Xu hướng tấn công chuỗi cung ứng gia tăng
Tại châu Âu, có tới 60% các cuộc tấn công nhắm vào mã nguồn phần mềm, khai thác lỗ hổng phần mềm, từ đó xâm nhập các hệ thống, đính kèm và phát tán mã độc đến các bên sử dụng sản phẩm dịch vụ của nhà cung cấp. Xu hướng tấn công phổ biến tiếp theo là tấn công lừa đảo (phishing) nhắm vào mắt xích yếu nhất là vào con người.
"Đây đang là những xu hướng phổ biến trên thế giới và Việt Nam không phải là ngoại lệ khi chuyển đổi số đang diễn ra rất nóng", ông Phú cho hay.
Trao đổi về nguy cơ đến từ chuỗi cung ứng, ông Vũ Quốc Thành, Phó Chủ tịch kiêm Tổng thư ký Hiệp hội An toàn thông tin Việt Nam (VINASA) cho biết chuỗi cung ứng gồm 5 khâu: thiết kế, phát triển, phân phối, mua lại và triển khai, bảo trì và bảo hành.
"Tôi cho rằng 5 khâu vẫn có những điểm yếu như nhau, đó là chưa nhận được sự quan tâm và được bảo vệ rời rạc. Chưa có đơn vị tư vấn cũng như chưa đưa ra được chuẩn áp dụng bảo vệ cho chuỗi cung ứng. Bên cạnh đó, nguy cơ còn đến từ sản phẩm trong chuỗi cung ứng bị loại bỏ thì thông tin trên sản phẩm vẫn còn", ông Thành cho hay.
Cũng theo ông Thành, VINASA và các doanh nghiệp ICT trước đây bảo vệ chuỗi cung ứng dựa trên chuẩn ISO, và hiện đã có chuẩn để bảo vệ hệ thống thông tin theo cấp độ, hoàn chỉnh hơn trước. Mắt xích yếu nhất trong chuỗi cung có thể nhận định là ở khâu thiết kế, phát triển sản phẩm. Tuy nhiên, chưa có vụ việc nào nghiêm trọng. Các cơ quan nhà nước (CQNN) đã có những văn bản về vấn đề này. DN làm phần mềm hiện nay cũng đã quan tâm áp dụng những công cụ, hệ thống phát triển phần mềm an toàn.
DN đối mặt thách thức an toàn thông tin và hoá giải như thế nào?
Chia sẻ thêm về nguy cơ an toàn thông tin mạng, ông Nguyễn Ngọc Quân, Giám đốc Trung tâm an toàn thông tin, VNPT-IT cho biết, bất kỳ một doanh nghiệp nào cung cấp dịch vụ công nghệ thông tin đến khách hàng thì luôn những nguy cơ như nguy cơ từ ứng dụng di động, từ hạ tầng, mã độc, phishing… Bên cạnh đó, nguy cơ còn đến từ nhận thức của công ty công nghệ thông tin, cấp quản lý (C-level) của công ty trong việc xây dựng chiến lược an toàn thông tin chưa đầy đủ. Trước đây, doanh nghiệp thường tập trung vào biện pháp phòng vệ nhưng đã không còn phù hợp và hiện có xu hướng chuyển dịch sang việc giám sát và chủ động phòng vệ.
Có nhiều bài học rút ra từ vụ tấn công mạng SolarWinds vào năm 2020. SolarWinds là một công ty Mỹ về phát triển phần mềm cho các doanh nghiệp để giúp giám sát mạng, hệ thống và cơ sở hạ tầng công nghệ thông tin. Bài học rút ra là vụ việc đã được giám sát kịp thời và báo cáo cho SolarWinds. Đồng thời phải có quy trình phát triển phần mềm an toàn trước khi cung cấp cho khách hàng. Tiếp theo là sự minh bạch thông tin. "Ở Việt Nam, nhiều công ty còn ngại công bố thông tin. Trong khi SolarWinds bị tấn công và báo cáo ngay cho khách hàng", ông Quân cho hay.
Tiếp theo, ông Quân chia sẻ là lãnh đạo doanh nghiệp không nên chỉ tập trung vào đầu tư giải pháp mà nên chuyển sang giám sát, xây dựng đội ngũ và thuê dịch vụ của các doanh nghiệp trên thị trường. "Chúng ta tập trung vào đội ngũ, sau đó cân bằng giữa con người, giải pháp, cũng như thường xuyên triển khai giám sát, đánh giá An toàn thông tin".
Ông Quân cho biết VNPT vừa là nhà cung cấp các sản phẩm, dịch vụ công nghệ thông tin cho khách hàng và vừa là công ty bảo đảm An toàn thông tin nên vừa phải tập trung phát triển phần mềm, đánh giá An toàn thông tin sản phẩm, đồng thời giám sát An toàn thông tin cho toàn bộ mạng lưới An toàn thông tin để khi có vấn đề gì xảy ra thì kịp thời phát hiện và xử lý. VNPT cũng giữ liên kết với các cơ quan chức năng như các đơn vị VNCERT/CC, NCSC thuộc Cục An toàn thông tin … để kịp thời báo cáo sự cố và được chia sẻ thông tin về dấu hiệu tấn công trên thế giới và Việt Nam để cập nhật thông tin, kịp thời nhận biết tấn công và xử lý.
Ông Vũ Quốc Thành lưu ý trong chuỗi cung ứng hiện có những phòng/ban được giao mua sắm các dịch vụ, sản phẩm công nghệ thông tin. Các đơn vị này đóng vai trò quan trọng trong đàm phán hợp đồng mua sắm và có thể coi là cửa ngõ để kiểm soát về An toàn thông tin nên cần phải bổ sung bộ phận này vào danh sách cần phải được tăng cường về năng lực và nhận thức An toàn thông tin.
Trong khi đó, ông Manoj Menon, người sáng lập kiêm Tổng giám đốc công ty Twimbit chia sẻ trong lịch sử kinh doanh thì chưa bao giờ quan hệ đối tác và hệ sinh thái lớn như bây giờ. Hiện giờ đã qua thời điểm tự làm mọi thứ. "Xu hướng đảm bảo an toàn thông tin chuỗi cung ứng đang nhận được sự quan tâm. Xử lý quan hệ đối tác toàn diện và ứng dụng tiêu chuẩn quốc tế, quốc gia và thông báo các tiêu chuẩn cho toàn bộ hệ sinh thái để các bên tuân thủ và thực hành là cần thiết".
Với tư cách là nhà cung cấp giải pháp đảm bảo An toàn thông tin điểm cuối, ông Yeo Siang Tiong, Tổng Giám đốc khu vực Đông Nam Á công ty Kaspersky cho biết công ty này có đội ngũ giám sát An toàn thông tin mạng hàng ngày để hỗ trợ các nhà cung cấp dịch vụ trên toàn thế giới nắm bắt biết được thông tin mới nhất. Khi có cuộc tấn công nào rộng rãi, thu hút của công chúng thì Kaspersky thông báo ngay để thực hiện các công tác bảo đảm An toàn thông tin mạng hay nâng cao nhận thức.
Theo ông Nguyễn Thành Phúc, Cục trưởng Cục An toàn thông tin, có 5 giải pháp thiết thực đảm bảo An toàn thông tin mạng nói chung, kiểm soát tấn công mạng chuỗi cung ứng mạng nói riêng, gồm: (1) triển khai hiệu quả giám sát An toàn thông tin tới các hệ thống thông thông tin, đặc biệt là giải pháp triển khai SOC mà Bộ TT&TT đã chỉ đạo từ năm 2020; (2) các sản phẩm ICT phải được kiểm tra, đánh giá toàn diện trước khi đưa vào sử dụng mỗi khi nâng cấp, mở rộng; (3) phát triển phần mềm phải tuân thủ khung phát triển phần mềm an toàn do Cục An toàn thông tin ban hành; (4) tuân thủ quy trình bảo đảm An toàn thông tin chuỗi cung ứng ngắt khỏi hệ thống các phần mềm không an toàn; (5) thuê chuyên gia từ giám sát, kiểm tra, đánh giá sự cố là giải pháp hết sức hữu hiệu, đặc biệt với cơ quan nhà nước khi biên chế và nguồn lực có hạn.
Nỗ lực bảo đảm ATTT cho các nền tảng số quốc gia
Việt Nam đang thúc đẩy chuyển đổi số mạnh mẽ với nỗ lực đưa các tổ chức, DN, cá nhân lên các nền tảng số. Ông Lê Công Phú cho biết An toàn thông tin được coi là yếu tố then chốt, quyết định sự thành công của CĐS. Theo đó, để phát triển hạ tầng an toàn, Cục An toàn thông tin có ban hành khung phát triển phần mềm an toàn. Theo đó, các tổ chức được yêu cầu tuân thủ là ngay từ khâu thiết kế phải đảm bảo bao phủ được hết các lỗ hổng phần mềm trước khi đưa vào sử dụng thì phải tuân thủ tiêu chuẩn an toàn.
Thứ hai là về vấn đề đánh giá An toàn thông tin, quan điểm của Cục An toàn thông tin là trước khi các sản phẩm được đưa vào sử dụng đều phải thực hiện đánh giá code để phát hiện các lỗ hổng, kiểm thử thâm nhập và tất cả các hệ thống đều phải đảm bảo An toàn thông tin theo các cấp độ. Có 5 cấp độ bảo đảm An toàn thông tin cho hệ thống, tuỳ theo mức độ quan trọng của hệ thống mà bảo đảm. Theo đó, các CERT có các biện pháp đảm bảo An toàn thông tin cho hệ thống.
Hiện Cục An toàn thông tin đang được giao đánh giá 3 nền tảng thuộc 35 nền tảng số. Cục An toàn thông tin sẽ đánh giá kiểm thử xâm nhập, đánh giá code để tìm kiếm lỗ hổng đang tồn tại và từ đó các đơn vị chủ quản thực hiện khắc phục lỗ hổng trước khi lỗ hổng bị khai thác bởi kẻ tấn công. Song song với đó, 3 nền tảng cũng được đánh giá theo tiêu chuẩn bảo đảm An toàn thông tin Việt Nam.
"Các nền tảng chuyển đổi số đều là những ưu tiên mà Cục thực hiện đánh giá bởi các nền tảng này có nhiều người sử dụng nhiều nếu bị xâm nhập sẽ bị ảnh hưởng về tính trị, niềm tin số của người dùng", ông Phú cho hay.
Còn theo ông Quân, VNPT cũng là một trong những đơn vị phụ trách phát triển một số nền tảng số quốc gia. "Là công ty phát triển sản phẩm, VNPT cũng phải tuân thủ quy trình phát triển phần mềm an toàn từ đưa ra yêu cầu, từ phân tích, thiết kế, đưa ra mô hình cho tới khi công bố sản phẩm".
VNPT kết hợp với Cục An toàn thông tin để tiến hành đánh giá độc lập về bảo mật của sản phẩm. Sau quá trình cung cấp sản phẩm đến khách hàng, toàn dân, VNPT cũng triển khai chương trình mời phát hiện lỗ hổng để trao thưởng (bounty) để tiếp nhận phát hiện lỗ hổng từ cộng đồng và kịp thời sửa. "Không có sản phẩm nào làm ra có thể đảm bảo 100% an toàn tuyệt đối. Tuy nhiên, VNPT-IT đảm bảo khi các lỗ hổng được phát hiện và khi được báo cáo thì kịp thời xử lý có trách nhiệm", ông Quân nhấn mạnh./.