Thực trạng bảo mật tại các tổ chức, DN
Trong bối cảnh hiện nay, hầu hết các tổ chức, DN hiểu rằng họ phải nắm bắt công nghệ mới và liên tục đổi mới để duy trì năng lực cạnh tranh cũng như theo kịp thời đại. Tuy nhiên, trong khi gấp gáp hiện đại hóa các hệ thống và hoạt động của mình, DN cũng tạo ra nhiều điểm yếu, dễ bị tổn thương trong hoạt động kinh doanh và tự đặt mình rơi vào nhiều rủi ro mới.
Trong khi đó, tin tặc luôn tìm cách khai thác những điểm yếu này. Các mối đe dọa không còn chỉ tập trung vào việc đánh cắp dữ liệu nhằm kiếm tiền như trước đây. Số lượng các cuộc tấn công có động cơ chính trị ngày càng gia tăng, thậm chí ở cấp độ địa phương hay khu vực nhỏ. Thậm chí, chúng ta còn chứng kiến sự gia tăng của chủ nghĩa phá hoại và khủng bố mạng - những mối đe dọa lớn đối với an ninh mạng trên toàn thế giới.
Kết quả từ "Khảo sát An toàn Thông tin Toàn cầu của EY 2020" phỏng vấn gần 1.300 nhà lãnh đạo an ninh mạng, cho thấy 65% DN chỉ xem xét vấn đề an ninh mạng sau khi đã quá muộn. Chỉ 36% DN cho biết quan tâm tới an ninh mạng ngay từ giai đoạn lập kế hoạch của một sáng kiến kinh doanh mới.
Hậu quả rõ ràng nhất của các cuộc tấn công mạng là tổn thất về mặt tài chính, DN phải trả tiền chuộc, bị phạt tiền hoặc bị tổn thất doanh thu và chi phí cơ hội. Chỉ trong năm 2019, ước tính các công ty Mỹ đã tổn thất đến 654 tỷ USD do các cuộc tấn công mạng. Con số này năm nay được dự đoán sẽ còn tồi tệ hơn.
Tuy nhiên, không chỉ có các DN là mục tiêu của tội phạm mạng. Ở các nước phát triển, ngày càng có nhiều cơ sở hạ tầng được chính phủ xây dựng vận hành để phục vụ quản lý và điều hành trực tuyến, kết nối với nhau nên cũng tồn tại nhiều điểm dễ bị tổn thương giống như các DN. Các cuộc tấn công vào những hệ thống này có khả năng làm gián đoạn hoạt động của toàn bộ khu vực và quốc gia, gây ra sự hỗn loạn chưa từng thấy và thậm chí có thể đe dọa đến sự an toàn của người dân. Năm 2016, tin tặc đã tấn công và ngắt mạng lưới truyền tải điện của toàn bộ một khu vực thuộc Ukraine, khiến 230.000 người sống trong tình cảnh không có điện trong nhiều giờ.
Ngoài ra, tội phạm mạng và tin tặc có thể gây ra tác động đáng kể ở quy mô xã hội, đặc biệt thông qua việc lan truyền các thông tin thất thiệt. Việc phổ biến tin tức giả trong các sự kiện chính trị quan trọng trong thời gian gần đây đã chỉ ra rằng, thông tin giả thường được lan truyền thông qua các kênh với nội dung không đáng tin cậy, được xây dựng cẩu thả, và việc truyền bá thông tin sai lệch có thể dẫn đến nhiều hậu quả nghiêm trọng. Những tác động này có thể còn nghiêm trọng hơn nữa khi thông tin thất thiệt được lan truyền qua các kênh hợp pháp.
Năm 2013, khi tài khoản Twitter của Associated Press bị đột nhập để đăng bản tin mới nhất về một vụ đánh bom tại Nhà Trắng làm Tổng thống Barack Obama bị thương, 136 tỷ USD giá trị vốn hóa đã bị bốc hơi khỏi thị trường chứng khoán Dow Jones của Mỹ gần như ngay lập tức.
Cuối cùng, hậu quả tai hại và lâu dài nhất của những sự cố này nếu không được xử lý và giảm thiểu nhanh chóng, là sự mất niềm tin giữa mọi người và các tổ chức hoặc định chế mà họ phụ thuộc. Một bên là các chủ thể liên quan, người lao động, các bên thứ ba và người tiêu dùng, bên kia là người nộp thuế và cử tri; tất cả đều mong đợi hệ thống hoạt động ổn định, đáng tin cậy cũng như việc bảo vệ an toàn và an ninh của chính họ, cả trên mạng và ngoài đời thực. Khi tính bảo mật, tính toàn vẹn hoặc tính sẵn sàng của dữ liệu bị xâm phạm hoặc các sản phẩm và dịch vụ không hoạt động tốt như mong đợi, niềm tin được xây dựng qua nhiều năm có thể bị đánh mất chỉ trong một ngày.
Một số đề xuất nhằm tăng cường an ninh mạng
Trên thị trường kinh doanh khốc liệt, việc bảo mật thông tin đã và đang trở thành xu hướng bắt buộc. Bởi đó chính là một trong những yếu tố quan trọng nhất để đánh giá mức độ uy tín của DN. Bài học từ những vụ bê bối rò rỉ dữ liệu của các thương hiệu lớn như Facebook, Google, Quora… là hồi chuông cảnh tỉnh cho mọi DN hiện nay.
Các chuyên gia an ninh mạng của EY tin rằng đã đến lúccần một nhận thức mới về an ninh mạng: một cách tiếp cận chủ động, thực tế và chiến lược, xem xét vấn đề rủi ro và bảo mật ngay từ khi bắt đầu bất kỳ dự án mới nào và ở mọi giai đoạn. Dưới đây là 5 đề xuất giúp các tổ chức, DN tăng cường và đảm bảo an ninh mạng.
Thiết lập an ninh mạng như một yếu tố quyết định trong chuyển số
Tích hợp an ninh mạng vào các quy trình kinh doanh bằng cách sử dụng phương pháp tiếp cận "bảo mật từ trong thiết kế". Điều đó nghĩa là các DN cần xem xét và đưa vấn đề an ninh mạng vào ngay từ giai đoạn lập kế hoạch cho mọi sáng kiến kinh doanh mới, nhằm giảm thiểu chi phí đầu tư và xử lý các vấn đề phát sinh trong thực tế, đồng thời tạo niềm tin vào sản phẩm hoặc dịch vụ ngay từ đầu.
Xây dựng mối quan hệ tin cậy với mọi bộ phận của tổ chức, DN
Khi an ninh mạng được đưa vào xem xét trong hoạt động kinh doanh, các giám đốc an ninh thông tin (CISO) có vai trò quan trọng để thúc đẩy sự đổi mới và nắm rõ hơn về các mối đe dọa mà tổ chức, DN phải đối mặt. Để thực hiện điều này cần sử dụng dữ liệu hiện có để mô hình hóa các quy trình kinh doanh, từ đó phân tích, đánh giá tác động thực sự của an ninh mạng đối với các quy trình này.
Khi mọi bộ phận trong DN hợp tác và chia sẻ thông tin, CISO sẽ nắm được các rủi ro và mối đe dọa tiềm ẩn, từ đó giúp DN kiểm soát hoặc đối phó chúng.
Xây dựng sẵn tư duy quản trị rủi ro phù hợp với các mục tiêu đặt ra
Các DN cần xây dựng và phát triển một bộ các chỉ số về hiệu năng và rủi ro chính để thông tin về những rủi ro tiềm ẩn trong các báo cáo cho ban giám đốc và hội đồng thành viên, để họ đưa ra những định hướng chỉ đạo, điều hành phù hợp với tình hình thực tế.
Tăng cường sự tham gia của hội đồng quản trị
Điều quan trọng là cần phát triển các công cụ để định lượng giá trị của an ninh mạng trong DN, nhằm đánh giá hiệu quả hơn những rủi ro mạng trong các điều khoản kinh doanh và tăng cường vai trò của hội đồng quản trị trong đó.
Đánh giá hiệu quả của chức năng an ninh mạng để trang bị cho CISO những năng lực mới
Để tìm ra giải pháp cho các vấn đề bảo mật cần bắt đầu với việc hiểu được điểm mạnh và điểm yếu của hệ thống an ninh mạng mà DN đang vận hành. Xác định xem các dịch vụ nào đang được sử dụng, có phù hợp hay không, chi phí có cạnh tranh và có hiệu quả không; Đánh giá khả năng tự động hóa và điều phối của các chức năng an ninh mạng,... Trên cơ sở đó, tuỳ theo điều kiện thực tế của DN mà CISO có thể đề xuất các năng lực và giải pháp mới phù hợp.