Nhiều vụ tấn công tập trung phá hoại hệ thống dữ liệu của tổ chức, cá nhân

DN cần xem dữ liệu là tài sản quý giá

Là người có nhiều kinh nghiệm làm việc trong lĩnh vực an ninh mạng, ông Trương Đức Lượng, Chủ tịch Công ty CP An ninh mạng Việt Nam (VSEC) cho biết hiện nay việc tấn công sử dụng các phần mềm độc hại đang gia tăng. Các sự cố về truy cập trái phép, chiếm quyền điều khiển và lỗ hổng bảo mật đang gia tăng...

Điều đáng lo ngại này đang đòi hỏi các DN cần có mức độ quan tâm tích cực, nhanh chóng với việc bảo mật dữ liệu. Việc này được làm tốt sẽ bảo vệ dữ liệu cho người dùng, khách hàng và chính DN.

Hiện nay, bất ổn là các vụ tấn công của các tin tặc chủ yếu tập trung phá hoại vào hệ thống dữ liệu của các cá nhân, tổ chức, từ đó chiếm dụng trái phép thông tin để nhắm mục tiêu thu lợi, tống tiền.

“Một điểm đáng lưu ý là khi có sự cố xảy ra, các đơn vị, tổ chức, DN, cá nhân thường dễ dàng chấp nhận những yêu sách của tin tặc và bỏ ra những chi phí cao để chuộc lại dữ liệu”, ông Trương Đức Lượng cho hay.

Cũng theo ông Trương Đức Lượng, hiện nay các cuộc tấn công sẽ không dừng ở các DN, đơn vị, tổ chức quy mô mà còn lan rộng sang cả các DN nhỏ và vừa, thậm chí cả cá nhân. Xu hướng tấn công mở rộng này, theo ông Trương Đức Lượng, đây thực chất là các cuộc tấn công có chủ đích và tấn công theo hướng phạm vi rộng (như thư điện tử rác có kèm đường link mã độc), do đó nếu người dùng vô tình truy cập sẽ bị sập bẫy, trở thành nạn nhân.

Nguyên nhân dẫn tới tình trạng mất an toàn thông tin (ATTT) mạng như hiện nay được nhận định là các DN đang chủ quan, thiếu tầm nhìn, tư duy mơ hồ về giải pháp bảo vệ, không chủ động trước các tình huống an toàn mạng.

Cùng với đó, các DN thường không đội ngũ nhân sự chuyên trách về ATTT mạng; thiếu sự đầu tư về trang thiết bị, hệ thống công nghệ (các phần mềm bảo vệ, đối tác công nghệ…).

Để khắc phục những hạn chế này, ông Trương Đức Lượng cho rằng các DN cần xây dựng các quy định, chế tài về khai thác, sử dụng dữ liệu, thông tin của khách hàng, đối tác theo đúng các quy định của pháp luật. Đồng thời, trong tình huống nếu sử dụng, khai thác các thông tin khách hàng, đối tác cần hiểu đúng về mức độ quan trọng của dữ liệu, để không sử dụng bừa bãi, lãng phí.

“DN cần tuân thủ, áp dụng, thực hiện nghiêm túc các nội dung, yêu cầu tại Nghị định số 13/2023/NĐ-CP về bảo vệ thông tin cá nhân, quy định chi tiết về việc bảo vệ thông tin cá nhân và trách nhiệm của các tổ chức, cá nhân xử lý thông tin cá nhân. Vi phạm có thể dẫn đến các biện pháp xử lý hành chính, phạt tiền thậm chí truy cứu trách nhiệm hình sự”, ông Trương Đức Lượng nhấn mạnh.

Cũng theo vị chuyên gia này, DN cần xem dữ liệu là tài sản quý giá được bảo vệ và khai thác hiệu quả. Cùng với đó, đối với các DN lớn nên định kỳ thực hiện audit hay pentest (kiểm toán hệ thống công nghệ thông tin, kiểm thử xâm nhập), giám sát ATTT; các DN nhỏ và vừa nên sử dụng các nền tảng đang có sẵn, thịnh hành như các giải pháp trên môi trường điện toán đám mây để quản trị nhân sự, bán hàng (sales), CRM (quản lý quan hệ khách hàng)... cũng như tối ưu chi phí theo quy mô vận hành.

“Đặc biệt, các nhân sự nội bộ nên được rèn luyện nhiều kỹ năng phòng thủ. Lãnh đạo cần ban hành các chính sách và đưa ra hành động cụ thể cũng như dành ngân sách cho việc đầu tư hệ thống đảm bảo dữ liệu, thông tin”, ông Trương Đức Lượng nhấn mạnh.

Pháp lý sẽ quyết định những vấn đề đúng, sai

Ở quan điểm của chuyên gia tư vấn các vấn đề liên quan đến các quy định công nghệ và hoạt động tranh chấp, phát sinh, luật sư Trần Thanh Tùng, Công ty Global Vietnam Lawyers cho rằng, dữ liệu chính là một tài sản có giá trị quan trọng, do đó, DN cần nhận thức đúng về tầm quan trọng của dữ liệu khi sử dụng.

Hơn nữa theo luật gia này, việc bảo vệ dữ liệu không chỉ là trách nhiệm pháp lý mà còn là yếu tố quyết định sự tin tưởng của khách hàng đối với DN. Và để bảo vệ thông tin cá nhân thì DN cần coi đây là một việc làm gắn với quá trình lâu dài và phải bắt đầu từ chính tư duy, tầm nhìn rộng của DN để xây dựng hệ thống phòng thủ, kiểm soát an ninh mạng trong chính đơn vị của mình.

“DN cần xây dựng hệ thống kiểm soát thông tin, đừng đợi xảy ra sự cố mới đi xử lý, thay đổi nhận thức để tránh bị “phạt nguội"…”, luật gia Trần Thanh Tùng nhấn mạnh.

Cùng với đó, luật sư Trần Thanh Tùng cho rằng, DN cần kiểm soát các dòng thông tin, loại thông tin và cần phân loại thông tin, dữ liệu nào được phép chia sẻ hoặc cần phân quyền cụ thể cho các bộ phận nội bộ khi xử lý, sử dụng thông tin, dữ liệu theo cách chặt chẽ, có quy tắc, tách biệt giữa các bộ phận chuyên môn và công nghệ thông tin (IT).

Về kinh nghiệm cá nhân, luật sư Trần Thanh Tùng cho rằng, việc phân luồng thông tin, dữ liệu đã giải quyết nhiều cho vấn đề an toàn về bảo mật và các DN cần tiếp cận ứng xử với thông tin có trách nhiệm, tránh những phát sinh, rủi ro có thể diễn ra không an toàn trên môi trường mạng.

Khi nói về những vấn đề pháp lý, theo luật sư Trần Thanh Tùng, “Pháp luật về an ninh mạng và bảo vệ dữ liệu cá nhân tại Việt Nam trong thời gian tới sẽ có thêm nhiều cập nhật bổ sung, đặc biệt, trong vấn đề quy định về mức phạt đối với việc làm lộ lọt dữ liệu. Tại Việt Nam, chưa có quy định về kiện tập thể hay hình thức bồi thường tập thể do làm thất thoát dữ liệu cá nhân như nước ngoài, nhưng chắc chắn sẽ có quy định về mức phạt dành cho DN từ phía các cơ quan nhà nước. Và việc này sẽ được thực thi một cách nghiêm túc".

Cũng theo luật sư Trần Thanh Tùng, DN cần thực hiện các quy định trong Luật Sở hữu trí tuệ, cho phép DN được bảo hộ bí mật kinh doanh, thương mại. Nếu như điều này được thực hiện tốt qua các biện pháp bảo vệ (lấy thông tin nhưng phải bảo vệ thông tin), thì DN sẽ dễ dàng hướng đến việc biến các thông tin đối tác, khách hàng thành chính tài sản của đơn vị, DN có.

“Các tài sản vô hình càng có giá trị hơn tài sản hữu hình và khi tài sản các dữ liệu DN có được chính là tài sản vô hình mà DN cần tiếp cận, bảo vệ để trở thành của mình. Cùng với đó, các hoạt động kinh doanh sẽ quyết định các vấn đề pháp lý và pháp lý sẽ quyết định những vấn đề đúng, sai, hặc các vấn đề tiếp theo”, luật sư Trần Thanh Tùng nêu quan điểm./.