Một số dự báo về công tác ATTT năm 2018

(12/01/2018)
Các mối đe dọa và lỗ hổng an ninh mạng trong năm 2017 đã thiết lập những kỷ lục mới gây bất ngờ về xâm phạm dữ liệu cá nhân.



Từ WannaCry đến Petya, danh sách các lỗ hổng phức tạp và khó kiểm soát gần như diễn ra hàng ngày. Năm 2017, các lỗ hổng đã ảnh hưởng đến hàng trăm triệu người trên toàn cầu. Theo dự báo, tốc độ và sự phức tạp của các cuộc tấn công mạng sẽ vẫn tiếp diễn trong năm 2018.

Brendan O’ Connor, Giám đốc về an ninh của ServiceNow, công ty chuyên về phần mềm quản lý công nghệ thông tin có trụ sở tại bang California (Mỹ) đã đưa ra một số dự báo đối với công tác bảo đảm ATTT trong năm 2018:

1. Lỗ hổng sẽ thâm nhập vào cuộc sống

Có sự khác biệt giữa an toàn thông tin (ATTT) và an toàn mang tính vật lý. Các lỗ hổng làm tổn hại các tổ chức hiện nay chủ yếu là các xâm phạm ATTT. Thông tin thẻ tín dụng, số an ninh xã hội, hay thông tin số cá nhân bị đánh cắp không làm hại đến cơ thể vật lý của nạn nhân.

Trong năm 2018, chúng ta có thể sẽ chứng kiến kiểu lỗ hổng sẽ làm ảnh hưởng đến cuộc sống thực tế, cá nhân của chính chúng ta như thiết bị y tế hay thiết bị “đeo” có thể bị tấn công và điều khiển từ xa. Đó cũng có thể là một thiết bị IoT công nghiệp hay ô tô tự lái sẽ bị tấn công. Hoặc cái gì đó liên quan đến ngôi nhà của bạn. Các thiết bị từ cửa gara ô tô đến tủ lạnh có thể thông minh và được kết nối nhiều hơn. Theo đó, có thể xảy ra khả năng tấn công đối với mọi thứ xung quanh cuộc sống của chúng ta, buộc chính phủ, doanh nghiệp và các cá nhân xem xét nghiêm túc hơn về vấn đề an ninh của hạ tầng.

2. Liên minh Châu Âu sẽ phạt nặng công ty vi phạm GDPR

Ngày 25/5/2018, Quy định bảo vệ dữ liệu chung (General Data Protection Regulation - GDPR) của Liên minh châu Âu (EU) sẽ chính thức có hiệu lực. GDPR sẽ là một khung pháp lý để củng cố, thống nhất việc bảo vệ dữ liệu và áp dụng cho các cá nhân trong EU. Quy định này sẽ bảo vệ các công dân EU, nhưng cũng sẽ tác động đến các tổ chức trên toàn thế giới - các công ty cung cấp dịch vụ cho một khách hàng hoặc nhân viên ở EU có thể phải chịu trách nhiệm về cách thức họ xử lý, lưu giữ và bảo vệ dữ liệu cá nhân.

Mức phạt tối đa về vi phạm luật này là 20 triệu euro hay 4% doanh thu thường niên toàn cầu của một công ty. EU có thể thực hiện phạt nặng một công ty đầu tiên khi Luật có hiệu lực, gửi đi một thông điệp là GDPR sẽ được thực hiện nghiêm túc. Khi các mức phạt này nhận được sự chú ý toàn cầu, các công ty khác sẽ buộc phải tuân thủ các quy định của GDPR.

3. Xuất hiện các công ty có tiềm lực mạnh về an ninh mạng

Năm 2018, chúng ta sẽ chứng kiến sự xuất hiện các công ty có tiềm lực mạnh về an ninh mạng và không có tiềm lực. Các công ty tiềm lực bắt đầu tự động hóa phần nghiên cứu phản ứng an ninh và các công ty không có tiềm lực thì không thể. Các công ty có các công cụ và văn hóa để đạt được tự động hóa và đưa công nghệ vận hành đáp ứng hoạt động thực tế công việc, sẽ hoạt động tốt hơn các công ty không thể.

Các công ty có tiềm lực được trông đợi cho là sẽ báo cáo các hoạt động an ninh như là một phần chính của hoạt động hàng ngày của họ. Họ sẽ có các quy trình quy mô tại chỗ và sẽ có người để đánh giá công việc. Tự động hóa sẽ giúp họ quyết định hệ thống nào được vá và khi nào. Họ sẽ phản ứng với các cuộc tấn công lừa đảo (phishing) trong vài phút thay vì vài ngày. Lợi thế của công ty có tiềm lực là đội ngũ an ninh sẽ được giải phóng khỏi việc nghiên cứu mất thời gian và những công việc thông thường. Họ sẽ có nhiều thời gian hơn để tập trung vào các dự án chiến lược củng cố tổ chức.

4. Công tác đảm bảo an toàn, an ninh mạng ngày càng được chú trọng

Khi xây dựng các chương trình an ninh mạng cần cân đối chi phí nhằm đạt mục tiêu và giảm thiểu rủi ro. Đặc biệt cần đưa được nội dung này vào chiến lược hoạt động của tổ chức, doanh nghiệp. Giám đốc an toàn thông tin (CISO) là cần thiết để hỗ trợ đội ngũ lãnh đạo và các thành viên hội đồng quản trị hiểu về lợi ích từ đầu tư (ROI), phân tích lợi ích chi phí và các cơ hội của chương trình an toàn, an ninh bằng cách làm rõ rủi ro kinh doanh với giá trị kinh doanh.

Trong năm nay, chúng ta sẽ chứng kiến các Giám đốc ATTT nỗ lực nhiều hơn để đưa ra các khái niệm và chương trình an ninh vào trong các thuật ngữ kinh doanh. Mục tiêu cuối cùng là để áp dụng cho tất cả các khía cạnh hoạt động của doanh nghiệp nhưng tập trung áp dụng tức thời cho việc tuân thủ pháp luật, doanh thu tổn thất có thể, các mối quan hệ khách hàng, nghĩa vụ pháp lý, cạnh tranh, sở hữu trí tuệ, sự trung thành của các cổ đông và bảo vệ thương hiệu.

Hội đồng quản trị của một công ty cần phải có các chiến lược để đảm bảo an toàn, an ninh mạng. Thu hẹp khoảng cách nhận thức giữa lãnh đạo an ninh và hội đồng quản trị để đưa ra một khung quy định đảm bảo an ninh hiệu quả bằng cách hỗ trợ các bên đánh giá các rủi ro và quyết định cách thức giảm thiểu các rủi ro là cần thiết.

Theo ictvietnam

Tin khác