Tại sao những doanh nghiệp có ngân sách bảo mật khổng lồ vẫn liên tục bị tấn công? Các lãnh đạo chính phủ vừa tiết lộ một phát hiện gây sốc: bất chấp những luật pháp nghiêm ngặt được ban hành nhằm cải thiện "vệ sinh mạng" (cyber hygiene), phân tích các vụ tấn công cho thấy vấn đề vẫn dai dẳng và khả năng giám sát còn rất hạn chế. Chúng tôi cho rằng đây là lời cảnh báo gay gắt cho cả thế giới về một thực tế khó chấp nhận: công nghệ không phải kẻ thù lớn nhất của chúng ta.

Khi pháp luật không thể chữa lành vết thương mạng

Những con số từ báo cáo chính thức đã vẽ nên bức tranh ảm đạm về thực trạng an ninh mạng toàn cầu. Dù các quốc gia liên tục ban hành luật pháp mới - từ GDPR ở châu Âu đến các đạo luật bảo mật dữ liệu tại Mỹ - tỷ lệ vi phạm dữ liệu (data breach) không hề giảm. Thậm chí, nhiều tổ chức còn trở nên "miễn dịch" với các quy định pháp lý, coi chúng như những con số trên giấy.

Theo phân tích từ các quan chức chính phủ, vấn đề cốt lõi nằm ở chỗ: luật pháp chỉ có thể tạo ra khung khổ, nhưng không thể thay đổi cách thức hoạt động hàng ngày của con người. Một công ty có thể chi hàng triệu đô la cho firewall (tường lửa) hiện đại nhất, nhưng chỉ cần một nhân viên click vào email lạ hoặc sử dụng mật khẩu yếu, tất cả đều trở thành vô nghĩa. Đây chính là lý do tại sao visibility (khả năng quan sát, giám sát) vẫn "rơi xuống" dù đầu tư không ngừng tăng.

Quy trình sai lầm - mắt xích yếu nhất trong chuỗi bảo mật

Processes (quy trình) được xác định là nguyên nhân hàng đầu gây ra data breach - và điều này không hề ngạc nhiên với những ai hiểu rõ về an ninh mạng. Chúng tôi đã chứng kiến hàng loạt vụ việc where quy trình patch management (quản lý vá lỗi) kém dẫn đến thảm họa. Khi một lỗ hổng zero-day được phát hiện và có bản vá, nhiều doanh nghiệp mất tới vài tuần, thậm chí vài tháng mới triển khai update.

Văn hóa doanh nghiệp (culture) - yếu tố thứ hai được nhắc đến - lại còn phức tạp hơn. Tại nhiều tổ chức, bảo mật vẫn được coi là "công việc của IT", không phải trách nhiệm chung. Nhân viên marketing không cảm thấy cần phải hiểu về phishing (lừa đảo qua email), bộ phận tài chính không quan tâm đến việc mã hóa dữ liệu. Kết quả là incident response (ứng phó sự cố) luôn chậm trễ và thiếu đồng bộ. Theo thống kê, 95% các vụ tấn công thành công đều bắt đầu từ lỗi của con người.

Cái giá phải trả khi "mắt không thấy tai không nghe"

Tác động của vấn đề này không chỉ dừng lại ở con số thiệt hại tài chính. Khi khả năng visibility kém, các tổ chức thường phát hiện breach sau nhiều tháng, thậm chí năm. Theo báo cáo của IBM, thời gian trung bình để phát hiện và khống chế một vụ tấn công là 287 ngày - con số đáng báo động này cho thấy kẻ tấn công có đủ thời gian để "dạo chơi" trong hệ thống và thu thập mọi dữ liệu có giá trị.

Tại Việt Nam, tình hình cũng không khả quan hơn. Theo báo cáo từ Cục An toàn thông tin, có tới 70% doanh nghiệp Việt chưa có quy trình ứng phó sự cố an ninh mạng rõ ràng. Nhiều công ty vẫn áp dụng mindset "không có gì để mất" cho đến khi thực sự bị tấn công. Chi phí trung bình cho một vụ data breach tại khu vực Đông Nam Á là 2.87 triệu USD, con số không nhỏ đối với nhiều doanh nghiệp trong nước.

Lộ trình cứu nguy - từ ý thức đến hành động

Để giải quyết vấn đề từ gốc rễ, doanh nghiệp Việt Nam cần thực hiện ngay các bước sau: Đầu tiên, thiết lập Security Awareness Program (chương trình nâng cao nhận thức bảo mật) định kỳ cho toàn bộ nhân viên, không chỉ bộ phận IT. Thứ hai, xây dựng incident response plan (kế hoạch ứng phó sự cố) chi tiết với vai trò rõ ràng cho từng bộ phận. Thứ ba, triển khai SIEM (Security Information and Event Management - hệ thống quản lý thông tin và sự kiện bảo mật) để tăng cường visibility.

Quan trọng nhất, CEO và ban lãnh đạo phải thể hiện commitment (cam kết) rõ ràng với cybersecurity bằng cách phân bổ ngân sách hợp lý và tham gia trực tiếp vào các quyết định bảo mật. Chúng tôi khuyến nghị mỗi công ty nên tiến hành security audit (kiểm toán bảo mật) ít nhất 6 tháng một lần và thực hiện penetration testing (kiểm thử thâm nhập) để phát hiện lỗ hổng trước khi hacker khai thác. Bởi lẽ, trong cuộc chiến an ninh mạng, kẻ thua cuộc không chỉ mất tiền - mà còn mất cả niềm tin.