An toàn thông tin khi doanh nghiệp "lên mây": Lợi ích sẽ nhiều hơn rủi ro

An toàn thông tin - Ngày đăng : 09:28, 03/05/2021

Theo các chuyên gia về an toàn thông tin (ATTT), mặc dù tồn tại những rủi ro nhất định về bảo mật khi “lên mây” nhưng hạ tầng Cloud đem lại nhiều lợi ích hơn cho doanh nghiệp, nhất là việc giúp tiết kiệm chi phí đầu tư hạ tầng, tránh mã độc tống tiền lây lan đến máy chủ dữ liệu, linh hoạt hơn trong việc nâng cấp hệ thống... Vì vậy, doanh nghiệp cần chọn những nhà cung cấp dịch vụ uy tín, có các chứng chỉ về ATTT và thường xuyên kiểm tra lỗ hổng.

Doanh nghiệp lo ngại về ATTT khi “lên mây”

Tại buổi tọa đàm cấp cao “An toàn an ninh thông tin trên hạ tầng mạng 5G, điện toán đám mây và các lĩnh vực trọng yếu quốc gia” trong khuôn khổ sự kiện Security World 2021 được tổ chức vào tháng 3/2021, các chuyên gia nhận định, nhiều đơn vị nhà nước, khối dịch vụ công đều xác định rõ được lợi ích khi chuyển dịch sang môi trường 5G và Cloud. Tuy nhiên, vẫn còn nhiều lo ngại liên quan đến vấn đề ATTT, thách thức về đảm bảo dữ liệu, bảo vệ thông tin cá nhân cùng nhiều vấn đề về quy chuẩn, tiêu chuẩn... khi triển khai trong thực tiễn.

Một nguy cơ nữa được các chuyên gia nhắc đến là việc tăng nguy cơ lây lan chéo giữa các đơn vị với nhau rất nhanh và khó kiểm soát nếu hacker có thể xâm nhập hệ thống.

An toàn thông tin khi doanh nghiệp

Theo ông Phan Thái Dũng, Phó Cục trưởng Cục CNTT, Ngân hàng Nhà nước Việt Nam, việc ứng dụng các công nghệ 5G, Cloud sẽ nâng cao chất lượng dịch vụ và tiết kiệm chi phí trong lĩnh vực ngân hàng, được các tổ chức tín dụng chuyển hướng rõ rệt. Khảo sát năm 2019, ngành ngân hàng có 43% tổ chức tín dụng đã sử dụng Cloud và triểnkhaicáchạtầng,dịch vụ. Trong chiến lược ngân hàng 2025 định hướng đến 2030 cũng xác định mục tiêu nâng tỷ lệ các ngân hàng và tổ chức tín dụng sử dụng Cloud lên 60% vào 2025 và 100% vào năm 2030.

Bên cạnh đó, ông Dũng cũng cho rằng, một trong số những thách thức của việc phát triển Cloud là vấn đề ATTT, nhất là vấn đề trách nhiệm giữa các bên trong việc đảm bảo an toàn dữ liệu của khách hàng khi triển khai mô hình thuê dịch vụ CNTT.

Cùng quan điểm, theo ông Nguyễn Minh Đức, CEO CyRadar, khoảng 2 năm gần đây, nhu cầu chuyển đổi lên nền tảng điện toán đám mây tại thị trường Việt Nam đang gia tăng nhanh chóng. Nhu cầu này cũng đang được chuyển dịch dần từ những công ty vừa và nhỏ sang những công ty lớn hơn, như các ngân hàng hay hệ thống lớn. “Thậm chí, những công ty mới thành lập cũng đã chuyển lên ngay môi trường Cloud thay vì đầu tư cơ sở hạ tầng như trước”, ông Đức nói.

Ông Đức cho rằng, một trong số những trở ngại để doanh nghiệp đưa hệ thống của mình “lên mây” là do nỗi lo sẽ mất ATTT, mất dữ liệu hơn so với việc sử dụng hạ tầng theo cách truyền thống, bất kể nhà cung cấp nội hay ngoại. Dù trên thực tế, hiện chưa có bất kì đánh giá nào về việc sử dụng nền tảng mới này sẽ có mức độ rủi ro cao hơn hay thấp hơn so với cách truyền thống.

Tuy nhiên, theo ông Đức, dưới góc nhìn ATTT, hệ thống Cloud có nhiều ưu điểm hơn so với việc hệ thống tự đầu tư, xây dựng. “Các công ty cung cấp dịch vụ Cloud như Amazon, quy trình, tiêu chuẩn mà họ đạt được sẽ có độ tin cậy cao. Chưa kể đến, việc hacker khai thác vào lỗ hổng các dịch vụ Cloud của Amazon, Google sẽ khó khăn hơn nhiều so với việc tấn công vào hệ thống máy chủ của doanh nghiệp tự xây dựng”, ông Đức lý giải.

Mặc dù vậy, ông Đức cũng không loại trừ việc hệ thống Cloud tồn tại những rủi ro nhất định và thậm chí có thể mở rộng nguy cơ khi bị khai thác lỗ hổng. Ví dụ như với hệ thống thư điện tử hay lưu trữ dùng chung ở trên Cloud, nếu hacker khai thác lỗ hổng từ tài khoản người dùng của một công ty nào đó thì có thể chiếm quyền điều khiển và thâu tóm dữ liệu của những công ty khác nằm trên cùng một máy chủ đó.

Cũng theo ông Đức, CyRadar đã phát hiện khá nhiều các cuộc tấn công nhắm đến các công ty sử dụng dịch vụ Cloud. Tuy nhiên, sau khi điều tra, các cuộc tấn công này đều do công ty triển khai ứng dụng, dịch vụ chưa chuẩn thay vì do đơn vị cung cấp. Ví dụ, một số vụ tấn công làm lộ dữ liệu khách hàng do ứng dụng web phát triển ra vẫn còn lỗ hổng nên để hacker khai thác. Nguyên nhân tiếp theo là do các công ty chưa biết cách vận hành hệ thống Cloud như để lộ chìa khoá cho phép hacker khai thác do vô tình chia sẻ lên trang chia sẻ mã nguồn. “Với những lỗi này thì dù khách hàng đặt trên Cloud hay thuê máy chủ riêng thì nguy cơ bị tấn công hoàn toàn giống nhau vì chủ yếu do lơ là trong cách vận hành, sử dụng hệ thống”, ông Đức chia sẻ.

Do đó, ông Đức khẳng định, hiện tại, rủi ro về ATTT đối với hệ thống Cloud sẽ không khác biệt nhiều so với hệ thống truyền thống. Nhưng khi doanh nghiệp “lên mây” thì sẽ tận dụng được rất nhiều ưu điểm của nền tảng này. Ví dụ như việc lưu trữ dữ liệu, nếu doanh nghiệp sử dụng hạ tầng truyền thống bằng cách sử dụng máy chủ nội bộ, mã độc tống tiền có thể từ một máy tính cá nhân trong mạng lây lan sang hệ thống máy chủ đó, để rồi doanh nghiệp bị mã hoá toàn bộ dữ liệu. Trong khi đó, nếu doanh nghiệp sử dụng hệ thống Cloud thì có thể lấy lại các bản phiên bản đã được sao lưu dự phòng (backup).

Chưa kể đến, nếu một doanh nghiệp thuộc các lĩnh vực như xây dựng, du lịch, sản xuất... , họ không nên tốn quá nhiều chi phí vào việc xây dựng một hạ tầng công nghệ với đầy đủ các tiêu chí về ATTT, trong khi trên thị trường đã có những nhà cung cấp dịch vụ Cloud làm tốt các yêu cầu này. “Do đó, theo đánh giá của tôi, doanh nghiệp khi lên Cloud sẽ có nhiều lợi ích hơn là rủi ro”, ông Đức bày tỏ.

Khi được hỏi về mức độ rủi ro cho các hệ thống Cloud trong thời gian tới, ông Đức cho rằng, cho dù doanh nghiệp có đặt hệ thống của mình lên Cloud hay không thì hacker vẫn sẽ liên tục tìm cách tấn công. Còn các cuộc tấn công chỉ nhắm đến nền tảng Cloud, thông qua các lỗ hổng mà hệ thống truyền thống không gặp phải, sẽ chỉ diễn ra trong 2-3 năm tới, khi số lượng công ty sử dụng và các nhà cung cấp tăng lên. Khi đó, các nhà cung cấp Cloud mới, chưa có nhiều kinh nghiệm về ATTT sẽ là đích nhắm của tin tặc.

Bộ Thông tin và Truyền thông đã ban hành bộ tiêu chí và công bố 5 nền tảng đáp ứng tiêu chuẩn về Cloud

Chia sẻ tại một sự kiện về ATTT cuối năm 2020, đại diện Cục An toàn thông tin cho biết, hạ tầng số quốc gia bao gồm hạ tầng viễn thông băng rộng 5G, cáp quang và hạ tầng điện toán đám mây, là một trong những trụ cột quan trọng của chuyển đổi số.

CHƯA CÓ NHIỀU SẢN PHẨM ATTT CHO CLOUD

Theo ông Vũ Quốc Khánh, Phó Chủ tịch VNISA, số liệu khảo sát năm 2019 của VNISA cho thấy, thống kê ứng dụng CLOUD của tổ chức và DN, chỉ có 17% đang sử dụng Cloud, 9% dự kiến sẽ sử dụng, nhưng có tới 48% cho biết sẽ không sử dụng trong thời gian này. Với việc doanh số Cloud ở Việt Nam đang khoảng 3.200 tỷ đồng thì số liệu này cho thấy thị trường sẽ sớm bùng nổ.

Tuy nhiên, nếu càng nhiều người sử dụng Cloud thì vấn đề đảm bảo ATTT sẽ càng lớn. Mặc dù vậy, qua bình chọn giải “Chìa khóa vàng” các sản phẩm, dịch vụ ATTT nội, VNISA đã trao giải thưởng cho 45 sản phẩm, dịch vụ ATTT nhưng trong đó chỉ có 1 giải pháp nhắm trực tiếp đến Cloud. Theo ông Khánh, mặc dù hiện có rất nhiều giải pháp ATTT đa dạng, có chất lượng tốt nhưng việc đảm bảo ATTT cho Cloud chưa được chú ý nhiều.

Việc đảm bảo ATTT cho Cloud trên thực tế không có nhiều khác biệt so với dịch vụ truyền thống, nó có thể chia ra thành các loại như xác thực quyền truy cập, bảo mật dữ liệu, bảo đảm an ninh mạng... Việt Nam cần giải quyết bài toán tổng thể với sự tham gia của 3 bên: đơn vị cung cấp dịch vụ Cloud, nhà cung cấp dịch vụ ATTT và các đơn vị sử dụng.

Tháng 4/2020, Bộ TT&TT đã ban hành bộ tiêu chí kỹ thuật để đánh giá nền tảng Cloud cho chính phủ điện tử/chính quyền điện tử. Ông Khánh cho rằng, để đi đến nền công nghiệp Cloud thực sự an toàn thì sẽ còn một chặng đường dài. “VNISA đang cố gắng tiêu chuẩn hóa nhiều sản phẩm, dịch vụ ATTT nội địa”, ông Khánh nhấn mạnh.

Nhằm thúc đẩy nhanh việc phát triển các nền tảng điện toán đám mây, từ đó làm nền tảng quan trọng cho chuyển đổi số quốc gia, từ tháng 4/2020, Bộ Thông tin và Truyền thông (TT&TT) đã ban hành bộ tiêu chí, chỉ tiêu kỹ thuật để đánh giá và lựa chọn giải pháp nền tảng điện toán đám mây phục vụ Chính phủ điện tử/chính quyền điện tử. Bộ tiêu chí, chỉ tiêu kỹ thuật gồm 153 tiêu chí, trong đó có 84 tiêu chí kỹ thuật và 69 tiêu chí an toàn thông tin. Một nền tảng điện toán đám mây đạt 153 tiêu chí, chỉ tiêu kỹ thuật này là nền tảng cung cấp dịch vụ hiện đại và an toàn.

“Nếu DN đáp ứng được toàn bộ các tiêu chí ấy thì sẽ là những sản phẩm tốt. Hội đồng đánh giá của Bộ TT&TT đã đánh giá liên tục và trực tiếp trên các sản phẩm Cloud về các tính năng kỹ thuật, ATTT. Trên cơ sở kết quả đánh giá, Bộ TT&TT đã đưa ra 5 sản phẩm của các DN gồm Viettel, VNPT, VC Corp, VNG, CMC”, đại diện Cục ATTT chia sẻ.

Là một trong 5 nền tảng được Bộ TT&TT đánh giá đáp ứng các tiêu chí, chỉ tiêu kỹ thuật phục vụ Chính phủ điện tử/chính quyền điện tử, ông Lê Anh Vũ, Giám đốc khối Điện toán đám mây CMC Telecom cho biết, trên thực tế, việc các DN tổ chức trên thế giới đang sử dụng các dịch vụ Cloud trong nước như CMC Cloud (đã cung cấp dịch vụ cho Top 500 DN lớn nhất toàn cầu – Theo Top Forbes 500) cũng cho thấy dịch vụ Cloud trong nước đã đáp ứng tương đối toàn diện các yêu cầu về bảo mật.

Còn với CMC Cloud, ngoài việc đáp ứng các bộ tiêu chuẩn trong nước, công ty đã tuân thủ và đáp ứng bộ tiêu chuẩn quốc tế trong các lĩnh vực đặc thù như thanh toán cho khối ngân hàng và các bộ tiêu chuẩn khác dành cho các ngành nghề sản xuất và công ty phát triển công nghệ. “Điều đó đảm bảo cho mọi khách hàng thuộc mọi đối tượng trong nước – quốc tế, vừa và nhỏ đến các tổ chức đa quốc gia có thể yên tâm khi sử dụng dịch vụ”, ông Vũ nói.

Theo ông Nguyễn Việt Hùng - Giám đốc BizFly Cloud, Phó Tổng Giám đốc VCCorp, ATTT là yếu tố sống còn trong hệ thống Cloud. Trước đây, hệ thống máy chủ đặt tại cơ sở của tổ chức và toàn quyền quản lý nên sẽ cảm thấy chủ động và an toàn hơn. Do đó, để thuyết phục khách hàng sử dụng dịch vụ Cloud, nhà cung cấp phải có các giải pháp bảo mật đủ mạnh để người dùng, khách hàng tin tưởng. “Tất cả các doanh nghiệp phát triển điện toán đám mây trong nước hiện nay đều nhận thức được điều này và đặc biệt coi trọng vấn đề bảo mật điện toán đám mây”, ông Hùng khẳng định.

Từ kinh nghiệm mà chính BizFly Cloud trải qua, ông Hùng chia sẻ thêm rằng, vấn đề bảo mật ở sản phẩm này được đặt ở mức quan tâm cao nhất bằng việc xây dựng hệ thống bảo mật nhiều lớp cũng như áp dụng đầy đủ cơ chế bảo mật cho tất cả hệ thống theo tiêu chuẩn Quốc tế. Hiện tại, BizFly Cloud đang là đơn vị duy nhất cung cấp tự động cảnh báo miễn phí các dấu hiệu về mất an toàn hệ thống cho khách hàng.

Chia sẻ trên truyền thông, ôngLê Hoài Nam, Phó Giám đốc Viettel IDC đánh giá, câu chuyện bảo mật ATTT trên Cloud không phải chỉ của riêng Việt Nam mà trên thế giới cũng rất quan tâm. Lĩnh vực này tại Việt Nam còn mới nên mọi người lo lắng nhiều nhưng không phải không có cơ sở.

Trong 2 năm trở lại đây, phỏng vấn khách hàng Viettel IDC về chuyển đổi ứng dụng lên Cloud, công ty thấy khách hàng dần quen với môi trường mới; đội ngũ chuyên gia đã thay đổi cách nhìn nhận, ý niệm về công nghệ mới và giảm thiểu lo lắng. Thực tế đặt ra nhiều bài toán cần giải quyết. ATTT trên đám mây là nút thắt cần giải quyết, nhưng hiện nay đã có lớp khách hàng đi trước là thực tiễn để khách hàng đi sau học tập và cảm nhận, mạnh dạn đưa ứng dụng lên đám mây. Đánh giá sự bền vững của dịch vụ, dịch vụ vẫn có lúc “chết” ở Mỹ.

Nếu trung tâm dữ liệu (data center) chỉ có 1 thì sẽ rủi ro nhưng nếu có 2 thì sẽ có khả năng backup, khi đó 70%-80% dịch vụ có thể khôi phục ngay. Ngoài ra, còn tùy thuộc nhà cung cấp đầu tư cho data center thuộc cấp độ mấy. Ví dụ, Viettel IDC có hai data center ở Hà Nội và Bình Dương đạt cấp độ ba, 99,98% luôn sẵn sàng... Viettel vận hành hầu như chưa thất bại. Tuy nhiên, ngoài đầu tư về tiền còn cần hệ thống đội ngũ kỹ thuật vì công nghệ luôn thay đổi và mọi chứng chỉ khách hàng yêu cầu liên tục phải cập nhật. Với các nhà cung cấp dịch vụ lớn như VNPT và Viettel, độ bền vững của hạ tầng cung cấp dịch vụ sẽ được đảm bảo.

Cần lựa chọn các nhà cung cấp uy tín và định kì kiểm tra lỗ hổng

Về lời khuyên đối với các công ty sử dụng nền tảng Cloud, theo ông Đức (CEO CyRadar), để hạn chế rủi ro về ATTT, doanh nghiệp nên lựa chọn các nhà cung cấp có uy tín, thông qua các chứng chỉ liên quan đến việc lưu trữ thẻ, thanh toán như PCI DSS (tiêu chuẩn bảo mật xác thực bởi Hội đồng Tiêu chuẩn Bảo mật) hay ISO 27000 về hệ thống bảo mật, quản lý an ninh thông tin... Về chất lượng, doanh nghiệp phải xem các dịch vụ đi kèm của nhà cung cấp có đáp ứng được yêu cầu của mình hay không, như tường lửa, lưu trữ.... hay độ mượt mà khi yêu cầu thêm ổ cứng, RAM... cũng như các tiêu chí về giá cả, khả năng hỗ trợ khi có sự cố.

Khi chọn được nhà cung cấp, doanh nghiệp cũng không nên phụ thuộc hoàn toàn vào họ mà phải để ý xem việc thiết lập, cấu hình đã tuân thủ theo các tiêu chí, tài liệu hướng dẫn hay chưa, như bảo mật 2 yếu tố, bảo vệ tài khoản máy chủ như thế nào, hệ thống lưu trữ log khi điều tra, hệ thống sao lưu, VPN... “Chưa kể đến, các ứng dụng sử dụng trên Cloud cũng cần được đánh giá, kiểm thử... định kì bởi một hãng bảo mật độc lập xem có lỗ hổng hay không,tư vấn các giải pháp phát hiện sớm để có thể đưa ra các giải pháp ngăn chặn”, ông Đức nói.

Còn với doanh nghiệp cung cấp Cloud nội địa, các đơn vị này cần tuần thủ chặt chẽ các tiêu chuẩn về ATTT khi xây dựng hệ thống. Bởi vì, để cạnh tranh được với các nhà cung cấp nước ngoài, việc đảm bảo ATTT cho hệ thống là một trong những yếu tố quan trọng cần phải giải quyết, từ đó gạt bỏ những lo ngại của khách hàng khi lên môi trường Cloud. “Ngoài ra, các đơn vị này cần cung cấp thêm các dịch vụ về ATTT cho các giải pháp của mình về lưu trữ, chống tấn công mạng, phát hiện tấn công.... Hay đưa ra các dịch vụ đi kèm khi tư vấn, triển khai đánh giá, giám sát, điều tra lỗ hổng, tấn công... để làm lợi thế”, ông Đức khẳng định.

(Bài đăng ấn phẩm in Tạp chí TT&TT số 4 - tháng 4/2021)

Nguyễn Khiêm