Nhiều doanh nghiệp đẩy mạnh chuyển đổi số nhưng chủ quan và bỏ qua vấn đề an ninh mạng, dẫn đến nhiều vụ tấn công mạng nghiêm trọng.
Thực trạng an ninh mạng trong chuyển đổi số tại Việt Nam được thảo luận tại Hội nghị bàn tròn cấp cao lãnh đạo Công nghệ thông tin và An toàn thông tin, do Cục An toàn thông tin – Bộ Thông tin và Truyền thông, Viettel và IEC tổ chức ngày 8/9.
Theo ông Nguyễn Thành Phúc, Cục trưởng An toàn thông tin, mỗi ngày trung bình một người Việt Nam trực tuyến trên mạng Internet gần 7 tiếng. Thời lượng này sẽ tiếp tục tăng lên, đồng nghĩa với nguy cơ mất an toàn thông tin mạng sẽ cao hơn. Thống kê trên thế giới cho thấy, mỗi giây có 900 cuộc tấn công mạng và 5 mã độc mới sinh ra, mỗi ngày phát hiện 40 lỗ hổng bảo mật. Ngoài ra, xu hướng chuyển dữ liệu và ứng dụng lên nền tảng đám mây cũng tạo ra các mối đe dọa mới về an toàn, an ninh mạng.
Cục trưởng An toàn thông tin Nguyễn Thành Phúc tại sự kiện sáng 8/9
“Khi toàn bộ hoạt động của con người được chuyển lên môi trường mạng, thách thức cho những người chịu trách nhiệm về an toàn thông tin vô cùng lớn. Chỉ cần một sự cố an ninh mạng nghiêm trọng cũng có thể làm ngưng trệ chương trình chuyển đổi số của cả một ngành, một địa phương, một doanh nghiệp”, ông nói.
Tuy nhiên, lãnh đạo Cục An toàn thông tin đánh giá phần lớn các tổ chức, doanh nghiệp chưa triển khai đầy đủ phương án bảo đảm an toàn thông tin để giảm thiểu rủi ro, tạo ra một thách thức lớn trong quá trình chuyển đổi số.
Trước thực trạng này, ông Robert Trọng Trần, chuyên gia mảng Rủi ro công nghệ và An ninh mạng của EY Việt Nam, nhận định có rất nhiều nguyên nhân dẫn đến việc các doanh nghiệp “bỏ qua” an ninh mạng, trong đó nổi bật là mối quan hệ thiếu gắn kết giữa bộ phận an toàn thông tin và các bộ phận khác trong một công ty, song song với các khó khăn về kinh phí, thời gian và tâm lý coi nhẹ vấn đề bảo mật của doanh nghiệp.
“Các lãnh đạo mảng An toàn thông tin (CISO) cho biết họ gặp khó khăn do các quy định ngày càng phức tạp, mối quan hệ căng thẳng với các bộ phận nghiệp vụ trong công ty và thiếu hụt ngân sách an toàn thông tin”, ông Robert nói.
Khảo sát được EY toàn cầu thực hiện năm 2021 cho thấy, 57% các CISO có quan hệ “rất căng thẳng” với bộ phận tài chính, ảnh hưởng đến các quyết định phê duyệt chi phí an ninh mạng. 74% cho biết họ và nhóm marketing trong công ty có quan hệ ở mức trung bình, thậm chí tồn tại tâm lý không tin tưởng lẫn nhau. Chỉ 9% lãnh đạo công ty tự tin các biện pháp an ninh mạng có thể giúp họ được bảo vệ trước các cuộc tấn công mạng lớn.
Trong bối cảnh đại dịch, 81% lãnh đạo doanh nghiệp được khảo sát cho biết họ đã phải bỏ qua quy trình kiểm soát an ninh mạng, bất chấp các cuộc tấn công có xu hướng tăng cao. Ngoài ra, nhiều doanh nghiệp hiện vẫn giữ tư duy phải tập trung phát triển phần mềm. “Họ không dành thời gian tìm hiểu bảo mật vì vấn đề này không trực tiếp góp phần xây dựng các tính năng mới và đưa sản phẩm ra thị trường”, lãnh đạo EY Việt Nam đánh giá.
Theo ông, tư duy này dần trở thành đặc thù của ngành công nghệ. “Trong khi các lĩnh vực như như xây dựng hay sản xuất, các kỹ sư phải nắm vững yêu cầu an toàn cơ bản, nhưng phần lớn các kỹ sư phát triển phần mềm không bắt buộc phải trang bị kiến thức bảo mật cần thiết”, ông Robert đánh giá.
Để đảm bảo quá trình chuyển đổi số diễn ra an toàn, Cục trưởng An toàn thông tin cho rằng các lãnh đạo công nghệ thông tin và an toàn thông tin cần tổ chức triển khai bảo đảm an toàn hệ thống thông tin quản lý của mình, theo Chỉ thị 14 năm 2019 của Thủ tướng. Một trong những yêu cầu của chỉ thị là “bảo đảm tỷ lệ kinh phí chi cho các sản phẩm, dịch vụ an toàn thông tin mạng đạt tối thiểu 10% trong tổng kinh phí triển khai kế hoạch ứng dụng công nghệ thông tin”.
“Các tổ chức, doanh nghiệp cần xây dựng văn hóa bảo mật và quyền riêng tư ngay từ khâu thiết kế. Đồng thời tích hợp bảo mật trong tất cả các chiến lược và quyết định kinh doanh, định kỳ tiến hành đánh giá rủi ro, tự động hóa các quy trình bảo mật, triển khai kiến trúc Zero Trust”, ông Robert Trọng Trần đề xuất.
Lưu Quý