Công nghệ và giải pháp đảm bảo an toàn cho ứng dụng SaaS và dịch vụ Cloud

Theo thống kê của Cục An toàn thông tin - Bộ Thông tin và Truyền thông, trung bình mỗi năm ghi nhận hàng chục nghìn cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam. Dự báo, các cuộc tấn công sử dụng những kỹ thuật nâng cao sẽ diễn ra nhiều hơn, đặc biệt là tấn công đánh cắp dữ liệu từ các kho dữ liệu được hình thành trong quá trình chuyển đổi số.

Những nhà cung cấp dịch vụ đám mây cần phải đưa ra biện pháp kỹ thuật để đảm bảo an toàn tài khoản cho người sử dụng. (Ảnh minh họa).

Nhằm chia sẻ kiến thức, kinh nghiệm giúp doanh nghiệp nâng cao năng lực trong việc phòng ngừa và ứng phó các sự cố về an ninh thông tin trên không gian mạng, mới đây, Liên minh An ninh thông tin CYSEEX tổ chức Hội thảo “Đảm bảo an toàn cho ứng dụng SaaS và Dịch vụ Cloud”.

Hội thảo đã thu hút sự tham gia của các lãnh đạo doanh nghiệp công nghệ lớn tại Việt Nam, Giám đốc an ninh thông tin, Giám đốc công nghệ và các chuyên gia trong lĩnh vực công nghệ thông tin, an ninh thông tin đến từ các doanh nghiệp: MISA; Sapo; Viettel; FSI; BRAVO; Bảo Việt; VMWare; CyRadar; CyPeace; Fortinet; HPE; Netpoleon; MobiFone; Dell; HP; Cisco; Microsoft…

Theo ông Trần Đăng Khoa - Phó Cục trưởng phụ trách, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) cho biết, chuyển đổi số đang làm cho thế giới ngày càng nhỏ hơn, thông minh hơn, tạo ra nhiều cơ hội bứt phá cho các tổ chức, doanh nghiệp, rộng lớn hơn là sự bứt phá của một quốc gia. Song song với đó, chuyển đổi số cũng khiến chúng ta đang phải đối mặt với các nguy cơ tấn công, xâm nhập dữ liệu.

Ông Nguyễn Xuân Hoàng - Chủ tịch Liên minh CYSEEX, Phó Chủ tịch HĐQT Công ty Cổ phần MISA phát biểu tại hội thảo.

Trong 10 tháng đầu năm 2023, Cục An toàn thông tin ghi nhận, cảnh báo và hướng dẫn xử lý 10.513 cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam, trong đó có 9.178 cuộc tấn công Phishing, 451 cuộc thay đổi giao diện, và 884 cuộc tấn công phát tán mã độc.

Nghiêm trọng hơn, khi thực hiện ứng cứu các sự cố nghiêm trọng diễn ra trong nước, chúng tôi phát hiện, phần lớn hệ thống đã bị xâm nhập trong thời gian dài hàng tháng, thậm chí hàng năm. Kẻ tấn công vẫn âm thầm lấy cắp dữ liệu hoặc lợi dụng để thực hiện hành vi vi phạm pháp luật trong suốt một thời gian dài mà chủ quản và đơn vị vận hành hệ thống thông tin không hề hay biết.

“Chính phủ đã và đang đầu tư vào biện pháp bảo mật và ứng phó với mối đe dọa an ninh thông tin ngày càng phức tạp. Chúng tôi kêu gọi sự hợp tác chặt chẽ giữa Chính phủ, doanh nghiệp, tổ chức xã hội và cộng đồng để đối mặt với thách thức an ninh mạng, cam kết tạo ra một môi trường mạng an toàn” - ông Trần Đăng Khoa chia sẻ.

Ông Nguyễn Xuân Hoàng - Chủ tịch Liên minh CYSEEX, Phó chủ tịch HĐQT Công ty Cổ phần MISA nhấn mạnh: “An toàn thông tin trong các doanh nghiệp công nghệ cần được đặc biệt quan tâm, nhất là với Công ty SaaS và dịch vụ Cloud. Vì chúng ta cung cấp sản phẩm và dịch vụ cho hàng chục triệu người dùng cuối, với độ phủ rộng khắp, nên mỗi lỗ hổng bảo mật đều có khả năng ảnh hưởng đến phạm vi lớn và gây ra hậu quả lâu dài”.

“Là một thành viên nòng cốt của Liên minh CYSEEX, đồng thời là một doanh nghiệp SaaS, Công ty Sapo rất chú trọng đến công tác đảm bảo an toàn thông tin và cải tiến hoạt động bảo mật. Chúng tôi đặc biệt đề cao hoạt động diễn tập thực chiến cũng như ứng dụng các giải pháp tiên tiến và toàn diện để bảo vệ tối đa quyền lợi của khách hàng và đối tác trong kỷ nguyên đám mây” - ông Hoàng Hạnh Phúc - Giám đốc Hạ tầng và Bảo mật, Công ty Cổ phần Công nghệ Sapo nhấn mạnh.

Hội thảo CYSEEX 2023 đề xuất biện pháp đảm bảo an toàn thông tin đầu tiên là những chính sách pháp luật phù hợp về an toàn thông tin đồng thời đi kèm với đó là các tiêu chuẩn, hướng dẫn chi tiết để thực hiện đồng bộ trong phạm vi từng doanh nghiệp.

Biện pháp thứ hai và đặc biệt quan trọng là doanh nghiệp cần chú trọng phát triển nhân sự an toàn thông tin. Từ đội ngũ nhân sự thiết kế phát triển phần mềm cho đến đội ngũ vận hành, giám sát, xử lý các sự cố cũng đều phải được nâng cao.

Biện pháp thứ ba là thường xuyên thực hiện các đợt rà quét lỗ hổng cũng như thực hiện các đợt diễn tập thực chiến để doanh nghiệp cung cấp ứng dụng SaaS, dịch vụ Cloud có thể dự phòng và phản ứng kịp thời trước những vụ tấn công. Đồng thời, mỗi doanh nghiệp cần hoàn thiện các quy trình, công cụ bảo mật, cũng như liên tục vá các lỗ hổng được phát hiện trong các cuộc tập trận trước khi các vụ tấn công thực sự xảy ra.