Phương thức phối hợp hỗ trợ bộ phận an toàn thông tin

Trong hoạt động quản lý và thực thi công vụ của bất cứ cơ quan, đơn vị nào cũng đều cần sự phối hợp giữa cấp trên với cấp dưới, giữa các phòng ban, bộ phận và giữa các cán bộ, người lao động trong cùng cơ quan, đơn vị, doanh nghiệp (DN).

Hiện nay, các DN đang ngày càng có nhu cầu kinh doanh trên nền tảng trực tuyến nhiều hơn. Với tư cách là nhà nghiên cứu, ông  Alexey Zhukov, chuyên gia trưởng bộ phận an toàn thông tin (ATTT) tại Positive Technogogies cho biết tại hội thảo Vietnam Security Summit 2021, các nền tảng của chúng ta vẫn còn rất nhiều lỗ hổng, cần phải tìm cách khắc phục. Đây là vấn đề quan trọng cần sự chung tay giải quyết.

Theo ông Alexey Zhukov, hai năm trước nhóm nghiên cứu đã kiểm tra các ứng dụng và thấy rằng gần như ứng dụng nào cũng gặp phải lỗ hổng, phần lớn đều ở ở mức độ cao và trung bình, các đối tượng tấn công hoàn toàn có khả năng khai thác các lỗ hổng này một cách dễ dàng.

Ông Alexey Zhukov cho biết, một khó khăn đối với đội ngũ CNTT trong đơn vị là nhiều khi các nhà phát triển cũng biết về những lỗ hổng này nhưng lại đánh giá thấp và cho rằng có thể để một vài năm sau giải quyết cũng được. Qua đây ta thấy đội ngũ nghiên cứu và phát triển (R&D) chưa hiểu được tầm quan trọng thực sự của những lỗ hổng này. 

Do đó, ông Alexey Zhukov cho rằng đội ngũ CNTT cần phải nâng cao khả năng chẩn đoán vấn đề của mình cũng như phải có kỹ thuật và chuyên môn tốt hơn để có thể chứng minh và giải thích cho đội R&D rằng đây là vấn đề nghiêm trọng, là vấn đề đang hiện hữu để từ đó có thể cùng nhau giải quyết một phần nào đó của vấn  đề.

Hiện nay, tại hầu hết các đơn vị, tổ chức đều chưa có cơ chế hướng dẫn cụ thể, rõ ràng về việc phối kết hợp đội ngũ CNTT với các nhóm làm việc khác. Theo ông Alexey Zhukov, nhóm R&D và đội phát triển biết được sản phẩm, giải pháp được phát triển như thế nào, nhưng thường họ mắc tâm lý không muốn trao đổi với các chuyên gia CNTT. Một khả năng sau này người làm R&D, phát triển sẽ nắm giữ vị trí cao hơn trong tổ chức và rất có thể họ duy trì tâm thế bảo thủ như vậy thì rất khó để nhóm CNTT có thể phối kết hợp làm việc được.

Hơn nữa, nếu lãnh đạo cao nhất của DN không đầu tư thêm nhiều nguồn lực để bộ phận R&D làm việc với đội CNTT thì vấn đề khó khăn, lỗ hổng bảo mật khó có thể giải quyết được.

Giải pháp để đẩy mạnh phối kết hợp trong công việc

Ông Alexey Zhukov cho biết nhóm nghiên cứu của mình có thể dựa trên những vấn đề thực tế để thiết kế những sản phẩm và giải pháp nhằm giảm bớt gánh nặng công việc đối với cả bộ phận R&D và CNTT.

Ví dụ, với một nhà cung cấp giải pháp đám mây, giải pháp mà nhóm nghiên cứu của Alexey Zhukov đưa ra là giúp họ tìm kiếm các lỗ hổng trong hệ thống của mình trên những ứng dụng mà họ phát triển. Từ việc này, hiệu quả công việc được nâng lên, cho ra kết quả có độ tin cậy cao giúp có được những bằng chứng rõ ràng để nhóm CNTT có thể thuyết phục các lãnh đạo DN tốt hơn, nhóm R&D cảm thấy tin tưởng hơn và cùng chung tay giải quyết.

Khi nghe nói đến lỗ hổng, câu hỏi mọi người thường đặt với đội ngũ CNTT là hãy chứng minh điều đó. Điều này cho thấy thấy được tầm quan trọng của việc trao đổi ngay từ giai đoạn ban đầu giữa đội ngũ CNTT và đội ngũ R&D quan trọng như thế nào. Từ đó mới có thể đưa ra bằng chứng để có được sự hỗ trợ từ lãnh đạo DN.

Các nhà nghiên cứu sẽ đưa ra những giải pháp dựa trên tình hình thực tế của mỗi đơn vị để thử nghiệm để kiểm tra xem những lỗ hổng này có thực sự tồn tại hay không, từ đó xây dựng kế hoạch kết hợp giữa hai bên nhằm tự động hóa quá trình thử nghiệm lỗ hổng này, giải quyết những thách thức  về an ninh.

Các nhà nghiên cứu sẽ bắt đầu từ những vấn đề nhức nhối đầu tiên mà đội CNTT gặp phải trên nhiều góc độ khác nhau. Góc độ đầu tiên là chúng ta đặt mình vào vị thế của tin tặc (hacker) xem chúng sẽ khai thác vấn đề của chúng ta như thế nào. Khi đó chúng ta sẽ biết đâu là những kênh mà hacker có thể tấn công vào để chúng ta tập trung vào lĩnh vực đó nhiều hơn.

Để nhóm CNTT có thể xây dựng được lòng tin với nhóm R&D cùng lãnh đạo DN thì câu hỏi đặt ra là không phải lỗ hổng đó như thế nào mà nhóm CNTT phải nói được quá trình phát hiện ra lỗ hổng rồi bằng kênh nào đó chia sẻ, cung cấp thông tin theo tiến độ của bản thân để họ quan tâm hơn đến công việc của CNTT. Điều này giúp gia tăng giá trị trong hợp tác giữa hai bên.

Sau khi tự động hóa phân tích code thì chuyển qua bước tiếp theo là nâng cấp giải pháp đó cho DN, tích hợp vào hệ thống và triển khai những điều kiện thiết yếu để triển khai giải pháp toàn diện kèm theo các công cụ khác thử nghiệm các vấn đề về lỗ hổng trong hệ thống.

Để nhóm CNTT có thể cùng nhau giải quyết những vấn đề khó khăn này với đội R&D, nhà nghiên cứu Alexey Zhukov chỉ rõ từng bước cụ thể bao gồm: Cần sự hỗ trợ của đội ngũ lãnh đạo cấp cao. Đây là yếu tố quyết định làm nên sự thành công của toàn bộ dự án của nhóm CNTT, trong đó có vai trò của những  người hỗ trợ trong việc khắc phục những lỗ hổng an ninh. 

Tiếp theo là các bước gồm tìm ra bằng chứng về những lỗ hổng đó; xác định giải pháp theo từng bước để triển khai, khắc phục những lỗ hổng. Ngoài những người ủng hộ ban đầu cần thêm sự ủng hộ của nhóm R&D, tạo cơ chế hợp tác rõ ràng giữa hai bên, vì bộ phận R&D có rất nhiều công việc, nhiều trách nhiệm khác nhau nên về phía chúng ta cần có công cụ năng lực của bản thân để giúp họ hiểu được vai trò của các bên như thế nào, chúng ta có công cụ nào đang sử hữu và sử dụng công cụ để hỗ trợ lẫn nhau.

Với nhu cầu sử dụng công nghệ như hiện nay, việc đảm bảo ATTT cũng như vai trò của nhóm CNTT trong mỗi đơn vị, tổ chức là vô cùng quan trọng. Nhưng để công việc phát hiện lỗ hổng, xử lý lỗ hổng, đảm bảo an toàn bảo mật được thông suốt, hiệu quả thì cũng rất cần sự phối kết hợp giữa các phòng ban, đội nhóm trong tổ chức./.