Đang tải... (xem toàn văn)
Bài viết An toàn thông tin cho doanh nghiệp vừa và nhỏ Việt Nam trong kỷ nguyên số nhấn mạnh các mối nguy cơ đe dọa đến hệ thống thông tin của doanh nghiệp, đồng thời khuyến nghị một số biện pháp để tăng cường an toàn thông tin trong thời kỳ chuyển đổi số. Mời các bạn cùng tham khảo!
AN TỒN THƠNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ VIỆT NAM TRONG KỶ NGUYÊN SỐ TS Trương Thành Công ThS Nguyễn Thanh Hải Nguyễn Chí Đạt Trường Đại học Tài – Marketing Tóm tắt: Cùng với phát triển công nghệ, đặc biệt xu hướng chuyển đổi số nay, doanh nghiệp cần tiến hành chuyển đổi số để nắm bắt xu hướng nhằm thúc đẩy trình phát triển kinh doanh tổ chức Chuyển đổi số xu hướng đảo ngược, mang đến thách thức rủi ro, đặc biệt lĩnh vực an tồn thơng tin doanh nghiệp Thực tế Việt Nam số doanh nghiệp vừa nhỏ chưa nhận thức rõ, thiếu nguồn lực chuyên môn để đánh giá hiệu mức độ rủi ro an tồn thơng tin thực biện pháp phịng ngừa khắc phục phù hợp Đặc biệt, có doanh nghiệp cịn lơ với cơng tác an tồn thông tin, an ninh mạng Trong viết này, nhấn mạnh mối nguy đe dọa đến hệ thống thông tin doanh nghiệp, đồng thời khuyến nghị số biện pháp để tăng cường an toàn thơng tin thời kỳ chuyển đổi số Từ khóa: an tồn thơng tin, doanh nghiệp vừa nhỏ, chuyển đổi số Giới thiệu Doanh nghiệp vừa nhỏ (DNVVN) có tầm quan trọng hàng đầu đổi mới, tăng trưởng phát triển kinh tế, cấp độ quốc gia quốc tế lĩnh vực trọng tâm ưu tiên sách kinh tế phủ Theo số liệu thống kê Tổng cục Thống kê qua kết Tổng điều tra kinh tế năm 2017, nước có gần 517.900 doanh nghiệp hoạt động, doanh nghiệp vừa nhỏ chiếm tỷ trọng 98,1% (Tổng cục Thống kê, 2017) Mạng liên lạc điện tử, hệ thống thông tin kết nối với dịch vụ kỹ thuật số phần thiết yếu doanh nghiệp cách mạng công nghiệp 4.0 Việc chuyển đổi số làm cho DNVVN phụ thuộc nhiều vào phần mềm hệ thống mạng để cung cấp dịch vụ cho khách hàng đáp ứng mục tiêu kinh doanh Song song với lợi ích việc áp dụng công nghệ, mối đe dọa quyền riêng tư an ninh thông tin lên trở thành trở ngại cho trình chuyển đổi số Ngồi ra, khủng hoảng COVID-19 khiến nhiều doanh nghiệp phụ thuộc vào công nghệ kỹ thuật số trước đây, tạo hội cho tội phạm mạng tăng cường công (OECD, 2021) - 211 Theo khảo sát Chi hội an tồn thơng tin phía Nam (VNISA) với doanh nghiệp phía Nam, có ⅓ doanh nghiệp có khả phát công mạng thông qua công cụ giám sát Đặc biệt 20% tổ chức khơng biết có bị cơng hay khơng (VNISA South, 2020) Trong báo cáo “Cisco 2018 Asia Pacific SecurityCapabilities Benchmark Study” năm 2018 cho thấy doanh nghiệp Việt Nam bị ảnh hưởng lớn từ công mạng khu vực Đông Nam Á Theo báo cáo này, 44% cố an ninh mạng gây thiệt hại 10 triệu đô la Con số cao mức trung bình khu vực châu Á – Thái Bình Dương (5%), so với tồn giới (3%) (Cisco, 2018) Trong bối cảnh đó, DNVVN cần thực quy trình an tồn thông tin phù hợp, áp dụng chế kỹ thuật có biện pháp tổ chức hợp lý Nếu khơng có biện pháp bảo vệ vậy, DNVVN bị ảnh hưởng nghiêm trọng mối đe dọa mạng công có chủ ý vào hệ thống thơng tin mạng họ, điều dẫn đến tác động tiêu cực kinh doanh Trong viết này, nhóm tác giả tập trung vào mối nguy đe dọa đến tính bảo mật, tính tồn vẹn tính khả dụng hệ thống thơng tin DNVVN bối cảnh chuyển đổi số Bên cạnh viết khuyến nghị số biện pháp để tăng cường an tồn thơng tin (ATTT) tập trung vào việc giáo dục nâng cao nhận thức ATTT lựa chọn áp dụng quy trình, sách ATTT phù hợp Phần cịn lại viết bố trí sau Phần viết trình bày phương pháp nghiên cứu Tiếp theo, phần 3, kiến thức cần thiết cung cấp để phục vụ cho phần sau Trong phần 4, nhóm tác giả trình bày nguy ATTT DNVVN Kế tiếp, phần số đề xuất nhằm tăng cường ATTT DNVVN Cuối cùng, Phần kết luận viết hướng nghiên cứu tương lai Phương pháp Phương pháp nghiên cứu sử dụng viết tuân theo phương pháp luận Kitchenham cộng đề xuất (Kitchenham, 2004; Keele Staff, 2007) Phương pháp bao gồm ba giai đoạn riêng biệt: lập kế hoạch, tiến hành lập hồ sơ Quá trình thực bao gồm việc nêu rõ sở lý luận nghiên cứu, xác định câu hỏi nghiên cứu, tạo chiến lược tìm kiếm, xác định sở liệu, tiêu chí bao gồm loại trừ, trích xuất phân tích liệu liên quan, báo cáo kết tìm kiếm 2.1 Câu hỏi nghiên cứu Trong nghiên cứu này, đề cập đến câu hỏi nghiên cứu sau liên quan đến vấn đề ATTT cho DNVVN thời kỳ chuyển đổi số Các câu hỏi nghiên cứu sau: 212 - • Các yếu tố ảnh hưởng đến an ninh, an tồn thơng tin doanh nghiệp? • Hệ thống thơng tin doanh nghiệp bị đe dọa mối nguy nào? • Để đảm bảo ATTT, doanh nghiệp cần làm gì? 2.2 Nguồn thơng tin Để tìm kiếm tài liệu, nhóm tác giả tập trung vào việc lựa chọn báo từ bốn sở liệu điện tử chính: ScienceDirect, IEEE Xplore, ACM Digital Library Springer Link Ngoài bốn nguồn trên, xem xét tài liệu nghiên cứu có ảnh hưởng Google Scholar Khung thời gian chọn cho tài liệu từ năm 2006 đến năm 2021 Phạm vi chọn cho phép phản ánh mơ hình nghiên cứu khoảng thời gian ổn định, đồng thời nắm bắt đóng góp quan trọng và mang tính cập nhật 2.3 Q trình tìm kiếm tiêu chí trích lọc Chúng tơi thực tìm kiếm có hệ thống tài liệu liên quan đến ATTT DNVVN sở liệu đề cập Trong lần tìm kiếm đầu tiên, thu thập 229 tài liệu, sau xem xét tiêu đề báo loại bỏ tài liệu trùng nhau, số tài liệu lại 132 Sau đó, chúng tơi chuyển sang giai đoạn đọc lướt phần tóm tắt kết luận, chúng tơi loại trừ tài liệu khơng thảo luận liên quan đến ATTT vá DNVVN Sau đọc lướt phần tóm tắt kết luận, 50 báo chọn Các tài liệu kiểm tra kỹ lưỡng cho giai đoạn lọc cuối theo tiêu chí đủ điều kiện sau: Bài viết viết tiếng Anh tiếng Việt Các báo tập trung vào vấn đề ATTT DNVVN Sau bước lọc cuối cùng, có tổng cộng 23 báo chọn để phân tích thêm Cơ sở lý thuyết 3.1 Tổng quan an toàn hệ thống thông tin Một hệ thống thông tin bao gồm phần cứng, hệ điều hành phần mềm ứng dụng hoạt động để thu thập, xử lý lưu trữ liệu cho cá nhân tổ chức (Reynolds, 2018) Bảo mật hệ thống thông tin tập hợp hoạt động bảo vệ hệ thống thông tin liệu chống lại việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ làm gián đoạn thông tin hoạt động hệ thống (Kim, 2019) Luật pháp quốc tế Việt Nam có yêu cầu bảo đảm an ninh an tồn thơng tin Theo Luật An tồn thơng tin mạng Việt Nam ban hành ngày 19 tháng 11 năm 2015, vấn đề an tồn thơng tin đề cập sau: - 213 “An tồn thơng tin mạng bảo vệ thơng tin, hệ thống thông tin mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi phá hoại trái phép nhằm bảo đảm tính tồn vẹn, tính bảo mật tính khả dụng thơng tin” (Quốc hội Việt Nam, 2015) 3.2 Các yếu tố đảm bảo an tồn thơng tin An tồn thơng tin (ATTT) liên quan đến ba yếu tố cốt lõi: tính bảo mật (Confidentiality) tính tồn vẹn (Integrity) tính khả dụng (Availability) thông tin (Samonas, 2014) Ba yếu tố hình thành nên tam giác bảo mật A.I.C1 mà thiết kế giải pháp ATTT, người dùng bắt buộc phải lưu tâm đến Tính bảo mật: Tính bảo mật liên quan đến việc kiểm sốt truy cập thơng tin Theo người cấp quyền truy cập thông tin mật (confidential information) Thông tin mật công bố công khai làm lợi cạnh tranh doanh nghiệp gây tác hại đến người giữ thông tin Thông tin mật thường bao gồm: • Dữ liệu riêng tư cá nhân • Sở hữu trí tuệ (tntellectual property) doanh nghiệp • Thơng tin mật liên quan đến an ninh quốc gia (Kim, 2019) Tính tồn vẹn: tính tồn vẹn liên quan đến tính hợp lệ xác thơng tin, liệu Dữ liệu khơng xác khơng hợp lệ khơng có giá trị sử dụng Đối với số doanh nghiệp, thông tin liệu tài sản trí tuệ doanh nghiệp Ví dụ quyền, sáng chế, sở liệu khách hàng Những thay đổi trái phép làm ảnh hưởng đến tồn vẹn làm giảm giá trị liệu chí khơng thể sử dung liệu Chính thế, đảm bảo tính tồn vẹn ngun lý quan trọng bảo mật hệ thống Việc phá hoại tính toàn vẹn liệu mối đe dọa nghiêm trọng doanh nghiệp, đặc biệt liệu cốt lõi hoạt động kinh doanh Tính khả dụng: tính khả dụng liên quan đến độ sẵn sàng thơng tin Hay nói cách khác thơng tin truy cập người quyền vào thời gian Trong bảo mật thơng tin, tính khả dụng thường biểu thị lượng thời gian người dùng sử dụng hệ thống, ứng dụng liệu Nguy an tồn thơng tin Các mối đe doạ an tồn hệ thống là kiện có tác động tới thành phần hệ thống dẫn tới mát, phá huỷ liệu ngừng trệ hoạt động phần toàn hệ thống thơng tin Cịn biết đến với tên gọi tam giác bảo mật C.I.A 214 - Như trình bày trên, hệ thống thơng tin an toàn phải đảm bảo ba yếu tố: tính bảo mật, tính tồn vẹn, tính khả dụng Tương ứng, có ba loại nguy đe dọa đến yếu tố tam giác bảo mật A.I.C: Nguy đe dọa tính bảo mật, nguy đe dọa tính tồn vẹn nguy đe dọa tính khả dụng 4.1 Nguy đe dọa tính bảo mật Nguy xảy kẻ công truy cập trái phép thông tin cá nhân thông tin mật lưu trữ chuyển tài nguyên mạng Nguy phá vỡ tính bảo mật xảy máy tính thiết bị chứa liệu thơng tin mật, chẳng hạn sở liệu hồ sơ khách hàng, bị bị đánh cắp Hai kỹ thuật mà kẻ công sử dụng để lấy sửa đổi liệu cách bất hợp pháp phá hoại (Sabotage) gián điệp (Espionage) Trong phá hoại phá hủy tài sản cản trở hoạt động bình thường Về mặt kỹ thuật, phá hoại cơng vào tài sản sẵn có an ninh thơng tin Mặt khác, gián điệp hành động gián điệp để có thơng tin bí mật, thường để hỗ trợ quốc gia khác Những kẻ công lấy thơng tin nhạy cảm mà chúng sử dụng để tiến hành công tương lai Trong nhiều tổ chức, nhiều thông tin không cơng bố cơng khai Thơng tin bao gồm thơng tin cá nhân máy tính người dùng hồ sơ mật lưu trữ sở liệu lớn Các tác động việc tiết lộ thơng tin khác từ gây thiệt hại nhỏ đến hậu nghiêm trọng Ngoài ra, tiết lộ thơng tin gây nhiều vấn đề có liên quan đến bí mật doanh nghiệp Các tội phạm mạng sử dụng nhiều phương thức khác nhằm đánh cắp thông tin cách trái phép chẳng hạn công xen (man-in-the-middle attack), công nghe (eavesdropping attack), đánh cắp mật khẩu, công giả mạo (phishing), công phi kỹ thuật (social engineering) phương thức khác Mặt khác, người dùng vơ tình phá vỡ tính bảo mật Chẳng hạn gửi thông tin nhạy cảm qua email đến nhầm người nhận, để lộ thông tin tảng mạng xã hội, gửi liệu riêng tư lên máy chủ web công cộng để thông tin bí mật hiển thị hình máy tính khơng giám sát 4.2 Nguy đe dọa tính tồn vẹn Nguy đe dọa tính tồn vẹn xảy thực thay đổi trái phép liệu hệ thống, dù vô ý hay cố ý Các thay đổi xuất phát từ sơ suất nhân viên công hacker Các sửa đổi cấu hình hệ thống ảnh hưởng đến tính tồn vẹn tài nguyên mạng Các sửa đổi bao gồm tạo, thay đổi, xóa ghi thơng tin vào tài nguyên mạng Các mối đe dọa phổ biến tính tồn vẹn bao gồm lỗi người, hệ thống khơng an tồn, mối đe dọa từ nội (internal threats), công từ bên ngoài, lỗ hổng phần mềm phần cứng bị xâm phạm - 215 4.3 Nguy đe dọa tính khả dụng Nguy xảy kẻ công làm cho tài nguyên truy cập không sử dụng Bất kỳ mối đe dọa phá hủy thông tin làm cho thông tin không khả dụng vi phạm nguyên lý tính khả dụng bảo mật thơng tin Tính khả dụng hệ thống bị ảnh hưởng vấn đề lỗi phần cứng, phần mềm ngừng hoạt động khơng theo lịch trình lỗi người vấn đề khác công mạng mối đe dọa nội gián Nếu mạng hệ thống gặp cố đột ngột, người dùng truy cập vào liệu ứng dụng cần thiết Các mối đe dọa phổ biến tính khả dụng hệ thống bao gồm cơng từ chối dịch vụ (Denial of Service), thiên tai hỏa hoạn, mã độc, thiếu băng thông 4.4 Các mối đe dọa bảo mật phổ biến doanh nghiệp vừa nhỏ Theo báo cáo SMESEC2 (SMESEC, 2020) 10 mối đe dọa ATTT phổ biến doanh nghiệp vừa nhỏ là: Tấn công từ chối dịch vụ: kiểu công ngăn không cho người dùng khác truy cập vào hệ thống làm cho hệ thống bị tải hoạt động Khai thác lỗ hổng hệ thống: Kẻ cơng sử dụng cơng cụ để tìm lỗ hổng bảo mật hệ thống sau thực thi mã độc, chẳng hạn mã độc tống tiền (Ransomware) Tấn cơng kiểm sốt truy cập: kẻ cơng đóng vai trị người dùng quản trị viên, người dùng sử dụng chức đặc quyền, để tạo, truy cập, cập nhật xóa liệu Cấu hình bảo mật sai: kẻ cơng khai thác lỗ hổng chưa vá truy cập tài khoản mặc định, trang không sử dụng, tập tin thư mục không bảo vệ, v.v để có quyền truy cập trái phép thông tin hệ thống Tấn công Injection: kẻ công sử dụng lỗ hổng kênh đầu vào (input) website để nhắm mục tiêu vào sở liệu, nơi lưu giữ thông tin nhạy cảm có giá trị Chúng kẻ công sử dụng để lấy cắp xáo trộn liệu, trường hợp xấu nhất, kẻ cơng chiếm quyền truy cập quản trị vào máy chủ sở liệu Tấn công Cross Site Scripting (XSS): Kẻ công đánh lừa người dùng thực thi mã độc hại, ví dụ: với thư chứa liên kết đến mã độc Dự án tài trợ từ chương trình nghiên cứu đổi Liên minh Châu Âu (European Union’s Horizon, 2020) 216 - Lộ thông tin nhạy cảm doanh nghiệp: kẻ công đanh cắp khóa, thực cơng trung gian lấy cắp liệu từ máy chủ, liệu chuyển tiếp từ máy khách người dùng Dữ liệu rác: Kẻ công nhập gửi nội dung không liên quan nội dung “Spam” Tấn công từ nội doanh nghiệp: Người dùng nội bộ, bên thứ ba nhân viên bị chấm dứt hợp đồng vơ tình cố ý sử dụng liệu để trục lợi cá nhân, trả thù cạnh tranh 10 Tham chiếu không an tồn: Kẻ cơng lợi dụng lỗ hổng bảo mật để truy cập trực tiếp vào đối tượng tài nguyên sở liệu nội để đánh cắp thông tin Một số đề xuất tăng cường ATTT cho DNVVN 5.1 Nâng cao nhận thức an toàn, an ninh mạng cho đội ngũ nhân viên Cùng với phát triển khoa học kỹ thuật, mối đe dọa ATTT ngày tinh vi biến đổi khó lường Ngay đầu tư vào hệ thống phịng thủ mạng, có sách chặt chẽ ATTT, nhiều doanh nghiệp bị rò rỉ liệu với lý thuộc lỗi người: máy tính nhân viên bị mã độc, nhân viên qn khơng đăng xuất máy tính, nhân viên bị lừa đảo thông qua kỹ thuật social engineering lỗi từ nguyên nhân chủ quan khác Điểm chung tất lý nhân viên thiếu kiến thức bảo mật chưa ý thức đầy đủ tầm quan trọng việc bảo vệ ATTT Bên cạnh đó, hành vi nhân viên doanh nghiệp gây nhiều mối đe dọa an ninh mạng (A Alahmari, 2020) Chẳng hạn việc khơng tn thủ sách, hướng dẫn quy tắc công ty vấn đề ATTT dẫn đến nhiều nguy số (Y Barlette, 2017) Việc giáo dục đào tạo quan trọng để nâng cao kiến thức ATTT, nhiên trong số trường hợp, kiến thức đảm bảo hành vi (Gundu T , 2019) Do đó, cam kết hành vi đội ngũ nhân viên yếu tố cốt lõi việc bảo vệ an ninh an tồn cơng nghệ tài sản doanh nghiệp (Kaur, 2013) Hiện nay, số DNVVN gặp khó khăn việc đảm bảo việc tuân thủ sách an ninh mạng hành vi thái độ tiêu cực an ninh mạng nhân viên tổ chức (Gundu, 2019) Vì vậy, việc nâng nhận thức an tồn, an ninh mạng cho đội ngũ nhân viên phải thực hình thức đa dạng, phong phú linh hoạt Đầu tiên, nhà quản lý phải xác định tài sản số, sở hữu trí tuệ tổ chức họ hiểu mối đe dọa - 217 ATTT tiềm ẩn (Tawileh, 2007; Gundu T &., 2013; Agrafiotis, 2018) Điều giúp họ thiết kế phương án hiệu để bảo vệ doanh nghiệp động viên nhân viên cách thích hợp Kế đến, bảo mật phải coi yếu tố cốt lõi văn hóa doanh nghiệp, để từ nhân viên nhận thức rõ điều chỉnh hành vi (Astakhova, 2014) Để xây dựng văn hóa bảo mật, nhà quản lý cần quan tâm khơng đến cơng nghệ mà cịn người sử dụng cơng nghệ văn hóa tổ chức Do đó, xây dựng chương trình nâng cao nhận thức đào tạo nhà thiết kế chương trình cần phải ý đến nhu cầu kinh doanh phù hợp với văn hóa doanh nghiệp (Santos-Olmo, 2016; ENISA, 2019) Tiếp theo, chương trình đào tạo phải thiết kế để phù hợp với nguồn lực doanh nghiệp Điều giúp tránh vấn đề tải nguồn nhân lực tài nguyên cho bảo mật (Furnell, 2009) Ngoài ra, điều kiện nguồn lực bị hạn chế, DNVVN cần cân nhắc tiếp cận khóa học trực tuyến miễn phí theo chủ đề cụ thể; chẳng hạn chủ đề bảo vệ doanh nghiệp vừa nhỏ chống lại gian lận lừa đảo vấn đề rộng phòng chống tội phạm mạng (National Cyber Security Centre, 2020) Một yếu tố khác không phần quan trọng việc đo lường hiệu chương trình đào tạo nâng cao nhận thức an toàn bảo mật nhằm đánh giá thay đổi hành vi doanh nghiệp (Bada, 2015) Các doanh nghiệp sử dụng cơng cụ có tổ chức SANS (SANS , 2021) để đo lường thay đổi hành vi để theo dõi tuân thủ sách ATTT 5.2 Áp dụng quy trình, sách ATTT Cùng với gia tăng nhanh chóng phạm vi tồn cầu hệ thống thơng tin tin học hóa, doanh nghiệp sử dụng hệ thống thơng tin để tự động hóa nhiệm vụ phân phối sản phẩm dịch vụ họ Điều dẫn đến trọng việc nghiên cứu an tồn bảo mật thơng tin thực chiến lược ATTT nhằm bảo vệ doanh nghiệp trước công mạng (Alshboul, 2015) Trong doanh nghiệp lớn thường tập trung đầu tư vào nguồn lực bảo vệ thông tin để cải thiện tính bảo mật thơng tin có giá trị nhạy cảm DNVVN khơng có đủ nguồn lực tương đương để xây dựng khung sách, quy trình ATTT vững Hơn nữa, việc thiếu sách quy trình ATTT khiến doanh nghiệp vừa nhỏ dễ bị công nội bộ, người có quyền truy cập trực tiếp vào hệ thống thông tin tổ chức (Beachboard, 2008) Chính thế, việc lựa chọn áp dụng quy trình phù hợp với DNVVN yêu tố quan trọng để đảm bảo an ninh, ATTT cho doanh nghiệp 218 - Trong năm qua, tổ chức uy tín bảo mật phát triển số khung tiêu chuẩn hướng dẫn để giúp doanh nghiệp quản lý rủi ro mối đe dọa ATTT Các khung tiêu chuẩn định nghĩa quy trình kỹ thuật kiểm sốt an ninh thông tin mà doanh nghiệp nên thực Nếu triển khai cách quán, doanh nghiệp có vị tốt nhiều để ngăn chặn, phát ứng phó với mối đe dọa ATTT Một số khung tiêu chuẩn ATTT phổ biến là: ISO/IEC 27000, (ISO, 2018), NIST Cyber Security Framework CSF Rev 1.1 (NIST, 2018), NIST SP 800-53 Rev (NIST, 2020), CIS Critical Security Controls (CIS, 2021), hệ thống Tiêu chuẩn Việt Nam lĩnh vực ATTT (Tổng cục tiêu chuẩn đo lường chất lượng Việt Nam, 2020) Một số gợi ý để lựa chọn khung tiêu chuẩn phù hợp: – Đặt mục tiêu cho chương trình ATTT phù hợp với nhu cầu doanh nghiệp Sau lựa chọn phịng ban để áp dụng thí điểm khung tiêu chuẩn phù hợp Một mơ hình đơn giản giúp hiểu rủi ro ATTT tổ chức để từ đầu tư thêm thời gian nguồn lực nhằm khắc phục mối đe dọa (Huynh, 2021) – Các doanh nghiệp sử dụng khung tiêu chuẩn kết hợp cách chọn quy tắc kiểm soát cụ thể từ khung tiêu chuẩn khác để đáp ứng nhu cầu họ Chẳng hạn kết hợp khung tiêu chuẩn ISO 27001, NIST 800-53 COBIT (ISACA, 2019) để lựa chọn quy tắc phù hợp với mục tiêu văn hóa doanh nghiệp (Moraetes, 2018) – Dành thời gian để đánh giá xem xét đâu giải pháp phù hợp cho cho doanh nghiệp Giải pháp phù hợp phải cân ba yếu tố: khả sử dụng, hiệu suất tính an tồn bảo mật 5.3 Một số đề xuất khác – Nâng cấp, phát triển công nghệ, cập nhật phần mềm để giải hiểm họa từ bảo mật công mạng Các hệ điều hành phần mềm lỗi thời khơng cịn hãng sản xuất hỗ trợ tiềm ẩn lỗ hổng để giới tội phạm xâm nhập, cơng, chí giành quyền kiểm soát Một báo cáo gần Kaspersky cho thấy khoảng 22% người dùng sử dụng hệ điều hành Windows ngừng hỗ trợ (end-of-life) kể từ tháng 1/2020 Trong số lượng DNVVN siêu nhỏ chiếm tỷ lệ 44% (Kaspersky, 2021) Hãng khuyến nghị thực việc nâng cấp hệ điều hành phần mềm doanh nghiệp cần tách biệt thiết bị dễ bị cơng khỏi phần cịn lại hệ thống mạng – Sử dụng phần mềm có quyền để tránh nguy ATTT Theo báo cáo Liên minh Phần mềm quốc tế (BSA) 2018, Việt Nam tỷ lệ phần mềm không quyền - 219 cài máy tính cá nhân 74% (BSA, 2018) Việc sử dụng phần mềm khơng quyền dẫn đến rủi ro bảo mật thông tin tính ổn định hệ thống chẳng hạn thất tài sản trí tuệ doanh nghiệp bị khóa liệu tống tiền Ngồi doanh nghiệp cịn bị chế tài từ phạt vi phạm hành xử lý hình vi phạm quyền phần mềm – Các DNVVN nên tham khảo ý kiến phân tích chuyên gia để có lựa chọn phù hợp việc triển khai giải pháp ATTT cho doanh nghiệp, cân nhắc việc thuê giải pháp ATTT Kết luận Trong viết này, nhóm tác giả trình bày chủ đề ATTT cho doanh nghiệp vừa nhỏ cách mạng chuyển đổi số Bài viết nêu mối nguy đe dọa đến tính bảo mật, tính tồn vẹn tính khả dụng hệ thống thông tin đề xuất số biện pháp để tăng cường ATTT DNVVN Các đề xuất tập trung vào giáo dục, đào tạo nâng cao nhận thức an ninh, an tồn thơng tin cho đội ngũ nhân viên Kế tiếp việc lựa chọn quy trình, sách phù hợp với đặc điểm DNVVN để đảm bảo an ninh, ATTT cho doanh nghiệp Bên cạnh DNVVN Việt Nam cần trọng đến việc nâng cấp công nghệ, cập nhật phần mềm hệ thống sử dụng phần mềm có quyền để ngăn ngừa mối nguy ATTT ngày tinh vi phức tạp Bước nghiên cứu nghiên cứu đề xuất xây dựng chương trình giáo dục nâng cao nhận thức an ninh ATTT cho đội ngũ nhân viên DNVVN Việt Nam Tài liệu tham khảo Alahmari, A., & Duncan, B (2020) Cybersecurity Risk Management in Small and Medium-Sized Enterprises: A Systematic Review of Recent Evidence 2020 International Conference on Cyber Situational Awareness, Data Analytics and Assessment (CyberSA), 1-5 Agrafiotis, I N (2018) A taxonomy of cyber-harms: Defining the impacts of cyber-attacks and understanding how they propagate Journal of Cybersecurity Alshboul, Y., & Streff, K (2015) Analyzing Information Security Model for Small-Medium Sized Businesses Information systems security, assurance and privacy (SIGSEC) Astakhova, L V (2014) The concept of the information-security culture Scientific and Technical Information Processing, 22-28 Barlette, Y., Gundolf, K., & Jaouen, A (2017) CEOs’ information security behavior in SMEs: Does ownership matter?. Systemes d’information management, 22(3), 7-45 Bada, M S (2015) Cyber Security Awareness Campaigns: Why they fail to change behaviour? International Conference on Cyber Security for Sustainable Society, 118-131 220 - Beachboard, J C (2008) Improving Information Security Risk Analysis Practices for Small and Medium-Sized Enterprises: A Research Agenda Journal of Issues in Informing Science and Information Technology Education, 73-85 BSA (2018) Được truy lục từ BSA Global Software Survey: https://www.bsa.org/ files/2019-02/2018_BSA_GSS_Report_en_.pdf CIS (2021) Center for Internet Security Được truy lục từ CIS Controls Version 8: https://learn cisecurity.org/cis-controls-download Cisco (2018) Cisco 2018 Asia Pacific Security Capabilities Benchmark Study Cisco ENISA (2019) Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity Được truy lục từ European Union Agency for Cybersecurity (ENISA): https://www.enisa.europa eu/publications/cybersecurity-culture-guidelines-behavioural-aspects-of-cybersecurity/ Furnell, S., & Thomson, K L (2009) Recognising and addressing ‘security fatigue’. Computer Fraud & Security, 2009(11), 7-11 Gundu, T., & Flowerday, S V (2013) Ignorance to awareness: Towards an information security awareness process. SAIEE Africa Research Journal, 104(2), 69-79 Gundu, T (2019) Acknowledging and reducing the knowing and doing gap in employee cybersecurity complaince ICCWS 2019 14th International Conference on Cyber Warfare and Security, 94-102 Huynh, L (2021) Informa Tech Được truy lục từ How to Choose the Right Cybersecurity Framework: https://www.darkreading.com/risk/how-to-choose-the-right-cybersecurityframework/a/d-id/1340319 ISACA (2019) Information Security Audit and Control Association Được truy lục từ COBIT: https://www.isaca.org/resources/cobit ISO (2018) International Organization for Standardization Được truy lục từ Publicly Available Standards: https://standards.iso.org/ittf/PubliclyAvailableStandards/c073906_ISO_ IEC_27000_2018_E.zip Kaspersky (2021) Kaspersky Lab Được truy lục từ Old but gold: 22% of PC users still running end-of-life Windows OS: https://www.kaspersky.com/about/press-releases/2021_old-butgold-22-of-pc-users-still-running-end-of-life-windows-7-os Kaur, J (2013) Examining the effects of knowledge, attitude and behaviour on information security awareness: A case on SME 2013 International Conference on Research and Innovation in Information Systems (ICRIIS), 286-290 IEEE Keele Staff (2007) Guidelines for performing systematic literature reviews in software engineering Keele University Kim, D S (2019) Fundamentals of information systems security Jones & Bartlett Publishers Kitchenham, B (2004) Procedures for performing systematic reviews Keele: Keele University Moraetes, G (2018) Security Intelligence Được truy lục từ https://securityintelligence.com/ choosing-the-right-security-framework-to-fit-your-business/: https://securityintelligence com/choosing-the-right-security-framework-to-fit-your-business/ - 221 National Cyber Security Centre (2020) National Cyber Security Centre (NCSC) Được truy lục từ Small Business Guide: Cyber Security: https://www.ncsc.gov.uk/collection/small-businessguide NIST (2018) NIST Cybersecurity Framework Được truy lục từ Cybersecurity Framework Version 1.1: https://www.nist.gov/cyberframework/framework NIST (2020) Được truy lục từ SP 800-53 Rev 5: https://nvlpubs.nist.gov/nistpubs/ SpecialPublications/NIST.SP.800-53r5.pdf OECD (2021) The Digital Transformation of SMEs Paris: OECD Publishing Quốc hội Việt Nam (2015) Luật An tồn thơng tin mạng 2015 Quốc hội Việt Nam Reynolds, G W (2018) Principles of information systems Cengage Learning Samonas, S & (2014) The cia strikes back: Redefining confidentiality, integrity and availability in security Journal of Information System Security, 10 SANS (2021) SANS Được truy lục từ Security Awareness Planning Kit: https://www.sans.org/ security-awareness-training/demos/security-awareness-planning-kit/ Santos-Olmo, A S.-M (2016) The importance of the security culture in SMEs as regards the correct management of the security of their assets Future Internet, 30 SMESEC (2020) Cybersecurity for small and medium-sized enterprises Được truy lục từ New threats: cybersecurity risks ranking: https://www.smesec.eu/cybersecurity.html Tawileh, A H (2007) Managing information security in small and medium sized enterprises: A holistic approach ISSE/SECURE 2007 Securing Electronic Business Processes, 331-339 Vieweg Tổng cục Thống kê (2017) Tổng điều tra kinh tế năm 2017 NXB Thống kê Tổng cục Tiêu chuẩn đo lường chất lượng Việt Nam (2020) Được truy lục từ Danh mục tiêu chuẩn quốc gia: https://tcvn.gov.vn/danh-muc-tieu-chuan-quoc-gia-tcvn-2019/ VNISA South (2020) Hiện trạng an toàn thơng tin khu vực phía nam năm 2020 HCM: Chi hội An tồn thơng tin phía Nam 222 - ... tố ảnh hưởng đến an ninh, an tồn thơng tin doanh nghiệp? • Hệ thống thông tin doanh nghiệp bị đe dọa mối nguy nào? • Để đảm bảo ATTT, doanh nghiệp cần làm gì? 2.2 Nguồn thơng tin Để tìm kiếm tài... tin hoạt động hệ thống (Kim, 2019) Luật pháp quốc tế Việt Nam có yêu cầu bảo đảm an ninh an tồn thơng tin Theo Luật An tồn thông tin mạng Việt Nam ban hành ngày 19 tháng 11 năm 2015, vấn đề an. .. thơng tin Theo người cấp quyền truy cập thông tin mật (confidential information) Thông tin mật công bố công khai làm lợi cạnh tranh doanh nghiệp gây tác hại đến người giữ thông tin Thông tin mật