Hướng dẫn triển khai biện pháp đảm bảo an toàn thông tin
An toàn thông tin là một khía cạnh quan trọng không thể bỏ qua trong thời đại số hiện nay, đặc biệt là khi sự phụ thuộc vào công nghệ thông tin ngày càng tăng trong mọi lĩnh vực của đời sống, kinh doanh và công tác quản lý.
Cơ quan chính phủ, hệ thống ngân hàng, tổ chức tài chính, hệ thống công nghiệp là các mục tiêu dễ bị tấn công mất an ninh mạng. Minh hoạ: CDKH
Theo số liệu IBM Security's 2023 Cost of a Data Breach Report và báo cáo của Cybersecurity Ventures (2023), chi phí trung bình toàn cầu do một vụ vi phạm dữ liệu vào năm 2023 là 4,45 triệu USD, tăng 15% trong 3 năm và thiệt hại do tấn công mạng là khoảng 8 nghìn tỷ USD trên toàn thế giới.
Tại Việt Nam, theo báo cáo tổng kết tình hình An ninh mạng Việt Nam năm 2023 của công ty Công nghệ An ninh mạng quốc Gia Việt Nam (NCS) công bố mới đây, số vụ tấn công mạng vào các tổ chức tăng 9,5% so với năm 2022, trung bình 1.160 vụ mỗi tháng.
Theo tổng hợp của NCS, năm 2023 ghi nhận 13.900 vụ tấn công mạng vào các tổ chức tại Việt Nam. Các mục tiêu chịu nhiều cuộc tấn công nhất trong năm qua là các cơ quan chính phủ, hệ thống ngân hàng, tổ chức tài chính, hệ thống công nghiệp và các hệ thống trọng yếu khác.
Việt Nam đã nhận thức rõ tầm quan trọng của an toàn thông tin trong bối cảnh số hóa ngày càng sâu rộng. Để đảm bảo an toàn thông tin cho cả khối nhà nước và tư nhân, Việt Nam đã triển khai nhiều chính sách và biện pháp pháp lý như Luật An ninh mạng (2018), Luật bao gồm các quy định về bảo vệ dữ liệu cá nhân, yêu cầu các công ty công nghệ lưu trữ dữ liệu của người dùng Việt Nam trên lãnh thổ Việt Nam và các biện pháp phòng, chống tấn công mạng.
Thủ tướng Chính Phủ phê duyệt Chiến lược An toàn, An ninh mạng quốc gia, chủ động ứng phó với các thách thức từ không gian mạng đến năm 2025, tầm nhìn 2030; Nghị định 85/2016/NĐ-CP, Nghị định này quy định chi tiết và hướng dẫn thi hành một số điều của Luật An toàn thông tin mạng, bao gồm các biện pháp bảo đảm an toàn thông tin cho các cơ quan nhà nước, tổ chức và doanh nghiệp. Nghị định đặt ra yêu cầu về an toàn hệ thống thông tin, đánh giá rủi ro, và bảo vệ dữ liệu cá nhân.
Bộ Thông tin và Truyền thông và các cơ quan chức năng khác đã cung cấp khung hướng dẫn cụ thể cho các tổ chức, doanh nghiệp trong việc triển khai các biện pháp bảo đảm an toàn thông tin, phù hợp với quy định của pháp luật Việt Nam.
Một số hình thức tấn công mạng phổ biến mà các tổ chức và cá nhân cần đặc biệt lưu ý
1. Tấn công Phishing
Mô tả: Phishing là hình thức lừa đảo qua email hoặc các phương tiện truyền thông xã hội, trong đó kẻ tấn công giả mạo danh tính của một cá nhân hay tổ chức tin cậy để lấy cắp thông tin nhạy cảm như tên đăng nhập, mật khẩu và thông tin thẻ tín dụng.
Phòng chống: Cần kiểm tra kỹ lưỡng nguồn gốc của email và các liên kết đi kèm, không cung cấp thông tin cá nhân qua email hoặc tin nhắn không rõ ràng.
2. Tấn công Ransomware
Mô tả: Ransomware là loại malware mà khi nhiễm vào máy tính, nó sẽ mã hóa dữ liệu của nạn nhân và yêu cầu tiền chuộc để giải mã. Các cuộc tấn công ransomware có thể gây ra thiệt hại nghiêm trọng về tài chính và dữ liệu.
Phòng chống: Thực hiện sao lưu dữ liệu thường xuyên, cập nhật phần mềm chống virus và hệ thống an ninh mạng, và không mở các tệp đính kèm đáng ngờ.
3. Tấn công DDoS (Distributed Denial of Service)
Mô tả: Tấn công DDoS là một cuộc tấn công mà trong đó nhiều hệ thống máy tính tấn công vào một máy chủ, dịch vụ hoặc mạng và làm quá tải hệ thống bằng cách gửi liên tục các yêu cầu giả mạo, làm cho dịch vụ trở nên không khả dụng.
Phòng chống: Sử dụng các giải pháp chống DDoS chuyên nghiệp, như các dịch vụ giảm thiểu DDoS có khả năng phân tích và chặn các giao dịch đáng ngờ.
4. Tấn công Man-in-the-Middle (MitM)
Mô tả: Trong một cuộc tấn công MitM, kẻ tấn công xen vào giữa hai bên đang giao tiếp để đánh cắp hoặc thao túng thông tin trao đổi giữa họ.
Phòng chống: Sử dụng mã hóa end-to-end cho tất cả các giao dịch thông tin, và đảm bảo rằng các kết nối mạng đều an toàn (ví dụ, sử dụng VPN).
5. SQL Injection
Mô tả: SQL Injection là kỹ thuật tấn công mà kẻ tấn công chèn các đoạn mã SQL độc hại vào các trường đầu vào của một ứng dụng web để thực thi các lệnh không mong muốn và thao túng cơ sở dữ liệu.
Phòng chống: Sử dụng các biện pháp bảo mật cơ sở dữ liệu như chuẩn hóa đầu vào, sử dụng truy vấn tham số hóa, và kiểm tra kỹ lưỡng các đầu vào từ người dùng.
6. Malware và Virus
Mô tả: Malware là phần mềm độc hại được thiết kế để gây hại cho máy tính, hệ thống máy tính, mạng máy tính. Virus là một dạng của malware có khả năng tự sao chép và lây lan từ máy này sang máy khác.
Phòng chống: Cài đặt và cập nhật thường xuyên phần mềm diệt virus, không tải về phần mềm từ các nguồn không đáng tin cậy, và thận trọng với các đính kèm email và tải xuống.
Việc hiểu biết và nhận thức về các hình thức tấn công mạng là bước đầu tiên trong việc xây dựng một chiến lược an ninh mạng hiệu quả. Từ đó, các tổ chức và cá nhân có thể triển khai các biện pháp phòng ngừa thích hợp để bảo vệ bản thân khỏi các mối đe dọa ngày càng gia tăng trong không gian mạng.
Cách bảo đảm an toàn thông tin, xây dựng chính sách phòng chống tấn công mạng
Xây dựng chính sách phòng chống tấn công mạng của cơ quan, doanh nghiệp là một bước không thể thiếu trong việc bảo đảm an toàn thông tin trong thời đại kỹ thuật số.
Nghị định 85/2016/NĐ-CP của Việt Nam quy định chi tiết và hướng dẫn thi hành một số điều của Luật An toàn thông tin mạng. Để xây dựng kế hoạch đảm bảo an toàn thông tin theo quy định của Nghị định này và căn cứ vào các quy trình kiểm soát an toàn an ninh thông tin phổ biến hiện tại, các cơ quan, tổ chức cần tham khảo và tập trung vào những yếu tố chính sau đây:
1. Xác định và phân loại tài sản thông tin
Mục tiêu: Xác định tất cả tài sản thông tin quan trọng trong tổ chức, bao gồm phần cứng, phần mềm, dữ liệu, và hạ tầng mạng.
Thực hiện: Thực hiện kiểm kê và phân loại tài sản dựa trên mức độ nhạy cảm và tầm quan trọng đối với hoạt động của tổ chức.
2. Đánh giá rủi ro an toàn thông tin
Mục tiêu: Nhận diện và đánh giá các rủi ro tiềm ẩn đối với tài sản thông tin, bao gồm rủi ro từ bên trong lẫn bên ngoài tổ chức.
Thực hiện: Sử dụng các phương pháp đánh giá rủi ro như phân tích tác động kinh doanh (BIA), đánh giá rủi ro dựa trên tiêu chuẩn quốc tế như ISO/IEC 27005.
3. Xây dựng chính sách và quy trình an toàn thông tin
Mục tiêu: Phát triển các chính sách và quy trình cụ thể để quản lý và bảo vệ tài sản thông tin.
Thực hiện: Lập các chính sách bảo mật chi tiết, quy định rõ ràng về quyền hạn truy cập, sử dụng và bảo vệ thông tin, quy trình phản hồi sự cố, và quy trình khôi phục hệ thống.
4. Áp dụng các biện pháp kỹ thuật bảo mật
Mục tiêu: Đảm bảo sử dụng các công nghệ và biện pháp kỹ thuật hiện đại để phòng, chống các nguy cơ an toàn thông tin.
Thực hiện: Triển khai firewall, antivirus, anti-malware, mã hóa dữ liệu, giải pháp phát hiện và ngăn chặn xâm nhập (IDS/IPS), và các công nghệ bảo mật khác.
5. Tăng cường năng lực người dùng và nhân viên
Mục tiêu: Nâng cao nhận thức và kỹ năng an toàn thông tin cho mọi thành viên trong tổ chức.
Thực hiện: Tổ chức các khóa đào tạo, huấn luyện bắt buộc về an toàn thông tin, các chiến dịch nhận thức bảo mật cho nhân viên.
6. Quản lý nhà cung cấp và đối tác
Mục tiêu: Đảm bảo rằng các nhà cung cấp và đối tác cũng tuân thủ các tiêu chuẩn an toàn thông tin tương đương.
Thực hiện: Đánh giá bảo mật của các nhà cung cấp, ký kết các thỏa thuận bảo mật (SLA), và tiến hành kiểm toán bảo mật định kỳ.
7. Kiểm định an toàn thông tin
Mục tiêu: Thường xuyên kiểm tra, kiểm định và đánh giá hiệu quả của các biện pháp bảo mật đã triển khai.
Thực hiện: Thực hiện các cuộc kiểm định bảo mật định kỳ, sử dụng dịch vụ của bên thứ ba để đánh giá khách quan.
8. Phản ứng và khắc phục sự cố
Mục tiêu: Chuẩn bị sẵn sàng các kế hoạch phản ứng sự cố để nhanh chóng khôi phục hệ thống và giảm thiểu thiệt hại khi có sự cố an ninh mạng xảy ra.
Thực hiện: Phát triển kế hoạch phản ứng sự cố an toàn thông tin, bao gồm các bước cụ thể để xác định, đánh giá, và khắc phục sự cố.
