiệp vừa và nhỏ tại Việt Nam. Bằng những chia sẻ đầy hữu ích của các diễn giả đầy kinh nghiệm trong ngành, webinar đã thu hút sự quan tâm của đông đảo hơn 150 người tham dự. 

 

Câu chuyện bảo mật không chỉ dành riêng cho các doanh nghiệp lớn nữa mà bất kể các đối tượng, bất kỳ doanh nghiệp ở quy mô nào, có phát sinh hay sở hữu nguồn dữ liệu,  thanh khoản lớn đều là mục tiêu nhắm tới của các tội phạm an ninh mạng để trục lợi. 

 

Giám sát an toàn thông tin trong doanh nghiệp

SOC là một trong những xu hướng bảo mật trong 5 năm trở lại đây. Các doanh nghiệp lớn đều đã trang bị cho mình, chỉ một số ít các doanh nghiệp vừa và nhỏ chú ý tới vấn đề này. Trong phần trình bày của mình, anh Vũ Thế Hải – Trưởng phòng Trung tâm giám sát và vận hành ATTT VSEC đã khẳng định: “Các giải pháp về an toàn thông tin không thể ngăn chặn 100% sự cố. Không một bên cung cấp giải pháp cam kết giải pháp của họ có thể ngăn chặn toàn bộ các sự cố tấn công.” Chính vì vậy, khi mà các giải pháp hệ thống, giải pháp, công nghệ, máy móc không giải quyết được, chúng ta cần phải có phương án để phát hiện và xử lý các tấn công, sự cố ấy – đó là bằng con người.  Tại VSEC, SOC luôn đảm bảo theo tiêu chuẩn CREST của Anh, các tiêu chuẩn khác như Azure.

Cần xây dựng SOC càng sớm càng tốt

Thời điểm để bắt đầu SOC

Các doanh nghiệp cần xây dựng SOC càng sớm càng tốt, nên xây dựng ngay sau khi đã trang bị các giải pháp bảo mật cơ bản. Ở thời điểm này số lượng nhân sự, số lượng thông tin và các quy trình chỉ cần ở mức đơn giản, vừa phải để phù hợp với môi trường làm việc. 

Không nhất thiết cần có hệ thống SIEM tập trung, hệ thống thu thập – phân tích các log, có thể sử dụng trực tiếp portal của các giải pháp đó.

 

Cần chuẩn bị những gì để có thể làm việc tại SOC?

Webinar không chỉ dành cho các doanh nghiệp vừa và nhỏ mà còn thu hút rất nhiều bạn sinh viên quan tâm đến công việc tại SOC. Để có thể làm việc tại Trung tâm giám sát an toàn thông tin, các bạn sinh viên cần nắm chắc các kiến thức cơ bản: kỹ năng lập trình, kỹ năng hệ thống, kỹ năng quản lý và sử dụng ứng dụng… Sau đó, củng cố thêm các kỹ năng chuyên sâu hơn về SOC như mã độc, web, các hình thức tấn công phổ biến, viết rule phát hiện ra mã độc….

 

Thực chiến phản ứng Hacker bằng phương pháp Red Team

Khái niệm về Red Team (Đánh giá xâm nhập sâu) đã rất quen thuộc trên thị trường quốc tế. Tuy nhiên, tại Việt Nam hiện nay, khái niệm này vẫn chưa được hiểu rõ, hiểu sâu khiến cho các doanh nghiệp vẫn còn dè dặt trong việc sử dụng Red Team.

Red Team không chỉ được sử dụng trong chiến tranh vũ trang mà giờ đây còn được sử dụng trong chiến tranh trên không gian mạng.

Với kinh nghiệm tham gia đánh giá Red Team cho nhiều tổ chức trong và ngoài nước cho các đơn vị tài chính, ngân hàng… anh Bế Khánh Duy – Trưởng nhóm Dịch vụ chuyên gia khu vực miền Nam của VSEC đã cho biết trong thời đại về việc phát triển an ninh mạng hiện nay, Red Team đã và đang trở thành xu hướng tại Việt Nam, mang lại nhiều lợi ích cho các tổ chức và doanh nghiệp. Trước khi triển khai Red Team, doanh nghiệp cần lên kế hoạch và chuẩn bị kỹ lưỡng để đảm bảo quy trình diễn ra hiệu quả và mang lại kết quả như mong muốn. Dưới đây là một số bước chính mà doanh nghiệp nên thực hiện trước khi triển khai Red Team:

 

  • Xác định mục tiêu: Vạch ra rõ ràng các mục tiêu và mục tiêu của Red Team. Xác định cụ thể phần nào của cơ sở hạ tầng bảo mật, quy trình hoặc nhân sự của tổ chức mà bạn muốn đánh giá và cải thiện. Bên cạnh đó, cũng cần đặt mục tiêu tấn công của Red Team, VD: Hệ thống Internet Banking, Thông tin khách hàng,…
  • Đặt phạm vi (Scope) và các Quy tắc phối hợp (Rules of Engagement): Xác định rõ ràng phạm vi hoạt động của Red Team, bao gồm các hệ thống, mạng và ứng dụng nằm trong phạm vi và những ứng dụng nằm ngoài giới hạn VD: Hệ thống Core-Banking, không thực hiện Phishing lãnh đạo,… Thiết lập các quy tắc tham gia để đảm bảo Red Team hoạt động trong ranh giới pháp lý và đạo đức.
  • Nhận được sự đồng ý của các bên liên quan: Đảm bảo sự chấp thuận và hỗ trợ từ các bên liên quan chính, bao gồm quản lý cấp trên, nhóm CNTT, bộ phận pháp lý và bất kỳ bên liên quan nào khác. Họ nên nhận thức được các mục tiêu, lợi ích và rủi ro tiềm ẩn liên quan đến bài tập của Red Team.

 

“Hiện nay môi trường trên không gian mạng không còn an toàn. Đối với những tổ chức luôn đặt về an toàn công nghệ thông tin lên hàng đầu thì càng phải bảo vệ tài sản dữ liệu của công ty mình. Vì thế nên sử dụng Red Team để có thể tăng khả năng phản ứng của tổ chức và nâng cao kiến thức phòng thủ cho đội ngũ Blue Team của mình”. Anh Bế Khánh Duy khẳng định.

 

“Giám sát An toàn thông tin là giải pháp” trên môi trường Cloud

VSEC - BLOG Bảo mật trên đám mây

Ngày 25/11/2022 vừa qua, Công ty Cổ phần An ninh mạng Việt Nam (VSEC) đã tham dự Hội thảo “An toàn dữ liệu và bảo mật trên môi trường Cloud” do VNG Cloud tổ chức tại Hà Nội.

Hội thảo diễn ra  gồm hai phần chính: Phần 1 là chuyên đề “Mức độ bảo mật của dữ liệu trên hạ tầng Cloud” được chia sẻ bởi diễn giả Bùi Trung Thành – Chuyên gia tư vấn Giải pháp bảo mật của VSEC. Phần 2 là chuyên đề  “Xây dựng kiến trúc bảo mật an toàn trên môi trường Cloud” được chia sẻ bởi diễn giả Nguyễn Hồng Chương – Chuyên gia tư vấn giải pháp Cloud đến từ VNG Cloud. 

Diễn giả Bùi Trung Thành – Chuyên gia tư vấn giải pháp bảo mật VSEC

“Trong những năm gần đây, mỗi năm thị trường điện toán đám mây toàn cầu tăng trưởng khoảng 40%. Thị trường cloud trong nước hiện tại vẫn được chiếm bởi các nhà cung cấp quốc tế. Điều này khiến chúng ta gặp phải rất nhiều những khó khăn, thách thức trong việc đảm bảo an ninh ATTT” – Anh Thành chia sẻ tại hội thảo. Bên cạnh đó, đại diện VSEC cũng đã đưa ra góc nhìn từ một đơn vị cung cấp các dịch vụ về an toàn thông tin, cách thức đảm bảo thông tin khi triển khai trên hệ thống cloud. Anh hy vọng các giải pháp dịch vụ giám sát ATTT của VSEC sẽ giúp ích cho các tổ chức doanh nghiệp xây dựng chiến lược chuyển dịch lên nền tảng điện toán đám mây một cách an toàn nhất.

SOC LÀ GIẢI PHÁP!

Cũng theo anh Thành: “Khi có một  sự cố an toàn thông tin xảy ra, mọi hoạt động kinh doanh của doanh nghiệp đó sẽ bị sụp đổ. Việc xây dựng các hệ thống ở trên cloud, các kỹ sư của doanh nghiệp đã bỏ sót các cấu hình bảo mật và không tuân thủ theo hướng dẫn của nhà cung cấp về cấu hình bảo mật. Điều này đã tạo nên các lỗ hổng để hacker có thể tấn công một cách dễ dàng, tạo ra các vi phạm về an toàn thông tin trên cloud”.

SOC là giải pháp giúp doanh nghiệp hạn chế tối đa thiệt hại do tin tặc gây ra 

Để giải quyết vấn đề trên, đại diện của VSEC đã đưa ra một giải pháp quan trọng và cấp thiết trong tình hình hiện nay. Đó là giải pháp Giám sát an toàn thông tin (SOC) –  giúp các doanh nghiệp phát hiện sớm nhất có thể các hoạt động tấn công của tin tặc và làm giảm thiểu tối đa các thiệt hại mà tin tặc gây ra. Hệ thống này giúp giám sát liên tục và cải thiện tình hình an ninh của tổ chức, cho phép phát hiện, phân tích và ứng phó sự cố hiệu quả. Chỉ riêng năm 2021, Trung tâm SOC của VSEC giám sát và cảnh báo hàng triệu sự kiện ATTT, hỗ trợ nhiều doanh nghiệp ngăn chặn thành công các tấn công vào hệ thống. Hệ thống SOC được cung cấp bởi VSEC có khả năng tùy biến theo lĩnh vực hoạt động, quy mô và nhu cầu riêng của từng tổ chức. Điều này giúp tổ chức thể an tâm về hiệu suất hoạt động và chi phí vận hành một cách hiệu quả.

XÂY DỰNG KIẾN TRÚC BẢO MẬT 

Phần 2 của buổi hội thảo, diễn giả Nguyễn Hồng Chương đã chia sẻ những kiến thức về mô hình bảo mật cho phép các tổ chức vận hành đúng tài nguyên. Bên cạnh đó, anh sẽ đưa ra những giải pháp bảo mật hiện có và kiến trúc bảo mật tối ưu. “Cloud ra đời dưới dạng một dịch vụ, giải quyết được bài toán dịch chuyển nhanh nhưng vẫn an toàn, chi phí hợp lý cho các doanh nghiệp”.

Diễn giả Nguyễn Hồng Chương – Chuyên gia tư vấn giải pháp Cloud của VNG Cloud

Cũng ngay trong buổi hội thảo, các diễn giả cũng đã có phần giải đáp tất cả thắc mắc cho toàn bộ khách mời tham dự. Đánh giá sau hội thảo, các khách mời đều rất hài lòng bởi những kiến thức mà các diễn ra đem lại vô cùng giá trị. Cùng xem thêm các hình ảnh tại sự kiện:

Phá vỡ mọi giới hạn với Red Team – Sứ mệnh mới của An ninh mạng

Redteam Confession Uncategorized VSEC - BLOG

Trong thế giới ngày nay, an ninh mạng quan trọng hơn bao giờ hết. Khi công nghệ tiến bộ, các phương pháp mà tin tặc sử dụng để truy cập trái phép vào dữ liệu nhạy cảm cũng phát triển theo. Một cách mà các tổ chức có thể dẫn đầu cuộc chơi là thông qua Red Team – một phương pháp sử dụng phần mềm và thuật toán để mô phỏng các cuộc tấn công và xác định các lỗ hổng tiềm ẩn trong các biện pháp bảo mật của hệ thống.

red team
Phá vỡ mọi giới hạn với Red Team

Hãy sẵn sàng để bước vào thế giới đầy hứa hẹn của Red Team và khám phá cách dịch vụ này có thể cung cấp một lợi thế vượt trội cho hệ thống an ninh mạng của bạn. Trải qua hành trình thú vị này, chúng ta sẽ khám phá những lợi ích mà Red Team mang lại và lý do tại sao nó trở thành công cụ quan trọng cho các tổ chức trong việc nâng cao an ninh thông tin.

  1. Giả lập tấn công: Phá vỡ mọi giới hạn Red Team sử dụng kỹ thuật giả lập tấn công để mô phỏng các cuộc tấn công thực tế nhằm khám phá các lỗ hổng và điểm yếu trong hệ thống của bạn. Bằng cách thử nghiệm và kiểm tra tường lửa, hệ thống bảo mật và chính sách an ninh, Red Team giúp bạn xác định những vùng yếu cần cải thiện và nâng cao mức độ phòng thủ.
  2. Phân tích đánh giá rủi ro: Định hướng chính xác Red Team thực hiện phân tích đánh giá rủi ro để xác định các mối đe dọa tiềm ẩn và tầm ảnh hưởng của chúng đối với hệ thống của bạn. Từ đó, chúng ta có thể định hình một chiến lược phòng thủ phù hợp, tăng cường khả năng phát hiện và ứng phó với các cuộc tấn công tiềm năng.
  3. Tổ chức kiểm tra thâm nhập: Đối đầu với những tình huống thực tế Red Team tiến hành các cuộc kiểm tra thâm nhập để xâm nhập vào hệ thống của bạn từ bên trong. Bằng cách thử nghiệm tích cực các điểm yếu, Red Team giúp bạn hiểu rõ những cách thức mà một Hacker có thể sử dụng để xâm nhập và điều chỉnh các biện pháp an ninh mạng của bạn dựa trên kết quả thu được.
  4. Tăng cường đào tạo và nhận thức an ninh: Cùng nhau chung tay Red Team không chỉ là một dịch vụ, mà còn là một công cụ để tăng cường đào tạo và nhận thức an ninh trong tổ chức của bạn. Bằng cách hợp tác với Red Team, nhân viên của bạn sẽ nhận được đào tạo chuyên sâu và hiểu rõ hơn về các mối đe dọa và cách phòng ngừa chúng, từ đó nâng cao mức độ an toàn chung của tổ chức.
  5. Đo lường con người, quy trình và công nghệ: Điều quan trọng là đo lường sự tiến bộ để thực sự nhìn thấy sự tăng trưởng. Rất khó để xác định chính xác thời gian xảy ra vi phạm, điều này khiến việc phản hồi chính xác càng khó khăn hơn. Đây là lý do tại sao các bài tập của đội đỏ rất quan trọng. Trong một bài tập của đội đỏ, nhóm sẽ nắm bắt thời gian của từng hành động để đo lường hiệu quả khả năng phát hiện và phản hồi của con người, quy trình và công nghệ.

Thật hợp lý khi chấp nhận rằng Mô phỏng đối thủ đóng vai trò quan trọng trong việc đo lường và cải thiện con người, quy trình và công nghệ của bạn. Trong một cuộc tấn công nguy hiểm thực sự, các tổ chức bắt đầu chấp nhận rằng vi phạm là không thể tránh khỏi. Điều này có nghĩa là họ đang tập trung vào cách phát hiện và phản hồi. Tuy nhiên, vi phạm không nhất thiết có nghĩa là tác động nhất định đối với tổ chức của bạn. Điều quan trọng là phải xây dựng khả năng phục hồi để hành động kịp thời và tránh tác động đến hoạt động kinh doanh. Điều này có thể đạt được bằng cách thực hiện Mô phỏng đối thủ dưới dạng Giao tranh với Red Team & Blue Team.

Nguồn: VSEC tổng hợp

Hành trình của Người hùng chuyển hóa

Con người VSEC Uncategorized

Gắn bó với VSEC từ khi còn là cậu sinh viên thực tập đầy bỡ ngỡ, từng bước trở thành Chuyên viên Đánh giá bảo mật rồi đến Trưởng nhóm Dịch vụ Chuyên gia, anh Bế Khánh Duy đã dành gần 6 năm làm việc và cũng là khoảng thời gian anh thay đổi bản thân và trở thành “Người hùng chuyển hóa” năm 2022 của VSEC.

Anh Duy có chia sẻ một câu nói: “Con người được định nghĩa bằng hai thứ: niềm tin mà họ thay đổi và con người họ chiến đấu vì”. Với anh, niềm tin và con người để anh “chiến đấu” chưa từng thay đổi, vẫn là niềm tin với mục tiêu và tầm nhìn của công ty, vẫn là những anh chị em của đại gia đình VSEC. Thế những, 6 năm là khoảng thời gian đủ dài để anh càng rõ ràng và chắc chắn hơn với niềm tin đó.

Từ một người thuần kĩ thuật, ngại nói, giao gì làm đó, anh Duy đã chuyển hóa bản thân lúc nào không hay, để có thể trở thành một người cởi mở chia sẻ, sẵn sàng nhận trách nhiệm. Đồng hành với VSEC từ lúc là thực tập sinh, chứng kiến thời khắc chuyển giao giữa các thế hệ của VSEC, kế thừa những giá trị độc nhất vô nhị từ nơi đây, anh Duy dần chuyển mình, trở thành phiên bản hoàn thiện hơn, phấn đấu lưu giữ, truyền tải và lôi cuốn mọi người, và dần trở thành người anh chăm sóc những bạn thực tập sinh như cách mà anh được nhận từ các anh chị những ngày ban đầu.

Để tiếp tục con đường thay đổi và hoàn thiện bản thân ngày một tốt hơn, anh Duy đã đưa ra cho mình một quyết định táo bạo – đó chính là Nam tiến, vào Thành phố Hồ Chí Minh với nhiệm vụ mới cùng nhiều trọng trách hơn. Thế nhưng, anh thấy mình vui vẻ và hạnh phúc khi chuyển hóa như hiện tại. Vị trí mới, môi trường mới song những với những giá trị tại VSEC, được học tập, được trau dồi qua từng ngày, anh đã ngày càng chứng minh được bản thân với vị trí Trưởng nhóm Dịch vụ Chuyên gia tại Hồ Chí Minh. Vị trí này như một lời khẳng định cho những nỗ lực, sự chuyển hóa cá nhân của anh Duy trong suốt quá trình gắn bó với VSEC và G-Group.

Lương $4000 không khó nếu bạn có 5 chứng chỉ này

VSEC - BLOG Con người VSEC

Vài năm trở lại đây, an ninh mạng là một ngành rất “hot” trong thế giới rộng lớn của lĩnh vực CNTT, được cả những người trẻ cũng như các tập đoàn trong và ngoài nước quan tâm. Mức thu nhập của một nhân sự an ninh mạng có thể lên tới hàng chục ngàn đô la. Việc sở hữu trong tay những tấm chứng chỉ quan trọng cũng sẽ góp phần nâng cao trình độ cũng như mức thu nhập của bạn trong tương lai.

Tại hội thảo và triển lãm quốc tế về an toàn không gian mạng (Vietnam Security Summit 2021), các chuyên gia an ninh mạng nhận định Việt Nam vẫn là nước có tỷ lệ nhiễm mã độc và hứng chịu những cuộc tấn công mạng thuộc nhóm cao trên thế giới, các hoạt động vi phạm trên không gian mạng cũng có chiều hướng gia tăng.

Tuy nhiên, nguồn nhân lực phục vụ cho công tác đảm bảo an toàn, an ninh mạng hiện nay lại tỉ lệ nghịch với những nguy cơ an ninh, an toàn thông tin. Sự thiếu hụt về nguồn nhân lực chủ yếu nằm ở nhóm các chuyên gia về bảo mật an toàn thông tin có chất lượng cao. Vậy hành trình nào để trở thành những kỹ sư, chuyên gia an ninh mạng tại Việt Nam? Hay cần chuẩn bị những kiến thức, dắt mình những chứng chỉ quốc tế nào để nằm trong tầm ngắm của các doanh nghiệp tuyển dụng?

Để giúp các bạn có cái nhìn rõ ràng hơn và có mục tiêu trong tương lai, chuyên gia VSEC đã chỉ ra 5 chứng chỉ quan trọng mà một chuyên gia an ninh mạng cần phải có sau:

  1. Offensive Security Certified Professional (OSCP)

Chứng chỉ OSCP

Các hacker mũ trắng đều đánh giá OSCP là kỳ thi cấp chứng chỉ an ninh mạng khó nhất. OSCP là một bài kiểm tra nghiêm ngặt, trong thế giới thực dành cho những người kiểm tra thâm nhập, những người muốn thăng tiến sự nghiệp của họ. Để tham gia OSCP, bạn phải có nhiều kinh nghiệm về an ninh mạng. Chắc chắn, bạn cần có kiến ​​thức về ngôn ngữ lập trình như Python cũng như các kỹ năng cơ bản về Linux. Bạn cũng cần biết về mạng TCP / IP.

 Chuyên gia VSEC chia sẻ về chứng chỉ OSCP

  1.                 Certified Information Systems Security Professional (CISSP)

Mặc dù kỳ thi OCSP là khó nhất do khung thời gian ngắn và cách tiếp cận thực hành, nhưng CISSP được coi là đỉnh cao của chứng chỉ an ninh mạng. CISSP dành cho những người kiểm tra khả năng thâm nhập và các chuyên gia an ninh mạng muốn giữ tiêu chuẩn vàng về sự xuất sắc cho chứng nhận an ninh mạng.

Kỳ thi CISSP có 100-150 câu hỏi trắc nghiệm và “cải tiến nâng cao ”, kéo dài trong 3 giờ. Điểm đậu là 700 trên 1000 điểm.

 Chứng chỉ CISSP

  1.                 Offensive Security Web Expert (OSWE)

Chứng chỉ OSWE là một trong những chứng chỉ về bảo mật thuộc Offensive Security – một công ty quốc tế của Mỹ hoạt động trong lĩnh vực bảo mật thông tin, kiểm tra thâm nhập và pháp y kỹ thuật số. Chứng chỉ OSWE là vô giá đối với bất kỳ cá nhân nào đang theo đuổi sự nghiệp bảo mật ứng dụng web.

 Chứng chỉ OSWE

  1.                 Certified Ethical Hacker (CEH)

CEH là một chứng chỉ trình độ trung cấp được cấp bởi Hội đồng Quốc tế về tư vấn Thương mại điện tử (International Council of Electronic Commerce Consultants/ EC-Council) là chứng chỉ mà bất cứ chuyên gia công nghệ thông tin nào muốn theo đuổi sự nghiệp bảo mật cần phải trang bị cho mình. Những chuyên gia sở hữu chứng chỉ CEH có kiến thức và kỹ năng trong các lĩnh vực như kiểm tra thăm dò mạng lưới, điều tra, Trojans, virus, ngăn chặn tấn công hệ thống, tấn công trang chủ, mạng không dây và các ứng dụng web, thâm nhập SQL, mật mã, thâm nhập thử nghiệm, lẩn tránh IDS, tường lửa….

Để tham gia kỳ thi này, bạn cần phải hoàn thành chương trình đào tạo CEH trước. Kỳ thi bao gồm 125 câu hỏi, kéo dài trong 4 giờ.

Chứng chỉ CEH

  1.                 Computer Hacking Forensics Investigator (CHFI)

CHFI là chứng chỉ chuyên gia bảo mật có những kỹ năng và kiến thức để phát hiện, phân tích các bằng chứng kỹ thuật số phức tạp. Đây là một kỳ thi khó, nhưng thời gian ngắn và ít khốc liệt hơn các cuộc thi trên.

     Chứng chỉ CHFI

“Công ty Cổ phần An ninh mạng Việt Nam (VSEC) với 20 năm kinh nghiệm là thành viên của tập đoàn công nghệ G-Group (được tạp chí nhân sự hàng đầu châu lục HR Asia bình chọn là nơi làm việc tốt nhất châu Á 2 năm liên tiếp). VSEC sở hữu đội ngũ các chuyên gia hàng đầu và đạt được nhiều thành tựu trên thị trường quốc tế – dẫn đầu đổi mới trong lĩnh vực điều tra và phân tích các mối đe dọa ATTT. VSEC cũng là đơn vị đầu tiên hoạt động đánh giá An toàn thông tin tại Việt Nam, đồng thời cũng là nhà cung cấp dịch vụ bảo mật đầu tiên tại Việt Nam đạt chứng nhận CREST cho dịch vụ đánh giá bảo mật – Pentest và Giám sát an toàn thông tin – SOC. VSEC đã hợp tác tổ chức Đào tạo – Diễn tập cho nhiều đơn vị lớn trong nước như: Tập đoàn Điện lực Việt Nam và các đơn vị thành viên, Bộ y tế, Ngân hàng nhà nước, Bộ ban ngành các tỉnh, thành phố,…”

Chuyển dịch lên Cloud, doanh nghiệp cần có cách tiếp cận an toàn bảo mật mới

Bảo mật trên đám mây Con người VSEC VSEC - BLOG

Theo các chuyên gia, môi trường Cloud thay đổi nhanh chóng hàng ngày và các doanh nghiệp, tổ chức rất khó theo kịp, vì thế đòi hỏi các đơn vị phải có cách tiếp cận an toàn thông tin hoàn toàn mới.

Để đạt được hiệu quả cao trong công việc cũng như đạt mục tiêu phát triển, đưa sản phẩm đến thị trường một cách nhanh chóng nhất, thời gian gần đây, các tổ chức, doanh nghiệp trên thế giới cũng như tại Việt Nam đã liên tục chuyển dịch khối lượng công việc của đơn vị mình lên môi trường đám mây (Cloud) với tốc độ nhanh chóng.

Nghiên cứu của CyberSecurity Insider và Fortinet cho thấy, có tới 39% các tổ chức được khảo sát cho biết họ đã chuyển dịch hơn 1 nửa khối lượng công việc lên Cloud, trong khi 58% các tổ chức đang có kế hoạch như vậy trong 12-18 tháng tới.

CEO VSEC Trần Thanh Long chia sẻ tại phiên chuyên đề an toàn thông tin của Smart Banking 2022.

Trao đổi với phóng viên VietNamNet bên lề sự kiện Smart Banking 2022, ông Trần Thanh Long, Giám đốc Điều hành Công ty cổ phần An ninh mạng Việt Nam – VSEC cũng khẳng định, dịch chuyển lên môi trường Cloud không còn là xu hướng mà đã trở thành yêu cầu bắt buộc với các tổ chức, doanh nghiệp, đặc biệt với các ngân hàng, tổ chức tài chính.

Những ưu điểm vượt trội của Cloud đem lại cho các tổ chức, doanh nghiệp lợi thế cạnh tranh rất lớn về mặt kinh doanh, giúp các tổ chức tập trung vào lĩnh vực kinh doanh chính, giảm rất nhiều thời gian đưa các dịch vụ vào hoạt động, đặc biệt các tổ chức tài chính, ngân hàng.

Đại diện VSEC nêu dẫn chứng, theo một nghiên cứu, trong 3 năm từ 2018 đến 2020, có tới 99,8% các CIO, nhà hoạch định chiến lược tham gia khảo sát đều muốn chuyển dịch lên môi trường Cloud. Trên thế giới, hiện Amazon Web Services vẫn dẫn đầu thị trường dịch vụ Cloud với 45% thị phần, tiếp theo là Azure 18% và Google Cloud Platform là 5%.

Còn tại Việt Nam, thời gian qua, nhiều tổ chức, doanh nghiệp cũng đã chuyển dịch một phần công việc lên Cloud. Định hướng của Việt Nam trong thời gian tới là đến năm 2025 sẽ có 100% các cơ quan chính phủ sử dụng điện toán đám mây, 70% các doanh nghiệp Việt Nam sử dụng dịch vụ điện toán đám mây do doanh nghiệp nội cung cấp.

“Chuyển dịch lên môi trường đám mây đã trở thành yêu cầu bắt buộc với các cơ quan, tổ chức, doanh nghiệp”, đại diện VSEC nhấn mạnh.

Tuy vậy, trong xu thế chuyển dịch lên môi trường Cloud, các chuyên gia cũng chỉ rõ, các doanh nghiệp, tổ chức phải đối mặt với thách thức lớn về đảm bảo an toàn thông tin mạng, trong đó có việc bảo vệ thông tin, dữ liệu.

Bàn về vấn đề này, chuyên gia Nguyễn Gia Đức, Giám đốc quốc gia, Fortinet Việt Nam cho hay, việc duy trì hệ thống “on-premise” truyền thống và đẩy một phần khối lượng công việc lên môi trường Cloud, cũng như việc lựa chọn đa đám mây, sẽ giúp các doanh nghiệp linh hoạt trong việc triển khai các ứng dụng, nhưng đồng thời cũng tiềm ẩn các mối đe dọa khi dữ liệu, ứng dụng không được quản lý tập trung, mà bị phân tán.

Đồng quan điểm, CEO Công ty VSEC Trần Thanh Long phân tích, rủi ro và thách thức về an toàn thông tin mạng khi dịch chuyển lên môi trường Cloud đến từ cách thức vận hành của môi trường Cloud hoàn toàn khác xa so với môi trường truyền thống.

“Không những thế, môi trường Cloud cũng thay đổi nhanh chóng hàng ngày và các doanh nghiệp rất khó theo kịp, việc này đòi hỏi một cách tiếp cận an toàn thông tin hoàn toàn mới. Cuối cùng là nhân sự trong lĩnh vực an toàn thông tin nói chung và an toàn thông tin cho hệ thống cloud nói riêng đang thiếu hụt nghiêm trọng”, ông Nguyễn Thanh Long nhận định.

Với riêng các đơn vị trong lĩnh vực tài chính, ngân hàng, từ thực tế cung cấp dịch vụ cho ngân hàng, CEO Công ty VSEC cho hay: “Các ngân hàng, tổ chức tài chính bắt buộc phải dịch chuyển lên môi trường Cloud để tăng khả năng cạnh tranh trong kinh doanh. Và điều còn thiếunhất với các ngân hàng chính là nhân sự có chuyên môn cao về Cloud, đặc biệt trong lĩnh vực an ninh thông tin mạng”.

Lựa chọn hợp tác hay thuê ngoài với các nhà cung cấp dịch vụ an toàn thông tin chuyên nghiệp là một giải pháp các doanh nghiệp, tổ chức có thể cân nhắc khi chuyển dịch lên Cloud. (Ảnh minh họa)

Đưa ra khuyến nghị với doanh nghiệp, tổ chức, chuyên gia VSEC cho biết, có một số hướng tiếp cận có thể giúp các đơn vị có thể xem xét, đó là sử dụng các đơn vị tư vấn về chiến lược dịch chuyển lên Cloud cũng như tư vấn, thiết kế kiến trúc Cloud chuyên nghiệp. Điều này sẽ giảm thiểu rất nhiều rủi ro ngay từ đầu.

Về an toàn thông tin mạng, việc lựa chọn hợp tác hay thuê ngoài với các nhà cung cấp dịch vụ bảo mật chuyên nghiệp (MSSP) để hỗ trợ vận hành hệ thống có thể giúp các ngân hàng, tổ chức tài chính tập trung vào lĩnh vực kinh doanh chính. Bởi lẽ, các MSSP là những đơn vị tập trung vào chuyên môn sâu, có lực lượng đầy đủ cũng như các quy trình, công nghệ hoàn toàn tuân thủ theo tiêu chuẩn quốc tế.

Còn theo ông Nguyễn Gia Đức, tham gia vào môi trường Cloud, các cơ quan, tổ chức, doanh nghiệp Việt Nam cũng cần luôn lưu ý về mô hình chia sẻ trách nhiệm giữa nhà cung cấp Cloud với doanh nghiệp nhằm chủ động bảo vệ cho các ứng dụng, dữ liệu của đơn vị mình khi chuyển dịch lên Cloud.

“Đưa ra chiến lược bảo mật toàn diện, có khả năng giám sát và bảo vệ ứng dụng, dữ liệu chuyển dịch giữa nền tảng đa đám mây cũng như là hỗn hợp giữa môi trường Cloud và “on-premise” là cách để doanh nghiệp đảm bảo tốt nhất tài sản thông tin, dữ liệu của mình trên nền tảng lưu trữ tiên tiến này”, chuyên gia Fortinet Việt Nam đề xuất.

 

Nguồn: https://ictnews.vietnamnet.vn/chuyen-dich-len-cloud-doanh-nghiep-can-co-cach-tiep-can-an-toan-bao-mat-moi-5003577.html