Không chỉ những start-up mới chập chững trên thương trường, ngay cả những gã khổng lồ công nghệ thế giới cũng để lộ “gót chân Achilles” khi bất ngờ trở thành nạn nhân của những cuộc tấn công mạng.
An toàn thông tin trong thời đại số đã trở thành mối đe dọa đối với các cá nhân, doanh nghiệp, tổ chức.
Lỗ hổng bảo mật – “mảnh đất màu mỡ” của tin tặc
Đầu năm 2010, truyền thông quốc tế đưa tin khoảng 5.000 máy ly tâm của Iran tại nhà máy hạt nhân ở Natanz đã “hóa điên” trong cuộc tấn công mạng khiến Tehran trở tay không kịp. Thủ phạm được xác định là virus Stuxnet đã lợi dụng lỗ hổng an ninh chưa có bản vá – được gọi là lỗ hổng Zero-day – trong Windows để kiểm soát các máy tính điều khiển máy ly tâm phục vụ việc làm giàu Uranium.
Đây cũng là một trong những vụ tấn công Zero-day lớn nhất và gây thiệt hại nặng nề nhất thế giới.
Thuật ngữ Zero-day được sử dụng để mô tả các lỗ hổng bảo mật chưa được biết đến hoặc chưa được khắc phục trong phần mềm hoặc ứng dụng. Lỗ hổng bảo mật hay điểm yếu là các khiếm khuyết mà tin tặc có thể sử dụng để khai thác tấn công vào các hệ thống, phần mềm nhằm thực hiện các hành động phi pháp, ảnh hưởng xấu đến cá nhân, doanh nghiệp.
Trong thời đại chuyển đổi số diễn ra mạnh mẽ hiện nay với vô vàn ứng dụng công nghệ trong đời sống, lỗ hổng bảo mật trở thành mảnh đất màu mỡ để tin tặc tấn công trục lợi, gây tổn hại cho hàng tỉ người dùng trên toàn thế giới nói chung và Việt Nam nói riêng.
Các lỗ hổng bảo mật này không chỉ ảnh hưởng đến hàng tỉ người dùng cá nhân trong các vụ lừa đảo tài chính, phát tán thông tin nhạy cảm, mà tin tặc còn có thể lợi dụng để nhắm đến các cơ quan, tổ chức lớn. Đặc biệt, các hacker sẽ lợi dụng lỗ hổng để tấn công và nhúng mã độc vào trong các phần mềm để từ đó kiểm soát mọi hệ thống của toàn bộ các khách hàng. Điển hình như vụ tấn công vào hãng phần mềm Solarwinds để từ đó kiểm soát 18.000 khách hàng của công ty này, trong đó có ít nhất 100 công ty và 9 cơ quan liên bang của Mỹ là nạn nhân.
Từ an toàn thông tin tại các DN start-up
Tại Việt Nam, theo thống kê, năm 2020, thiệt hại do virus máy tính gây ra đã đạt kỷ lục mới, vượt mốc 1 tỉ USD. Năm 2021, các lỗ hổng bảo mật càng gia tăng khi nhiều tổ chức, doanh nghiệp buộc phải mở hệ thống ra Internet để nhân viên có thể truy cập và làm việc từ xa trong bối cảnh dịch bệnh.
Các chuyên gia khuyến cáo, doanh nghiệp cần xây dựng một chiến lược ATTT dài hạn theo sát đặc thù hoạt động sản xuất; cần chuẩn hoá các quy định, quy trình đáp ứng ATTT như quy trình phòng tránh, quy trình xử lý, điều tra sự cố và ứng phó khủng hoảng từ rủi ro mất ATTT.
Doanh nghiệp cũng cần đảm bảo ATTT đối với người dùng cuối – một trong những mắt xích chứa nhiều điểm yếu nhất – bằng cách thường xuyên triển khai các hoạt động nâng cao nhận thức, trang bị kỹ năng đảm bảo an toàn, an ninh mạng cho toàn bộ cán bộ lãnh đạo, nhân viên. Doanh nghiệp có thể tham khảo ý kiến chuyên gia hay các chương trình chuẩn đã chạy có hiệu quả để xây dựng một chương trình sát nhất với thực tiễn doanh nghiệp mình. Song song với đó, doanh nghiệp cũng nên triển khai các đợt đánh giá an ninh mạng, các chiến dịch Red Team độc lập thông qua các công ty cung cấp dịch vụ kiểm thử ATTT chuyên nghiệp để có cái nhìn khách quan đối với khả năng phòng thủ, tình hình đáp ứng an ninh bảo mật hiện tại của đơn vị.
Các start-up trong điều kiện tài chính hạn hẹp thường bỏ qua việc đầu tư cho ATTT. Tuy nhiên, thực tế cho thấy nhiều start-up đã phải trả giá đắt cho sự chủ quan này.
Các chuyên gia khuyến nghị, thời điểm bắt đầu gây dựng công ty là giai đoạn tốt nhất để xây dựng văn hoá bảo mật, dù với tiềm lực tài chính nhỏ. Công ty cũng cần kiểm soát an ninh trong suốt vòng đời phát triển và triển khai sản phẩm bằng cách áp dụng các tiêu chuẩn, checklist an toàn thông tin như OWASP, trang bị kiến thức ATTT cho đội ngũ phát triển, vận hành ứng dụng và kiểm soát các tiện ích được cung cấp bởi bên thứ 3.
Đến những thương hiệu lớn, phần mềm tỉ người dùng… vẫn “hổng”
Không chỉ tấn công các phần mềm quốc tế với hàng tỉ người dùng, hacker còn nhắm vào cả những sản phẩm công nghệ bản địa tại những quốc gia có tiềm năng về lượng người dùng Internet. Các chuyên gia cho rằng, với 70% dân số sử dụng Internet và các tiện ích như mạng xã hội, Việt Nam được xem là một mục tiêu rất hấp dẫn của tội phạm mạng.
Đầu tháng 8 vừa qua, tin tặc đã đăng tin rao bán nhiều lỗ hổng bảo mật nhằm chiếm đoạt tài khoản người dùng Zalo và Zalo Pay – ứng dụng chat, thanh toán phổ biến số 1 Việt Nam với hơn 100 triệu người dùng. Các chuyên gia đánh giá, nếu làm chủ được các lỗ hổng này, tin tặc có thể truy cập dễ dàng vào tài khoản người dùng Zalo và xem được hết tin nhắn, hình ảnh, dữ liệu riêng tư trong thời gian dài mà nạn nhân không hề hay biết.
– Trích Tuoitre.vn-
Chuyên gia Bảo mật TS Nguyễn Hoài Duy chia sẻ kinh nghiệm với sinh viên Khoa CNTT tại Đại học Hạ Long
Để chủ động tránh các mối nguy hại về mất an toàn thông tin, Tiến sỹ Nguyễn Hoài Duy – Phó Viện trưởng Viện Công nghệ thông tin Quốc tế I-Tech, chuyên gia bảo mật cho nghiều Data Center lớn tại Việt Nam, tốt nghiệp tiến sĩ ngành Công nghệ thông tin tại Học Viện hàng không Quốc gia Nga(MATI) đã cùng doanh nghiệp xây dựng Chương trình đào tạo ngành An toàn thông tin cấp bằng kỹ sư, cử nhân hệ Đại học bám sát với nhu cầu đảm bảo an ninh của doanh nghiệp. Chương trình đào tạo nhằm mục đích giúp sinh viên khi ra trường nắm vững kiến thức, xử lý được các lỗ hổng ảnh hưởng trực tiếp đến việc bảo mật, không cho phép tin tặc lợi dụng tấn công vào doanh nghiệp, tổ chức.
Để tìm hiểu kỹ hơn về ngành học An toàn thông tin, các bạn hãy đăng ký để được tư vấn trực tiếp từ chính các chuyên gia bảo mật theo địa chỉ:
https://itech.edu.vn
https://www.facebook.com/itech.edu.vn
