Định vị an toàn thông tin trong doanh nghiệp

(TBKTSG) - Các vụ việc rò rỉ thông tin khách hàng, nhân viên được cho là của doanh nghiệp trong thời gian gần đây cho thấy an toàn thông tin (ATTT) trong doanh nghiệp còn nhiều bất cập.
Năm 2018 được xem là năm mạng xã hội ở Việt Nam lên ngôi, đặc biệt là Facebook, kéo theo nhiều sự cố ATTT phát sinh từ môi trường này. Ông Võ Đỗ Thắng, Giám đốc Trung tâm Đào tạo an ninh mạng Athena, tiết lộ rằng năm nay hệ thống của trung tâm ghi nhận rất nhiều trường hợp tấn công, chiếm đoạt tài khoản Facebook và thông tin lưu trữ trong Facebook như qua chat, qua mối quan hệ kết bạn. Kẻ tấn công khai thác để trục lợi, hoặc làm khủng hoảng chủ tài khoản.

Có những tài khoản Facebook, chủ tài khoản đã đầu tư hàng tỉ đồng để xây dựng nội dung, mua quảng cáo, giao tiếp, mua bán trực tuyến... bỗng chốc mất tài khoản truy cập, bị thiệt hại vô cùng nặng nề. Thông qua việc tham gia hỗ trợ khôi phục nhiều tài khoản Facebook, các chuyên gia an ninh mạng của Athena đã phát hiện ra nhiều thông tin quan trọng về xu hướng xâm nhập và tấn công, khai thác các lỗ hổng đang tồn tại ở các doanh nghiệp, tổ chức.

Lúng túng trong đánh giá, đầu tư ATTT

Theo báo cáo hiện trạng ATTT tại khu vực phía Nam năm 2018 (thực hiện khảo sát các cơ quan, doanh nghiệp với những câu hỏi về vấn đề chung và cả đặc thù), nhìn chung xu hướng phát triển ATTT đang trên đà tích cực. Chính phủ nỗ lực trong công tác xây dựng hệ thống pháp lý nhằm đảm bảo an toàn an ninh thông tin.

Các biện pháp kỹ thuật đảm bảo ATTT năm nay có những chuyển biến đáng kể, bên cạnh các giải pháp kỹ thuật truyền thống như anti-virus, tường lửa, ghi log..., các doanh nghiệp đã bắt đầu triển khai Hệ thống quản lý thông tin và sự kiện ATTT (Security Information and Event Management - SIEM). Đây là một thành phần quan trọng và là sự đầu tư chiếm tỷ trọng lớn trong Hệ thống trung tâm vận hành ATTT (Security Operation Center - SOC) của doanh nghiệp. Các cơ quan, doanh nghiệp đã triển khai các biện pháp bảo vệ dữ liệu, phòng chống tấn công máy chủ, lưu trữ dự phòng, chống mã độc, kiểm soát truy cập từ xa...

Tuy nhiên báo cáo nói trên cũng chỉ ra một số bất cập đáng lưu ý. Đánh giá hệ thống, phân cấp hệ thống công nghệ thông tin theo cấp độ, định vị giá trị tài sản cần bảo vệ luôn là vấn đề khó khăn, lúng túng của doanh nghiệp. Các mối nguy cơ có yếu tố từ bên trong, từ nội bộ và từ nhân viên cũ đang là nỗi lo lắng của các doanh nghiệp. Bên cạnh đó, chính sách ATTT chưa được đầu tư xây dựng nghiêm túc, nhiều doanh nghiệp có chính sách ATTT nhưng không khả thi, thiếu biện pháp triển khai giám sát đánh giá. Đây chính là một điểm yếu của các cơ quan, doanh nghiệp Việt Nam.

Việc xây dựng hệ thống quản lý ATTT (Information Security Management System - ISMS) theo chuẩn quốc tế ISO 27001 hoặc tiêu chuẩn Việt Nam TCVN 11930:2017 về bảo đảm ATTT theo cấp độ vẫn còn rất xa lạ với các doanh nghiệp. Có tới 70% doanh nghiệp trả lời “không” khi được hỏi về việc áp dụng các chuẩn này, bằng với tỷ lệ khảo sát năm ngoái, cho thấy dường như doanh nghiệp chưa có tiến bộ gì trong định hướng này. Về bố trí nhân sự cho ATTT, có tới 80% tổ chức chưa có bộ phận chuyên trách. Đầu tư công nghệ, phát triển nhân sự, triển khai chính sách vẫn còn nhiều thách thức, khi có tới 39% đơn vị cho rằng “chưa được lãnh đạo quan tâm đúng mức” là khó khăn chính cho chương trình ATTT.

Chỉ một số ít tiếp tục theo nghề ATTT

Trao đổi về nguồn nhân lực, ông Ngô Vi Đồng, Phó chủ tịch Hiệp hội ATTT Việt Nam (VNISA), Chủ tịch chi hội phía Nam, khẳng định, nguồn nhân lực ATTT hiện tại chưa đáp ứng được yêu cầu của các cơ quan, doanh nghiệp. Nguồn lực chính chủ yếu đến từ các trường đại học đào tạo chuyên ngành ATTT, một số được đào tạo lại hoặc đào tạo ngắn hạn qua các trung tâm đào tạo về ATTT. Đặc thù của nghề ATTT đòi hỏi phải cập nhật kiến thức liên tục, phải được thực hành trên các thiết bị và công nghệ mới, nếu không sẽ không theo kịp sự phát triển của công nghệ. Một thực tế đáng buồn là đầu ra của nguồn nhân lực ATTT thiếu môi trường cọ xát, cho nên chỉ một số ít tiếp tục theo nghề ATTT. Việc này ảnh hưởng không nhỏ đến toàn bộ cục diện của ATTT, trong khi thực tế nhu cầu về ATTT lại yêu cầu nguồn lực phải có chất lượng cao để đảm nhận công việc chống trả với các cuộc tấn công ngày một tinh vi, nguy hiểm khó lường.

TP HCM đang triển khai các dự án xây dựng đô thị thông minh, trong đó có đề án xây dựng Trung tâm đảm bảo ATTT, chắc chắn thành phố sẽ cần một lực lượng chuyên gia về công nghệ thông tin và ATTT có chất lượng cao. Để làm được điều đó, thành phố cần có những chính sách phù hợp để thu hút nguồn lực, gìn giữ và phát triển nguồn lực ATTT. Dự báo trong thời gian tới, nguồn lực ATTT sẽ tập trung nhiều vào các công ty cung cấp dịch vụ ATTT chuyên sâu (nơi có môi trường cọ xát và phát triển), và trong vòng 3-5 năm tới thì thành phố nói riêng, cả nước nói chung vẫn còn thiếu hụt nguồn lực ATTT cả về chất lượng lẫn số lượng.

Xây dựng nguồn nhân lực ATTT là không chỉ là nhiệm vụ của ngành giáo dục, mà còn của các cơ quan, doanh nghiệp đang sử dụng nguồn lực. 

Bạch Đông
Saigontimes
0 Nhận xét