Doanh nghiệp đảm bảo ATTT không phải là lựa chọn mà là bắt buộc theo quy định của pháp luật

Các cuộc tấn công mạng đang ngày càng gia tăng cả về quy mô và mức độ phức tạp, các tổ chức doanh nghiệp đang phải đối mặt với những rủi ro tiềm ẩn từ bên trong, có thể gây gián đoạn và sụp đổ hệ thống bất cứ lúc nào, kéo theo những thiệt hại nặng nề về uy tín và tải sản doanh nghiệp.

Ngày 31/10/2024, Công ty An ninh mạng Viettel (Viettel Cyber Security – VCS) đã phối hợp với Tập đoàn IEC dưới sự bảo trợ của Cục ATTT – Bộ TT&TT tổ chức Hội thảo Lãnh đạo cấp cao Công nghệ thông tin (CNTT) và An toàn thông tin (ATTT) – CIO CSO Summit 2024 với chủ đề “Chuyển đổi chiến lược An toàn thông tin: Từ phòng ngừa tới phản ứng, phục hồi sau tấn công mạng”.

Ông Lê Văn Tuấn, Cục trưởng Cục ATTT, Bộ TT&TT – “đảm bảo ATTT không phải là một sự lựa chọn mà là sự bắt buộc theo quy định của pháp luật, doanh nghiệp, tổ chức nào không làm coi như vi phạm“.

Tham gia sự kiện, ông Lê Văn Tuấn, Cục trưởng Cục ATTT, Bộ TT&TT cho biết, chính phủ Việt Nam đã xác định chuyển đổi số chính là công cụ, là phương tiện đưa đất nước đi lên. Trong đó, dữ liệu là tài sản cực kỳ quan trọng, công cuộc chuyển đổi số vì thế phải gắn liền với ATTT. Sắp tới, Bộ Chính trị sẽ có Nghị quyết mới về Chuyển đổi số quốc gia. Song song với nhiệm vụ phải xây dựng và bảo vệ tổ quốc thì nay chúng ta cũng cần phải xây dựng và bảo vệ tổ quốc trên không gian mạng. Vì vậy hạ tầng số cần được đầu tư tương xứng với tầm quan trọng của mình giống như đầu tư hạ tầng giao thông.

Về mặt pháp lý, ông Tuấn nhấn mạnh, việc đảm bảo ATTT không phải là một sự lựa chọn mà là sự bắt buộc theo quy định của pháp luật, doanh nghiệp, tổ chức nào không làm coi như vi phạm. Bởi chẳng hạn, nếu một doanh nghiệp có hệ thống thông tin không an toàn, khi kết nối với cơ sở dữ liệu của một sàn chứng khoán sẽ kéo theo sàn chứng khoán không an toàn. Trước những thách thức tấn công, lộ lọt tài khoản ngày càng tinh vi, mỗi doanh nghiệp, đợn vị cần nên chủ động ứng phó với vấn đề an ninh mạng đặt ra.

Theo Cục trưởng, các doanh nghiệp, tổ chức cần xây dựng kế hoạch toàn diện (bao gồm xây dựng kế hoạch ứng phó một cách chủ động, toàn diện các mạng từ giám sát, bảo vệ, phản ứng nhanh, phục hồi sau sự cố). Bên cạnh đó, cần thực hiện nghiêm đầy đủ các quy định của pháp luật về ATTT kể cả khi xảy ra sự cố để việc ứng cứu sự cố được hiệu quả. Lưu ý những quy định quan trọng của Bộ TT&TT, trong đó sao lưu dữ liệu ngoại tuyến và kế hoạch phục hồi nhanh trong vòng 24 giờ. Đặc biệt, luôn áp dụng nguyên tắc hệ thống chưa an toàn chưa được sử dụng, phần mềm chưa được kiểm định an toàn thì chưa được sử dụng. Dành ngân sách và đầu tư đúng mức, không phải chỉ đầu tư công cụ ban đầu mà phải đầu tư các chi phí thường xuyên, mời chuyên gia, diễn tập, ứng chiến…, theo quy định ngân sách dành cho ATTT chiếm 10% chi phí đầu tư sử dụng CNTT cho chuyển đổi số. Cuối cùng là phải thực hành tốt, kiểm tra đánh giá ATTT định kỳ, tìm kiếm các lỗ hổng trong chính hệ thống của mình thông qua các diễn tập thực chiến.

Cục trưởng Lê Văn Tuấn cũng tiết lộ, với định hướng xây dựng đội ngũ hacker mũ trắng chuyên nghiệp, tin cậy về mặt chính trị, giúp thực chiến phát hiện những lỗ hổng kịp thời, có thể trong thời gian tới Việt Nam sẽ tạo ra những thao trường để các doanh nghiệp đưa đội ngũ của mình tổ chức diễn tập trên đó như các nước tiên tiến đang làm.

Ông Nguyễn Sơn Hải, CEO Công ty An ninh mạng Viettel chia sẻ cách phòng ngừa, phản ứng, phục hồi sau tấn công mạng.

Ông Nguyễn Sơn Hải, CEO Công ty An ninh mạng Viettel cung cấp, theo ghi nhận từ hệ thống Viettel Threat Intelligence, tình hình an ninh mạng tại Việt Nam đang đứng trước những thách thức lớn. Tỷ lệ tấn công mã độc tống tiền (ransomware) đã tăng đột biến 70% trong quý 1 năm 2024 so với cùng kỳ năm 2023, và chỉ trong 6 tháng đầu năm đã ghi nhận 46 vụ rò rỉ dữ liệu làm lộ khoảng 13 triệu bản ghi khách hàng, 12.3GB mã nguồn, và 16GB dữ liệu nhạy cảm.

Đặc biệt, đến tháng 9/2024, số vụ tấn công mạng bao gồm 61 vụ mã độc, 24 vụ tấn công có chủ đích (APT) và 672,584 vụ tấn công từ chối dịch vụ (DDoS). Với hơn 3.300 tên miền lừa đảo nhắm đến người dùng của các tổ chức lớn, các doanh nghiệp và tổ chức đã và đang nằm trong cuộc chiến an ninh mạng và và không ai có thể biết trước khi nào mình sẽ trở thành mục tiêu tiếp theo của tấn công mạng. Đã đến lúc các tổ chức, doanh nghiệp cần thay đổi tư duy về an ninh mạng, chuyển từ thế phòng thủ sang chiến lược chủ động nhằm tăng cường khả năng phục hồi và đảm bảo tính liên tục trong hoạt động kinh doanh ngay cả trước các cuộc tấn công mạng.

Ngay tại sự kiện Hội thảo, ngoài Phiên chuyên đề trao đổi thảo luận giữa các nhà lãnh đạo quản lý cấp cao đại diện tổ chức, doanh nghiệp cũng đã diễn ra Phiên giả lập tấn công Ransomware và phương án ứng phó và hoạt động Threat Check – Đánh giá nguy cơ mất ATTT và rủi ro Ransomware. Đây cũng là hoạt động thu hút sự quan tâm và hào hứng của khách tham dự.

Phiên chuyên đề thực chiến dành cho chính đội ngũ CNTT & ATTT của các tổ chức doanh nghiệp. Tại đây, các chuyên gia VCS đã giả lập các hướng tấn công Ransomware đang phổ biến tại Việt Nam và phương án ứng phó cụ thể ở từng giai đoạn, qua đó giúp đội ngũ nhân sự phụ trách CNTT & ATTT nâng cao năng lực thực chiến khi gặp tình huống tương tự, đồng thời xác định các kẽ hở bảo mật có thể bị kẻ tấn công mạng lợi dụng…

Tham gia hoạt động Threat Check – Đánh giá rủi ro về ATTT, doanh nghiệp có cơ hội thực hiện kiểm tra và nhận báo cáo rà soát các mối nguy gây mất ATTT thông qua nền tảng cập nhật tri thức an ninh mạng hàng đầu Việt Nam – Viettel Threat Intelligence. Thông qua báo cáo, doanh nghiệp sẽ nắm bắt được tình hình các mối nguy của doanh nghiệp mình như số tài khoản bị lộ lọt, các vụ lộ lọt dữ liệu, website giả mạo, các lỗ hổng bảo mật…

Chương trình Hội thảo sẽ tiếp tục được tổ chức tại Hà Nội ngày 6/11/2024.