Từ vụ Vietnam Airlines bị hack “truy” vai trò của Giám đốc Bảo mật Thông tin

Đừng ngồi một chỗ nhìn hacker tấn công

Theo ông Trần Nguyên Vũ, Giám đốc nhóm Các Dịch vụ Công nghệ Toàn cầu, IBM Việt Nam, vai trò của Giám đốc Bảo mật Thông tin - CISO (trong nhiều tổ chức, doanh nghiệp chính là Giám đốc CNTT - CIO) được ví như vai trò của cảnh sát trưởng đối với sự bình yên của một thành phố.

Hãy tưởng tượng nếu như những nhân viên cảnh sát chỉ ngồi một chỗ, đợi xem thành phố có sự cố nào xảy ra để xử lý thì khi đó tội phạm chắc chắn sẽ tăng và tiềm ẩn nhiều hiểm nguy. Để hạn chế rủi ro, cảnh sát phải chủ động đi tuần, hướng dẫn người dân cách bảo vệ ngôi nhà của họ để không bị trộm cắp xâm nhập…

“Trong bối cảnh các mối đe doạ về an ninh, bảo mật ngày một tăng, câu hỏi “Hệ thống của chúng ta có được bảo mật tuyệt đối không?” giờ không còn là câu hỏi phù hợp nữa, vì câu trả lời sẽ luôn luôn là “Không!””, ông Vũ nhấn mạnh, đồng thời cho rằng hiện nay tại các tổ chức, doanh nghiệp, trước câu hỏi “Hệ thống của chúng ta có được bảo mật tuyệt đối không?” thường dẫn đến những cuộc thảo luận, những báo cáo về các thông số kỹ thuật, các con số phần trăm, các bản ghi về thời gian… Tức là mới chỉ tập trung nhiều vào những hoạt động mà đội ngũ bảo mật thông tin của tổ chức, doanh nghiệp đã làm, chứ không phải là kết quả.

Vì vậy, ông Trần Nguyên Vũ cho rằng Giám đốc Bảo mật Thông tin và đội ngũ bảo mật thông tin phải giúp cho tổ chức quản lý những rủi ro liên quan đến an toàn, bảo mật thông tin ở mức độ chấp nhận được. Do đó, câu hỏi nên được đặt ra là “Những rủi ro nào về an toàn, bảo mật ở mức độ nào được chấp nhận với tổ chức?”, “Việc quản lý các rủi ro liên quan đến an toàn, bảo mật của tổ chức đã đạt mức độ chấp nhận được chưa?”.

Thước đo đối với hoạt động hiệu quả của Giám đốc Bảo mật Thông tin có thể tính toán thông qua ảnh hưởng của các sự cố liên quan đến bảo mật đến hoạt động kinh doanh hàng năm là gì? Có nằm trong biên độ rủi ro chấp nhận được của tổ chức không?

Nói cách khác, tổng đầu tư cho các sáng kiến liên quan đến an toàn, bảo mật và tổng thiệt hại đối với hoạt động kinh doanh hàng năm do các sự cố liên quan đến an toàn, bảo mật gây ra có thấp hơn so với ngưỡng rủi ro mà Ban lãnh đạo tổ chức sẵn sàng chấp nhận không?

Giám đốc Bảo mật Thông tin cần phải làm gì?

Từ kinh nghiệm của IBM trong tư vấn, triển khai quản lý hoạt động an ninh, bảo mật thông tin cho các tổ chức, doanh nghiệp trên thế giới cũng như tại Việt Nam, ông Trần Nguyên Vũ cho rằng các tổ chức cần có cách tiếp cận chủ động đánh giá nguy cơ (Active Threat Assessment - ATA) để xác định các nguy cơ hiện hữu và hành vi mang nguy cơ cao.

ATA bao gồm kiểm tra mức độ thâm nhập, tùy thuộc vào kích thước và phạm vi, có thể giúp xác định các máy chủ chưa được vá và có các lỗ hổng có thể khai thác, đồng thời tìm ra những điểm yếu trong cấu trúc kỹ thuật. Do yếu tố con người là liên kết yếu nhất trong bất kỳ chuỗi an ninh, bảo mật nào, việc kiểm tra và đào tạo nhân viên cũng cần được ưu tiên.

Cùng đó, không nên chỉ bao gồm việc tìm kiếm các phần mềm độc hại hiển nhiên đang chạy trên hệ thống hoặc cư trú tĩnh trên ổ đĩa, mà còn cần đánh giá các cấu hình hệ thống và chương trình mà một kẻ xâm nhập có thể sử dụng để đi xuyên qua hệ thống mạng.

IBM nhận thấy có một tình trạng rất phổ biến là các nhà quản trị mạng vô tình để lại các thông tin đăng nhập trong file cấu hình hay file batch – họ không biết rằng làm như vậy giống như giấu chìa khoá để bước vào lâu đài thông tin của doanh nghiệp ở dưới thảm chùi chân.

Mặc dù không cố ý nhưng loại hành vi nguy cơ này có thể dẫn tới việc kẻ xâm nhập sở hữu hoàn toàn hệ thống mạng.

Ngoài ra, cần tiến hành phân tích bản ghi (Log analysis). Đây là bước vô cùng quan trọng trong việc chủ động đánh giá nguy cơ. Các log của firewall có thể chỉ ra nếu có traffic đáng ngờ đến từ một thiết bị đầu cuối nội bộ, ngay cả khi traffic đó bị chặn tại tường lửa.

Điều này có thể giúp xác định dấu hiệu hệ thống bị thỏa hiệp. Các bản ghi sự kiện an ninh cũng có thể chỉ ra các kết nối máy tính từ xa và các cuộc tấn công vào tài khoản người dùng.

Ngoài ra, khả năng báo cáo một sự cố bảo mật và theo chân một kẻ xâm nhập xuyên qua hệ thống phụ thuộc rất nhiều vào mức độ “nhìn thấu” mạng lưới, chính là các bản log.

Khi thực hiện các đánh giá nguy cơ cho khách hàng, IBM thường chỉ ra những “điểm mù” trong các log hệ thống của khách hàng – chính những “điểm mù” này đã cản trở tổ chức theo dõi kẻ xâm nhập.

Một vấn đề nữa đó là đánh giá quy trình và tập quán (Practice assessment). Hoạt động này cần được tiến hành định kỳ để xác định các nguy cơ gắn liền với mỗi quy trình của tổ chức.