CYSEEX 2023 khuyến cáo 3 giải pháp an ninh thông tin cho doanh nghiệp

Ngày 24/11, tại Hà Nội, Liên minh An ninh thông tin (CYSEEX) tổ chức hội thảo CYSEEX 2023 với chủ đề “Đảm bảo an toàn cho ứng dụng SaaS và dịch vụ Cloud”. Hội thảo được tổ chức nhằm nâng cao năng lực trong việc phòng ngừa và ứng phó các sự cố về an ninh thông tin trên không gian mạng cho doanh nghiệp Việt Nam. Chương trình thu hút sự tham gia của các lãnh đạo doanh nghiệp công nghệ lớn tại Việt Nam, Giám đốc an ninh thông tin, Giám đốc công nghệ và các chuyên gia trong lĩnh vực công nghệ thông tin, an ninh thông tin đến từ các doanh nghiệp: MISA; Sapo; Viettel; FSI; BRAVO; Bảo Việt; VMWare; CyRadar; CyPeace; Fortinet; HPE; Netpoleon; MobiFone; Dell; HP; Cisco; Microsoft,…

CYSEEX 2023 chọn chủ đề “Đảm bảo an toàn cho ứng dụng SaaS (mô hình phân phối dịch vụ ứng dụng phần mềm) và dịch vụ Cloud” nhằm đáp ứng một thực tiễn là trong tiến trình chuyển đổi số, các doanh nghiệp và tổ chức đều dịch chuyển dần sang nền tảng dữ liệu điện toán đám mây, bề mặt tấn công mở rộng tạo ra nhiều lỗ hổng - đây chính là thách thức cho các doanh nghiệp, tổ chức.

Theo các chuyên gia, hiện nay một trong những trở ngại khiến cho các doanh nghiệp băn khoăn chưa đưa sản phẩm lên Cloud là do họ chưa biết cách để bảo vệ dữ liệu của khách hàng trước những phi vụ tấn công. Những vụ tấn công này có thể làm doanh nghiệp bị thất thoát, rò rỉ hoặc bị sửa đổi dữ liệu của khách hàng, cũng như có thể bị mã hóa và tống tiền.

Thách thức thứ 2 là kỹ thuật tấn công của tội phạm mạng ngày càng tinh vi. Chúng cũng đang hướng sự chú ý vào các nền tảng Cloud. Thách thức này đòi hỏi các nhà cung cấp dịch vụ Cloud cần phải đảm bảo hạ tầng luôn được an toàn.

Thách thức thứ 3 là bảo vệ toàn diện người dùng cuối.

Phát biểu tại hội thảo, ông Trần Đăng Khoa, Phó Cục trưởng phụ trách, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) nhấn mạnh, Chính phủ đã và đang đầu tư vào biện pháp bảo mật và ứng phó với mối đe dọa an ninh thông tin ngày càng phức tạp. Chính phủ mong muốn các doanh nghiệp, tổ chức xã hội và cộng đồng hợp tác chặt chẽ để đối mặt với thách thức an ninh mạng, tạo ra một môi trường mạng an toàn.

Ông Nguyễn Xuân Hoàng, Chủ tịch liên minh CYSEEX, Phó Chủ tịch HĐQT Công ty Cổ phần MISA nhấn mạnh, an toàn thông tin trong các doanh nghiệp công nghệ cần được đặc biệt quan tâm, nhất là với công ty SaaS và dịch vụ Cloud. Do sản phẩm và dịch vụ cho hàng chục triệu người dùng cuối, với độ phủ rộng khắp, nên mỗi lỗ hổng bảo mật đều có khả năng ảnh hưởng đến phạm vi lớn và gây ra hậu quả lâu dài.

Trước tình hình bảo mật trên Cloud diễn biến ngày càng phức tạp, ông Hoàng Hạnh Phúc, Giám đốc Hạ tầng và Bảo mật Sapo cho hay: “Chúng tôi rất chú trọng đến công tác đảm bảo an toàn thông tin và cải tiến hoạt động bảo mật. Trong đó, đặc biệt đề cao hoạt động diễn tập thực chiến cũng như ứng dụng các giải pháp tiên tiến và toàn diện để bảo vệ tối đa quyền lợi của khách hàng và đối tác trong kỷ nguyên đám mây”.

Tại hội thảo, đại diện Cục An toàn thông tin đã chia sẻ về kết quả hoạt động diễn tập thực chiến đã triển khai trên toàn quốc năm 2023.

Theo đó, trong năm nay, đã có 6 kỳ diễn tập thực chiến quốc gia được tổ chức, với tổng cộng 94 đơn vị tham gia. Thông qua hoạt động này, đã có 842 lỗ hổng được phát hiện, trong đó có 533 lỗ hổng nghiêm trọng.

Hội thảo CYSEEX 2023 đề xuất 3 biện pháp khuyến cáo để đảm bảo an toàn thông tin cho các doanh nghiệp.

Thứ nhất là những chính sách pháp luật phù hợp về an toàn thông tin đồng thời đi kèm với đó là các tiêu chuẩn, hướng dẫn chi tiết để thực hiện đồng bộ trong phạm vi từng doanh nghiệp.

Thứ hai là doanh nghiệp cần chú trọng phát triển nhân sự an toàn thông tin với việc từ đội ngũ nhân sự thiết kế phát triển phần mềm cho đến đội ngũ vận hành, giám sát, xử lý các sự cố cũng đều phải được nâng cao.

Thứ ba là thường xuyên thực hiện các đợt rà quét lỗ hổng cũng như thực hiện các đợt diễn tập thực chiến để doanh nghiệp cung cấp ứng dụng SaaS, dịch vụ Cloud có thể dự phòng và phản ứng kịp thời trước những vụ tấn công. Đồng thời, mỗi doanh nghiệp cần hoàn thiện các quy trình, công cụ bảo mật, cũng như liên tục vá các lỗ hổng được phát hiện trong các cuộc tập trận trước khi các vụ tấn công thực sự xảy ra.