Phần lớn các công ty không nắm rõ được rủi ro an ninh mạng từ bên thứ ba - những rủi ro thường khó nhận ra bởi sự phức tạp của các mối quan hệ kinh doanh và mạng lưới người bán/nhà cung cấp. Đây là kết quả của Khảo sát niềm tin kỹ thuật số toàn cầu (Global Digital Trust Insights) 2022 do PwC thực hiện.
Khảo sát được thực hiện với 3600 CEO và các vị trí lãnh đạo cấp cao khác, cho thấy 60% người tham gia khảo sát chưa hiểu rõ về nguy cơ vi phạm bảo mật dữ liệu thông qua bên thứ ba, trong khi 20% hiểu rất ít hoặc không hiểu về tất cả những rủi ro này.
Những phát hiện này là một dấu hiệu cảnh báo nghiêm trọng khi mà 60% người được hỏi, những giám đốc điều hành cấp cao, dự đoán tội phạm an ninh mạng sẽ gia tăng vào năm 2022. Điều này cũng phản ánh những thách thức mà các tổ chức phải đối mặt trong việc xây dựng lòng tin về vấn đề dữ liệu - đảm bảo dữ liệu chính xác, được xác minh và bảo mật, để khách hàng và các bên liên quan có thể tin tưởng rằng thông tin của họ hoàn toàn bảo vệ.
Đáng chú ý, 56% số người được hỏi nói rằng tổ chức của họ dự đoán sẽ có gia tăng trong vi phạm bảo mật dữ liệu thông qua chuỗi cung ứng phần mềm, nhưng chỉ 34% chính thức đánh giá mức độ rủi ro này. Tương tự, 58% dự đoán các cuộc tấn công vào dịch vụ đám mây của họ sẽ tăng cao, nhưng chỉ 37% cho thấy họ hiểu rõ về rủi ro đám mây dựa trên các đánh giá chính thức.
Ông Sean Joyce, Lãnh đạo Dịch vụ Bảo mật và An ninh Mạng toàn cầu tại PwC Mỹ cho biết: “Các tổ chức có thể dễ dàng bị tấn công ngay cả khi họ có hệ thống phòng thủ không gian mạng tốt; kẻ tấn công tinh vi sẽ tìm kiếm liên kết yếu nhất - đôi khi thông qua các nhà cung cấp của tổ chức. Việc nhận biết và quản lý mạng lưới các mối quan hệ của tổ chức với bên thứ ba là điều bắt buộc. Tuy nhiên, trong nghiên cứu của chúng tôi, chưa đến một nửa số người được hỏi nói rằng họ có động thái đề phòng với những mối đe dọa ngày càng leo thang mà hệ sinh thái kinh doanh phức tạp gây ra.”
Trong bối cảnh Việt Nam, ông Phó Đức Giang, Giám Đốc Công ty TNHH Dịch vụ An toàn Thông tin PwC Việt Nam nhận xét: "Thế giới ngày nay được hỗ trợ mạnh mẽ bởi công nghệ. Điều này tạo nên một hệ sinh thái rộng lớn và phức tạp giữa các tổ chức, với tư cách là người sử dụng dịch vụ, và các nhà cung cấp dịch vụ của họ. Mặc dù rõ ràng việc sử dụng dịch vụ của bên thứ ba mang lại nhiều lợi ích, chúng ta cũng không thể bỏ qua những rủi ro liên quan.
Tại Việt Nam, rất ít công ty có thể tuân thủ các yêu cầu liên quan đến chuyển đổi kỹ thuật số, đặc biệt là các yêu cầu về bảo vệ dữ liệu cá nhân và rủi ro an ninh mạng từ bên thứ ba. Do đó, việc áp dụng các tiêu chuẩn và thông lệ của quốc tế là điều cấp thiết đối với các tổ chức để nâng cao hiệu quả quản lý chuỗi cung ứng và giảm thiểu rủi ro bên thứ ba".
Đơn giản hóa quá trình hướng tới an ninh mạng
Quá trình đơn giản hóa an ninh mạng thực sự là thách thức, tuy nhiên, có nhiều bằng chứng cho rằng điều đó là đáng để bỏ công sức. Theo báo cáo của PwC, cứ 3 trong 10 người được hỏi nói rằng công ty của họ đã tiến hành tinh giản các hoạt động trong hai năm qua. Các tổ chức “tiến bộ” trong cuộc khảo sát (nhóm 10% dẫn đầu về các kết quả an ninh mạng) có khả năng tinh giản hoạt động trong toàn doanh nghiệp cao gấp 5 lần. Nhóm 10% các tổ chức hàng đầu này cũng có khả năng thực hiện các biện pháp đáng tin cậy để bảo mật dữ liệu cao gấp 10 lần và có mức độ hiểu biết về rủi ro an ninh mạng bên thứ ba và bảo mật dữ liệu riêng tư cao hơn 11 lần.
Khi được yêu cầu lựa chọn ưu tiên một trong số chín sáng kiến nhằm đơn giản hóa các chương trình và quy trình an ninh mạng, những người trả lời khảo sát không thể lựa chọn mà phân bổ tầm quan trọng gần như ngang nhau cho tất cả.
Sự tham gia của các CEO có thể tạo nên sự khác biệt
Sự tham gia tích cực của các CEO trong việc thiết lập và đạt được thành công cho các mục tiêu an ninh mạng sẽ có ý nghĩa lớn cho tổ chức. Khi báo cáo về những kết quả an ninh mạng, các giám đốc điều hành trong nhóm “tiến bộ” nhận được sự hỗ trợ sâu rộng từ các CEO cao gấp 12 lần so với các nhóm khác. Hầu hết các giám đốc điều hành cũng tin rằng việc các CEO và hội đồng quản trị được đào tạo để hiểu rõ trách nhiệm của mình về các vấn đề an ninh mạng là điều kiện tiên quyết nhằm tạo nên một xã hội kỹ thuật số an toàn hơn vào năm 2030.
Các CEO và các giám đốc điều hành khác cũng đồng ý về sự thay đổi trong sứ mệnh an ninh mạng. Sứ mệnh này tập trung vào việc nâng cao lòng tin và tăng trưởng kinh doanh, với 54% tin rằng điều này không đơn giản chỉ là khả năng bảo vệ và kiểm soát an ninh mạng.
Chia sẻ về kết quả của khảo sát, bà Nguyễn Phi Lan, Lãnh đạo Bộ phận Quản trị Rủi ro, công ty PwC Việt Nam cho biết: “Có tới 70% CEO cho rằng cần tăng ngân sách năm 2022 để cải thiện, nâng cấp hệ thống an ninh mạng. Phần lớn các CEO đều nhận thức rằng an ninh mạng không chỉ là vấn đề “kiểm soát nội bộ”. An ninh mạng thực sự đóng vai trò quan trọng giúp doanh nghiệp tạo dựng được niềm tin với các khách hàng và thông qua đó đạt được kết quả kinh doanh bền vững”.