Làm gì để bảo mật an toàn thông tin trên không gian mạng?

Trong thời đại công nghệ len lỏi vào mọi khía cạnh của cuộc sống, các cơ sở hạ tầng viễn thông, công nghệ thông tin được xây dựng khá đồng bộ; hầu hết các ngành, các lĩnh vực đều được số hóa cơ sở dữ liệu và ứng dụng công nghệ thông tin để nâng cao hiệu quả quản lý, giảm thiểu thủ tục hành chính…. Cùng với đó, lượng người dùng internet ở nước ta ngày một nhiều thì việc bảo vệ an toàn thông tin trở thành vấn đề cấp thiết khi thời gian gần đây, các vụ tấn công mạng ngày càng gia tăng.

Ông Hà Thế Phương – Quyền Tổng giám đốc Công ty CMC Cyber Security (Công ty TNHH an ninh an toàn thông tin - CMC) cho biết: Bảo mật phải đảm bảo 3 tính chất của hệ thống thông tin và dữ liệu, đó là tính bí mật, tính sẵn sàng và tính toàn vẹn. Khi xảy ra sự cố, thiệt hại sẽ dựa vào độ quan trọng của hệ thống CNTT, dữ liệu đối với hoạt động kinh doanh sản xuất của tổ chức đó. Tổ chức càng lớn và có các dữ liệu mật, quan trọng như chính phủ, công an, quốc phòng thì ảnh hưởng sẽ khác mà một tổ chức có nhà máy và dây chuyền sản xuất bị đình trệ thì ảnh hưởng lại khác.

Trong những năm gần đây, có một kiểu làn sóng tấn công được tội phạm mạng ưa chuộng, sử dụng nhiều đó là sử dụng công cụ Ransomware – mã độc đòi tiền chuộc. Loại mã độc này là hành động mã hóa dữ liệu. Hiệu quả vì đưa cho nạn nhân một hy vọng, nạn nhân không thể truy cập được, nếu trả tiền để giải mã dữ liệu (thuộc về tay kẻ tấn công) thì sẽ được giải mã nếu muốn. Mã độc ẩn mình đánh cắp thông tin là loại được tội phạm mạng sử dụng nhiều và các kỹ thuật lừa đảo nhắm vào người dùng cá nhân.

Đại dịch Covid và xu hướng chuyển đổi số, làm việc, học tập từ xa là một nguyên nhân chính dẫn tới số lượng tin tặc tấn công nhiều. Khi chuyển đổi số, làm việc từ xa sẽ tạo thêm điểm tấn công cho hacker. Điều này dễ hiểu thôi khi các tổ chức cá nhân sẽ ưu tiên việc có hệ thống để duy trì công việc hơn là kiện toàn các hệ thống đó và thực sự là các cá nhân và tổ chức cũng chưa có độ quan tâm nhất định cho việc bảo vệ dữ liệu hay hệ thống của mình.

Khi một tổ chức bị tấn công, việc mà các nạn nhân hay muốn thực hiện ngay đó là khôi phục lại hiện trạng ban đầu của hệ thống để tiếp tục hoạt động sản xuất kinh doanh. Tuy nhiên nếu đứng về góc nhìn của những người làm bảo mật thì công việc xác định nguyên nhân gốc rễ vấn đề là việc cần thiết hơn, vì nó sẽ giúp cho tổ chức không bị lại tình trạng tương tự lần thứ 2. Việc khôi phục lại hệ thống là cần thiết nhưng nó chỉ là hành động tức thời để xử lý sự cố. Tuy nhiên để xác định nguyên nhân gốc rễ vấn đề thì sẽ cần làm các công việc mang tính chuyên môn cao hơn như điều tra số, truy vết trên hệ thống…

Về phía cơ quan, tổ chức, mỗi vụ tấn công mạng đều gây ra rất nhiều thiệt hại nhưng về phía cá nhân, mỗi ngày có rất nhiều người đều thông báo mình bị đánh cắp dữ liệu cá nhân, mất tài khoản facebook…. Từ đó những kẻ đánh cắp hoặc chiếm đoạt tài khoản đều gây ra những vụ lừa đảo từ tài khoản đó. Nói về phương diện bảo mật thông tin cá nhân hay quyền riêng tư dữ liệu thì đây lại là một vấn đề khác. Người dùng cá nhân thường sẽ bị đánh cắp dữ liệu cá nhân theo 2 cách: Một là tự nguyện đưa dữ liệu cá nhân cho kẻ gian, có thể qua các hình thức lừa đảo (trực tiếp hay online), hai là bị lộ lọt thông tin từ các vụ hack các tổ chức cung cấp dịch vụ. Chính vì vậy, không có cách nào khác ngoài việc chúng ta nên tìm hiểu và nâng cao nhân thức về bảo mật của mỗi cá nhân, từ đó nhận biết được các dấu hiệu lừa đảo để tránh. Cùng với đó là trách nhiệm của các tổ chức cung cấp dịch vụ. Các tổ chức này nên đầu tư các hình thức bảo mật chuyên nghiệp để bảo vệ dữ liệu khách hàng của mình. Tuy nhiên hiện nay Việt Nam chúng ta còn thiếu những chế tài để nâng cao trách nhiệm bảo vệ dữ liệu người dùng đối với những tổ chức cung cấp dịch vụ.

Luật sư Trần Xuân Tiền – Văn phòng luật sư Đồng Đội cho biết: Hiện nay, hành vi sử dụng các thủ thuật về công nghệ thông tin để tấn công vào mạng của cơ quan, tổ chức, cá nhân diễn biến hết sức phức tạp. Dù là vô tình hay cố ý, lường trước hoặc không lường trước hậu quả thì hành vi này vẫn phải được xử lý nghiêm minh theo quy định của pháp luật để đảm bảo an toàn, an ninh mạng. Tùy tính chất mức độ vi phạm, đối tượng có thể bị xử lý hành chính hoặc truy cứu trách nhiệm hình sự, nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật. Tùy tính chất mức độ vi phạm đối tượng có thể bị xử lý hành chính hoặc truy cứu trách nhiệm hình sự với mức phạt cũng tương đối nặng, cao nhất là 12 năm tù giam, thấp nhất là 6 tháng tù giam. Ngoài ra, người phạm tội còn bị xử phạt 30 – 200 triệu đồng và cấm hành nghề hoặc làm công việc nhất định từ 1 – 5 năm. Quy định là vậy, thế nhưng hiện nay việc vi phạm trên môi trường mạng có rất nhiều các kĩ thuật để che vết hay làm chậm quá trình điều tra, truy vết mà việc kiếm tiền từ lừa đảo thì lại quá dễ dàng và mang lại hiệu quả cao, nhất là đối với các vụ việc liên quan tới mã độc mã hóa tống tiền.

Ông Hà Thế Phương – Quyền Tổng giám đốc Công ty CMC Cyber Security khuyến cáo: Để hạn chế đến mức thấp nhất các vụ tấn công mạng, với cá nhân, hãy bỏ chút thời gian tìm hiểu những điều cơ bản về bảo mật, nó như việc bạn tự tìm hiểu cách bảo vệ sức khỏe cho mình vậy. Và hãy lựa chọn kỹ càng những dịch vụ online mà có thu thập dữ liệu cá nhân, dữ liệu tài chính của mình (xem có tin cậy không), sử dụng các công cụ bảo mật mà các nhà cung cấp dịch vụ có sẵn (ví dụ sử dụng xác thực đa yếu tốt qua điện thoại).

Với các cơ quan tổ chức lớn nếu chưa có các chiến lược bảo mật riêng của mình, hãy thực hiện theo các quy định bảo mật của tổ chức hoặc của quản lý ngành đưa ra, hoặc nghiên cứu áp dụng các tiêu chuẩn / mô hình bảo mật cơ bản của quốc tế phù hợp với ngành hoạt động của tổ chức.

Các cơ quan tổ chức với quy mô vừa và nhỏ cần xác định các rủi ro về bảo mật có thể có đối với hoạt động của tổ chức mình (ví dụ tổ chức bán hàng qua hệ thống website thì rủi ro sẽ nằm tại hệ thống website đó nếu bị đình trệ), và lựa chọn các hình thức bảo vệ vừa phải với quy mô và năng lực quản lý của tổ chức. Hiện đang có rất nhiều các giải pháp software-as-a-service hay platform-as-a-service phù hợp với các doanh nghiệp, tổ chức vừa và nhỏ với hình thức pay-as-you-use “dùng đến đâu trả tiền đến đó” và không cần đầu tư lớn ban đầu.

Mời nghe cuộc trao đổi với ông Hà Thế Phương tại đây: