Hãy hình dung một kịch bản đơn giản như sau: một nhân viên đang phải hoàn thành bản báo cáo để gửi lãnh đạo vào sáng hôm sau, anh ta có thể tải dữ liệu lên “đám mây” để tiếp tục hoàn thiện báo cáo trên máy tính ở nhà. Ví dụ như ứng dụng Google Docs cho phép người dùng tải lên và chia sẻ tài liệu, theo dõi các thay đổi. Các phóng viên và biên tập viên có thể chia sẻ tài liệu, cùng soạn thảo và ghi nhận xét vào một bài viết trên Google Docs. Cách làm này vừa thuận tiện vừa giúp nâng cao năng suất và được nhiều người dùng yêu thích, nhưng lại dễ dẫn đến nguy cơ rò rỉ thông tin.
Các hệ thống CNTT “ngầm” và các dịch vụ tiện ích đám mây đã được sử dụng phổ biến trong các TC/DN. Vào tháng 1/2016, Cisco Cloud Consumption cho biết: Một doanh nghiệp lớn sử dụng trung bình 1.220 dịch vụ đám mây, tăng gần gấp đôi so với 730 dịch vụ của sáu tháng trước đó. Con số này cao hơn rất nhiều so với ước tính của các CIO (họ cho rằng doanh nghiệp của mình chỉ dùng khoảng 91 dịch vụ đám mây công cộng). Số dịch vụ trên đám mây mà các doanh nghiệp lớn sử dụng đã tăng tới 67% so với 6 tháng trước đó và tăng 112% nếu so với năm trước.
Trong Báo cáo 10 dự báo hàng đầu về an ninh đám mây năm 2016, Gartner dự đoán rằng tới năm 2020, 1/3 các cuộc tấn công thành công vào các doanh nghiệp là nhằm vào các tài nguyên CNTT “ngầm”. Gartner cũng nhấn mạnh rằng tới năm 2018, nhu cầu ngăn chặn các vụ rò rỉ dữ liệu từ các dịch vụ trên đám mây công cộng sẽ khiến 20% số doanh nghiệp phải xây dựng các chương trình quản lý và đảm bảo an ninh dữ liệu.
Cùng với sự tồn tại và phát triển của các hệ thống CNTT “ngầm”, việc sử dụng các dịch vụ tiện ích đám mây có thể đem tới những rủi ro chính sau đây:
Rủi ro lộ, lọt thông tin
Các nhà cung cấp dịch vụ điện toán đám mây đang rất nỗ lực để bảo vệ dữ liệu của khách hàng. Nhưng người dùng vẫn phải chịu trách nhiệm chính trong việc biết thông tin của mình được lưu trữ ở đâu và có phương pháp bảo vệ chúng như thế nào. Không có những quy định chặt chẽ để quản lý các nhà cung cấp dịch vụ điện toán đám mây và không thể theo dõi thông tin của người dùng đang được chia sẻ như thế nào, nhà cung cấp sử dụng biện pháp kỹ thuật nào để bảo vệ thông tin của khách hàng... là những nguyên nhân gây ra rủi ro an toàn thông tin cho các TC/DN.
Rủi ro thương hiệu
Rủi ro thương hiệu đi liền với nguy cơ lộ, lọt thông tin. Nếu thông tin của TC/DN bị đánh cắp hay chia sẻ không hợp lệ, thì tác động của việc đó tới uy tín thương hiệu của TC/DN sẽ khó có thể đo đếm được. Những vụ lộ thông tin trên mạng không chỉ dẫn đến những tổn thất trực tiếp về tài chính mà còn khiến khách hàng mất lòng tin vào thương hiệu.
Rủi ro về quản trị doanh nghiệp
Việc quản trị của TC/DN khi sử dụng các dịch vụ đám mây sẽ gặp nhiều rủi ro. Trong đó, nổi bật là các phòng, ban không tuân thủ quy định của cơ quan quản lý. Những vi phạm xuất hiện ngày càng nhiều, nhưng những người chịu trách nhiệm đảm bảo tuân thủ các quy định lại không biết hết được các bộ phận trong doanh nghiệp của mình đang sử dụng những dịch vụ đám mây nào. Trong khi đó, những nhân viên thường chỉ thấy được những ưu điểm của dịch vụ đám mây, mà không nhận ra những rủi ro chúng có thể mang đến cho TC/DN.
Rủi ro về khả năng kinh doanh liên tục
Các doanh nghiệp cần đảm bảo rằng, những nhà cung cấp dịch vụ điện toán đám mây họ đang sử dụng có khả năng tài chính vững mạnh. Nếu không, họ có thể bị mất những dữ liệu quý giá khi nhà cung cấp dịch vụ phá sản, ngừng hoạt động. Chẳng hạn như, cuối năm 2013, nhà cung cấp dịch vụ lưu trữ đám mây Nirvanix nộp đơn xin bảo hộ phá sản và cho khách hàng chưa đầy một tháng để chuyển dữ liệu đi nơi khác (hoặc để mất vĩnh viễn). Những thay đổi đột ngột như vậy có thể đem đến những thách thức rất lớn đối với việc đảm bảo khả năng kinh doanh liên tục.
Các TC/DN khó có khả năng giám sát chất lượng của các dịch vụ để biết những dịch vụ đó có tuân thủ các thoả thuận đã ký hay không, có xứng đáng với số tiền họ đã trả hay không. Khó khăn này còn tăng lên nếu các bộ phận nghiệp vụ (không có những cán bộ chuyên trách về CNTT, những người có hiểu biết về kỹ thuật ...) đàm phán và ký hợp đồng với những nhà cung cấp dịch vụ đám mây.
Thiệt hại về tài chính
Cisco từng giúp một nhà sản xuất thiết bị toàn cầu phát hiện việc nhân viên của họ sử dụng hơn 630 dịch vụ đám mây, 90% trong số đó không được bộ phận CNTT biết tới. Những dịch vụ không được biết tới này tiêu tốn của họ gần một triệu đô la mỗi năm. Chi phí tăng lên vì các bộ phận khác nhau cùng mua những dịch vụ giống nhau và đánh mất khả năng thương lượng khi ký hợp đồng lớn. Tất cả các giải pháp CNTT, dù do đối tác bên ngoài hay nội bộ doanh nghiệp cung cấp, đều phải đáp ứng các yêu cầu, tiêu chuẩn về pháp lý, hợp đồng, nghiệp vụ kinh doanh và công nghệ có liên quan. Các nhà cung cấp dịch vụ điện toán đám mây bên ngoài có thể gặp rắc rối với các yêu cầu đó, nên cần có các biện pháp quản lý để đảm bảo sự tuân thủ. Việc triển khai các biện pháp quản lý nhà cung cấp có thể giúp phòng tránh, giảm thiểu rủi ro và đảm bảo tuân thủ các yêu cầu quan trọng trên nhiều mặt với mọi nhà cung cấp. Khi nắm bắt được các hoạt động thuê ngoài dịch vụ đám mây tự phát và đưa chúng vào tầm quản lý TC/DN sẽ từng bước nhận được những lợi ích của công tác quản trị CNTT và ATTT.
Để có thể quản trị rủi ro và hạn chế tối đa tác hại của các dịch vụ “ngầm”, các nhà quản trị cần có cách tiếp cận đúng đắn. Việc áp dụng chính sách “đóng” để ngăn chặn rủi ro đôi khi phản tác dụng do vừa cản trở xu thế làm việc cộng tác và các động lực phát triển kinh doanh, vừa tạo ra những rủi ro ngầm. Bên cạnh đó, nhiều nhà lãnh đạo vẫn nghĩ rằng họ không cần lo ngại về các dịch vụ CNTT “ngầm” vì đã có những phương thức an ninh bảo vệ.
Giải pháp bảo mật đám mây
Bên cạnh chính sách, chiến lược tốt, TC/DN cũng cần có giải pháp kỹ thuật phù hợp. Để quản trị tốt các dịch vụ điện toán đám mây công cộng được sử dụng trong doanh nghiệp cần quan tâm tới giải pháp bảo mật đám mây (Cloud Access Security Broker - CASB). Đây là công cụ phần mềm trung gian giữa cơ sở hạ tầng của doanh nghiệp và hạ tầng đám mây của các nhà cung cấp, đóng vai trò người gác cổng, cho phép doanh nghiệp mở rộng phạm vi áp dụng các chính sách ATTT ra ngoài cơ sở hạ tầng của họ. Giải pháp CASB đảm bảo kết nối mạng giữa các thiết bị trong doanh nghiệp và các nhà cung cấp dịch vụ đám mây tuân thủ theo các chính sách về ATTT.
Một đặc điểm quan trọng khác của giải pháp CASB là khả năng nắm bắt được các ứng dụng điện toán đám mây được sử dụng trong TC/DN. Từ đó xác định những dịch vụ không được cấp phép. Điều này đặc biệt quan trọng đối với các ngành có quy định quản lý nghiêm ngặt khi sử dụng điện toán đám mây. CASB giúp xác định các ứng dụng mà người dùng gặp rủi ro cao. Từ đó, áp đặt các biện pháp kiểm soát an ninh như mã hoá.
Ngoài ra, CASB còn cung cấp các dịch vụ như ánh xạ thông tin đăng nhập khi không có hệ thống đăng nhập một lần (Single Sign-On). Khác với tường lửa, giải pháp bảo mật mới này cho phép xem xét chi tiết các hoạt động của người dùng, giúp xác định những người dùng có động cơ xấu hay những mối đe doạ từ bên trong, phát hiện những bất thường (vi phạm các quy định an ninh) trong việc sử dụng dịch vụ đám mây. Tuy nhiên, CASB không thay thế cho các giải pháp an ninh mạng hiện có như tường lửa, web proxy hay chống thất thoát dữ liệu (Data Loss Prevention - DLP). Các giải pháp DLP truyền thống thường tập trung vào hạ tầng mạng và thiết bị đầu cuối bên trong doanh nghiệp mà không bao phủ được các dịch vụ điện toán đám mây. Ngược lại, các giải pháp CASB có một số tính năng phòng chống thất thoát dữ liệu nhưng lại không đầy đủ và thường phải tích hợp với giải pháp DLP chuyên dụng.
Việc áp dụng các giải pháp CASB phần nào nhằm đáp ứng nhu cầu quản trị rủi ro an toàn, an ninh thông tin của doanh nghiệp trong bối cảnh hiện nay.
Các chuyên gia của Gartner khuyến nghị rằng, các TC/DN nên phát triển chương trình quản trị an ninh trên toàn bộ dữ liệu của mình, xác định những lỗ hổng trong chính sách để có lộ trình giải quyết và mua bảo hiểm trong những trường hợp phù hợp.
Nguyễn Anh Tuấn
(tổng hợp)
10:00 | 09/08/2019
09:00 | 01/03/2018
08:00 | 22/02/2021
16:00 | 03/05/2021
09:00 | 03/06/2021
14:00 | 12/11/2019
10:00 | 22/01/2021
16:00 | 03/07/2019
15:00 | 23/01/2025
Ngày 18/1, tại Hội nghị Tổng kết năm 2024 và Triển khai nhiệm vụ 2025 của Hiệp hội An ninh mạng Quốc gia, dưới sự chứng kiến của Đại tướng Lương Tam Quang, Ủy viên Bộ Chính trị, Bộ trưởng Bộ Công an, Chủ tịch Hiệp hội An ninh mạng Quốc gia, Trung tướng Nguyễn Minh Chính, Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an, Phó Chủ tịch Thường trực Hiệp hội đã công bố quyết định thành lập Liên minh ứng phó, khắc phục sự cố An ninh mạng Quốc gia.
14:00 | 14/01/2025
Thời điểm cuối năm luôn là giai đoạn cao điểm của các cuộc tấn công mạng và lừa đảo trực tuyến. Hàng trăm nghìn vụ tấn công nhắm vào doanh nghiệp, cơ quan và cá nhân đã được ghi nhận.
09:00 | 08/01/2025
Ngày 07/01, tại Hà Nội, Cục Viễn thông và Cơ yếu Bộ Công an tổ chức Hội nghị tổng kết công tác năm 2025 và triển khai chương trình công tác viễn thông, cơ yếu năm 2025. Trung tướng Lê Văn Tuyến, Thứ trưởng Bộ Công an và Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo Hội nghị.
13:00 | 18/11/2024
Ngày 16/11, tại Hà Nội, Học viện Kỹ thuật mật mã (Ban Cơ yếu Chính phủ) tổ chức thành công cuộc thi Robocon cấp Học viện năm 2024, đánh dấu lần đầu tiên một sân chơi công nghệ sáng tạo được tổ chức trong khuôn khổ nhà trường. Sự kiện không chỉ là cơ hội để sinh viên thể hiện tài năng và niềm đam mê khoa học kỹ thuật mà còn góp phần thúc đẩy phong trào nghiên cứu, sáng tạo trong Học viện.
Nền tảng truyền thông xã hội Bluesky với cách thức hoạt động tương tự X (trước đây là Twitter) hiện đang trở thành sự lựa chọn ngày càng phổ biến trong cộng đồng khoa học.
09:00 | 03/02/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
ByteDance - công ty mẹ TikTok vừa giới thiệu mô hình trí tuệ nhân tạo (AI) mới có tên OmniHuman-1, có khả năng sản xuất video deepfake mà người dùng thông thường gần như không thể phân biệt với video thật.
08:00 | 07/02/2025