Xem nhẹ bảo mật, coi chừng thiệt hại nặng

Không ít doanh nghiệp bị lừa khoản tiền lớn hoặc phải chịu nhiều chi phí khắc phục sự cố do lỗ hổng bảo mật

Theo ông Trịnh Ngọc Minh, Phó Chủ tịch Chi hội An toàn thông tin (ATTT) phía Nam (VNISA phía Nam), khảo sát mới nhất của VNISA tại các doanh nghiệp (DN) nhỏ và vừa ở Việt Nam cho thấy hoạt động đầu tư ATTT chỉ chiếm 5% trong ngân sách dành cho công nghệ thông tin hằng năm. Trong năm 2015, chỉ 34% DN có người phụ trách về ATTT so với 73% năm 2014. Tỉ lệ các đơn vị có phê duyệt và ban hành chính sách ATTT cũng giảm so với năm ngoái (23,7% năm 2015 so với 30% năm 2014). Rất ít DN áp dụng các tiêu chuẩn bảo mật thông dụng như ISO 27001 hoặc PCI.

Tổn thất hàng chục tỉ đồng

Theo nghiên cứu do Kaspersky Lab và B2B International thực hiện, tổn thất tài chính của DN nhỏ và vừa trên thế giới cũng như tại Việt Nam do các cuộc tấn công mạng gây ra tiếp tục gia tăng. Năm 2015, trung bình thiệt hại sau mỗi vụ là 38.000 USD để thuê chuyên gia xử lý sự cố, tổn thất do trì hoãn công việc và mất cơ hội kinh doanh. Nghiên cứu cũng cho thấy 1/3 số DN nhỏ và vừa được khảo sát phải trì hoãn công việc, mất đi cơ hội kinh doanh và 88% số đó phải nhờ sự giúp đỡ từ chuyên gia bảo mật bên ngoài, mất khoảng 11.000 USD trong các khoản phí tổn của công ty. Tổn thất về lợi nhuận khoảng 16.000 USD, về hình ảnh công ty ước tính hơn 8.000 USD.

Nhiều doanh nghiệp tại Việt Nam chưa coi trọng công tác bảo mật

Ông Võ Đỗ Thắng, Ủy viên Ban Chấp hành VNISA phía Nam, cho biết tin tặc (hacker) đang có xu hướng nhắm vào các hoạt động kinh doanh của DN, tấn công có chủ đích, xâm nhập hệ thống nhiều năm để trục lợi. Tại Việt Nam, dữ liệu tài chính nội bộ có giá trị của DN đang là đích nhắm của các cuộc tấn công APT (những mối nguy hiểm cao thường trực). Đối tượng bị tấn công nhiều tập trung vào nhóm các DN tư nhân, FDI (có vốn đầu tư nước ngoài) có doanh thu lớn, nhất là những đơn vị không có người chuyên trách công nghệ thông tin. Nhiều DN trong các lĩnh vực điện, nước, xăng, dầu, thực phẩm, ngân hàng, thậm chí các cơ quan Chính phủ cũng là đối tượng của tấn công APT, bị hacker xâm nhập sâu vào hệ thống và rất nhiều trường hợp DN chỉ phát hiện khi xảy ra thiệt hại lớn.

Ông Thắng kể có trường hợp một DN bị mất tới hơn 2 triệu USD (trên 40 tỉ đồng) trong một thương vụ xuất hàng qua Pháp. Trong vụ này, hacker âm thầm xâm nhập hệ thống máy tính của DN từ trước, mạo danh DN gửi email cho đối tác đề nghị chuyển tiền vào một tài khoản khác ngay sau khi DN xuất hàng. Trường hợp thứ hai xảy ra với một DN ở Bình Dương, DN này đang đối mặt tình trạng phải phá sản do mất hợp đồng nhiều năm mà không hề biết những bản vẽ hằng ngày, thông tin chi tiết chào hàng bị malware (phần mềm gián điệp) liên tục sao chép gửi ra ngoài.

Cân nhắc thiệt - hơn

Ông Jimmy Fong, Giám đốc bán hàng của Kaspersky khu vực Đông Nam Á, cho biết xu hướng phát triển virus trên thế giới đang thay đổi. Trước đây, hacker tấn công DN nhằm đánh cắp dữ liệu hoặc phá hoại thiết bị thì nay, hacker chuyển sang chiếm đoạt và tống tiền dữ liệu. Doanh thu của loại tội phạm này hiện vượt cả doanh thu của tất cả DN bảo mật trên thế giới cộng lại. Đặc biệt, xu hướng người dùng kết nối internet bằng các thiết bị di động là cơ hội cho tội phạm mạng khai thác và tống tiền nếu người dùng không có biện pháp bảo mật đủ mạnh.

Cục ATTT - Bộ Thông tin và Truyền thông khuyến nghị DN cần thường xuyên cập nhật, sử dụng các chương trình diệt mã độc hoặc tường lửa. Cần đề phòng nguy cơ rò rỉ thông tin cá nhân trong môi trường mạng, cảnh giác thủ đoạn giả mạo, lừa đảo để cài đặt mã độc lên thiết bị, lấy cắp dữ liệu người dùng... Người dùng nên thường xuyên sao lưu dữ liệu để phòng trường hợp mất dữ liệu xảy ra. Việc sử dụng các phần mềm có bản quyền, mã nguồn mở miễn phí và không sử dụng các phần mềm bẻ khóa (crack) là lựa chọn tối ưu, giúp giảm thiểu nguy cơ thiết bị bị lây nhiễm các mã độc từ phần mềm “lậu”.

Ông Trịnh Ngọc Minh cho rằng các DN cần hoàn thiện hạ tầng và đầu tư cho lực lượng bảo đảm ATTT. Cụ thể, các DN cần đầu tư đồng đều cả 3 hoạt động là con người, chi tiêu cho ATTT và công nghệ bảo mật.