Đó là nhận định của ông Ngô Vi Đồng, Phó Chủ tịch Hiệp hội An toàn thông tin Việt Nam (VNISA), Chủ tịch Chi nhánh VNISA phía Nam, đưa ra tại Hội nghị và Triển lãm quốc tế về An toàn thông tin mới đây. tại TP HCM đây.
RỦI RO TIỀM NĂNG TIỀM NĂNG CỦA HÌNH ẢNH AN TOÀN THÔNG TIN
Theo Giám đốc Chi nhánh VNISA phía Nam, bức tranh an toàn thông tin trên thế giới và Việt Nam tiềm ẩn nhiều rủi ro và ngày càng lớn. Đáng chú ý, việc sử dụng công nghệ thông tin để giải quyết xung đột địa chính trị đã trở thành hiện thực và chuyển đổi số trở thành xu thế tất yếu. chuyển đổi kỹ thuật số bền vững.
Nói về thực trạng và xu hướng bảo mật thông tin, PGS.TS. TS Trần Minh Triết, Phó Chủ tịch Chi nhánh VNISA phía Nam cho biết, việc xuất hiện hàng loạt mã độc nguy hiểm trong thời gian qua đã gây thiệt hại lớn. Chúng bao gồm phần mềm độc hại Malibot cho Android Banking để lấy cắp thông tin tài chính, ví tiền điện tử và dữ liệu cá nhân; Phần mềm độc hại Flubot trên thiết bị di động đánh cắp dữ liệu đăng nhập và mật khẩu tài chính … Hay ransomware Ryuk từng thu về 34 triệu USD từ một nạn nhân. Vào năm 2022, Ryuk vẫn đang bùng nổ và phát triển mạnh mẽ. Phần mềm độc hại Alienbot được gọi là Malware-as-a-Service (MaaS) tấn công từ xa các thiết bị Android; Anubis là trojan ngân hàng dành cho Android có khả năng ghi lại âm thanh và đã được phát hiện trên hàng trăm ứng dụng khác nhau hiện có trên chợ ứng dụng Google… Trong đó, các hình thức lừa đảo phổ biến nhất là email và SMS; Các cuộc tấn công thông qua chuỗi cung ứng tăng 6,5 lần so với năm 2021.
Một số kẽ hở gây nguy hiểm cho hệ thống công nghệ thông tin phải kể đến như lỗ hổng Dirty Pipe trong Linux Kernel cho phép mã độc xâm nhập vào máy chủ và nền tảng thiết bị IoT; Lỗ hổng Log4Shel trong thư viện Log4j. Apple, Cloudflare, Twitter, Tesla, Amazon, Steam đều bị ảnh hưởng; Lỗ hổng plugin ProxyLogon 3 WordPress ảnh hưởng đến hơn 84.000 trang web; Lỗ hổng CSRF cho phép thực thi chương trình từ xa… Việt Nam đã ghi nhận phát hiện các lỗ hổng này.
Trong cuộc tấn công có chủ đích (APT), các nhóm ATP36 / 27/28/29 và IndigoZebra đang hoạt động trong năm qua và các công cụ phổ biến của APT là Coltbat Strike, Mimikaz, China Chopper, Living off the Land (LotL), njRAT. Phần mềm độc hại phổ biến của APT là Sodinokibi, Darkside, Egregor.
MỨC ĐẦU TƯ CHO AN TOÀN THÔNG TIN VIỆT NAM
Theo khảo sát của VNISA phía Nam, tỷ trọng vốn đầu tư cho an toàn thông tin trong tổng vốn đầu tư cho công nghệ thông tin của 147 đơn vị, doanh nghiệp đến năm 2022, có 65% tổ chức có tỷ lệ vốn đầu tư. đầu tư cho an toàn thông tin dưới 5% tổng vốn đầu tư cho công nghệ thông tin. Tỷ lệ này vào năm 2021 là 49%. Điều này cho thấy các tổ chức, doanh nghiệp đã có ý thức hơn trong việc đầu tư cho an toàn thông tin.
Các đơn vị đã triển khai và áp dụng quy trình nghiệp vụ an toàn thông tin trong khảo sát năm 2022 đạt dưới 50%, giảm nhẹ so với năm 2021. Trong khi xét về khả năng phát hiện tổ chức, doanh nghiệp bị tấn công kết quả khảo sát năm 2021 và 2022 (từ 1/2021 -7/2022) cho thấy khoảng 24-26% tổ chức chưa ghi nhận một cuộc tấn công mạng; 26-28% tổ chức báo cáo không bị tấn công mạng; 27-31% các tổ chức đã theo dõi đầy đủ khi bị tấn công.
Hiện nay, mặc dù chính sách thuê ngoài các dịch vụ an toàn thông tin như dịch vụ giám sát, giám sát an toàn mạng, dịch vụ phát hiện và phòng chống virus máy tính… đang được đẩy mạnh. Tuy nhiên, số lượng tổ chức có kế hoạch / ý định thuê ngoài dịch vụ tư vấn hệ thống an toàn thông tin vào năm 2022 (theo khảo sát của VINASA khu vực phía Nam) ít hơn năm 2021, nhiều tổ chức không / có chủ trương thuê ngoài dịch vụ an toàn thông tin.
Để bảo vệ tài nguyên số và chiến lược an ninh mạng trước những thách thức toàn cầu mới, các chuyên gia trong lĩnh vực an toàn thông tin cho rằng, mỗi tỉnh / thành phố cần có kế hoạch chiến lược an toàn thông tin, phù hợp với chuyển đổi số của địa phương, khả thi với năng lực hiện có. Ngoài ra, cần tổ chức các cuộc thử nghiệm, diễn tập để hệ thống công nghệ thông tin vẫn có thể tồn tại qua các sự cố lớn; phát triển nguồn lực, nâng cao dân trí, nhằm tạo ra thế hệ công dân số.
HOÀN THIỆN PHÁP LUẬT VỀ BẢO MẬT THÔNG TIN
Bức tranh an toàn thông tin Việt Nam 6 tháng đầu năm 2022 được phác họa qua báo cáo của Bộ Thông tin và Truyền thông, theo đó ghi nhận 6.641 cuộc tấn công mạng, doanh thu an toàn thông tin mạng đạt 1.418 tỷ đồng. , hệ sinh thái có 22 sản phẩm, đạt 95,5%. Tuy nhiên, gần 100% cơ quan chưa kiểm tra, đánh giá mức độ an toàn của mã nguồn trước khi đưa phần mềm vào sử dụng.
Phó Giám đốc VNISA Chi nhánh phía Nam Trần Minh Triết cho biết, tình trạng vi phạm thông tin trên không gian mạng và tình trạng lộ thông tin cá nhân ngày càng gia tăng. Vì vậy, buộc các doanh nghiệp cung cấp dịch vụ xuyên biên giới phải tuân thủ pháp luật Việt Nam, đồng thời đấu tranh, xử lý và xử phạt nghiêm khi cố tình đưa thông tin giả, sai sự thật, tuyên truyền cảnh báo. định hướng dư luận.
“Để thúc đẩy an toàn thông tin trong chuyển đổi số, Việt Nam cần hoàn thiện pháp luật về an toàn thông tin. Chi hội An toàn thông tin phía Nam kiến nghị Chính phủ sớm ban hành Nghị định về Bảo vệ dữ liệu cá nhân. Một khi thông tin cá nhân bị lộ, người dân sẽ dè dặt, e ngại không sử dụng chuyển đổi số; hoặc nếu ứng dụng khó sử dụng, không ổn định thì họ cũng sẽ “quay lưng” với chuyển đổi số ”, TS Trần Minh Triết khẳng định.
Trên thực tế, chỉ có Quyết định số 964 / QĐ-TTg ngày 10/8/2022 phê duyệt Chiến lược An ninh mạng quốc gia; ban hành tiêu chí đánh giá giải pháp, dịch vụ của Trung tâm giám sát, điều hành an toàn, an ninh mạng; ban hành Nghị định số 53/2022 / NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng có hiệu lực thi hành kể từ ngày 01/10/2022.
Phó Thủ tướng Chính phủ Vũ Đức Đam vừa ký Quyết định số 964 / QĐ-TTg ngày 10/8/2022 phê duyệt Chiến lược quốc gia về an ninh, an toàn không gian mạng, chủ động ứng phó với các thách thức từ mạng vũ trụ đến năm 2025 và tầm nhìn đến năm 2030. Theo đó, Chiến lược đặt ra các mục tiêu cụ thể mục tiêu đến năm 2025 duy trì thứ hạng 25 – 30 về Chỉ số An ninh và An toàn không gian mạng do Liên minh Viễn thông Quốc tế (ITU)) đánh giá (chỉ số GCI); hình thành lực lượng bảo đảm an toàn, an ninh mạng tại các bộ, ngành, cơ quan nhà nước, tổ chức chính trị – xã hội và các tập đoàn, tổng công ty nhà nước; Đảm bảo rằng mỗi cơ quan, tổ chức, doanh nghiệp…
Kinh phí bảo đảm an toàn, an ninh mạng phải đạt tối thiểu 10% chi cho khoa học công nghệ, chuyển đổi số và ứng dụng công nghệ thông tin. Đồng thời, giao Bộ Thông tin và Truyền thông đẩy mạnh phát triển các ứng dụng (app) Internet an toàn bảo vệ con người trên môi trường mạng; phát triển ứng dụng (app) tuyên truyền, nâng cao nhận thức, phổ biến kiến thức về an toàn thông tin cho người dùng; phát triển nền tảng hỗ trợ bảo vệ trẻ em trên môi trường trực tuyến …
