Xu hướng sử dụng dịch vụ của bên thứ ba không chỉ giúp tiết giảm chi phí mà quan trọng hơn, đây là một cách tiếp cận công nghệ hay kinh nghiệm chuyên sâu cho nhiều tổ chức chưa có khả năng tự xây dựng hay duy trì nội bộ.
Mặc dù không thể phủ nhận lợi ích của việc sử dụng dịch vụ của bên thứ ba, nhưng vì các hệ thống được kết nối với nhau và bên thứ ba thường nắm giữ thông tin nhạy cảm hoặc có quyền truy nhập vào các hệ thống của đối tác nên họ cũng có thể là một mắt xích dễ bị tấn công trong chuỗi an ninh mạng. Do vậy, các tổ chức cũng nên lưu ý đến các rủi ro tương ứng.
Quản lý rủi ro mạng của bên thứ ba
Các cuộc tấn công vào chuỗi cung ứng kỹ thuật số và bên thứ ba đang gia tăng, các đối tác bên thứ ba đang trở thành mục tiêu của các tác nhân đe dọa vì một số lý do sau:
- Nhắm mục tiêu vào tên thứ ba sẽ nhẹ nhàng hơn nên đây là một cơ hội cho các tác nhân đe dọa chuyển mục tiêu từ mạng sang họ. Một ví dụ là năm 2013, các tin tặc đã xâm phạm thông tin thanh toán và thông tin cá nhân của khoảng 110 triệu khách hàng mục tiêu sau khi xâm phạm mật khẩu của nhà cung cấp HVAC của Target.
- Bên thứ ba có thể bị lợi dụng để trở thành một phương tiện để phát tán rộng rãi một cuộc tấn công tới một số mục tiêu tiềm ẩn. Điển hình là vụ tấn công chuỗi cung ứng SolarWinds. Các tin tặc được nghi nghờ đến từ Nga đã sử dụng một cuộc tấn công tinh vi để chèn phần mềm độc hại vào hệ thống phần mềm của SolarWinds sau đó sử dụng những bản cập nhật của phần mềm quản lý CNTT của công ty này để phát tán phần mềm độc hại tới một số tổ chức lớn, bao gồm cả các cơ quan liên bang cấp cao.
- Bên thứ ba thực sự có thể trở thành mục tiêu chính nếu họ nắm giữ dữ liệu nhạy cảm mà các tác nhân đe dọa mong muốn. Đầu năm 2020, General Electric (GE) bị vi phạm thông tin cá nhân nhạy cảm của gần 200.000 nhân viên hiện tại và cả nhân viên cũ khi các tin tặc đột nhập vào hệ thống của nhà cung cấp dịch vụ quản lý dữ liệu nhân sự (HR) của GE là Canon Business Process Services.
Những ví dụ đó cho thấy nguy cơ gây thiệt hại cho các doanh nghiệp và bên thứ ba của họ là tương đối cao. Các tổ chức không thể chắc chắn rằng những đối tác bên thứ ba của họ là đảm bảo an toàn mạng. Tất cả các bên tham gia vào hệ sinh thái của nhà cung cấp đều cần có sự bảo đảm - mức độ tin cậy được xây dựng dựa trên quan hệ đối tác bên thứ ba/ khách hàng tập trung vào an ninh mạng. Một chương trình mạnh mẽ của Third-Party Cyber Risk Management (TCPRM - quản lý rủi ro của bên thứ ba) là cách tốt nhất để đạt được điều này.
Bảo vệ hệ sinh thái của nhà cung cấp với TCPRM
Cũng như bất kỳ khía cạnh nào khác của quan hệ đối tác trong kinh doanh, tất cả các bên liên quan phải duy trì kết quả của cuộc thương lượng về vấn đề an ninh mạng. Tổ chức khách hàng cần hiểu rằng họ phải chịu trách nhiệm về dữ liệu được chia sẻ với bên thứ ba và các bên thứ ba có thể truy nhập, lưu giữ và sử dụng dữ liệu đó. Đây thực sự là một phần mở rộng của hoạt động kinh doanh khách hàng.
Về phần mình, các bên thứ ba phải thừa nhận rằng những khách hàng của họ đang ủy thác cho mình quyền truy nhập và dữ liệu quan trọng tới hệ thống của họ và họ chia sẻ trách nhiệm bảo vệ cả dữ liệu cùng các hệ thống đó. Dữ liệu nhạy cảm và/hoặc có giá trị cho dù ai đang điều khiển cũng phải được bảo mật ở mọi bước trên đường đi.
Các tổ chức và bên thứ ba nên sử dụng những công cụ TPCRM cho quản lý rủi ro mạng cho các bên thứ ba bằng đánh giá hiện trạng chương trình quản lý rủi ro an toàn thông tin, lập báo cáo chứng thực về bên thứ ba, xác định rủi tiềm ẩn của họ, tính toán khả năng xảy ra sự cố mạng liên quan đến bên thứ ba và nêu rõ những rủi ro tồn tại quan trọng nhất cần giải quyết. Các công cụ TPCRM phù hợp là các công cụ sử dụng rộng rãi khả năng tự động hóa trên nền tảng hiện có, sử dụng cả dữ liệu có cấu trúc và dữ liệu động để cho phép một tổ chức thống kê những rủi ro sớm nhất trong số các đối tác bên thứ ba và ưu tiên các nguồn lực dựa trên mức độ rủi ro.
Chương trình TPCRM cũng cung cấp khả năng hiển thị cho các tổ chức đối tác, đảm bảo các đánh giá luôn được cập nhật và sẵn sàng - thường xuyên khi được yêu cầu - cho cả tổ chức khách hàng và bên thứ ba. Ngoài ra, chương trình TPCRM cung cấp khuôn khổ hợp tác giữa các tổ chức, cho phép họ luôn cập nhật những nỗ lực bảo mật không gian mạng với những phát triển mới nhất trong quản lý rủi ro mạng của bên thứ ba.
Ngoài việc cho phép các tổ chức hiểu và xử lý những rủi ro, chương trình TPCRM sẽ giảm tải những phần công việc thông thường của nhân viên bảo mật và nhân viên CNTT, cho phép họ tăng năng xuất tới mức tối đa với tư cách họ là người quản lý rủi ro thay vì thu thập dữ liệu. Nó cũng sẽ giảm bớt những nỗ lực dư thừa và có thể mở rộng quy mô khi công ty phát triển, đồng thời cung cấp thông tin và những kiến thức cần thiết cho việc tạo ra một chiến lược giảm thiểu dựa trên sự rủi ro.
Giữ vững niềm tin
Xảy ra vi phạm, tất cả mọi người trong cộng đồng an ninh mạng đều nhận thức rõ rằng các tác nhân đe dọa là mang tính thường xuyên, liên tục, các công cụ và công nghệ của chúng ngày càng trở nên tinh vi hơn và không có hệ thống phòng thủ nào có thể đảm bảo chống lại được một cách toàn vẹn. Tuy nhiên, các công cụ quản lý rủi ro tự động, thông tin về mối đe dọa theo thời gian thực và chiến lược phòng thủ toàn diện sẽ giúp ích đáng kể trong việc ngăn chặn các cuộc tấn công cũng như giảm thiểu thiệt hại và tăng khả năng phục hội khi xảy ra sự cố.
Các tổ chức khác hàng và đối tác bên thứ ba cần duy trì sự tin tưởng lẫn nhau khi xảy ra một cuộc tấn công, sự tin tưởng phải được xây dựng trên sự chân thành, sự sẻ chia, hợp tác của cả đôi bên trước, trong và sau một cuộc tấn công. Các chương trình TPCRM mạnh mẽ cũng sẽ giúp các tổ chức xây dựng và duy trì mức độ tin cậy đó.
Với các doanh nghiệp Việt Nam, trong bối cảnh các mối đe dọa về rủi ro an toàn thông tin hiện nay, Nhà nước đã ban hành một số Thông tư quy định về an toàn an ninh thông tin. Tuy nhiên, nhiều đơn vị vẫn gặp khó khăn trong việc triển khai và tuân thủ các yêu cầu liên quan tới quá trình chuyển đổi số, đặc biệt là vấn đề quản lý sử dụng dịch vụ CNTT của bên thứ ba./.