Bảo mật mạng và bảo mật dữ liệu: những điều khác biệt

Bảo vệ dữ liệu và bảo mật mạng: phòng tuyến Maginot

Trong những năm 1930, người Pháp đã xây dựng một bức tường phòng thủ gần như không thể phá hủy dọc theo biên giới của họ với nước Đức. Phòng tuyến Magionot được kỳ vọng sẽ đứng vững trước bất kỳ hình thức tấn công nào, bao gồm cả ném bom trên không và công phá bằng xe tăng. Chỉ chú trọng những kiến thức về bảo mật cũng như bức tường Maginot bảo vệ Pháp khỏi một cuộc xâm lược tiềm tàng từ Đức, quốc gia này lại tự để lộ sơ hở. Quân đội Đức đã vượt qua bức tường này bằng cách xâm chiếm các quốc gia khác: Hà Lan và Bỉ và tấn công Pháp mà không cần vượt qua phòng tuyến Maginot. Có lẽ có một sự tương tự ở đây với bảo vệ dữ liệu và bảo mật mạng.

Theo Scott Nicholson, chuyên gia thuộc Bridewell Consulting (tổ chức cung cấp tư vấn bảo mật không gian mạng, chức năng bảo mật dữ liệu, kiểm tra thâm nhập và dịch vụ bảo mật được quản lý) cảnh báo rằng dù bảo vệ dữ liệu mạnh đến đâu, nếu các tổ chức không sử dụng các biện pháp kiểm soát an ninh mạng thích hợp, thì các điều khiển bảo mật dữ liệu trong những tình huống nhất định có thể dễ dàng được lưu hành…"

Scott cho biết: “Bản chất của bảo vệ dữ liệu và bảo mật mạng là liên kết với nhau, nhưng chúng cũng trải dài theo hai hướng ngược nhau, các thế giới tách biệt với nhau”. Ông ví mối quan hệ giữa an ninh mạng và bảo mật dữ liệu như một vòng tròn, chúng gặp nhau, tách xa nhau, rồi lại gặp lại nhau. Rủi ro nằm ở việc bạn quá tập trung vào bảo mật dữ liệu. Kẻ tấn công có thể lợi dụng bảo mật mạng kém để vượt qua mọi kiểm soát bảo mật dữ liệu, bất kể chúng tốt đến đâu.

Sự khác biệt

Scott cho biết: “Bảo mật dữ liệu là việc có các biện pháp bảo mật thích hợp xung quanh dữ liệu mà bạn đang xử lý”. Nhưng để đạt được điều đó, bạn cần có các điều kiện tiên quyết bao gồm:

• Quản lý thông tin,
• Hiểu tầm quan trọng của dữ liệu nên sử dụng sơ đồ phân loại,
• Và cách bạn xử lý dữ liệu đó cho phù hợp.

Ngược lại, an ninh mạng là một phần trong việc bảo vệ dữ liệu, nhưng đó cũng là cách bảo vệ hệ thống của bạn khỏi các mối đe dọa mạng khác nhau. Cần có một sự tập trung cao độ và một động thái hướng tới khả năng phục hồi kinh doanh trên mạng và chấp nhận rằng đó không còn là câu hỏi liệu bạn có bị tấn công, mà là khi nào bạn bị tấn công.

Scott cũng đề cập đến khuôn khổ an ninh mạng NIST (Khuôn khổ bảo mật không gian mạng NIST cung cấp khung chính sách hướng dẫn bảo mật máy tính, về cách các tổ chức khu vực tư nhân ở Hoa Kỳ có thể đánh giá và cải thiện khả năng ngăn chặn, phát hiện và ứng phó với các cuộc tấn công mạng), trong đó mô tả 5 lĩnh vực mà an ninh mạng phải tập trung vào, bao gồm:

• Nhận định,
• Bảo vệ,
• Phát hiện,
• Phản ứng,
• Khôi phục.

Sự tinh tế

Câu chuyện về phòng tuyến Maginot của Pháp không đơn giản như thường được miêu tả. Người Pháp và người Anh đã nhận thức được nguy cơ của một cuộc tấn công vượt quá giới hạn của phòng tuyến, và ở một mức độ nào đó, đã bố trí lực lượng của họ để đối phó với nguy cơ này. Họ đã để lại một điểm yếu bên rừng Ardennes, được cho là sẽ gây khó khăn cho quân đội Đức khi đi qua. Nhưng Đức đã vượt qua nó và Pháp đã bị đánh bại.

Cần có sự tinh tế trong sự tương tác giữa bảo mật dữ liệu và bảo mật mạng. Lấy việc mã hóa là một ví dụ, một tổ chức có thể đã mã hóa dữ liệu của họ trong cơ sở dữ liệu nhưng nếu họ không sử dụng các kiểm soát bảo mật mạng rộng hơn, như xác thực đa yếu tố hoặc khả năng xác định các liên kết lừa đảo, phát hiện các phần mềm độc hại, thì những yếu tố như danh tính người dùng và mật khẩu có thể bị xâm phạm, sau đó kẻ tấn công có thể bỏ qua tất cả các kiểm soát bảo mật dữ liệu.

Quy định bảo vệ dữ liệu chung

Scott cho biết Quy định bảo vệ dữ liệu chung đã tạo ra sự khác biệt lớn. Theo Điều 30, các tổ chức GDPR xử lý dữ liệu cá nhân sẽ được yêu cầu phải duy trì hồ sơ về các hoạt động xử lý của họ.

Thực tế

Nhưng vấn đề này trong thực tế sẽ như thế nào? Bảo mật dữ liệu và bảo mật mạng có liên quan rõ ràng, nhưng trong thế giới thực, các tổ chức có thực sự chú trọng quá nhiều vào cả hai vấn đề này hay không?

Scott cho biết: “Đây hoàn toàn tùy thuộc vào quy mô của tổ chức, nhưng chúng nên được coi là hai lĩnh vực khác nhau hoặc các tổ chức sẽ có xu hướng tập trung nhiều hơn vào một trong hai lĩnh vực”.

Có lẽ vấn đề nằm ở sự khác biệt vốn có giữa hai vấn đề, sự khác biệt có lẽ đòi hỏi những suy nghĩ khác nhau. Như Scott đã giải thích: “Bảo mật mạng ​​thường mang tính kỹ thuật cao hơn và tập trung vào khả năng phục hồi, trong khi bảo mật dữ liệu liên quan đến các vấn đề như xử lý thông tin, luân chuyển, cũng như mã hóa”.

Vì vậy, an ninh mạng tập trung vào việc giảm thiểu các cuộc tấn công DDOS trên trang web của tổ chức. Bảo mật dữ liệu được áp dụng, một trong số những biện pháp là lưu giữ dữ liệu  trên giấy.

Ông cho biết: “Tôi đã làm việc trong các tổ chức tại khu vực công, đã gặp nhiều vi phạm và phải cải thiện các thực hành thủ công đó, nhưng tôi nghĩ có một trường hợp có thể đào tạo nhận thức ở đây. Hãy đảm bảo rằng nhân viên biết cách xử lý phù hợp với thông tin mà họ nắm giữ và không làm những hành động như để các tệp thông tin trong xe của họ qua đêm. Nếu bạn nhìn vào sổ theo dõi vi phạm của ICO, phần lớn các vi phạm của tổ chức khu vực công thường là do mất giấy tờ”.

Vì vậy, một mặt là các biện pháp kiểm tra thâm nhập và giảm thiểu DDoS, mặt khác đào tạo nhân viên các biện pháp xử lý thông tin một cách phù hợp: tư duy khá khác biệt, tâm lý khá khác biệt, kỹ năng khá khác nhau. Trong trường hợp của phòng tuyến maginot, bài học về lịch sử là rất rõ ràng. Trong trường hợp bảo mật dữ liệu và bảo mật mạng, bài học đó càng trở nên rõ ràng hơn, và bạn cần cả hai tính năng trên.