Xây cơ chế cảnh báo sớm, giảm rủi ro an ninh mạng

Áp dụng quy trình sao lưu 3-2-1

Tham luận với chủ đề "Doanh nghiệp vừa và nhỏ Việt Nam trong kỷ nguyên số: Góc nhìn chính sách và kết nối hệ sinh thái an ninh mạng" tại Diễn đàn "Tương lai số an toàn cho doanh nghiệp vừa và nhỏ" ngày 15/4, ông Nguyễn Hoa Cương - Phó Viện trưởng Viện Nghiên cứu Chính sách và Chiến lược, Ban Chính sách và Chiến lược Trung ương cho biết doanh nghiệp vừa và nhỏ chiếm 98% tổng số doanh nghiệp; gần 1.1 triệu doanh nghiệp hoạt động tính đến hết năm 2025.

Ông Nguyễn Hoa Cương - Phó Viện trưởng Viện Nghiên cứu Chính sách và Chiến lược, Ban Chính sách và Chiến lược Trung ương.

Ông Cương nhận định an ninh mạng là thách thức của các doanh nghiệp vừa và nhỏ. Đầu tiên là sự gia tăng của các cuộc tấn công mạng đe dọa trực tiếp đến sự tồn tại của doanh nghiệp. Thứ hai, nhận thức về an ninh mạng còn thấp, không có nhân viên chuyên trách về an toàn thông tin, phần lớn chỉ bắt đầu đầu tư khi gặp sự cố.

Thứ ba, thiếu chiến lược dài hạn, phụ thuộc nền tảng bên thứ ba và là "mắt xích yếu" trong chuỗi cung ứng, "số hóa từng phần" chứ không "chuyển đổi số toàn diện"; rào cản về nguồn lực.

Ông Cương đưa ra 3 nhóm giải pháp: Đối với Chính phủ, cần cụ thể hóa các hướng dẫn thực thi luật; xây dựng các chương trình hỗ trợ đơn giản, hiệu quả để doanh nghiệp dễ tiếp cận; tăng cường đối thoại chính sách; tăng cường nhận thức, năng lực cho cộng đồng doanh nghiệp.

Liên quan đến hệ sinh thái, theo ông Cương cần xây dựng cổng thông tin và danh bạ nhà cung cấp. Theo đó, thiết lập các nền tảng tài nguyên cung cấp hướng dẫn thực hành tốt nhất và danh bạ các nhà cung cấp dịch vụ an ninh mạng uy tín đã được xác thực để doanh nghiệp dễ dàng lựa chọn.

Phát triển các chương trình đào tạo kỹ năng; thúc đẩy mô hình hợp tác công tư: Xây dựng các mô hình thực tế nơi doanh nghiệp, hiệp hội và các trường đại học cùng chia sẻ vai trò trong việc đào tạo nhân lực và diễn tập ứng cứu sự cố.

Đồng thời, xây dựng cơ chế cảnh báo sớm: Thiết lập hệ thống chia sẻ thông tin về các mối đe dọa mạng liên ngành để các doanh nghiệp nhỏ có thể chủ động phòng tránh.

Đối với doanh nghiệp, theo ông Cương cần thực hiện "Vệ sinh mạng" (Cyber hygiene). Nền tảng cơ bản bao gồm việc sử dụng phần mềm diệt virus, tường lửa, chính sách mật khẩu mạnh, mã hóa dữ liệu và xác thực nhiều lớp.

Cùng với đó, áp dụng quy trình sao lưu 3-2-1. Ông Cương lưu ý, doanh nghiệp cần lưu trữ ít nhất 3 bản sao dữ liệu, trên 2 loại phương tiện khác nhau và có 1 bản lưu trữ ngoại vi (offsite) để đảm bảo an toàn trước các cuộc tấn công mã hóa dữ liệu (ransomware).

Ngoài ra, doanh nghiệp cần chuyển đổi sang hệ thống điện toán đám mây; sử dụng phần mềm có bản quyền, thay thế các phiên bản miễn phí hoặc không rõ nguồn gốc bằng phần mềm có giấy phép để giảm thiểu lỗ hổng bảo mật; khuyến khích áp dụng các khung tiêu chuẩn để chuẩn hóa công tác an toàn thông tin...

Cần rà soát toàn bộ hoạt động xử lý dữ liệu cá nhân

Tham luận với chủ đề "Chính sách và quy định về bảo đảm an ninh mạng và bảo vệ dữ liệu" tại Diễn đàn "Tương lai số an toàn cho doanh nghiệp vừa và nhỏ", Thượng tá Nguyễn Đình Đỗ Thi - Trưởng Ban Nghiên cứu, tư vấn chính sách, pháp luật, Hiệp hội An ninh mạng Quốc gia cho biết, trên thế giới, rất nhiều quốc gia coi dữ liệu là tài sản quốc gia. 

Trong khi đó, theo ông Thi, hiện nay cùng với quá trình chuyển đổi số thì không gian mạng cũng tạo ra vô vàn những thách thức, rủi ro. Đặc biệt, vấn đề xâm phạm dữ liệu. 

"Hiện nay trên các diễn đàn kín và thậm chí có một số diễn đàn công khai rao bán rất nhiều các loại dữ liệu, trong đó, có nhiều tệp dữ liệu của người dùng Việt Nam", ông Thi cho hay. 

Thượng tá Nguyễn Đình Đỗ Thi - Trưởng Ban Nghiên cứu, tư vấn chính sách, pháp luật, Hiệp hội An ninh mạng Quốc gia.

Trong 3 năm qua, cơ quan chức năng, trong đó có Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao đã phát hiện, xử lý hơn 30 vụ việc mua bán, chiếm đoạt trái phép dữ liệu cá nhân với khoảng hơn 160 triệu bản ghi.

Bên cạnh đó, qua tổng kết việc thi hành Nghị định số 13 của Chính phủ về Bảo vệ dữ liệu cá nhân, ông Thi nhận thấy nhiều cơ quan, tổ chức, doanh nghiệp còn gặp khó khăn, lúng túng trong triển khai công tác bảo vệ dữ liệu cá nhân. Một số quy trình áp dụng chưa đầy đủ, chưa quy củ và bài bản.

Việc xây dựng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu xuyên biên giới và thông báo vi phạm dữ liệu cá nhân của nhiều cơ quan, tổ chức, doanh nghiệp còn chậm trễ và thiếu sót...

Quang cảnh Diễn đàn.

Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân nhằm để khắc phục những bất cập, những lỗ hổng, những vướng mắc phát sinh trong quá trình thực hiện Nghị định 13.

Trong triển khai thi hành Luật Bảo vệ dữ liệu cá nhân, ông Thi cũng nêu một số vấn đề cần lưu ý: 

Các cơ quan, tổ chức, doanh nghiệp (trong đó có các doanh nghiệp vừa và nhỏ) cần rà soát toàn bộ hoạt động xử lý dữ liệu cá nhân của cơ quan, tổ chức mình và đánh giá hiện trạng tuân thủ pháp lý và biện pháp bảo vệ dữ liệu cá nhân.

Cùng với đó, cần áp dụng đầy đủ các biện pháp, giải pháp, quy trình, cơ chế bảo vệ dữ liệu cá nhân ở từng khâu và trong toàn bộ quá trình xử lý dữ liệu.

Theo ông Thi, xử lý dữ liệu cá nhân bao gồm rất nhiều khâu, gồm một chuỗi quy trình từ tạo lập, thu thập, phân tích, tổng hợp, mã hóa... Tất cả các khâu này đều phải áp dụng các biện pháp, giải pháp để bảo vệ.

"Nếu bỏ sót một khâu nào đó, có thể tin tặc, tội phạm, các đối tượng có thể nhằm vào những "mắt xích" yếu đó để tấn công, đánh cắp thông tin dữ liệu", ông Thi lưu ý.

Ngoài ra, ông cũng cho rằng cần thực hiện chỉ định nhân sự hoặc bộ phận bảo vệ dữ liệu cá nhân trong nội bộ tổ chức của cơ quan, tổ chức, doanh nghiệp; hoặc có thể sử dụng các dịch vụ chuyên gia bảo vệ dữ liệu cá nhân thông qua đơn vị cung cấp các dịch vụ giải pháp này.

Ông lưu ý, nhân sự trực tiếp tham gia bảo vệ dữ liệu cá nhân cũng cần phải lựa chọn không chỉ những cán bộ nhân viên có đủ năng lực, trình độ, kỹ năng, mà phải lựa chọn những cán bộ, nhân viên có phẩm chất tốt. Tránh tạo lỗ hổng hay "mắt xích yếu" từ nhân sự, và từ đó phòng ngừa việc bị đánh cắp, chiếm đoạt dữ liệu.

Ngoài ra, phải có cơ chế quản lý và giám sát chặt chẽ, tránh tình trạng xảy ra đánh cắp thông tin dữ liệu từ nội bộ.

Cùng với đó, triển khai các hoạt động, chương trình tuyên truyền, đào tạo, bồi dưỡng kiến thức, kỹ năng về quy định pháp luật về bảo vệ dữ liệu cá nhân; thực hiện đánh giá tác động xử lý dữ liệu cá nhân…