10 điểm chính trong khảo sát về ATTT 2023 phía Nam

Đồng thời, VNISA phía Nam cũng nêu lên những cảnh báo, phòng ngừa và các khuyến nghị thiết thực với các cơ quan, doanh nghiệp (DN) trong bối cảnh chuyển đổi số (CĐS) đang diễn ra ngày một mạnh mẽ và sâu rộng trong xã hội.

Tin tặc đã tận dụng công nghệ mới để lừa đảo trục lợi

Theo VNISA phía Nam, năm 2023 được đánh dấu bằng sự tăng tốc của xu hướng CĐS - một xu hướng đã được kích hoạt từ một vài năm trước. Đến nay, chúng ta nhận thấy CĐS là một quá trình để chuyển đổi mô hình kinh doanh hiệu quả trên không gian số. Hơn hết, quá trình CĐS còn dẫn đến những chiến lược mới, những công nghệ mới và cả những rủi ro mới.

Trí tuệ nhân tạo (AI) và học máy (machine learning - ML) đã được nghiên cứu và ứng dụng từ rất lâu (những năm 50 của thế kỷ trước), trong lĩnh vực ATTT cũng đã có nhiều ứng dụng của AI/ML... nhưng chưa bao giờ xã hội chứng kiến một làn sóng ồ ạt hay trào lưu tương tự như ChatGPT vào tháng 11/2022.

Sau những ứng dụng về hỏi đáp thông tin thì những ứng dụng chuyển đổi văn bản (text) sang giọng nói, hình ảnh cũng phát triển nhanh chóng. Ngay khi cộng đồng còn chưa kịp nắm bắt thông tin và có sự đề phòng thì tin tặc đã tận dụng công nghệ mới để lừa đảo trục lợi, trở thành một vấn đề nổi cộm đáng quan ngại. Rõ ràng là việc triển khai một công nghệ, dịch vụ mới trên không gian mạng, bên cạnh những hiệu quả và tiện ích mang đến, cần cảnh giác khả năng công nghệ bị khai thác để lừa đảo.

Việc nâng cao nhận thức cho người dân là cần thiết song chúng ta cũng cần xem xét các phương thức tấn công (attack modeling) mỗi khi thiết kế và phát triển ứng dụng có công nghệ mới nổi, có nhiều hàm lượng AI/ML áp dụng trong đó.

Điển hình là với sự trợ giúp của ChatGPT, tội phạm mạng có thể tạo ra một phần mềm đánh cắp dữ liệu tinh vi, phần mềm này là hoàn toàn mới và có thể vượt qua giám sát của các ứng dụng chống mã độc phổ biến hiện nay. Một điển hình khác là việc tạo đoạn hội thoại, đoạn phim giả mạo người thân để đánh lừa các nạn nhân.

Thủ đoạn này không hề khó khi ứng dụng công nghệ mới và mang lại lợi nhuận kinh tế rất cao cho tội phạm mạng khi mà nhiều người dùng còn chưa có nhận thức đúng và đủ về ATTT.

Chi phí đầu tư cho ATTT chưa đến 5% chi phí CNTT

Theo khảo sát về ATTT 2023 của Chi hội VNISA phía Nam, dưới đây là 10 điểm chính sẽ được báo cáo tại “Hội thảo và triển lãm ATTT khu vực phía Nam 2023” sắp diễn ra tại TP. HCM:

1. Số ý kiến tham gia khảo sát năm 2023 là 251 (tăng hơn 100 ý kiến so với năm 2022 cũng như 2021). Phân bố tương đối đều về quy mô của tổ chức được khảo sát: 29% ý kiến khảo sát từ đơn vị có quy mô từ 1 - 50 máy tính, 41% ý kiến khảo sát từ đơn vị có quy mô từ 51 - 300 máy tính và 28% ý kiến khảo sát từ đơn vị có trên 300 máy tính.

2. 69% khảo sát cho biết tổ chức có đơn vị/ bộ phận chuyên trách về ATTT. Tuy nhiên, với 37% khảo sát thì số nhân sự cho bộ phận này còn chưa nhiều (1 - 2 người).

3. Nhu cầu lớn về chương trình đào tạo, tập huấn về ATTT: Khoảng 50% tổ chức cần triển khai các chương trình đào tạo cho Nhóm chuyên gia quản lý ATTT (49,1%); Đào tạo các kỹ thuật phòng thủ, chống tấn công (48,3%); Đào tạo các kỹ thuật bảo vệ an toàn hệ thống và ứng dụng (51,3%); Nhóm chuyên gia kỹ thuật kiểm tra, đánh giá ATTT đều có nhu cầu lớn (53,2%).

47% khảo sát cho biết tổ chức có dành chi phí cho kế hoạch đào tạo và tập huấn, trong đó, 17% khảo sát cho biết mức chi phí này từ 100 triệu đồng trở lên.

4. 92% khảo sát cho biết tổ chức có tuyên truyền, phổ biến nâng cao nhận thức của người sử dụng về ATTT (hay còn gọi là vaccine số), chủ yếu thông qua các hình thức như đào tạo nâng cao nhận thức tập trung (43% khảo sát); Đưa việc bảo đảm ATTT vào các quy định chung của tổ chức (51% khảo sát); Nâng cao nhận thức về ATTT cho cán bộ nhân viên (61%).

Tuy nhiên, nên đẩy mạnh hơn việc tuyên truyền, nâng cao nhận thức thông qua hình thức Tập huấn xử lý sự cố ATTT.

5. Tình hình về các giải pháp cụ thể về ATTT không thay đổi so với năm 2022. Về các giải pháp cụ thể nhằm bảo vệ ATTT tại đơn vị, kết quả khảo sát năm 2023 có nhiều điểm tương đồng nhưng có khuynh hướng tăng nhẹ so với kết quả khảo sát năm 2022.

6. Tỷ lệ kinh phí đầu tư cho ATTT trong tổng nguồn vốn đầu tư dành cho CNTT: Có 29% khảo sát cho biết chi phí này chiếm trên 5% chi phí CNTT. Kết quả này cao hơn so với khảo sát năm 2022, và là dấu hiệu tích cực trong việc các tổ chức đầu tư nhiều hơn cho ATTT. Tuy nhiên, có 24% khảo sát cho rằng chi phí đầu tư cho ATTT chưa đến 5% chi phí CNTT của đơn vị.

7. 75% khảo sát cho biết tổ chức có cán bộ có chứng chỉ liên quan đến ATTT. Tuy nhiên 50% khảo sát cho biết số lượng nhân sự có chứng chỉ liên quan ATTT còn chưa nhiều (1 - 2 người).

8. Việc quản lý vận hành, khai thác, sử dụng hệ thống của tổ chức tuân thủ các chính sách về ATTT (91% khảo sát). Điều này là tín hiệu đáng mừng; tuy nhiên, việc xây dựng và thực hiện quy trình chuẩn cần được chú trọng hơn nữa, vì hiện tại chỉ có 47% khảo sát cho thấy tổ chức có triển khai quy trình thao tác chuẩn (Standard operating procedures - SOP) để phản hồi lại các sự cố mất ATTT.

Ngoài ra, quy trình đánh giá, quản lý và xử lý rủi ro về ATTT cũng cần được chú trọng (hiện chỉ mới 55% ý kiến khảo sát cho thấy tổ chức có triển khai việc này).

9. Mặc dù hầu hết các đơn vị đã triển khai hoạt động nâng cao nhận thức ATTT nhưng vẫn chưa đạt hiệu quả như mong muốn. Theo 57% ý kiến khảo sát năm 2023, vấn đề khó nhất trong việc bảo đảm ATTT DN vẫn luôn là nâng cao nhận thức cho người dùng.

10. Các đơn vị đã tăng cường việc ghi nhận các hành vi bị tấn công (có 46% ý kiến khảo sát năm 2022, và tăng lên 61% ý kiến khảo sát năm 2023). Việc phòng chống tin tặc (hacker) và có khả năng nhận dạng tấn công của tin tặc là trọng yếu của ATTT.

Phần lớn ý kiến cho rằng đối tượng đáng lo ngại nhất là tội phạm máy tính như hacker bất hợp pháp: 54,4% (khảo sát năm 2022) và 52% (khảo sát năm 2023)./.