Quản lý các mối đe dọa An toàn Thông tin trong các trường Đại học, Cao đẳng

Môi trường Đại học là môi trường cởi mở và tự do thông tin. Hơn nữa, đặc trưng của cấp đào tạo Đại học, Cao đẳng, đặc biệt là những trường có danh tiếng trên thế giới là khả năng nghiên cứu. Họ có thể hợp tác với các Viện, các trường, các tổ chức, DN bên ngoài để tìm kiếm, phát triển công nghệ mới. Một môi trường mở như vậy không tránh khỏi các lỗ hổng.

Những mối đe dọa về an toàn thông tin trong các trường Đại học, Cao đẳng

Hiện nay, dữ liệu số là cốt lõi của hầu hết các hoạt động trong trường Đại học, Cao đẳng, chúng gắn liền với việc đảm bảo bộ máy trong trường vận hành trơn tru. Do môi trường đặc thù đào tạo và nghiên cứu nhiều ngành nghề, nhiều sinh viên, dữ liệu do các trường lưu giữ cũng đa dạng và được xếp vào ba nhóm chính:

1. Nhóm dữ liệu thuộc về tài sản trí tuệ cốt lõi của trường cần được lưu trữ, truy cập và sử dụng thích hợp để phục vụ công tác học tập, nghiên cứu hay thương mại. Nhóm này gồm các chương trình đào tạo, giảng dạy, các nghiên cứu của giảng viên, sinh viên.

2. Nhóm dữ liệu có được do liên kết với các tổ chức bên ngoài như tổ chức y tế, chính trị, các Viện nghiên cứu hoặc doanh nghiệp, Cơ quan Thương mại trong và ngoài nước. Việc liên kết với nhiều tổ chức khác nhau không còn xa lạ với các trường Đại học, tùy thuộc vào mục đích liên kết mà nhà trường có được thông tin từ tổ chức và ngược lại.

 3. Nhóm dữ liệu phát sinh do hoạt động nhà trường, như thông tin sinh viên, giáo viên, nhân viên, số liệu tài chính. Nhóm dữ liệu này có thể coi là thông tin pháp luật nhạy cảm. Thường tổ chức, DN nào cũng đều phải đối mặt với những rủi ro của nhóm thông tin này.

Nguồn dữ liệu đa dạng, nhiều đối tượng có thể truy cập khiến nhà trường phải đối mặt với rất nhiều rủi ro. Những kỹ thuật tấn công mà kẻ xấu sử dụng có thể không mới, nhưng vấn đề cần lưu tâm là lượng dữ liệu mà sinh viên và giáo viên, nhân viên trong trường có quyền truy cập là không hề nhỏ, rất nhiều trong số đó là thông tin nhạy cảm. Chính vì vậy, việc quản lý hiệu quả sẽ quan trọng hơn nhiều so với việc phòng chống về mặt kỹ thuật (dĩ nhiên luôn phải thực hiện song song các giải pháp kỹ thuật mới có thể đem lại hiệu quả tốt).

Bất kỳ dữ liệu riêng tư nào bị truy cập trái phép hoặc sử dụng sai mục đích cũng sẽ dẫn đến hậu quả không thể lường trước, một số ảnh hưởng có thể kể đến như:

• Danh tiếng: các thông tin về hành vi trộm cắp, phá hoại dữ liệu số có thể gây hại nghiêm trọng tới danh tiếng của một trường Đại học trong con mắt của các sinh viên, các đối tác, các DN và Chính phủ.
• Pháp lý: việc đánh mất thông tin nhạy cảm khiến nhà trường có nguy cơ bị truy tố, xử phạt và bồi thường thiệt hại.
• Kinh tế: đánh mất thông tin về các nghiên cứu, sở hữu trí tuệ hoặc chuyển giao công nghệ có thể gây thiệt hại rất lớn về kinh tế, trực tiếp làm suy yếu trường.
• Hoạt động: các cuộc tấn công có thể làm tê liệt hệ thống, cản trở hoạt động của nhà trường, ảnh hưởng tới cơ sở hạ tầng.

Tùy thuộc vào quy mô của nhà trường mà lượng dữ liệu lưu trữ, mức độ quan trọng của thông tin cũng như hậu quả khi bị tấn công sẽ khác nhau, phụ thuộc vào sự chuẩn bị, ứng phó của nhà trường.

Xây dựng chiến lược đảm bảo an toàn thông tin trong các trường Đại học, Cao đẳng

Đứng trên góc độ quản lý, các trường Đại học, Cao đẳng cần xác định rõ ràng 3 bước phải làm để xây dựng và phát triển một chiến lược an ninh mạng ổn định, lâu dài, đó là:

• Đánh giá rủi ro bằng cách xác định các nhóm dữ liệu, phát hiện lỗ hổng và thiết lập các ưu tiên quản lý.
• Xây dựng và thực hiện nghiêm túc các giải pháp, chính sách như quản trị doanh nghiệp, quản trị dữ liệu, thiết lập các lớp an ninh mạng.

Giám sát và báo cáo định kỳ dựa trên đặc thù của từng đơn vị, như thay đổi hành vi, nhận thức người dùng; đồng thời chia sẻ và cập nhật kiến thức thường xuyên.

Quy trình quản lý các mối đe dọa ATTT tại các trường Đại học, Cao đẳng.

Đánh giá rủi ro

Đánh giá, phân loại được dữ liệu là bước đầu tiên trong quá trình xây dựng kế hoạch ứng phó phù hợp. Vai trò của dữ liệu như thế nào? Tầm ảnh hưởng của chúng đến đâu? - đó là những câu hỏi cần làm rõ để đánh giá rủi ro của những dữ liệu quan trọng. Dựa trên hoạt động chính trong các trường Đại học, Cao đẳng, có thể chia dữ liệu thành ba nhóm giá trị sau:

• Dữ liệu sử dụng nội bộ: Những dữ liệu này sử dụng trong các hoạt động học tập, nghiên cứu và làm việc của nhà trường như tài liệu trong thư viện, giáo trình, các nghiên cứu đã được công bố.
• Dữ liệu liên quan đến pháp luật, các hợp đồng có hiệu lực: Việc quản lý số lượng sinh viên lớn, liên kết với các trường, tổ chức, doanh nghiệp bên ngoài đòi hỏi nhà trường cần nhận thức đầy đủ trách nhiệm của mình với những dữ liệu là định danh, thông tin cá nhân, doanh nghiệp, hợp đồng đã kí kết qua các chương trình hợp tác với nhà trường.
• Dữ liệu có giá trị kinh tế hoặc chính trị: Xác định loại dữ liệu này là thách thức lớn nhất đối với nhà trường. Có thể không nhiều người có quyền biết và sử dụng nhóm dữ liệu này, tuy nhiên việc quản lý và thực hiện chuyển giao kiến thức không hề đơn giản.

Quá trình xác định vai trò của các nhóm thông tin hướng tới mục tiêu chính là phân loại dữ liệu ưu tiên cần quản lý chặt hơn.

Khi đề cập tới những thông tin có nguy cơ cao là mục tiêu của các mối đe dọa bên ngoài, một số nhóm có thể xác định cụ thể bao gồm:

 a. Nghiên cứu có tiềm năng về giá trị kinh tế như: Công nghệ năng lượng (hạt nhân, năng lượng tái tạo…); Công nghệ sinh học (các loại thuốc, phương pháp điều trị, các thiết bị mới,…); Vật liệu mới (đất hiếm, chất bán dẫn,…); Công nghệ thông tin (công nghệ bảo mật, cơ sở hạ tầng,…); Kỹ thuật tiên tiến (hàng không, viễn thông,…).

b. Chính trị và thông tin thương mại nhạy cảm như: Mô hình khí hậu; Dữ liệu kinh tế và dự báo trong tương lai; Nghiên cứu động vật sống; Phát triển sản phẩm và dữ liệu thống kê; Các chứng nhận chuyên môn.

c. Dữ liệu nội bộ nhạy cảm như: Dữ liệu nhân viên, sinh viên; Dữ liệu tài chính; Dữ liệu tuyển dụng và marketing.

Xây dựng và thực hiện các giải pháp

Quản lý có hiệu quả là yếu tố then chốt cho sự thành công trong đảm bảo ATTT của các tổ chức trong mọi lĩnh vực chứ không riêng các trường Đại học. Cán bộ, đặc biệt đội ngũ quản lý cần phải nhận thức được nhiệm vụ của mình liên quan đến việc bảo vệ dữ liệu số và có biện pháp thích hợp để đảm bảo rằng chúng phù hợp với quy định của pháp luật. Tuy nhiên, các đơn vị, nhà trường sẽ có cấu trúc khác nhau, chuyên ngành đào tạo khác nhau, vì vậy, khi thiết lập chính sách, đội ngũ quản trị phải tìm cách trả lời đầy đủ các câu hỏi: Dữ liệu nhạy cảm nằm ở đâu?; Ai sở hữu hoặc kiểm soát dữ liệu?; Thiết lập quản lý dữ liệu như thế nào?; Các kênh để theo dõi và quản lý rủi ro là gì?

Việc trả lời được các câu hỏi trên chính là quá trình đưa ra các giải pháp quản lý hiệu quả. Một số lời khuyên mà nhà trường nên tham khảo khi xây dựng chính sách cụ thể:

• Đánh giá, lường trước những rủi ro khi mất ATTT, có phương án phản ứng kịp thời.
• Đảm bảo không có kênh thông tin liên lạc rõ ràng (thậm chí tách biệt) giữa các bộ phận nắm giữ, điều khiển dữ liệu quan trọng khác nhau.
• Xem xét vai trò của kiểm toán nội bộ và bên ngoài để đánh giá hiệu quả công tác quản trị dữ liệu và quản lý an ninh mạng.
• Xem xét việc thành lập một ban quản trị chuyên duy trì giám sát, quản lý dữ liệu về thể chế và rủi ro an ninh mạng.

Đối với các trường Đại học, Cao đẳng, phương pháp phân đoạn sẽ mang lại hiệu quả cao hơn cho quản lý dữ liệu. Tuy nhiên, các nhà trường cũng có thể xem xét xây dựng “kho dữ liệu” tập trung, thực hiện toàn bộ chính sách và công nghệ có tiêu chuẩn an ninh đảm bảo trên “kho dữ liệu” đó. Giải pháp này có nhược điểm là chi phí cao, đòi hỏi kinh nghiệm quản lý khi bảo vệ các loại dữ liệu khác nhau.

Giám sát và báo cáo

Hiệu quả của chiến lược sau khi đã đi vào hoạt động phụ thuộc hoàn toàn vào quá trình giám sát, từ đó đưa ra những báo cáo tổng hợp để có được cái nhìn toàn diện. Dựa trên kết quả đó, ban quản trị sẽ nhìn ra ưu, nhược điểm và có những điều chỉnh phù hợp. Công việc này cần phải thực hiện định kỳ tùy tình hình của nhà trường.

Do tính chất phát triển nhanh chóng của các mối đe dọa, quá trình rà soát liên tục và cập nhật thực tế cần thực hiện thường xuyên. Ngoài ra, cán bộ nhân viên, quản lý, đặc biệt là những người phụ trách an ninh mạng cần thường xuyên cập nhật thông tin mới về các mối đe dọa; hợp tác với DN, tổ chức, các trường Đại học trong và ngoài nước để chia sẻ kiến thức, học hỏi kinh nghiệm.

Đối với các trường Đại học, Cao đẳng, ngoài những hướng dẫn về kiến thức, nhà trường cần xem xét các giải pháp phát triển văn hóa và nhận thức của nhân viên, giáo viên, sinh viên trong trường, cụ thể như:

✓ Phối hợp chặt chẽ giữa người đứng đầu trường học, chuyên gia nghiên cứu và nhân viên quản lý dữ liệu, an ninh mạng để hiểu rõ các mối đe dọa, kịp thời đưa ra giải pháp.

✓ Khuyến khích trao đổi giữa các phòng ban, xây dựng diễn đàn của trường, học hỏi kinh nghiệm để tăng cường hiểu biết các mối đe dọa mà họ đã từng gặp phải và cùng nhau phòng tránh hoặc tìm cách giải quyết.

✓ Đưa ra các chương trình đào tạo, liên kết cho giảng viên và sinh viên trong trường, bao gồm việc tích hợp thực hành quản lý an toàn thông tin vào chương trình đào tạo đại học, thạc sĩ, tiến sĩ.

Việc đảm bảo ATTT trong các tổ chức nói chung và trường học nói riêng là một thách thức không hề đơn giản, nhất là khi các mối đe dọa đang không ngừng phát triển về cách thức, quy mô. Các tổ chức cần một hệ thống quản lý phù hợp để bảo vệ thông tin nhạy cảm. Hệ thống này phải đảm bảo rằng một tổ chức: Có thể xác định, đánh giá và giám sát rủi ro an ninh mạng; Thực hiện quản lý dữ liệu hiệu quả và an toàn; Kiểm soát quy trình sát sao, cập nhật thường xuyên các kiến thức mới, loại bỏ thói quen xấu.

Bảo mật thông tin là trách nhiệm của toàn bộ tổ chức, dựa trên sự phối hợp hoạt động giữa các cấp lãnh đạo, quản trị dữ liệu, hệ thống và người dùng. Hơn nữa, hợp tác tích cực giữa nhà trường, các tổ chức, chính phủ và các ngành công nghiệp sẽ giúp tất cả chuẩn bị và tự bảo vệ mình khỏi các mối đe dọa.

B.H