“Các tổ chức nên dành tối thiểu 10% ngân sách đầu tư CNTT hàng năm cho dịch vụ bảo mật" - Đó là một trong những khuyến nghị của đại diện công ty Cổ phần An ninh mạng Việt Nam (VSEC) đưa ra tại Hội nghị "Bảo đảm ATTT trong Chuyển đổi số quốc gia và Chính phủ điện tử" diễn ra mới đây.
Theo VSEC, các nguy cơ an ninh mạng bao gồm: tấn công website, email lừa đảo, mã độc Cryptojacking (mã độc khai thác tiền ảo), mã độc tấn công thiết bị di động và mã độc tấn công APT (tấn công có chủ đích). Các cuộc tấn công này sẽ gây ra những tổn thất cho tổ chức, doanh nghiệp như mất mát dữ liệu, tổn thất tài chính hay thậm chí còn ảnh hưởng đến uy tín và hình ảnh của doanh nghiệp.
Trên cơ sở đó, đại diện VSEC đã đưa ra các kiến nghị, cách thức phòng chống tấn công như việc tổ chức định kỳ nâng cao nhận thức về bảo mật của đội ngũ nhân sự trong đơn vị, có thể mời các chuyên gia đào tạo để cập nhật, áp dụng tiêu chuẩn ATTT mới. Bên cạnh đó, các tổ chức cần định kỳ nâng cao trình độ chuyên môn đội ngũ kỹ thuật, nhất là đội ngũ bảo mật. "Bởi vì, chúng tôi thấy rằng nhiều doanh nghiệp CNTT làm sản phẩm nhưng đội ngũ lập trình vẫn chưa đảm bảo ATTT ở mức cao nhất", đại diện VSEC nhấn mạnh.
Các tổ chức cũng cần sử dụng hạ tầng mạng của các đơn vị cung cấp uy tín để giảm thiểu rủi ro về ATTT, cần có danh mục xem các sản phẩm đã đạt tiêu chuẩn hay chưa cũng như thường xuyên rà soát lỗ hổng định kỳ mỗi năm 1 lần hoặc 2 lần.
Ngoài ra, các đơn vị cũng cần áp dụng các tiêu chuẩn bảo mật của thế giới như ISO 27008 hay tối thiểu là PCI DSS cho hệ thống của mình.
Theo thông tin từ Bộ Thông tin và Truyền thông, 6 tháng đầu năm 2019 tại Việt Nam đã xảy ra 3.159 vụ tấn công mạng vào các hệ thống thông tin, trong đó có 968 cuộc tấn công thay đổi giao diện (Deface), 635 cuộc tấn công cài cắm mã độc (Malware), 1.556 cuộc tấn công lừa đảo (Phishing).
Trong một hoạt động đánh giá bảo mật mới đây từ VSEC cho thấy, số lượng website ngày càng tăng nhưng vấn đề đảm bảo an toàn, an ninh thông tin website ở Việt Nam vẫn chưa được chú trọng đúng mức.
Các chuyên gia từ VSEC cho biết, hiện có khoảng 60% website ở Việt Nam đang dính các lỗ hổng bảo mật, phổ biến nhất hiện tại là các lỗi phân quyền người dùng (Broken access control), Cross-site scripting (XSS), Cross-site request forgery (CSRF), SQL injection (SQLi)...
Cũng theo nghiên cứu, bất kì website của doanh nghiệp nào cũng đều có nguy cơ tồn tại những lỗ hổng nguy hiểm, có thể dẫn đến việc website bị tấn công, mang đến những hậu quả vô cùng trâm trọng mà không doanh nghiệp nào muốn gặp phải.
Thông qua các lỗ hổng, tin tặc có thể tiến hành khai thác âm thầm và lấy cắp nhiều thông tin nhạy cảm mà doanh nghiệp không hề hay biết, hoặc khi phát hiện thì đã quá muộn. Mặc dù hình thức tấn công này tuy đơn giản nhưng gây ra những thiệt hại khôn lường tới doanh nghiệp như hệ thống bị tê liệt, bị xóa dữ liệu, thời gian khôi phục rất dài và mức độ thiệt hại lớn. Nguy hiểm hơn, các tin tặc sẽ tiến hành khai thác một cách âm thầm và lấy cắp nhiều thông tin nhạy cảm như: danh sách khách hàng, danh sách nhân viên, tài liệu dự án,....
