Công ước Hà Nội: Pháo đài số của doanh nghiệp Việt không chỉ là tường lửa mà là văn hóa an ninh

An ninh thông tin và an toàn tài sản số, điều tưởng chừng chỉ dành cho các tập đoàn đa quốc gia thì nay đã trở thành mối quan tâm sống còn của mọi doanh nghiệp, nhất là khi Chính phủ đang tiến hành thể chế hóa bằng việc xây dựng Luật An ninh mạng và dự kiến hợp nhất quy định của Luật An ninh mạng năm 2018 và Luật An toàn thông tin mạng năm 2015 (sửa đổi, bổ sung năm 2018). Trong kỷ nguyên chuyển đổi số, dữ liệu chính là tài sản quý giá nhất và việc bảo vệ tài nguyên số không còn là tùy chọn mà là trách nhiệm pháp lý và chiến lược cạnh tranh.

Hiện nay, nhiều doanh nghiệp nhỏ và vừa vẫn mang tâm lý "chắc chỉ có mấy ông lớn mới bị hacker nhòm ngó." Tuy nhiên, sự thật hoàn toàn ngược lại, chính các doanh nghiệp nhỏ và vừa với nguồn lực bảo mật hạn chế lại là miếng mồi ngon và dễ bị tổn thương hơn.

Theo Chuyên gia chuyển đổi số Lê Văn Dũng, Tổng giám đốc Công ty cổ phần Tập đoàn công nghệ AB Soft, việc bảo vệ tài sản số đòi hỏi một chiến lược phòng thủ nhiều lớp; trong đó mỗi lớp hỗ trợ và tăng cường cho những lớp còn lại. Đầu tiên là tuyến phòng thủ số 1 chính là con người hay còn gọi là tường lửa nhân sự vững chắc. Nền tảng của mọi hệ thống an ninh không nằm ở công nghệ đắt tiền, mà nằm ở ý thức của chính con người.

Theo các chuyên gia an ninh mạng, trên toàn cầu, hơn 80% các sự cố an ninh mạng đều bắt nguồn từ lỗi của con người. Phòng thủ từ con người bắt đầu từ những hành động cơ bản, như mật khẩu phải đủ mạnh bằng cách tạo mật khẩu không thể đoán được và sử dụng xác thực đa yếu tố; đào tạo cho nhân sự nhận diện việc lừa đảo bằng cách huấn luyện mỗi nhân viên trở thành một "người lính gác" có khả năng nhận diện những email lừa đảo, ngày càng tinh vi. Ngoài ra, luôn cần nhớ quy tắc vàng về cài đặt, đó là chỉ cài đặt phần mềm từ những nguồn đáng tin cậy đã được kiểm chứng.

Ông Ngô Việt Khôi, Chuyên gia bảo mật và nhận thức an toàn thông tin, nguyên Giám đốc quốc gia Trend Micro Viet Nam cho hay, doanh nghiệp thường chi tiền tỷ cho phần mềm diệt virus nhưng lại quên mất việc đào tạo nhân viên. Hacker không tấn công hệ thống mà tấn công vào sự thiếu hiểu biết của nhân viên. Đào tạo thường xuyên về an ninh thông tin, coi nó là một phần của văn hóa doanh nghiệp, chính là cách phòng thủ rẻ nhất và hiệu quả nhất.

Một doanh nghiệp thông minh không cố gắng làm tất cả mọi thứ một mình. Tuyến phòng thủ thứ hai là ủy thác một phần công việc an ninh cho những người có chuyên môn cao nhất. Khi sử dụng các dịch vụ đám mây hay ứng dụng uy tín, doanh nghiệp không chỉ đang thuê phần mềm mà đang thuê cả một đội ngũ chuyên gia bảo mật hàng đầu thế giới. Vì thế tại sao không tận dụng hạ tầng khủng, khi mà các nhà cung cấp lớn đã đầu tư hàng triệu, thậm chí hàng tỷ USD vào hạ tầng, quy trình và con người để làm đúng một việc duy nhất là giúp khách hàng đảm bảo an ninh. Thêm vào đó,  việc tự vận hành máy chủ và bảo mật đòi hỏi kiến thức chuyên môn rất sâu và chi phí không hề nhỏ, nên đối với hầu hết doanh nghiệp nhỏ và vừa, lựa chọn thuê dịch vụ an toàn và thiết thực hơn cho phép các doanh nghiệp nhỏ và vừa tập trung nguồn lực vào phát triển kinh doanh cốt lõi.

Tuyến phòng thủ số 3 rất quan trọng, đó là sao lưu dữ liệu – tấm lưới an toàn hữu dụng. Ngay cả khi có những hệ thống phòng thủ tốt nhất thì rủi ro vẫn luôn tồn tại. Tuyến phòng thủ thứ ba chính là tấm lưới an toàn giúp doanh nghiệp có thể đứng dậy và phục hồi sau bất kỳ sự cố nào, đặc biệt là các cuộc tấn công mã độc tống tiền (hay còn gọi là Ransomware). Bằng cách nhận biết rủi ro và nắm vững  nguyên tắc sao lưu (hay còn gọi là backup) đúng cách sẽ giúp bạn giảm thiểu nguy cơ. Tự động hóa là tính năng quan trọng đối với từng doanh nghiệp, nhất là doanh nghiệp sản xuất. Đừng bao giờ trông chờ vào trí nhớ của con người. Hãy thiết lập quy trình sao lưu tự động hóa và đừng quên thực hiện sao lưu thường xuyên, ít nhất là hàng tuần hoặc tốt hơn là hàng ngày.

Cuối cùng là tuyến phòng thủ về quyền giới hạn truy cập. Đây là một nguyên tắc đơn giản nhưng sức mạnh của nó lại lớn không ngờ: Kiểm soát thật chặt chẽ xem ai được phép làm gì và thấy gì trong hệ thống của mình. Triết lý đằng sau nó là tuyệt đối không cấp quyền thừa. Mỗi nhân viên chỉ nên có một "chiếc chìa khóa" vừa đủ để mở đúng cánh cửa công việc của họ mà thôi, không hơn không kém. Khi giới hạn quyền truy cập, doanh nghiệp giảm thiểu được thiệt hại nếu chẳng may một tài khoản bị hacker chiếm từ bên ngoài. Quan trọng hơn, nguyên tắc này ngăn chặn được cả những rủi ro đến từ chính nội bộ, dù đó là vô tình hay cố ý.

Trước những vấn đề nói trên, Chuyên gia chuyển đổi số Lê Văn Dũng khuyến nghị, an toàn tài sản số không chỉ là vấn đề nội bộ doanh nghiệp mà đã trở thành vấn đề an ninh quốc gia, đòi hỏi sự can thiệp và định hướng từ Chính phủ. Việc thể chế hóa an ninh thông tin thực sự là bước đi chiến lược của Nhà nước; nhất là khi đưa các nội dung an toàn thông tin vào Luật định. Điều này giúp nâng cao ý thức tuân thủ, buộc các doanh nghiệp phải đầu tư nghiêm túc vào bảo mật và tạo ra một hành lang pháp lý vững chắc để xử lý các vi phạm.

"Việc luật hóa an ninh thông tin không phải để gây khó khăn cho doanh nghiệp, mà là bảo vệ chính tài sản và uy tín của họ. Khi an toàn tài sản số trở thành quy định pháp lý bắt buộc, chúng ta sẽ dần loại bỏ những 'lỗ hổng' lỏng lẻo trong hệ thống kinh tế quốc gia, tạo niềm tin cho nhà đầu tư nước ngoài và thúc đẩy kinh tế số phát triển lành mạnh hơn", ông Lê Văn Dũng nhấn mạnh.

Với các doanh nghiệp nhỏ và vừa, Chuyên gia bảo mật thông tin Ngô Việt Khôi bày tỏ quan điểm, việc xây dựng pháo đài số rất cần phải thiết thực, hiệu quả và phù hợp với nguồn lực cụ thể như ưu tiên đào tạo với chi phí ít tốn kém nhất nhưng mang lại hiệu quả cao nhất. Không cần công nghệ quá phức tạp, nhưng phải tuân thủ nghiêm ngặt quy tắc sao lưu tách biệt. "Nhiều doanh nghiệp nhỏ cứ nghĩ bảo mật là phải mua phần mềm đắt tiền. Sai lầm! Hãy bắt đầu bằng cách chọn đối tác đám mây uy tín và thực hiện sao lưu ngoài cơ sở. Các nhà cung cấp đám mây đã lo phần bảo mật hạ tầng rồi, doanh nghiệp chỉ cần tập trung vào bảo mật dữ liệu và con người. Hãy coi an ninh thông tin là một dịch vụ, không phải là một phòng ban tự xây."

Sau khi đã nắm vững bốn tuyến phòng thủ, việc xác định được đúng điểm cần ưu tiên hành động này chính là bước đầu tiên và quan trọng nhất để xây dựng một pháo đài số thực sự vững chắc hơn. An ninh thông tin không phải là một điểm đến, mà là một hành trình liên tục, đòi hỏi sự cam kết và đầu tư dài hạn.