Làm gì trước nguy cơ... mất an toàn dữ liệu?

Cuối tháng 2/2017, hãng xe tự lái của Google là Waymo đã kiện Uber với cáo buộc ứng dụng gọi xe này ăn cắp bí mật thương mại và công nghệ xe tự lái. Waymo khẳng định rằng, Anthony Levandowski, một cựu kỹ sư của Waymo, đã đánh cắp nhiều tài liệu tuyệt mật bao gồm 5 đĩa dữ liệu cùng các thông tin khác như mã nguồn, tệp thiết kế, tệp laze, các tài liệu kỹ thuật và các phần mềm có liên quan đến xe tự lái của Google.

Vụ việc trên đã dấy lên hồi chuông cảnh báo cho các doanh nghiệp về nguy cơ mất an toàn dữ liệu, nhất là trong thời đại dữ liệu doanh nghiệp ngày càng được số hóa nhiều như hiện nay. Theo nghiên cứu từ Trung tâm tài nguyên Indentity Theft (Mỹ), ngày nay tốc độ tăng trưởng dữ liệu điện tử tăng đến 48,7% (năm 2016). Cũng theo nghiên cứu này, năm 2016 đã chứng kiến 1.093 vụ kiện liên quan đến an toàn dữ liệu, tăng 40% so với năm 2015. Có thể khẳng định, xu hướng tăng trưởng lượng dữ liệu điện tử cũng kéo theo nhiều nguy cơ mất an toàn dữ liệu.

Nguy cơ đến từ đâu?

Theo ông Nguyễn Văn Khoa, Giám đốc Điều hành CTCP Hệ thống Thông tin FPT (FPT Information System), để nhận biết được nguy cơ mất an toàn dữ liệu, trước tiên, cần xác định rõ dữ liệu của doanh nghiệp đến từ đâu. Hiểu một cách đơn giản, dữ liệu của doanh nghiệp là tất cả thông tin sinh ra từ chính hoạt động sản xuất, kinh doanh, các công thức, sáng chế hay từ các giao dịch với khách hàng. Cụ thể, có thể chia dữ liệu của doanh nghiệp thành các nhóm:

1. Dữ liệu về sản phẩm, bao gồm kế hoạch phát triển sản phẩm, thiết kế, bằng sáng chế, mã nguồn, bản vẽ…

2. Dữ liệu về tài chính, bao gồm các đánh giá thị trường, hồ sơ tài chính… của doanh nghiệp

3. Dữ liệu về khách hàng, bao gồm các thông tin bảo mật mà khách hàng cung cấp cho doanh nghiệp

Các nhóm dữ liệu kể trên chính là đối tượng cần được bảo vệ trước những nguy cơ mất an toàn từ cả bên trong và bên ngoài tổ chức. Ông Nguyễn Hữu Hiền, Giám đốc Điều hành Công ty Công nghệ và Truyền thông Trực tuyến Creativa, cho rằng, các doanh nghiệp vừa và nhỏ (SMEs) thường phải đối mặt nhiều hơn với các nguy cơ từ chính nội bộ. Về phía nhân sự, nhiều trường hợp do không nhận thức rõ được tầm quan trọng của tính bảo mật đã vô tình để mất hoặc lộ dữ liệu ra bên ngoài. Cũng có trường hợp, nhân viên trong công ty cố tính ăn cắp hoặc nhân viên cũ rời khỏi tổ chức và mang theo những nguồn dữ liệu quan trọng. Nguy cơ cũng có thể đến từ quá trình xây dựng, vận hành và khai thác hệ thống lưu trữ dữ liệu. Ví dụ, đối với nhiều doanh nghiệp mà hệ thống quản lý dữ liệu có dung lượng thấp, khi hệ thống ấy trở nên quá tải, người quản lý dữ liệu buộc phải xóa bỏ những phần dữ liệu đã cũ hoặc không còn quan trọng tại thời điểm hiện tại. Việc xóa bỏ ấy cũng là một dạng mất dữ liệu, có thể đem lại rắc rối cho doanh nghiệp sau này.

Bên cạnh nhóm nguy cơ đến từ nội bộ doanh nghiệp, cũng cần kể tới các nguyên nhân từ bên ngoài như bị “hack” hay đối thủ cạnh tranh đánh cắp, phá hoại dữ liệu. Ông Khoa cho rằng, nhóm nguyên nhân này có thể xảy ra, nhưng tần suất không nhiều bởi với SMEs, lượng dữ liệu chưa đủ lớn và đủ quan trọng để các thế lực bên ngoài phải sử dụng các thủ đoạn công nghệ cao đến vậy. Ngoài ra, cũng cần kể đến những nguyên nhân bất khả kháng như thiên tai, lũ lụt, cháy nhà…

Trong khoảng 4 năm trở lại đây, các doanh nghiệp còn phải đối mặt với một loại hình đe đọa an toàn dữ liệu mới, đó là mã hóa dữ liệu tống tiền (ransomware). Cuối năm 2017, CTCP An ninh An toàn thông tin CMC InfoSec đã dự đoán, xu hướng sử dụng ransomware tấn công vào nhóm nạn nhân tài chính - ngân hàng sẽ tăng cả về số lượng và tính phức tạp của kỹ thuật tấn công. Trong các trường hợp này, hacker thực hiện công việc mã hóa dữ liệu và giữ lại “chìa khoá giải mã”, dữ liệu phải có chìa khoá mới có thể giải mã và sử dụng, vì vậy trở thành hình thức tống tiền. Cũng tương tự như các loại phần mềm ác tính (malware), hacker đã lợi dụng các lỗ hổng của phần mềm trên máy tính hay sơ hở của người dùng để thực hiện hành vi này. Ông Khoa cho rằng, để phòng tránh, doanh nghiệp cần giảm thiểu nguy cơ bị cài đặt các loại ransomware bằng việc sử dụng phần mềm có bản quyền, cập nhật các bản vá và chương trình diệt virus. Ngoài ra, có thể cài đặt các phầm mềm chống ransomware như Trend Micro Internet Security, Antimware Zemana hay Bitdefender Internet Security.

Quản lý dữ liệu như thế nào?

Theo báo cáo từ Trung tâm nghiên cứu CIO Insight (Anh), việc mất an toàn dữ liệu để lại hậu quả nghiêm trọng cho sự phát triển của doanh nghiệp trên nhiều khía cạnh: giảm năng suất công việc, giảm doanh thu, trì hoãn trong kế hoạch phát triển sản phẩm, đánh mất sự tin tưởng của khách hàng và đánh mất cơ hội phát triển của chính doanh nghiệp. Để tránh những hậu quả nghiêm trọng ấy, doanh nghiệp cần xây dựng kế hoạch quản lý dữ liệu hiệu quả, chặt chẽ.

Trước tiên, mỗi doanh nghiệp cần sử hữu một chương trình/ hệ điều hành quản lý dữ liệu đủ mạnh. Xây dựng một hệ thống hiệu quả phải dựa vào các tiêu chí cụ thể như đảm bảo độ an toàn cho dữ liệu, khai thác tiện dụng, tối ưu chi phí.... Nhìn chung, một hệ thống quản lý dữ liệu cần đảm bảo được một vài yếu tố như: có chương trình sao lưu dữ liệu định kỳ, có chương trình dò lỗi để đảm bảo các yêu cầu về độ an toàn, hệ thống thông tin có sự phân cấp, phân quyền, hệ thống phòng chống xâm nhập, tường lửa. Tùy vào điều kiện thực tế, các đơn vị tư vấn sẽ đưa ra các mô hình phù hợp với doanh nghiệp. Bên cạnh đó, việc sử dụng các dịch vụ như G suites (bộ ứng dụng, công cụ, phầm mềm được cung cấp bởi Google bao gồm Gmail, Google Drive, Google Hangouts…) cũng là một giải pháp tương đối toàn diện và phù hợp với lượng dữ liệu và ngân sách của các SMEs.

Tiếp theo, việc quản lý dữ liệu thông tin cần được đặt trong bản kế hoạch kinh doanh liên tục của doanh nghiệp (Business Continuity Planning). Đây là bản kế hoạch về quá trình tạo ra các hệ thống phòng ngừa và phục hồi để đối phó mọi mối đe dọa tiềm tàng đối với một công ty. Mất dữ liệu nên là một phần của bản kế hoạch đó. Doanh nghiệp cần có các phân tích, đánh giá chi tiết về thành phần, đối tượng bị ảnh hưởng khi mất dữ liệu, các rủi ro gặp phải, và quan trọng nhất là có phương án phục hồi, các hành động cụ thể được lên kế hoạch từ trước. Khi đó, các tổ chức, doanh nghiệp sẽ không còn bị động trước những sự cố, rủi ro, đồng thời có thể thực hành diễn tập để đánh giá, sửa đổi và hoàn thiện kế hoạch kinh doanh liên tục của mình.

Bên cạnh xây dựng chương trình quản lý và có kế hoạch phòng tránh, bất cứ doanh nghiệp nào cũng cần xác định những chính sách rõ ràng liên quan đến bảo vệ an toàn dữ liệu. Chính sách này có thể bao gồm các quy định liên quan đến quyền sở hữu và truy cập dữ liệu, các nghĩa vụ về bảo vệ an toàn dữ liệu và các trách nhiệm pháp lý mà nhân viên phải chịu khi đánh mất hoặc ăn cắp dữ liệu. Các quy định ấy cần được cụ thể hóa trong hợp đồng bảo vệ dữ liệu mà nhân viên ký kết với doanh nghiệp.

Những mục tiêu cần đạt khi thực hiện công tác bảo mật dữ liệu được thể hiện ở mô hình tam giác bảo mật CIA.

Ông Nguyễn Hữu Hiền hiện đang là Giám đốc Điều hành Công ty Công nghệ và Truyền thông Trực tuyến Creativa, đồng thời là Giám đốc Công nghệ tập đoàn truyền thông Lê (Le Group). Ông đã có 15 năm làm việc trong ngành CNTT, từng là Giám đốc phát triển sản phẩm của công ty viễn thông Yotel, giám đốc Công nghệ của BraveBits JSC, công ty chuyên phát triển các nền tảng website Joomla và Wordpress.

Ông Nguyễn Văn Khoa hiện đang là Giám đốc Điều hành CTCP Hệ thống Thông tin FPT (FPT Information System), một trong những thành viên lớn nhất của tập đoàn FPT.Gia nhập tập đoàn FPT từ năm 1997, ông hiện đang là thế hệ lãnh đạo thứ hai của tập đoàn. Trong 20 năm làm việc tại đây, ông từng giữ chức vụ Tổng giám đốc Công ty Viễn thông FPT Telecom và Phó giám đốc tập đoàn FPT.

Hiền Khoa