Đâu là gót chân Achilles trong thời đại chuyển đổi số?
Vừa đặt xong vé máy bay, hàng loạt tin nhắn kéo đến mời chào bạn mua dịch vụ taxi chở khách. Vừa nhận một căn hộ mới, vô số cuộc điện thoại hỏi bạn có đang tìm người thiết kế nội thất không. Đó là lúc bạn biết thông tin mình đã bị bán ra và quyền riêng tư bạn bị xâm phạm.
Làm sao để bảo đảm thông tin chúng ta được riêng tư? An toàn Thông tin (ATTT) chính là chìa khóa để xử lý mọi “lỗ hổng” bảo mật trong hệ thống dữ liệu, giúp bảo vệ quyền riêng tư của bạn.
Đặc biệt với xu hướng Chuyển đổi số hiện nay, mọi loại hình doanh nghiệp lớn nhỏ từ tập đoàn đa quốc gia đến các SMEs và startup đều bắt đầu lưu trữ dữ liệu trên đám mây, và ATTT là cốt lõi giúp doanh nghiệp trụ vững trước bốn bề đe dọa bảo mật.
Khách mời của Webinar: “Gót chân Achilles trong thời đại chuyển đổi số” lần này có anh Trương Đức Lượng - Co-Founder & Chairman của VSEC - nhà cung cấp dịch vụ quản trị An toàn Thông tin đầu tiên tại Việt Nam đạt chứng nhận CREST quốc tế về mức độ bảo mật, và anh Tạ Ngọc Hiếu - Head of Engineering Tyme - một trong những tập đoàn phát triển Ngân hàng số tăng trưởng nhanh nhất thế giới.
Tại Webinar, các diễn giả sẽ lý giải cách An toàn Thông tin bảo mật dữ liệu cho người dùng, cũng như cơ hội & thách thức của ngành này tại Việt Nam.
An toàn Thông tin đang ở đâu trên bản đồ Việt Nam?
Từ tác động hậu đại dịch COVID-19, việc chuyển đổi số đang diễn ra ngày một mạnh mẽ hơn ở hầu hết các doanh nghiệp lớn nhỏ.
Tuy nhiên không phải nhu cầu dùng ATTT ở ngành hàng nào cũng giống nhau. Quá trình chuyển đổi số sẽ giúp ta thấy rõ sự phân hóa mức độ ưu tiên ATTT ở các loại hình doanh nghiệp, ví dụ như:
Ở các Ngân hàng và sàn Thương mại Điện tử, ATTT sẽ là trụ cột, là mối ưu tiên hàng đầu. Vì ngân hàng số (digital bank) rất dễ bị tấn công, cũng như các sàn thương mại cần bảo mật cao cho các dữ liệu khổng lồ về “hành vi mua sắm online”.
Ở khối Nhà nước, ATTT chỉ được ưu tiên với mức chi phí vừa đủ. Khi ngân sách chi cho ATTT ở các công ty nhà nước không đủ lớn, mức độ bảo mật thông tin sẽ không thể cao bằng 2 ngành kể trên.
Cuối cùng, ở nhóm ngành Công nghệ - Giáo dục (EdTech) và Y tế, ATTT ít được ưu tiên nhất. Doanh nghiệp dù biết cần ATTT nhưng vẫn chưa thật sự chú trọng vào ngân sách cho ATTT.
Xây dựng “niềm tin” khi làm việc với đối tác An toàn Thông tin như thế nào?
Từ góc độ khách hàng sử dụng dịch vụ ATTT
Khi một công ty quyết định thuê bên thứ 3 làm dịch vụ ATTT (outsource), nghĩa là họ phải đưa tất cả dữ liệu của mình cho một bên nữa nắm. Làm sao để yên tâm chọn mặt gửi vàng khi mọi dữ liệu đều là tuyệt mật?
Ở góc độ khách hàng, anh Hiếu từ ngân hàng số Tyme cho biết điều quan trọng nhất khi xây dựng ngân hàng thuần số như Tyme chính là: xác định niềm tin. Tyme sẽ cởi mở hơn với các nhà cung cấp bằng cách đưa ra một tính năng và nhờ nhà cung cấp hỗ trợ xem họ có làm được những gì họ quảng bá hay không, rồi mới quyết định đi cùng nhau. Đây là cơ hội để xây dựng lòng tin giữa 2 bên.
Đối với những ngành đặc thù chuyên sâu (như tài chính, ngân hàng) thì bản thân công ty cần phải có 1 phòng ban chuyên về bảo mật thông tin để đủ chuyên môn hợp tác cùng bên thứ 3.
Từ góc độ nhà cung cấp dịch vụ ATTT
Từ góc độ nhà cung cấp, anh Lượng ở VSEC cho biết bản thân nhà cung cấp cũng có khả năng bị kẻ xấu lợi dụng để tấn công vào công ty khách hàng. Do đó luôn cần có biện pháp dự phòng, để cảnh báo khách và kịp thời xử lý.
Anh Lượng đề xuất, để đề phòng rủi ro bị kẻ xấu xâm nhập, ATTT có thể dùng “Zero Trust”. Đây là một thuật ngữ bảo mật phổ biến nhất trong an ninh mạng hiện nay, đang được các ông lớn công nghệ như Amazon hay Microsoft áp dụng. Zero Trust sẽ yêu cầu tất cả người dùng bất kể trong hay ngoài mạng của tổ chức được xác thực, ủy quyền trước khi được cấp hoặc giữ quyền truy cập vào dữ liệu.
Dịch vụ ATTT nghe có vẻ “xa vời” với nhiều người, nhưng anh Lượng cũng cho biết thêm xu hướng outsource dịch vụ ATTT sẽ không còn là tương lai xa mà là biện pháp tối ưu nhất hiện hữu ở hiện tại cho doanh nghiệp.
Trước khi bắt tay vào cùng đối tác xây dựng hệ thống ATTT, doanh nghiệp phải có kế hoạch trang bị hạ tầng trước đó. Ta không thể chuyển đổi số khi chưa có kế hoạch. Ví dụ một công ty Y tế từ xa phải phát triển công nghệ hỗ trợ làm y tế từ xa trước, rồi mới nghĩ đến chuyện outsource dịch vụ ATTT để bảo vệ hệ thống đó.
Việt Nam cần làm gì khi bước vào cuộc đua An ninh mạng?
Cơ hội và thách thức cho Việt Nam
Trước khi đầu tư về an ninh mạng sao cho phù hợp với hạ tầng Việt Nam hiện nay, ta cần hiểu rõ đâu là cơ hội và thách thức của Việt Nam khi bước vào đường đua ATTT.
Xét về cơ hội, Việt Nam có khả năng học hỏi và thích nghi rất nhanh với công nghệ từ đó có thể nắm bắt xu hướng số hóa để “thừa thắng xông lên”. Không những thế cơ hội việc làm toàn cầu cho ngành ATTT lại dồi dào khi thống kê thế giới cho biết các doanh nghiệp đang thiếu hụt tổng cộng khoảng 4 triệu kỹ sư về ATTT.
Tuy nhiên, ATTT đặt ra thách thức lớn về đào tạo chuyên môn khi ngành này còn khá mới, và chưa có nhiều kỹ sư tốt nghiệp từ với bằng cấp chính thống. Phần lớn các bạn kỹ sư ATTT hiện nay vẫn phải tự mày mò từ đủ các nguồn học khắp nơi, dẫn đến thiếu nhân lực chuyên môn cao. Bên cạnh đó, việc làm ATTT cũng cần kiên trì theo đuổi thời gian dài, dễ "đứt gánh".
Để dễ hình dung ta có thể so sánh kỹ sư ATTT với lập trình viên. Lập trình viên có thể thấy ngay thành phẩm mình làm trên App Store sau khi phát triển app, nhưng kỹ sư ATTT phải mất ít nhất 2 năm để thấy được thành quả này.
Nhìn chung, thách thức lớn nhất của ngành ATTT ở Việt Nam vẫn là vấn đề thiếu hụt nhân sự. Sự khan hiếm nhân lực này có thể được giải quyết bằng cách nào?
1/ Tự động hóa: giảm thiểu các đầu công việc của con người bằng máy móc. Cả anh Hiếu và anh Lượng đều đầu tư vào 1 nền tảng tự động hóa để máy móc làm hết 60% phần việc thủ công giúp con người.
2/ Chắt lọc nhân sự: kỹ sư ATTT được trả lương cao, với số lượng nhân sự ít. Làm việc 5x8, nghĩa là 5 ngày 1 tuần, 1 ngày 8 tiếng. Thời gian còn lại sẽ đưa đối tác bên ngoài giám sát.
3/ Kết hợp làm In-house và Outsource: kể cả các ngân hàng lớn ở Việt Nam vẫn làm song song 2 mô hình nội bộ và thuê ngoài để tối ưu ATTT. Tuy nhiên doanh nghiệp startup nên outsource vì sẽ khó thuê được người.
Làm sao để bảo vệ mình trước các cuộc tấn công mạng?
Trong bức tranh chung về an ninh mạng, ta có 3 nhóm đối tượng chính, gồm: chính phủ - người dùng - và đơn vị cung cấp dịch vụ. Mỗi nhóm đối tượng có thể cùng nhau góp phần bảo vệ an toàn thông tin bằng cách:
1/ Chế tài xử phạt từ quy định chính phủ: phải đủ nặng để răn đe các bên vi phạm, ví dụ công ty nước ngoài có luật phạt dựa trên % doanh số công ty nên giá trị mức phạt luôn rất lớn.
2/ Đọc kỹ chính sách bảo mật (private policy) nếu bạn là người dùng: xem nhà cung cấp đó có đảm bảo quyền riêng tư hay không. Những thông tin này từng nằm dưới chân của mỗi trang web, và thường bị bỏ qua.
3/ Xây dựng kỹ ATTT với cương vị nhà cung cấp dịch vụ: phần ATTT cần lên kế hoạch từ đầu để đảm bảo dữ liệu cho người dùng.
Nhìn chung, An toàn Thông tin chính là xu hướng nổi bật ở thời đại số, với cơ hội việc làm dồi dào ở mọi quốc gia trên thế giới. Ở thời đại mà chuyển đổi số bắt đầu lên ngôi, chuẩn bị một nền tảng An toàn Thông tin vững chắc chính là điều kiện cần cho mọi doanh nghiệp “cứu” lấy mình trước mọi mối đe dọa an ninh mạng từ bên ngoài.