Ba bài học cơ bản về phục hồi mạng ở Singapore
An toàn thông tin - Ngày đăng : 08:31, 15/11/2024
Ba bài học cơ bản về phục hồi mạng ở Singapore
Mặc dù, Singapore từng gặp sự cố mạng, như trộm cắp dữ liệu và gián đoạn hệ thống, nhưng chưa có sự cố nào thực sự thử thách khả năng phục hồi mạng của quốc gia.
Theo Tech For Good Institute, Singapore được coi là quốc gia có khả năng phục hồi mạng tốt. Tuy nhiên, phục hồi mạng không có nghĩa là đạt đến mức an ninh mạng hoàn hảo hay tránh hoàn toàn các sự cố nghiêm trọng.
Khả năng phục hồi mạng không chỉ đánh giá sức mạnh của hệ thống an ninh mà còn bao gồm khả năng khắc phục sau một sự cố lớn và thích ứng với những mối đe dọa mới. Phục hồi mạng còn thể hiện ở cách mà toàn xã hội ứng phó với các sự kiện bất lợi như thiên tai hay khủng bố.
Theo chuyên gia Eugene EG Tan, Trường Nghiên cứu Quốc tế S. Rajaratnam (RSIS) đã tham gia thảo luận cùng với Tech For Good Institute, và cho biết dù công nghệ số đã giúp tăng cường khả năng tiếp cận dịch vụ ở Singapore, người dân và doanh nghiệp vẫn có sự cảnh giác cao trước các rủi ro khi sử dụng dịch vụ số.
Chính phủ Singapore áp dụng chiến lược “ưu tiên số” (digital first) nhưng vẫn thực hiện phương án phi kỹ thuật số để bảo đảm người dân có thể đối phó với các sự cố gián đoạn. Chẳng hạn, nếu hệ thống ngân hàng tạm ngưng vào cuối tuần, người dân có thể sử dụng tiền mặt; hoặc nếu website bệnh viện không hoạt động, họ có thể gọi điện hoặc đến trực tiếp.
Chuyên gia Eugene EG Tan đã chia sẻ những hiểu biết sâu sắc của ông về lịch sử các sự cố mạng ở Singapore, giai đoạn trưởng thành về khả năng phục hồi mạng và những bài học quan trọng mà Singapore đã rút ra, cũng như những gì các quốc gia khác có thể tham khảo.
Theo ông, các quốc gia thúc đẩy dịch vụ số phải cân nhắc giữa sự tiện lợi và rủi ro. Sự cố về khả năng phục hồi mạng có thể gây tác động vật chất, làm gián đoạn sinh hoạt xã hội, như tình trạng hoảng loạn khi hệ thống ngân hàng gặp sự cố.
Mặc dù Singapore từng gặp sự cố mạng, như trộm cắp dữ liệu và gián đoạn hệ thống, nhưng chưa có sự cố nào thực sự thử thách khả năng phục hồi mạng của quốc gia. Khả năng phục hồi mạng chính là việc tập trung vào giảm thiểu tác động và thiệt hại đối với hệ thống, giảm thời gian ngừng hoạt động thông qua các biện pháp chính sách, phòng ngừa và minh bạch. Singapore luôn tìm cách cải thiện các quy trình của mình để theo kịp bối cảnh đe dọa ngày càng phức tạp.
Chuyên gia Eugene EG Tan đã rút ra 3 bài học giá trị từ trường hợp của Singapore, có thể mang lại lợi ích cho các quốc gia khác đang nỗ lực nâng cao khả năng phục hồi mạng.
Bài học 1: Tư duy chiến lược, huy động toàn bộ xã hội
Chiến lược tăng cường khả năng phục hồi mạng của Singapore, được nêu trong Chiến lược An ninh mạng 2021, đặt ra 3 mục tiêu trước mắt và hai mục tiêu dài hạn. Mục tiêu ngắn hạn bao gồm xây dựng cơ sở hạ tầng vững chắc, tạo ra không gian mạng an toàn hơn, và tăng cường hợp tác quốc tế. Về dài hạn, Singapore tập trung phát triển hệ sinh thái sáng tạo và nuôi dưỡng đội ngũ nhân tài trong lĩnh vực an ninh mạng.
Không giống như một số quốc gia khác, nơi biện pháp trừng phạt được sử dụng để đảm bảo an ninh mạng, chiến lược của Singapore nhấn mạnh việc tăng cường khả năng ứng phó của nhà nước, các tổ chức và từng cá nhân. Chiến lược này bao gồm việc giáo dục cộng đồng, doanh nghiệp và các tổ chức về các mối đe dọa mạng mới.
Đồng thời, Singapore thúc đẩy hợp tác quốc tế để giải quyết các mối đe dọa như mã độc tống tiền và tổ chức các buổi diễn tập với các quốc gia khác. Cách tiếp cận toàn diện này giúp mở rộng trách nhiệm về an ninh mạng cho mọi người trong xã hội, không chỉ riêng nhà nước hay các tổ chức.
Bài học 2: Xây dựng, duy trì và khôi phục lòng tin
Khía cạnh thứ hai trong chiến lược phục hồi mạng của Singapore là cách mà chính phủ và các tổ chức xây dựng, duy trì và khôi phục lòng tin của người dùng công nghệ trong xã hội. Lòng tin chủ yếu được hình thành qua các cuộc điều tra công khai và các quy định yêu cầu các nhà cung cấp dịch vụ số phải chịu trách nhiệm. Nếu lòng tin hoàn toàn bị mất trong một sự cố mạng, giá trị của hệ thống có thể bị giảm sút và không nhiều người sử dụng nữa.
Một ví dụ điển hình là việc bảo vệ dữ liệu cá nhân ở Singapore. Luật Bảo vệ Dữ liệu Cá nhân (PDPA) quy định việc thu thập, sử dụng, tiết lộ và bảo vệ dữ liệu cá nhân. Ủy ban Bảo vệ Dữ liệu Cá nhân (PDPC) quản lý việc thực thi PDPA và công khai các quyết định xử lý các tổ chức vi phạm quy định bảo vệ dữ liệu. Điều này không chỉ giúp người dân hiểu rõ hơn mà còn tăng cường trách nhiệm và lòng tin của người dùng đối với các dịch vụ kỹ thuật số.
Ngoài ra, chính phủ Singapore rất nghiêm túc trong việc giám sát bảo vệ dữ liệu tại các cơ sở hạ tầng thông tin trọng yếu (CII). Vào năm 2018, SingHealth, nhà cung cấp dịch vụ y tế công lớn nhất của Singapore, đã gặp phải một sự cố rò rỉ dữ liệu nghiêm trọng, ảnh hưởng đến khoảng 1,5 triệu bệnh nhân.
Để xử lý sự cố, chính phủ đã thành lập một Ủy ban Điều tra (CoI) để nghiên cứu và rút ra bài học. Qua đó, chính phủ khẳng định cam kết duy trì lòng tin của công dân, đặc biệt là trong quá trình triển khai các sáng kiến Quốc gia Thông minh (Smart Nation).
Bài học 3: Khả năng phục hồi mạng không chỉ trong không gian mạng
Liên quan đến việc xây dựng lòng tin, bài học thứ ba mà ông Eugene EG Tan chia sẻ là khả năng phục hồi mạng của một xã hội có thể được củng cố không chỉ qua các quy định về mạng, mà còn thông qua các quy định không liên quan đến mạng. Không phải tất cả giải pháp phục hồi mạng đều liên quan đến công nghệ; thực tế, phần lớn chúng không phải là giải pháp công nghệ.
Ví dụ, việc xây dựng khả năng phục hồi và lòng tin vào hệ thống ngân hàng của Singapore sau sự cố gián đoạn hệ thống thanh toán kỹ thuật số của DBS và Citibank vào tháng 10/2023 thực sự là công việc của Cơ quan Tiền tệ Singapore (MAS), cơ quan quản lý lĩnh vực tài chính.
DBS, ngân hàng lớn nhất của Singapore, đã gặp phải nhiều sự cố hệ thống trong năm 2023, và có nhu cầu cấp thiết phải củng cố khả năng phục hồi các dịch vụ số của ngân hàng này. MAS trước đó đã yêu cầu DBS tăng cường nguồn lực sau các sự cố dịch vụ, như một biện pháp xây dựng lòng tin. Sau sự cố vào tháng 10/2023, DBS còn bị yêu cầu duy trì quy mô các chi nhánh và máy ATM trong trường hợp có gián đoạn tiếp theo, đồng thời phải tập trung nâng cấp các hệ thống công nghệ thông tin quan trọng, và không được tham gia vào các dự án kinh doanh khác.
Theo ông Eugene EG Tan, các quốc gia cần nhận thức rằng khả năng phục hồi mạng không chỉ là vấn đề nằm trong không gian mạng mà là một vấn đề rộng lớn trong toàn xã hội, liên quan đến lòng tin vào các dịch vụ mà người dân sử dụng, dù là từ chính phủ hay các tổ chức tư nhân. Các quy định và quy trình cần được thiết lập để thúc đẩy lòng tin và do đó, xây dựng khả năng phục hồi khi sử dụng dịch vụ số. Các quốc gia và tổ chức không thể xem nhẹ lòng tin của người dùng vào các nền tảng số, và cần nỗ lực hơn nữa để bảo vệ lòng tin này, từ đó thúc đẩy việc sử dụng rộng rãi các dịch vụ số./.