Việc chuẩn bị cho các tình huống xấu nhất là trách nhiệm của tư vấn viên tài chính, nhưng các chuyên gia an ninh mạng cảnh báo rằng họ có thể phải đối mặt với thảm họa của chính mình nếu không thực hiện các bước cần thiết để bảo vệ công ty khỏi tấn công mạng.
James Harrison, người sáng lập và Tổng Giám đốc công ty tư vấn an ninh mạng Invisus và chuyên gia an ninh mạng John Sileo kêu gọi các doanh nghiệp, cả lớn và nhỏ, triển khai một kế hoạch bảo mật vượt ngoài tầm quản lý của giám đốc CNTT của một công ty hoặc một người bạn am hiểu công nghệ.
Theo Harrison, việc phát triển một chiến lược phòng vệ và kế hoạch hành động khi xẩy ra hiện tượng rò rỉ dữ liệu là vấn đề sống còn để bảo vệ công ty và tăng cường khả năng phòng vệ pháp lý của bạn. “Chúng ta đang sống trong một thế giới mà dữ liệu là vua, là vàng. Nó đáng giá hơn nhiều công cụ tài chính, vì vậy rủi ro gây ra bởi bên thứ ba cần là một phần trong kế hoạch của bạn,” ông chia sẻ.
Theo hai chuyên gia, hành động lừa đảo, tin tặc và các dạng tấn công mạng khác là những thứ không lạ lẫm gì đối với ngành dịch vụ tài chính, nhưng nhiều công ty còn đối mặt với một loạt các mối đe dọa thay đổi liên tục đi kèm việc nhân viên làm việc tại nhà nhiều hơn, khiến việc thiết lập các biện pháp bảo vệ kỹ thuật số ngày càng trở nên quan trọng hơn.
Khởi động
Theo Sileo, một trong những phần quan trọng nhất của việc xây dựng kế hoạch an ninh mạng là chọn một công ty có thể thực hiện đánh giá bảo mật. “Nếu chưa thuê một công ty bảo mật bên ngoài để xác minh mọi lỗ hổng trong hệ thống phòng thủ của mình, và tôi không quan tâm văn phòng của bạn có một người hay nghìn người, nhưng bạn cần biến việc này thành một ưu tiên ngay tức khắc,” ông khuyên nhủ.
Sileo thúc giục những người chưa có kế hoạch bảo mật cần tham khảo gợi ý của đồng nghiệp trong ngành. “Nếu bạn thuộc một nhóm kinh doanh nào đó hoặc trong nhóm Top of the Table, hãy hỏi họ đang sử dụng ai để thực hiện đánh giá bảo mật cho họ. Nếu bạn không thuộc nhóm nào, thì tôi thực lòng khuyên bạn nên đến một ngân hàng đang hoạt động tại địa phương và hỏi liệu họ có thể giới thiệu một nhà cung cấp có uy tín hay không,” ông chia sẻ.
Ông thổ lộ rằng chi phí phát sinh thêm cho việc thuê một công ty thực hiện đánh giá an ninh mạng là xứng đáng do đã có nhiều thay đổi về an ninh mạng trong thời kỳ đại dịch, đặc biệt trong điện toán đám mây. “Phòng ngừa rẻ hơn nhiều so với khôi phục lại.”
Harrison cho biết việc đánh giá sẽ xác định các lỗ hổng của bạn và bạn đã có kế hoạch bảo mật hợp lý chưa. Ông bổ sung: “Đầu tiên, chuyên gia sẽ kiểm tra cam kết của ban điều hành đối với vấn đề an ninh mạng. Đã có người nào đó được chỉ định (để giám sát an ninh mạng) chưa? Nếu bạn là chủ sở hữu độc lập duy nhất, người đó chính là bạn.”
Theo Harrison, những doanh nghiệp có một vài người quản lý phải xác định ai sẽ giám sát chương trình bảo mật và bảo đảm kế hoạch này tuân thủ quy định về an ninh mạng. “Họ muốn xem các hồ sơ về chính sách và quy trình, và đây chính là điều mà một kiểm toán viên hoặc cơ quan quản lý đang tìm kiếm.” Kế hoạch đó nên bao gồm các hạng mục trong danh sách kiểm tra cơ bản như tiến hành đánh giá rủi ro hàng năm, thông tin về ngăn chặn rò rỉ dữ liệu và chính sách đào tạo để nhân viên tuân thủ theo.
Harrison lưu ý rằng triển khai kế hoạch này không chỉ bảo vệ bản thân bạn mà còn khiến khách hàng tin tưởng rằng thông tin của họ được bảo mật. “Tôi không cho rằng bạn cần cho khách hàng thấy chính sách và quy trình, nhưng việc bạn có những tài liệu này khiến họ yên tâm — rằng bạn có kế hoạch bảo mật bằng văn bản, bạn đang tuân theo kế hoạch đó và nó đáp ứng các qui định của Ủy ban Giao dịch và Chứng khoán Hoa Kỳ (SEC) cũng như của bang,” ông cho biết.
Thu hẹp lỗ hổng
Khi đánh giá ban đầu được hoàn tất, chủ doanh nghiệp nên sử dụng kết quả đó làm điểm khởi đầu để thiết lập hoặc hoàn thiện chính sách và qui trình hiện có. Sileo khuyên bạn nên bắt đầu bằng việc xác định các máy tính được sử dụng tại công ty có hệ điều hành lỗi thời. Trong một số trường hợp, có lẽ cần phải thay máy tính vì các đời máy tính cũ hơn có thể không hỗ trợ cập nhật về bảo mật, ông chia sẻ.
Ông cho biết: “Những cập nhật hệ thống đó “cực kỳ quan trọng” để giữ cho mạng của bạn không thể bị xuyên thủng. Sileo chia sẻ, việc này bao hàm tất cả các thiết bị điện tử được sử dụng cho công việc — máy tính, máy tính bảng, điện thoại di động và các thiết bị thông minh — đồng thời khuyến nghị các doanh nghiệp, đặc biệt doanh nghiệp nhỏ, cài đặt tự động cập nhật hệ thống “để bạn được cập nhật liên tục mỗi khi một mối đe dọa mới xuất hiện.”
Triển khai kế hoạch này không chỉ bảo vệ bản thân bạn mà còn khiến khách hàng tin tưởng rằng thông tin của họ được bảo mật.
—James Harrison
Sileo cho biết thêm, việc bảo đảm dữ liệu được mã hóa là bước tiếp theo để xây dựng một kế hoạch an ninh mạng mạnh mẽ. Mã hóa bao gồm tất cả dữ liệu trên máy tính, ổ cứng và có lẽ quan trọng nhất là những dữ liệu được truyền giữa các nền tảng hoặc lên đám mây. Ông thổ lộ: “Tôi không thể cho bạn biết số lượng email không được mã hóa mà tôi nhìn thấy được gửi qua lại giữa các hoạch định viên tài chính và đại lý bảo hiểm nhân thọ với khách hàng, trong đó có số An sinh Xã hội, thông tin về tài khoản tài chính và tài khoản ngân hàng.”
Tuy nhiên, ngày nay, việc mã hóa dữ liệu và các biện pháp bảo mật khác, chẳng hạn như thiết lập tường lửa và mạng riêng ảo (VPN), có thể giúp chút ít trong việc bảo vệ dữ liệu của công ty khi nhân viên làm việc bên ngoài công ty, Harrison cho biết , vì tin tặc có thể truy cập dữ liệu bằng cách đột nhập thông qua kết nối Internet Wi-Fi. Harrison cảnh báo: “Tin tặc sẽ chui qua VPN của bạn, chui qua toàn bộ hệ thống xác thực đa yếu tố của bạn để truy cập thẳng vào hệ thống doanh nghiệp từ phòng làm việc tại nhà riêng của bạn.”
Harrison nói rằng đó là một vấn đề mà ngay cả những tập đoàn lớn nhất cũng phải đương đầu, nhưng đó là một vấn đề dễ dàng giải quyết. Ông khuyến khích các doanh nghiệp lớn nhỏ yêu cầu nhân viên ký một thỏa thuận bảo đảm rằng họ sẽ tuân theo các giao thức an ninh mạng làm việc tại nhà. Doanh nghiệp cũng nên tiến hành kiểm tra bảo mật thường xuyên trên bộ định tuyến Wi-Fi và máy tính sử dụng tại nhà.
Vượt ra ngoài những điều cơ bản
Việc triển khai kế hoạch này sẽ tạo tiền đề để xây dựng chiến lược dài hơi hơn cho vấn đề an ninh mạng đang diễn ra, chẳng hạn như tiến hành kiểm tra bảo mật thường xuyên bằng chuyên gia của bên thứ ba. Theo Harrison, cần dùng người bên ngoài đội ngũ CNTT nội bộ để được cập nhật liên tục về các mối đe dọa thường xuyên thay đổi và quy định mới.
Việc kiểm tra các lỗ hổng và cập nhật qui định mới là công việc mà nhiều chuyên gia CNTT không được trang bị để xử lý, ông cho biết. “Việc kiểm tra [các lỗ hổng] từ ngoài vào trong là một lĩnh vực khác mà dân IT thường không làm; họ không mang theo những công cụ mạnh mẽ này để truy cập, thử xâm nhập hoặc đột nhập mạng của bạn và tìm hiểu bạn có khả năng bị tấn công chỗ nào.”
Harrison cho biết, đôi khi cuộc tấn công mạng đến từ các công ty liên kết đã bị tin tặc nhắm đến, khiến việc khắc phục lỗ hổng trở nên khó khăn hơn. Ông lưu ý đến diễn biến gần đây liên quan đến các nhà quản lý quỹ phòng hộ giao dịch cổ phiếu của các công ty thuộc Fortune 500, đó là nhiều người đang nghiên cứu công ty liên kết của các công ty này để nhận diện các mối đe dọa an ninh mạng. “Tại sao những việc này khiến tất cả chúng ta bị rủi ro? Giờ đây, công ty đại chúng sẽ được cho điểm về mức độ sẵn sàng về an ninh mạng và người ta còn rờ xuống cả chuỗi cung ứng để xác nhận rủi ro gây ra bởi bên thứ ba”, ông chia sẻ. Đây là một mô hình mà các tư vấn viên tài chính thuộc mọi quy mô nên xem xét.
Ông cũng khuyến nghị nên xem xét mua bảo hiểm an ninh mạng trong trường hợp nỗ lực ngăn chặn rò rỉ bị thất bại. Việc xây dựng kế hoạch chống rủi ro mạng có thể giúp bảo vệ doanh nghiệp chống lại vi phạm bảo mật, đồng thời cũng tăng cường khả năng đủ điều kiện khi nộp yêu cầu bồi thường, nếu hệ thống bị tấn công.
“Nhà cung cấp bảo hiểm mạng sẽ không từ chối khi bạn muốn nộp yêu cầu bồi thường,” ông nói, đồng thời khuyên doanh nghiệp vừa và nhỏ nên xem xét hợp đồng từ nửa triệu đến một triệu đô la. “Nhưng bạn cũng phải hiểu rằng nếu không triển khai kế hoạch và không làm X, Y, Z, nếu không hoàn tất mọi thứ, họ sẽ từ chối yêu cầu và tăng gấp đôi phí bảo hiểm vào năm tới, vì vậy tuân thủ là một vấn đề lớn và việc xây dựng kế hoạch bảo mật cũng như lập hồ sơ cho kế hoạch đó là cách đơn giản nhất, dễ dàng nhất và hợp túi tiền nhất để đạt được điều đó.”
THÔNG TIN LIÊN HỆ
James Harrison james@invisus.com
John Sileo john@sileo.com