Bị tấn công mạng: Có hơn 90% là từ vận hành, con người
Về sự cố bị tấn công mạng của hàng loạt công ty chứng khoán, tài chính vừa qua, một số chuyên gia cho rằng, chúng ta nói nhiều về công nghệ đầu tư, nhưng yếu tố con người - nguồn nhân lực cho vấn đề bảo mật lại chưa tương xứng.
Tại Tọa đàm "Bảo mật thông tin trong lĩnh vực chứng khoán" ngày 9/4, ông Ngô Tuấn Anh, Tổng Giám đốc Công ty An ninh mạng SCS, Phó Chủ tịch Hiệp hội An toàn thông tin Việt Nam nhấn mạnh rằng, qua những vụ tấn công giai đoạn vừa qua, cho thấy các đơn vị phải triển khai biện pháp phòng hơn chống vì khi để xảy ra tấn công sẽ có thiệt hại lớn. Cần phòng bị để không xảy ra hoặc xảy ra thì thiệt hại giảm bớt.
"Hiện đã có khuyến cáo, trong 1 dự án công nghệ thông tin, công ty chứng khoán sử dụng nền tảng công nghệ thông tin thì nên dành 10% để đầu tư giải pháp an toàn, bảo mật, con người vận hành và quy trình đảm bảo. Tuy nhiên, hiện chưa nhiều đơn vị làm được việc này dẫn tới đảm bảo hệ thống công nghệ là chưa đảm bảo", ông Ngô Tuấn Anh nói.
Theo vị chuyên gia, trên thế giới ngay cả những đơn vị an ninh mạng, được đầu tư lớn cũng bị tấn công. Tấn công mạng không loại trừ đơn vị nào cả. Vì vậy, bên cạnh xây dựng hệ thống bảo vệ, còn cần lưu ý tới công tác giám sát, phát hiện sớm để ngay cả khi hacker tấn công cũng sẽ được phát hiện sớm, giảm thiểu rủi ro.
Theo hướng dẫn của Chính phủ, các đơn vị cần phải dùng 10% trong đầu tư hệ thống công nghệ cho an toàn bảo mật, nhưng thực tế triển khai chưa được như vậy. Điều này phụ thuộc nhiều vào chủ đầu tư, nhận thức của người đứng đầu đơn vị về an toàn bảo mật.
Tấn công mạng có hơn 90% là từ vận hành, con người - là điểm yếu nhất để kẻ gian lợi dụng tấn công vào hệ thống. (Ảnh minh họa)
Có thể thấy, nghiệp vụ trong bảo mật thông tin thường không cho thấy lợi ích trước mắt, nên đầu tư bao nhiêu phụ thuộc nhiều vào chủ đầu tư, vào đơn vị tư vấn xây dựng hệ thống đó, thậm chí không phải đơn vị nào cũng có thể tư vấn đầy đủ.
Nếu các doanh nghiệp chỉ hướng tới tối đa hóa lợi nhuận thì mục tiêu đầu tư vào bảo mật sẽ không đảm bào. Khi đầu tư vào công nghệ thông tin cần có nhận thức về xây dựng, thiết kết an toàn thông tin ngay từ đầu, lựa chọn đơn vị chuyên nghiệp, tư vấn độc lập để tối ưu cho bảo mật.
Theo ông Ngô Tuấn Anh, đầu tư lượng tiền lớn vào công nghệ cũng chưa chắc đã an toàn. Hệ thống cần 3 yếu tố: Một là công nghệ tốt; hai là con người tốt để triển khai, giám sát; ba là quy trình vận hành tốt để con người, hệ thống nhuần nguyễn, tránh lỗi do con người gây ra.
"Tấn công mạng có hơn 90% là từ vận hành, con người - là điểm yếu nhất để kẻ gian lợi dụng tấn công vào hệ thống", ông Ngô Tuấn Anh khẳng định.
Thiếu hụt nhân sự trong lĩnh vực an toàn thông tin, an ninh mạng đã trở thành tình trạng chung nhiều quốc gia trên thế giới phải đối mặt. Tại Việt Nam, theo các chuyên gia, thiếu nhân lực an toàn thông tin cũng đang là thách thức lớn của nhiều cơ quan, tổ chức và doanh nghiệp trên toàn quốc. Nhận thức rõ nhu cầu nhân lực an toàn thông tin mạng ngày càng gia tăng, từ năm 2014 đến nay, Bộ Thông tin và Truyền thông đã tham mưu Thủ tướng Chính phủ ban hành Đề án 99 năm 2014 và Quyết định 21/QĐ-TTG năm 2021 về đào tạo và phát triển nguồn nhân lực an toàn, an ninh thông tin.
Thực tế, việc triển khai các đề án nêu trên đã và đang góp phần bổ sung đội ngũ nhân sự làm an toàn thông tin chuyên nghiệp, lực lượng nòng cốt để bảo đảm an toàn không gian mạng quốc gia cũng như bảo vệ các cơ quan, tổ chức, doanh nghiệp và cộng đồng. Mỗi năm các trường đại học, Học viện trên cả nước đào tạo ra khoảng 2.000 sinh viên an toàn thông tin. Cùng với đó, còn có khoảng 5.000 lượt tập huấn về an toàn thông tin.
Dẫu vậy, nhu cầu nhân sự an toàn thông tin vẫn rất lớn. Hiện nay, không khó để tìm thấy các tin tuyển dụng về nhân sự an toàn, an ninh mạng; tuy nhiên, tính đáp ứng của thị trường và số lượng ứng viên có thể thỏa mãn yêu cầu của các đơn vị tuyển dụng còn hạn chế.
Theo ông Ngô Tuấn Anh, hiện nay còn một vấn đề nữa là công nghệ thay đổi từng ngày trong khi chương trình đào tạo cần thời gian dài hơn. Vì vậy doanh nghiệp phải đào tạo nội bộ để giải quyết vấn đề.
Ông Lê Công Phú, Phó Giám đốc Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam – VNCERT/CC, Cục An toàn thông tin (Bộ Thông tin và Truyền thông)cho biết, trong thời gian qua, đơn vị này đã phối hợp với các đơn vị chức năng chủ trì thực hiện nhiều chương trình đào tạo, các khóa huấn luyện. Dù vậy, phải thừa nhận rằng nguồn nhân lực đảm bảo an toàn thông tin tại Việt nam hiện đang thiếu rất nhiều. Năng lực đội ngũ chuyên trách ở các cơ quan nhà nước, bộ, ngành thì chưa đủ đáp ứng, chưa có đội xử lý sự cố tinh nhuệ, hiệu quả.
"Chúng ta nói nhiều về công nghệ đầu tư, nhưng yếu tố con người là quan trọng nhất. Có thể ví như chúng ta có một hạm đội tàu ngầm hiện đại, song không có đội ngũ thủy thủ vận hành hiệu quả thì hạm đội đó cũng không phát huy được sức mạnh.
Hệ thống công nghệ thông tin cũng vậy, chúng ta có giải pháp an toàn bảo mật nhiều, nhưng không có kỹ sư lành nghề thì hệ thống đó không những không giúp chúng ta an toàn hơn mà càng khiến chúng ta gặp rủi ro hơn. Bởi vì, bản thân các hệ thống tường lửa, phòng chống xâm nhập cũng đều có những lỗ hổng, điểm yếu. Chỉ có con người mới nhận diện kịp thời những nguy cơ đó và có giải pháp xử lý phù hợp", ông Lê Công Phú nói.
