An ninh mạng cho SME: Thách thức và khuyến nghị của Liên minh châu Âu (Phần 2)

Trong số 249 SME châu Âu được khảo sát, hơn 85% cho biết các vấn đề an ninh mạng sẽ có tác động tiêu cực nghiêm trọng đến hoạt động kinh doanh của họ trong vòng một tuần kể từ khi vấn đề xảy ra; 57% nói rằng họ rất có thể sẽ phá sản hoặc phải ngừng kinh doanh. SMEs trong khu vực EU dường như hiểu rằng an ninh mạng là một vấn đề quan trọng và họ rất phụ thuộc vào cơ sở hạ tầng CNTT-TT của mình. Mặc dù vậy, vẫn có DN có xu hướng tin rằng sự cố mạng chỉ ảnh hưởng đến các tổ chức và DN lớn hơn, vì thế, nhiều SME vẫn không coi đó là rủi ro lớn đối với họ.

Báo cáo đã nêu ra 7 loại thách thức lớn đối với SME đã được xác định:

- Nhận thức về an ninh mạng của nhân viên thấp,

- Bảo vệ không đầy đủ thông tin quan trọng và nhạy cảm,

- Thiếu ngân sách,

- Thiếu các chuyên gia an ninh mạng ICT,

- Thiếu các hướng dẫn an ninh mạng phù hợp dành riêng cho SME,

- Sự thay đổi công việc trong môi trường CNTT-TT ngoài tầm kiểm soát của SME,

- Hỗ trợ quản lý thấp.

Nhằm đảm bảo an toàn an ninh không gian mạng, Cơ quan An ninh mạng của EU đã đưa ra những khuyến nghị đối với SME tập trung vào 3 lĩnh vực quan trọng: con người, quy trình và kỹ thuật.

Con người

An ninh mạng rõ ràng là một yếu tố quan trọng trong sự thành công liên tục của bất kỳ SME nào, đặc biệt là trong đại dịch COVID-19. An ninh mạng đòi hỏi các nguồn lực từ nhân sự, mua phần mềm, dịch vụ và phần cứng an ninh mạng, đào tạo cho nhân viên và xây dựng các chính sách hiệu quả. Ban lãnh đạo DN cần đảm bảo các nguồn lực đó luôn sẵn sàng kịp thời để đảm bảo tất cả các mối đe dọa và rủi ro liên quan đến mạng được quản lý một cách thích hợp.

Đặc biệt, việc đào tạo nâng cao nhận thức về bảo mật cho lãnh đạo công ty cũng rất quan trọng giúp họ hiểu và tuân thủ các chính sách an ninh mạng của chính công ty và tích cực khuyến khích nhân viên tham gia các khóa đào tạo, hỗ trợ các quyết định, các chính sách, thủ tục và cung cấp tầm nhìn liên quan đến an ninh mạng.

Đối với nhân viên, điều cần thiết là nhân viên phải hiểu được tầm quan trọng của an ninh mạng tốt trong việc bảo vệ tổ chức, bảo vệ dữ liệu cá nhân mà khách hàng giao phó và cuối cùng là bảo vệ công việc của chính mình.

Mặc dù các biện pháp kiểm soát kỹ thuật có thể giảm thiểu rủi ro do các mối đe dọa khác nhau gây ra, nhưng yếu tố con người là yếu tố cần được quản lý thường xuyên. SME nên cung cấp thông tin về an ninh mạng thường xuyên cho nhân viên để đảm bảo họ có thể nhận ra và đối phó thích hợp với các vấn đề an ninh mạng khác nhau mà SME phải đối mặt.

Mục đích của các hoạt động đào tạo không phải là để mọi nhân viên trở thành chuyên gia an ninh mạng, mà là cung cấp thông tin cơ bản về các rủi ro thực tế liên quan đến không gian mạng, tác động đến tổ chức và hành vi của họ có thể ảnh hưởng như thế nào đến kết quả. Việc đào tạo phải thiết thực và định kỳ, phù hợp với các điều kiện và nhu cầu đặc biệt của SME.

Qua đó, họ sẽ có các kỹ năng và năng lực cần thiết để đảm bảo tính bảo mật, tính sẵn sàng và các hoạt động liên tục của cơ sở hạ tầng CNTT trong tổ chức.

Bên cạnh đó, SME nên thiết lập các quy tắc rõ ràng và cụ thể được nêu trong chính sách an ninh mạng cho nhân viên của mình về cách họ dự kiến sẽ hành xử khi sử dụng môi trường, thiết bị và dịch vụ CNTT-TT của công ty. Các chính sách này cũng phải nêu rõ những hậu quả mà nhân viên có thể gặp phải nếu họ không tuân thủ. Đồng thời, SME phải đảm bảo các chính sách này thường xuyên được xem xét, cập nhật, thông báo cho nhân viên để họ hiểu rõ các chính sách đó.

Nếu SME có hệ thống CNTT-TT và an ninh mạng được quản lý và hỗ trợ bởi bên thứ ba thì DN nên tham gia với nhà cung cấp để xác định mức độ năng lực của nhà cung cấp đó về an ninh mạng và họ có kế hoạch gì để đảm bảo an ninh mạng tại chỗ.

Quy trình

Nếu không có các cuộc kiểm tra hoặc đánh giá an ninh mạng thường xuyên, các vấn đề có thể sẽ phát sinh mà DN hoàn toàn không biết. Thực hiện đánh giá thường xuyên có thể giúp đảm bảo mọi vấn đề được xác định và khắc phục sớm trước một vụ vi phạm.

Các cuộc đánh giá an ninh mạng thường xuyên cũng đảm bảo một SME có thể biết được khuôn khổ an ninh mạng của họ đang được duy trì hiệu quả hay không. Những cuộc đánh giá này có thể bao gồm đánh giá về hiệu quả của các chính sách an ninh mạng được áp dụng. Họ cũng có thể kiểm tra các biện pháp kiểm soát kỹ thuật để đảm bảo tường lửa, trang web và các hệ thống quan trọng khác của SME không có bất kỳ điểm yếu nào có thể cho phép kẻ tấn công truy cập.

Hiện nay, trong môi trường mạng, câu hỏi thường được đặt ra không phải là liệu một công ty có bị vi phạm an ninh mạng hay không mà là khi nào thì công ty sẽ bị tấn công. Trong khi trước đây, các công ty có thể bị đánh giá nếu bị tấn công an ninh mạng nhưng ngày nay, người ta chấp nhận rằng các vi phạm an ninh mạng có thể xảy ra bất cứ lúc nào và những tổ chức bị vi phạm là nạn nhân của tội phạm.

Do đó, các SME phải chấp nhận rằng ở một số giai đoạn họ có thể bị vi phạm an ninh mạng và điều quan trọng là phải có kế hoạch ứng phó sự cố, vì nếu không có kế hoạch, việc ứng phó với sự cố an ninh mạng rất có thể sẽ khó khăn hơn nhiều.

SME nên xây dựng một kế hoạch ứng phó sự cố chính thức, trong đó có các hướng dẫn, vai trò và trách nhiệm rõ ràng. Chính sách này phải bao gồm các chi tiết về cách thức quản lý, thu thập và xử lý bằng chứng điện tử và trách nhiệm của các bên.

Bên cạnh đó, một trong những lớp bảo vệ quan trọng chống lại việc truy cập trái phép vào dữ liệu của công ty là việc thực hiện quy trình kiểm soát truy cập phù hợp. DN phải đảm bảo mạng máy tính của mình có thể hỗ trợ khả năng triển khai kiểm soát truy cập một cách tập trung.

Theo đó, một số mẹo được Cơ quan An ninh mạng EU đưa ra có thể là một nguồn tài liệu tuyệt vời mà SMEs có thể tham khảo để giúp họ giải quyết thách thức này. Khi xử lý thông tin xác thực và cụ thể hơn là mật khẩu, SME nên đảm bảo:

- Sử dụng mật khẩu mạnh hoặc cụm mật khẩu phải dài, với các ký tự viết thường và viết hoa, có thể cả số và ký tự đặc biệt. Tốt nhất là sử dụng cụm mật khẩu - một tập hợp các từ phổ biến ngẫu nhiên được kết hợp thành một cụm từ mang lại sự kết hợp tốt giữa khả năng ghi nhớ và bảo mật;

- Không sử dụng lại mật khẩu công việc ở nơi khác;

- Không đính kèm ghi chú Post-it chi tiết mật khẩu lên màn hình hoặc để lại mật khẩu có thể truy cập bằng văn bản (khuyến khích sử dụng trình quản lý mật khẩu thay thế);

- Nên sử dụng trình quản lý mật khẩu chuyên dụng (thường vượt trội hơn về tính năng so với trình quản lý mật khẩu tích hợp sẵn của trình duyệt), vì chúng giúp ghi nhớ các mật khẩu mạnh và duy nhất;

- Không chia sẻ mật khẩu với đồng nghiệp (hoặc tài khoản người dùng);

- Nếu có thể, hãy thực thi xác thực đa yếu tố.

Đặc biệt, sau khi một nhân viên rời khỏi tổ chức, SME cũng phải đảm bảo rằng thu hồi quyền truy cập của họ vào các hệ thống kinh doanh.

Một vấn đề khác cũng rất quan trọng đó là các bản cập nhật phần mềm khắc phục các lỗ hổng bảo mật. SME cần phải chuẩn bị để nâng cấp và cập nhật hệ thống của họ một cách thường xuyên do phần mềm và phần cứng có thể trở nên lỗi thời.

SME nên xem xét việc triển khai các giải pháp quản lý và kiểm soát cách thức và thời điểm áp dụng các bản vá phần mềm. Điều này cũng sẽ cho phép SME có khả năng hiển thị về những thiết bị nào có thể chưa được vá thành công và có thể cần chú ý thêm để khắc phục.

Theo Quy định chung về bảo vệ dữ liệu (GDPR) của EU, bất kỳ SME nào xử lý hoặc lưu trữ dữ liệu cá nhân của những người cư trú trong EU/EEA đều phải đảm bảo rằng các biện pháp kiểm soát bảo mật thích hợp được áp dụng để bảo vệ dữ liệu đó. Điều này bao gồm việc đảm bảo rằng bất kỳ bên thứ ba nào làm việc thay mặt cho SME đều phải có các biện pháp an ninh thích hợp.

Kỹ thuật

Bên cạnh các khuyến nghị về yếu tố con người, quy trình trong việc đảm bảo ATANM trong SME, Cơ quan an ninh mạng EU cũng đã đưa ra những khuyến nghị về các biện pháp kỹ thuật.

Theo kết quả của cuộc khảo sát trực tuyến, một giải pháp tường lửa đã được ít nhất 86% người tham gia thực hiện ngay cả trước khi xảy ra cuộc khủng hoảng COVID-19. Tỷ lệ này dường như đã tăng hơn nữa (90%) trong cuộc khủng hoảng.

Khi chọn tường lửa, SME cũng nên xem xét những tính năng bảo mật bổ sung nào được cung cấp, theo mặc định hoặc bằng cách trả thêm phí. Một số tính năng này có thể bao gồm lọc email và lưu lượng truy cập web để tìm phần mềm độc hại như vi-rút, chặn truy cập vào các trang web xấu và cung cấp cảnh báo, giám sát về các cuộc tấn công tiềm ẩn.

Với vai trò quan trọng của tường lửa trong việc bảo vệ hệ thống và mạng nội bộ, SME phải đảm bảo họ sử dụng tường lửa phù hợp nhất cho nhu cầu của mình.

Phần mềm chống vi-rút cũng là một trong những công cụ an ninh mạng được sử dụng phổ biến nhất để bảo vệ điểm cuối. Nó bảo vệ chống lại các loại phần mềm độc hại khác nhau.

Giải pháp chống vi-rút phải được triển khai trên tất cả các loại thiết bị và luôn cập nhật để đảm bảo tính hiệu quả liên tục của nó. Giải pháp chống vi-rút này sẽ cung cấp cho SME khả năng quản lý tập trung phần mềm chống vi-rút được cài đặt trên tất cả các thiết bị trong tổ chức và đảm bảo rằng phần mềm đó được cập nhật. Nếu phần mềm chống vi-rút trên bất kỳ thiết bị nào phát hiện ra khả năng lây nhiễm, nó cũng sẽ cảnh báo cho nhân viên thích hợp trong SME để đối phó với tình huống.

Sử dụng các công cụ bảo vệ web và email:

Email vẫn là một phương tiện tấn công chính của tin tặc. Các email độc hại có thể ở dạng email có tệp đính kèm độc hại, email chứa liên kết đến các trang web phân phối phần mềm độc hại, email lừa đảo.

Email lừa đảo hoặc lừa đảo nhắm mục tiêu đến nhân viên trong một SME để lừa họ cung cấp những thông tin nhạy cảm của cá nhân hoặc của DN, chẳng hạn như mật khẩu hoặc số thẻ tín dụng. Một dạng email độc hại phổ biến nhắm vào SME là lừa đảo liên quan đến việc thay đổi thông tin hóa đơn, trong đó tội phạm mạng tạo ra một email giả mạo giống với địa chỉ email của nhà cung cấp để yêu cầu thay đổi chi tiết tài khoản thanh toán.

Thực tế là nhân viên SME có thể có nhận thức thấp về loại hành vi lừa đảo này khiến họ trở thành đối tượng lý tưởng cho tội phạm mạng khai thác. Song song với đào tạo nâng cao nhận thức về không gian mạng, SME nên thực hiện các quy tắc không cho phép thay đổi chi tiết thanh toán hoặc chuyển tiền chỉ dựa trên email.

Nhân viên tại SME cũng nên biết các phương pháp duyệt web an toàn cơ bản, chẳng hạn như cách phát hiện các trang gian lận và tránh cài đặt các trình duyệt đáng ngờ. Để các DN có thể chuẩn bị tốt hơn trước các kiểu tấn công này, cần phải kết hợp các giải pháp để lọc ra các email có thể là spam, email chứa liên kết đến trang web độc hại, email chứa tệp đính kèm độc hại, hoặc các nỗ lực lừa đảo với sự đào tạo phù hợp và thực tế của nhân viên của tổ chức.

Mã hóa: 

Mã hóa là hình thức thông tin được xáo trộn theo cách mà chỉ những người có quyền truy cập thích hợp mới có thể xáo trộn dữ liệu đó để đọc. Do đó, mã hóa cung cấp sự bảo vệ mạnh mẽ cho dữ liệu nhạy cảm. Khi có thể, SME nên sử dụng mã hóa để bảo vệ dữ liệu khi dữ liệu đang được lưu trữ hoặc được chuyển qua các mạng công cộng như Internet.

Do tính chất di động của các thiết bị di động, chẳng hạn như máy tính xách tay và điện thoại thông minh, có nhiều khả năng bị mất hoặc bị đánh cắp. Nhiều hệ điều hành hiện đại có các tính năng mã hóa được tích hợp trong chúng, SME nên kích hoạt để đảm bảo dữ liệu được lưu trữ trên thiết bị di động được mã hóa.

Đối với dữ liệu được truyền qua các mạng công cộng, chẳng hạn như mạng Wi-Fi của khách sạn hoặc sân bay hoặc qua Internet, SME phải đảm bảo rằng dữ liệu được mã hóa bằng cách sử dụng Mạng riêng ảo (VPN) từ một nhà cung cấp đáng tin cậy hoặc truy cập các trang web qua kết nối an toàn bằng giao thức SSL/TLS.

Tương tự, đối với các trang web của riêng họ, đặc biệt nếu trang web đó đang được sử dụng để hỗ trợ các giao dịch trực tuyến, SME phải đảm bảo rằng họ đang sử dụng công nghệ mã hóa phù hợp để bảo vệ dữ liệu khách hàng khi dữ liệu đó di chuyển giữa máy chủ của SME và thiết bị của khách hàng.

Giám sát an ninh:

Nhiều hệ thống và thiết bị mà SME sử dụng, chẳng hạn như máy chủ, tường lửa và phần mềm chống vi-rút, có thể ghi nhật ký và ghi lại hoạt động của hệ thống để hỗ trợ khắc phục sự cố và bảo trì. Trong nhiều trường hợp, điều này cũng bao gồm việc ghi các hoạt động đáng ngờ có thể liên quan đến một vi phạm bảo mật tiềm ẩn. Tuy nhiên, theo mặc định, thường không có cơ sở để tạo cảnh báo, dẫn đến các vi phạm xảy ra mà các tổ chức nạn nhân không hề hay biết.

Vì vậy, mặc dù SME có thể có dữ liệu để cảnh báo về các hoạt động đáng ngờ trên hệ thống của họ nhưng dữ liệu đó không được giám sát tích cực để cảnh báo cho DN về những sự cố này. Điều này cũng tương tự như việc lắp đặt thiết bị báo trộm trong khuôn viên nhưng không bật lên. SME nên xem xét các công cụ có thể theo dõi và tạo cảnh báo khi xảy ra hoạt động đáng ngờ hoặc vi phạm bảo mật.

Bảo mật vật lý:

An ninh vật lý là một khía cạnh quan trọng khác của một chương trình an ninh mạng tổng thể. Dữ liệu nhạy cảm có thể được lưu trữ ở định dạng điện tử và định dạng vật lý như trên giấy. Nếu không có biện pháp bảo mật vật lý thích hợp để bảo vệ dữ liệu, thì tội phạm có thể nhanh chóng phá hoại các biện pháp kiểm soát an ninh mạng. Do đó, điều quan trọng là phải đảm bảo sử dụng các biện pháp kiểm soát vật lý thích hợp ở nơi có thông tin quan trọng.

Để ngăn chặn truy cập trái phép, bất cứ khi nào người dùng rời khỏi máy tính, dù là trong khuôn viên công ty hay ở nơi khác, họ nên khóa máy tính. Đặt chức năng tự động khóa, sử dụng mã hóa toàn bộ ổ đĩa và nếu có thể, hãy mua máy tính xách tay có chip TPM là một số biện pháp có thể củng cố bảo mật vật lý.

Sao lưu an toàn:

Theo khảo sát trực tuyến, hơn 90% người tham gia đã sử dụng một số loại dự phòng ngay cả trước khi xảy ra đại dịch COVID-19. Bất kể nguyên nhân gốc rễ là gì, công ty sẽ có thể khôi phục thông tin của mình trong một khoảng thời gian mong muốn. Để cho phép khôi phục thông tin, nên giữ lại các bản sao lưu, vì chúng là cách hiệu quả để khôi phục, chẳng hạn như từ các cuộc tấn công ransomware.

Khoảng thời gian lưu giữ cần được thiết lập và thực hiện dựa trên hoàn cảnh cụ thể của tổ chức. Nói cách khác, số lần lặp lại sao lưu nên được thiết lập theo thực tế kinh doanh của từng công ty, do đó, chi phí cho dữ liệu bị mất trong một khoảng thời gian nhất định là có thể chấp nhận được. Các phương pháp sao lưu cần được điều chỉnh theo cơ sở hạ tầng SME.

An ninh mạng hiệu quả mang lại cho SME sự tự tin trong một thế giới trực tuyến và kết nối với nhau để phát triển, đổi mới cũng như tìm ra những cách thức mới nhằm tạo ra giá trị cho khách hàng của họ./.