Các yếu tố rủi ro liên quan tới an ninh mạng trong CMCN 4.0
Cuộc CMCN 4.0 đang diễn ra trên toàn thế giới. Sự xuất hiện của những công nghệ mới như trí tuệ nhân tạo (AI), thực tế ảo (VR), thực tế tăng cường (AR), thiết bị đeo và các phương tiện tự lái dần trở thành một phần của cuộc sống và hoạt động kinh doanh hàng ngày. Những công nghệ này tạo ra một khối lượng khổng lồ dữ liệu và dữ liệu thì cần được bảo vệ. Các thiết bị y tế được kết nối truyền tải thông tin về bệnh nhân và chịu trách nhiệm đảm bảo sức khỏe và cuộc sống của con người. Trong khi đó, các nhà máy điện được kết nối và cơ sở hạ tầng trọng yếu khác truyền tải thông tin nhạy cảm và cũng dễ bị tấn công. Danh sách này cứ kéo dài. Cùng với sự phát triển không ngừng của CMCN 4.0, các cuộc tấn công mạng ngày càng gia tăng và phức tạp hơn. Mức độ và quy mô tấn công cũng sẽ mạnh mẽ hơn. Không chỉ đơn thuần là máy tính mà bất cứ thiết bị nào cũng có thể trở thành mục tiêu tấn công.
Nhận định về các nguy cơ mất an toàn an ninh trên môi trường mạng trong CMCN 4.0, các chuyên gia cho rằng cuộc cách mạng này sẽ mang lại nhiều lợi thế cho các tổ chức, doanh nghiệp nhưng cũng đặt ra hàng loạt thách thức. Trong đó, thách thức về an toàn an ninh mạng sẽ là một trong những vấn đề khó khăn nhất mà các doanh nghiệp phải đối mặt. Không chỉ các công nghệ tạo ra một lượng lớn dữ liệu đòi hỏi phải bảo vệ mà chúng còn yêu cầu bảo vệ quyền sở hữu trí tuệ (IP) nhằm thúc đẩy chúng. Điều này dẫn tới thực trạng rằng không chỉ dữ liệu có giá trị đối với tội phạm cần được bảo vệ (bao gồm bản thân dữ liệu, thiết bị sản xuất và truyền tải nó) mà còn phải bảo vệ quyền sở hữu trí tuệ mà giúp chúng hoạt động. Dữ liệu trong quá trình truyền tải và dữ liệu trong các tình huống còn thậm chí còn yêu cầu bảo mật cao hơn.
Các rủi ro liên quan tới an ninh mạng đối với các hoạt động kinh doanh có thể gồm:
- Rủi ro hoạt động: Những công cụ khai thác như mã độc tống tiền, tấn công từ chối dịch vụ (DDoS), trộm cắp dữ liệu, chiếm quyền trang web (site hijacking) và trộm cắp tài nguyên có thể làm gián đoạn nghiêm trọng tới hoạt động kinh doanh. Một số sự cố chỉ ảnh hưởng đến các hoạt động và quy trình nội bộ nhưng một số khác như tấn công DDoS và tấn công trang web có thể gây ảnh hưởng đến uy tín thương hiệu và tổn hại cho người dùng.
- Rủi ro danh tiếng: Khách hàng, nhà đầu tư và các đối tác sẽ không thích hợp tác kinh doanh với các tổ chức, doanh nghiệp mà tiềm ẩn khả năng gây hại cho họ. Một số sự cố có thể do các bên liên quan gây ra khi họ hợp tác với các tổ chức của bạn. Và thiệt hại danh tiếng có thể ảnh hưởng nghiêm trọng tới doanh nghiệp khi sự cố trở thành sự kiện tin tức, hoặc thông qua báo cáo.
- Rủi ro đầu tư: Điều này bao gồm việc đầu tư quá mức vào các sản phẩm bảo mật không hiệu quả hoặc không tích hợp được với các sản phẩm khác trong môi trường, hay bảo vệ các tài sản và quy trình thực sự không quan trọng đối với doanh nghiệp. Hãy nhớ rằng, mỗi đô la đầu tư bảo mật không hiệu quả hoặc bảo vệ các yếu tố có giá trị thấp là một đồng đô la có thể được đầu tư hiệu quả hơn ở nơi khác.
Các doanh nghiệp chưa có sự chuẩn bị đầy đủ để bảo vệ chính họ và khách hàng
Theo Khảo sát Niềm tin Kỹ thuật số (phiên bản mới của Khảo sát Thực trạng An toàn Thông tin Toàn cầu® - GSISS) mà PwC đã thực hiện 20 năm qua, chỉ 39% doanh nghiệp cho biết đảm bảo được an ninh trong CMCN 4.0. Mặc dù việc phòng, chống các mối đe dọa an ninh mạng là rất quan trọng, khảo sát đã chỉ ra rằng các doanh nghiệp thuộc mọi quy mô đều chưa có sự chuẩn bị đầy đủ để bảo vệ chính họ và khách hàng của họ.
Cụ thể, chỉ có khoảng 53% doanh nghiệp chủ động thực hiện quản trị rủi ro một cách bài bản ngay từ khi bắt đầu quá trình chuyển đổi số và chỉ một số ít công ty (23%) trong nhóm các công ty được định giá trên 100 triệu USD cho biết họ có kế hoạch điều chỉnh các biện pháp an toàn thông tin cho phù hợp với các mục tiêu kinh doanh; 27% các giám đốc điều hành tin rằng hội đồng quản trị nhận được đầy đủ thông tin dữ liệu về việc quản lý rủi ro bảo mật và an ninh mạng.
Đáng chú ý là chưa đến một nửa các công ty được định giá trên 100 triệu USD trên toàn cầu nói rằng họ sẵn sàng tuân thủ Quy định chung về bảo vệ dữ liệu (GDPR) đã có hiệu lực kể từ tháng 5/ 2018. Và mặc dù 81% giám đốc điều hành cho rằng IoT là rất cần thiết với doanh nghiệp họ, chỉ có 39% tự tin rằng họ đã xây dựng đầy đủ các chốt kiểm soát để đảm bảo niềm tin số khi ứng dụng IoT.
Ông Sean Joyce, người đứng đầu Dịch vụ An ninh mạng và Bảo mật của PwC Mỹ cho biết: “Đứng trước các rủi ro an ninh mạng, các doanh nghiệp đang dần chuyển dịch từ việc chỉ tập trung vào bảo mật thông tin sang triển khai tổng thể quản trị rủi ro kỹ thuật số. Nghiên cứu của chúng tôi đã tìm hiểu cách mà các nhà lãnh đạo có thể đối mặt với các thách thức của tương lai. Trong một thế giới kết nối, các công ty dẫn đầu về an toàn, bảo mật, độ tin cậy, quyền riêng tư và đạo đức dữ liệu sẽ trở thành những gã khổng lồ về công nghệ trong tương lai".
An toàn thời 4.0: Trách nhiệm chung của các bên liên quan
Các nỗ lực bảo mật IoT nên tập trung vào việc phát triển một kế hoạch riêng để bảo vệ các thiết bị IoT, bởi kiến trúc IoT - với các giao thức, phần mềm và phần cứng khác nhau - khác với các mạng doanh nghiệp truyền thống. Việc tích hợp các thiết bị IoT vào mạng doanh nghiệp sẽ yêu cầu các chiến lược quản lý rủi ro mới và các chiến lược bảo mật nâng cấp với mức độ bảo vệ cho một tài sản nhất định tùy thuộc vào trường hợp sử dụng của nó và mức độ quan trọng của ứng dụng mà nó hỗ trợ.
Do đó, điều cần thiết đối với các doanh nghiệp là thiết lập một tầm nhìn rõ ràng về nhu cầu sử dụng thiết bị IoT trong hoạt động kinh doanh, lựa chọn công nghệ với các bên liên quan (bao gồm cả các chuyên gia bảo mật), đánh giá rủi ro, nâng cao hiểu biết kỹ thuật của họ về cách thức hoạt động của hệ thống IoT và xác nhận các hoạt động của hệ thống cũng như tính khả thi.
Để có hiệu quả nhất, bảo mật IoT phải là trách nhiệm chung. Nhiều sự cố bảo mật có thể tránh được nếu các nhà phát triển và nhà sản xuất nhận thức được những rủi ro mà họ phải đối mặt hàng ngày, không chỉ xem xét những yếu tố ảnh hưởng đến thiết bị IoT mà còn ảnh hưởng đến môi trường IoT nói chung để phát triển sản phẩm cho phù hợp. Các thiết bị được kết nối thường được thiết kế với chi phí thấp, dành cho một mục đích sử dụng duy nhất – trong đó bảo mật thường không được ưu tiên hàng đầu. Chúng có bộ nhớ và khả năng tính toán hạn chế, có nghĩa là chúng không thể được bảo vệ bởi các giải pháp bảo mật thiết bị đầu cuối truyền thống. Do đó, các doanh nghiệp phải kiểm tra toàn bộ các thiết bị IoT mới triển khai để nắm rõ mức độ bảo mật được tích hợp. Ví dụ: thiết bị có thể có được tích hợp mã hóa mạnh hoặc có thể có cổng USB.