Giao dịch trực tuyến gia tăng, kéo theo những nguy cơ, thách thức về ATTT
Dẫn thông tin từ báo cáo của Mckinsey trong năm 2020 về hành vi tiêu dùng trên toàn cầu, ông Lê Hoàng Đương cho biết, trong nhóm các quốc gia phát triển như Anh, Mỹ, Pháp thì tỷ lệ sử dụng tiền mặt trong quá trình giao dịch tương đối thấp. Nhưng đối với các nước đang phát triển, tỷ lệ này còn tương đối lớn, tuy nhiên thời gian vừa qua cũng đã bắt đầu xu hướng chuyển dịch sang nền tảng mới đó là thanh toán trực tuyến.
"Với số lượng các kênh thanh toán điện tử ngày càng phong phú và đa dạng, đó cũng là một trong những mục tiêu của các nhà cung cấp hàng hóa, bởi họ muốn tăng trải nghiệm cho người sử dụng, đón người tiêu dùng nhiều nhất đến với họ và tăng chỉ số doanh thu. Khi số lượng giao dịch trực tuyến tăng lên đồng nghĩa với việc chúng ta phải đối diện với nguy cơ, thách thức về ATTT, làm sao để toàn bộ giao dịch có thể diễn ra một cách an toàn", ông Đương chia sẻ.
Theo phân tích của KPMG, trong chuỗi quy trình công nghệ, con người luôn là mắt xích yếu nhất trong lĩnh vực ATTT. Đánh giá của KPMG tại Anh và Mỹ có đến 43 các lỗi liên quan đến ATTT hoàn toàn là do lỗi của con người hoặc gián tiếp do con người gây ra. Điều này cho thấy, đầu tư về con người lĩnh vực ATTT, đặc biệt trong giao dịch điện tử là một vấn đề vô cùng quan trọng và cấp thiết.
Trong 5 năm trở lại đây, nhận thức về ATTT là một yếu tố vô cùng quan trọng. Nó ảnh hưởng trực tiếp đến kinh tế, sự phát triển, uy tín của các tổ chức, DN.
Từ thực tế đó, FPT đã quyết định thành lập một Trung tâm An ninh mạng (FPT IS) gồm các chuyên gia đầu ngành của hệ thống thông tin FPT cung cấp các dịch vụ liên quan đến đánh giá lỗ hổng và bảo mật, dịch vụ về giám sát ATTT 24/7 giúp đảm bảo ATTT trong giao dịch trực tuyến cho khách hàng.
FPT IS chia sẻ "chìa khóa" bảo mật ATTT trong giao dịch trực tuyến
Tiên phong trong lĩnh vực công nghệ số, chia sẻ tại Hội thảo - Triển lãm Quốc tế Ngày ATTT Việt Nam 2021, Giám đốc Trung tâm An ninh mạng FPT IS đã đưa ra một số giải pháp mà công ty đã và đang đồng hành cùng các khách hàng cung cấp cho họ các dịch vụ đa dạng từ tấn công đến phòng thủ.
Về giao dịch điện tử, ông Đương cho biết FPT IS đang chia ra 3 nhóm giải pháp gồm các dịch vụ liên quan đến tư vấn, các dịch vụ liên quan đến đánh giá lỗ hổng và bảo mật, dịch vụ về giám sát ATTT 24/7.
Theo ông Đương, các giải pháp mà FPT IS cung cấp sẽ mang lại giá trị cho tổ chức và khách hàng, bảo vệ thông tin và tăng cường uy tín, sự tin tưởng của tổ chức, đối tác hay khách hàng.
Đối với dịch vụ tư vấn tuân thủ, hiện tại FPT IS đang cung cấp hai dịch vụ chính tư vấn cho khách hàng đó là dịch vụ ISO27001 và dịch vụ tư vấn và đánh giá cấp chứng chỉ về PCI DSS.
Chứng chỉ PCI DSS là tiêu chuẩn về an ninh thông tin áp dụng cho các DN sử dụng, lưu trữ, truyền tải các dữ liệu về thẻ. Hiện tại, FPT là doanh nghiệp Việt Nam đầu tiên sở hữu chứng chỉ QSA (Qualified Security Assessor), tức là có đủ năng lực về con người, công nghệ để có thể tư vấn, đánh giá, cấp chứng chỉ bảo mật cho các DN, các tổ chức tài chính, tổ chức ngân hàng đạt tiêu chuẩn PCI DSS (Data Security Standard).
Với tiêu chuẩn về PCI DSS sẽ giúp cho các tổ chức, DN trong lĩnh vực tài chính ngân hàng đặc biệt các tổ chức liên quan đến thẻ hoặc các tổ chức liên quan đến ví điện tử, thương mại điện tử bảo vệ các dữ liệu thẻ, thông tin thẻ của khách hàng trong quá trình sử dụng, lưu trữ, xử lý hoặc truyền tải dữ liệu thẻ nhằm hạn chế các lỗ hổng bảo mật và rủi ro bị đánh cắp thông tin. Trên cơ sở đó sẽ tạo được niềm tin của khách hàng khi sử dụng dịch vụ, giúp nâng cao uy tín khi cung cấp dịch vụ ra bên ngoài.
Nếu như giải pháp về PCI DSS chỉ tập trung vào lĩnh vực tư vấn, đánh giá về hệ thống liên quan đến lưu trữ, truyền tải và xử lý về thẻ, thanh toán thẻ thì FPT cũng cung cấp dịch vụ tư vấn tuân thủ ISO 27001. Đây là tiêu chuẩn bảo mật giúp các DN xây dựng toàn bộ bộ máy, quy trình hoạt động cũng như tổ chức con người làm sao cho phù hợp trong quá trình hoạt động kinh doanh là đáp ứng các tiêu chuẩn về bảo mật ATTT giảm thiểu rủi ro đến mức có thể các nguy cơ về lộ lọt thông tin.
Ngoài ra, ông Đương cho biết, khi cung cấp dịch vụ trực tuyến thì chúng ta luôn phải đối mặt với các nguy cơ khai thác các lỗ hổng bảo mật. Do đó, FPT IS cũng cung cấp các dịch vụ liên quan đến việc đánh giá kịp thời, đánh giá phát hiện sớm, xây dựng các phương án khắc phục khi phát hiện lỗ hổng.
Trên thực tế, không có một hệ thống nào đảm bảo an toàn 100%, mà hệ thống CNTT chỉ tồn tại ở hai trạng thái đó là đã bị tấn công và chưa bị tấn công. Chính vì vậy, nhu cầu giám sát liên tục 24/7 về ATTT vô cùng bức thiết trong thời đại ngày nay.
Tuy nhiên, theo ông Đương việc triển khai một giải pháp giám sát 24/7 của mỗi DN hiện nay tương đối khó khăn, phải đầu tư về cơ sở vật chất, về con người, về quy trình là tương đối lớn. Do vậy, thay vì các DN phải đầu tư lần lượt những yếu tố đó thì FPT IS đã xây dựng sẵn một nền tảng và khách hàng chỉ việc sử dụng các nền tảng đó.
"Có rất nhiều DN triển khai về dịch vụ giám sát ATTT và FPT là một trong những DN đó nhưng phương pháp luận của chúng tôi cũng tương đối khác", ông Đương chia sẻ.
Cụ thể, triển khai dịch vụ giám sát về ATTT, FPT IS dựa trên 4 phương pháp luận.
Record: Cố gắng ghi lại toàn bộ tất cả sự kiện đang diễn ra trên hệ thống một cách chi tiết và tỉ mỉ sao cho không để lộ lọt bất cứ thông tin gì, biến những thứ không thể nhìn được đó là các tệp dữ liệu đã khóa thành có thể nhìn được khi chúng tôi thực hiện phân tích và điều tra.
Detect: Xây dựng những kỹ thuật có khả năng phát hiện sớm các cuộc tấn công.
Investigate: Tập trung đầu tư về mặt con người, phát triển các đội ngũ chuyên gia để khi có một sự cố nào đó xảy ra thì thời gian xử lý sự cố có thể diễn ra một cách nhanh nhất.
Act: Cố gắng thực hiện tự động hóa một cách nhiều nhất có thể hoặc đối với các hành động cần phải xử lý một cách thủ công thì thời gian xử lý được đo đạc để sao cho giảm thiểu những rủi ro tác động lên hệ thống.
Ông Đương cho biết: "Điểm khác biệt trong giải pháp của FPT IS đối với các công ty khác trên thị trường đó là chúng tôi tận dụng lại toàn bộ tất cả những giải pháp mà khách hàng và các DN đang có để giúp họ tối ưu hóa về mặt đầu tư. Toàn bộ hệ thống về thông tin liên quan đến các sự kiện diễn ra của khách hàng được lưu trữ tại phía khách hàng và không nhất thiết gửi về nền tảng giám sát của chúng tôi để xử lý. Đó là một trong những tính linh hoạt cũng như khả năng về đảm bảo ATTT, tránh bị lộ lọt thông tin ra bên ngoài".
Đặc biệt, FPT IS còn có các giải pháp giám sát 24/7 dành cho các doanh nghiệp vừa và nhỏ với đối tượng giám sát nhỏ hơn. Với những bộ giải pháp về ATTT này, ông Đương khẳng định FPT IS không chỉ đồng hành bảo vệ các DN lớn mà các DN nhỏ tham gia vào quá trình giao dịch điện tử cũng sẽ được bảo vệ nhiều nhất có thể./.
