Với nhiệm vụ bảo vệ dữ liệu của một tổ chức cũng như quyền sở hữu trí tuệ và những tài sản liên quan đến thông tin, Giám đốc an toàn thông tin (Chief Information Security Officer - CISO) chịu trách nhiệm ứng phó với các sự cố mạng, đưa ra kế hoạch xử lý khủng hoảng, xây dựng quy chuẩn, bảo vệ an toàn thông tin... Hiện nay, với những thay đổi lớn trong việc quản lý dữ liệu và sự gia tăng của các cuộc tấn công mạng trên quy mô lớn, CISO đang phải đối mặt với nhiều thách thức mới, nhằm đảm bảo doanh nghiệp được an toàn trước các mối đe dọa trực tuyến cũng như tuân thủ các quy định mới về dữ liệu.
Theo kết quả khảo sát về những ưu tiên bảo mật hàng đầu năm 2017 do Network Group Events tiến hành trên 60 CISO từ các tổ chức tài chính lớn tại châu Âu, có 3 mối đe dọa bảo mật mà các CISO đang ưu tiên giải quyết.
Mối đe dọa từ đối tác thứ ba
Một trong những thách thức hiện nay đối với nhiều CISO lại không phải là việc ngăn chặn các mối đe dọa từ không gian mạng hay trong chính tổ chức, doanh nghiệp của mình mà chính là khả năng bị tấn công thông qua các mối quan hệ hợp tác với bên thứ ba. Nhiều công ty dịch vụ tài chính đã đầu tư số tiền lớn trong nhiều năm để kiểm chứng các hệ thống, quy trình và ứng dụng của mình, nhưng các nhà cung cấp bên thứ ba, ví dụ các nhà cung cấp đám mây, có thể là một cách thức giúp tin tặc dễ dàng truy cập dữ liệu của công ty.
Trên thực tế, cuộc khảo sát “Quản lý rủi ro bên thứ ba” của PWC cho thấy hai trong số năm công ty thậm chí không thực hiện các biện pháp cơ bản nhất để đáp ứng các nguyên tắc về quản lý rủi ro bên thứ ba. Mới đây nhất, Hiệp hội các công ty du lịch Anh đã phải hứng chịu một cuộc tấn công mạng từ một hãng phát triển web và hosting mà Hiệp hội này thuê, dẫn tới rủi ro cho dữ liệu cá nhân của 43.000 người.
Chính vì thế, hiện nay các công ty dịch vụ tài chính đã nhận thấy những nguy cơ lớn đối với tổ chức của mình khi hợp tác với bên thứ ba. Dữ liệu từ Network Group Events cho thấy 61% CISO tham gia khảo sát coi quản lý rủi ro của bên thứ ba là ưu tiên bảo mật thông tin hàng đầu của họ.
Các cuộc tấn công DDoS khổng lồ
Hàng loạt các tấn công mạng gần đây liên quan đến tấn công từ chối dịch vụ DDoS (Distributed Denial of Service) đã khiến các doanh nghiệp đang xem xét lại các chiến lược an ninh mạng của mình. Chấn động nhất là vụ tấn công Tesco Bank gần đây đã buộc công ty này phải trả 2,5 triệu Euro thiệt hại đến 9.000 khách hàng trong một vụ cướp được mô tả là “chưa từng thấy”. Sự việc đã đặt mối đe dọa DDoS vào chương trình nghị sự của nhiều CISO trong lĩnh vực dịch vụ tài chính. Hơn 1/3 (37%) CISO cho biết họ đặc biệt ưu tiên các biện pháp bảo vệ DDoS.
Các cuộc tấn công DDoS không chỉ làm gián đoạn dịch vụ kinh doanh (như việc chặn việc truy cập vào trang web của công ty) mà còn trở nên ngày càng phức tạp hơn. Thay vì thực hiện một cuộc tấn công DDoS đơn giản, hiện nay tội phạm mạng còn sử dụng kết hợp nhiều biện pháp khác nhau cùng với DDoS để làm gián đoạn các nền tảng trực tuyến, bao gồm việc truy cập dữ liệu khách hàng cá nhân.
Quy định Bảo vệ dữ liệu chung EU (GDPR)
Mặt khác, các CISO cũng phải đối mặt với các Quy định Bảo vệ dữ liệu chung EU (GDPR). Do đó, khi GDPR chính thức có hiệu lực vào năm 2018, doanh nghiệp không chỉ phải cập nhật các hệ thống hiện có mà còn phải công khai bất kỳ vi phạm nào trên mạng cũng như mức độ ảnh hưởng của nó đối với doanh nghiệp, đồng thời đối mặt với mức phạt lên tới 20 triệu bảng hay 4% doanh thu toàn cầu của doanh nghiệp. Chính vì thế, hơn một nửa (57%) CISO tham gia khảo cho biết việc mất mát dữ liệu và phòng chống trộm cắp dữ liệu cũng là trọng tâm chính của họ.
Nâng cao nhận thức của nhân viên
Có vẻ như nhân viên vẫn có một nhận thức chung rằng “tấn công sẽ không bao giờ xảy ra với tôi” mặc dù nó rõ ràng vẫn đang xảy ra với rất nhiều doanh nghiệp và cá nhân. Sự thiếu nhận thức này dẫn đến việc diễn ra các cuộc tấn công với số lượng lớn và liên tục. Vì thế, nhận thức của người dùng cũng được coi như là một thách thức hàng đầu đối với CISO. Đầu tư vào các biện pháp an ninh mạng và các hệ thống phòng chống mất dữ liệu là rất quan trọng, nhưng trong nhiều trường hợp, tội phạm mạng đang tiếp cận thông qua các thiết bị bị nhiễm độc của nhân viên.
Các CISO đang ngày càng nhận thấy tầm quan trọng của việc nâng cao nhận thức về an ninh mạng cũng như giáo dục nhân viên về các mối đe dọa trên mạng. Đây cũng là nhiệm vụ bảo mật quan trọng nhất đối với các công ty dịch vụ tài chính. Theo đó, 62% chuyên gia bảo mật thông tin cho biết nâng cao nhận thức về an ninh là ưu tiên lớn cần đầu tư, trong khi 35% coi việc phân tích hành vi như là một trách nhiệm quan trọng. Từ việc mã độc xâm nhập vào điện thoại sử dụng trong công việc, tới ransomware hoặc các mối đe dọa an ninh nội bộ, ngay cả những công ty danh tiếng nhất cũng có thể gặp rủi ro từ một cuộc tấn công mạng nếu họ không nâng cao nhận thức về an ninh thông tin cho nhân viên.
Khi ngành công nghiệp dịch vụ tài chính tiếp tục hướng đến tương lai số, từ các ứng dụng ngân hàng bán lẻ tới tư vấn máy (robo-advice), mối đe dọa trên không gian mạng sẽ không ngừng gia tăng. Cho dù đó là DDoS, giáo dục hay các quy định GDPR sắp tới, nghiên cứu của Network Group Events cho thấy CISO có một vai trò quan trọng trong việc vừa đảm bảo doanh nghiệp của họ tuân thủ theo các quy định pháp lý mới vừa được bảo vệ khỏi các mối đe dọa không gian mạng đang không ngừng phát triển.