Tổ chức tài chính quản lý an toàn bảo mật trên điện toán đám mây (Bài 1)

Bài 1: Bảo vệ an toàn dữ liệu trên điện toán đám mây - Trách nhiệm thuộc về bạn

Thực tế, điện toán đám mây mang lại các lợi ích rõ rệt và tiện lợi. Vào năm 2025, các tổ chức sẽ vận hành tới 80% công việc của họ trên môi trường đám mây, theo dự đoán của Oracle. Đó sẽ là một lượng lớn dữ liệu, đa phần là dữ liệu nhạy cảm cần được bảo vệ, nhưng nhiều tổ chức tài chính chưa quan tâm đúng mức về vấn đề này.

Ông Phó Đức Giang, Giám Đốc, Công ty TNHH Dịch vụ An toàn Thông tin PwC Việt Nam

Việc thiếu nhận thức và/hoặc thiếu phân tích rõ ràng bên nào là đầu mối chịu trách nhiệm chính bảo vệ các tập tin, dữ liệu và ứng dụng theo mô hình chia sẻ trách nhiệm trên môi trường điện toán đám mây, các tổ chức tài chính có thể đang bỏ sót khâu đánh giá rủi ro an toàn bảo mật thông tin một cách đầy đủ. Với việc nhà cung cấp dịch vụ điện toán đám mây chia sẻ nhiều loại dịch vụ, các tổ chức thường cho rằng an toàn bảo mật cũng đã được các nhà cung cấp dịch vụ hỗ trợ.

Đối tượng nào để ý tới dữ liệu trên đám mây?

Theo McAfee, khoảng 21% thông tin lưu trữ trên đám mây chứa dữ liệu nhạy cảm, bao gồm hồ sơ tài chính, mã nguồn và thuật toán giao dịch. Nhưng ai là người để tâm tới dữ liệu này?

Khách hàng cung cấp các thông tin cá nhân cho các tổ chức tài chính. Một cách tổng quát, bảo vệ thông tin cá nhân của khách hàng là trách nhiệm của tổ chức.

Và trên thực tế, luật Hoa Kỳ, cũng như ở các quốc gia khác, bao gồm Việt Nam – ví dụ, quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (“GDPR”); Thông tư 09 quy định về an toàn hệ thống thông tin trong hoạt động Ngân hàng (“Thông tư 09/2020/NHNN”) hay gần đây là dự thảo nghị định bảo vệ dữ liệu cá nhân (“PDPD”) – đặt trách nhiệm bảo vệ dữ liệu này lên vai tổ chức “quản lý” dữ liệu đó. Nếu vi phạm xảy ra, tổ chức lưu trữ thông tin cá nhân sẽ phải chịu các trách nhiệm pháp lý, kiện tụng và án phạt, mà không phải là nhà cung cấp dịch vụ điện toán đám mây.

Cơ quan Dịch vụ Tài chính New York (NYDFS) gần đây đã ban hành các yêu cầu mới về an ninh mạng đối với các bên thứ ba cung cấp dịch vụ cho các tổ chức tài chính. Các cơ quan quản lý khác dự kiến cũng sẽ có xu hướng tương tự, tăng cường giám sát và thắt chặt kiểm soát các nhà cung cấp dịch vụ.

Tuy nhiên, tương tự với NYDFS, các cơ quan thẩm quyền rất có thể sẽ thúc đẩy các tổ chức tài chính có ký kết hợp đồng với nhà cung cấp dịch vụ phải tích cực cảnh giác đối với các hoạt động kiểm soát an toàn bảo mật dữ liệu của bên thứ ba. Theo đó, cần làm rõ về bên chịu trách nhiệm kiểm soát an toàn bảo mật cho các thông tin nhạy cảm.

Cân bằng giữa tốc độ và an toàn bảo mật

Vậy các tổ chức tài chính có nên nỗ lực nhiều hơn để đảm bảo môi trường đám mây đang sử dụng là đủ an toàn? Câu trả lời là nên.

Vì sự hấp dẫn bởi viễn cảnh về thúc đẩy kinh doanh nhanh chóng với quy mô lớn, các tổ chức có thể lơ là trước những rủi ro mà họ có thể gánh chịu khi dịch chuyển lên môi trường đám mây.

Bên cạnh đó, các nhà cung cấp dịch vụ đám mây đã triển khai các biện pháp kiểm soát bảo mật tiên tiến để đẩy lùi các cuộc tấn công mạng. Họ cập nhật công nghệ thường xuyên thay cho các tổ chức. Do đó, các tổ chức tin rằng hệ thống và dữ liệu của mình sẽ được bảo vệ trước các cuộc xâm nhập.

Tuy nhiên, phần lớn tổ chức quên rằng với lượng dữ liệu khổng lồ và bề mặt tấn công lớn trên môi trường đám mây khiến chúng trở thành đối tượng hấp dẫn với tin tặc. Điểm mạnh của đám mây - tốc độ và sự tiện lợi - cũng có thể trở thành là điểm yếu.

Nhiều tổ chức lầm tưởng về sự an toàn nên không định kỳ kiểm tra các biện pháp kiểm soát an toàn bảo mật từ nhà cung cấp dịch vụ đám mây hoặc không triển khai các biện pháp của riêng mình.

Nội dung Thông tư 09/2020/NHNN cũng đã nêu rõ yêu cầu các tổ chức tài chính cần rà soát, bổ sung, áp dụng các biện pháp đảm bảo an toàn thông tin, giới hạn truy cập từ điện toán đám mây đến các hệ thống của tổ chức. Theo đó, bên cạnh việc tận dụng các điểm mạnh của điện toán đám mây, các kiểm soát an toàn bảo mật của tổ chức cũng luôn cần song hành để giảm thiểu vi phạm xảy ra, gây ảnh hưởng đến danh tiếng, doanh thu và lợi nhuận của tổ chức.

Bảo vệ tài sản của bạn: Những điều có thể làm vào lúc này

Liên hệ từ việc áp dụng các biện pháp đảm bảo an toàn thông tin sang lĩnh vực bảo vệ tài sản của chính bạn rằng: Các công ty sản xuất xe đua và xe thể thao sử dụng loại phanh có hiệu suất cao, cho phép xe của họ chạy nhanh nhất có thể, và khi cần, tài xế có thể dừng lại một cách an toàn và nhanh chóng.

Tương tự, các tổ chức tài chính cần thiết kế các biện pháp kiểm soát an toàn bảo mật trên môi trường đám mây của họ ở cấp độ quản trị.

Sự khác biệt giữa “rủi ro” và “các mối đe dọa” khá nhỏ, nhưng cực kỳ quan trọng. Như phép so sánh sau: Rủi ro là những gì chúng ta gặp phải khi băng qua đường. Nếu bị xe va phải thì sẽ bị thương. Các mối đe dọa là những biểu hiện của rủi ro, chẳng hạn như người điều khiển xe chạy quá tốc độ vượt đèn đỏ, lao thẳng vào người đi đường, do đang sử dụng điện thoại trong lúc điều khiển phương tiện.

Trong trường hợp này, chúng ta không thể quản lý được mối đe dọa. Bắt tài xế giảm tốc độ hoặc đặt điện thoại xuống và quan sát là điều dường như không thể. Tuy nhiên, chúng ta có thể quản lý rủi ro bằng cách đảm bảo không có xe đang chạy trước khi băng qua đường.

Bài 2: 4 bước trọng yếu cần lưu ý