Image from rawpixel.com
Trong phần 1 bài viết về chủ đề Data security lần này, BigDataUni sẽ cùng với các bạn đi vào tìm hiểu về thực trạng Data security trên toàn cầu thông qua các báo cáo về Data breach; cũng như tìm hiểu tổng quan về Data security, về các khái niệm, sơ lược những lợi ích, thách thức chính trong Data security. Về các hoạt động có trong Data security, những giải pháp giúp tổ chức cải thiện Data security sẽ được chúng tôi gửi đến các bạn ở phần 2 bài viết sắp tới. Thực trạng bảo mật dữ liệu trên toàn cầu Ở phần đầu của bài viết, chúng ta sẽ nhìn qua một số số liệu thống kê, báo cáo trong lĩnh vực Data security chủ yếu là về thực trạng của Data breach (hệ quả của quá trình bảo mật dữ liệu yếu kém, là cơ sở đánh giá Data security) trên toàn cầu. Qua những số liệu cụ thể, các bạn sẽ nắm được Data breach cơ bản là gì, tổ chức, công ty lĩnh vực nào sẽ gặp phải Data breach, Data breach được thực hiện bằng cách nào các tác nhân, động cơ đằng sau Data breach, đặc biệt là chi phí mỗi tổ chức phải bỏ ra cho Data breach hay chịu tổn thất bởi Data breach. Ngoài ra, BigDataUni cũng xin gửi đến các bạn một số thông tin về tình hình an ninh mạng tại nước ta từ báo cáo của BKAV. Trước tiên, chúng ta cùng đi vào báo cáo nghiên cứu về Data security trong năm 2019 của Verizon – một trong những công ty công nghệ, truyền thông lớn nhất thế giới trụ sở ở Hoa Kỳ – có tên là “2019 Data Breach Investigations Report”, nghiên cứu về 41.686 sự cố bảo mật và 2.013 sự cố bị xâm phạm, đánh cắp dữ liệu trái phép hay dữ liệu bị rò rỉ, truyền ra ngoài một cách không có chủ đích hay có chủ đích (hay còn gọi là Data breach). Báo cáo dựa trên những thông tin và dữ liệu được cung cấp bởi các tổ chức, công ty thuộc nhiều lĩnh vực khác nhau đến từ 86 quốc gia khác nhau. Báo cáo đưa ra một tuyên bố, cũng như khẳng định một vấn đề hiện hữu: “Không có một công ty nào là quá lớn, hay quá nhỏ để trở thành nạn nhân của Data breach. Không có một ngành, hay lĩnh vực cụ thể nào mà không bị tin tặc, hacker tấn công. Bất kể loại dữ liệu tổ chức bạn đang có, khối lượng dữ liệu tổ chức bạn đang lưu trữ, sẽ luôn luôn có những kẻ muốn lấy cắp chúng.” Về những đối tượng có thể tấn công hệ thống bảo mật, đánh cắp, làm rò rỉ dữ liệu (Data breach, trong bài viết này chúng tôi xin phép gọi là “vụ tấn công vào dữ liệu”, hay gọi tắt là “vụ tấn công” ngắn gọn hơn)- Có 69% vụ tấn công được gây ra bởi các thành phần, tổ chức, cá nhân bên ngoài tổ chức.
- Có 34% vụ tấn công có liên quan đến các thành phần, cá nhân bên trong tổ chức.
- Có 2% vụ tấn công có liên quan đến các đối tác của những tổ chức
- Có 5% vụ tấn công được gây ra bởi nhiều bên liên quan đến tổ chức
- Những tổ chức tội phạm đứng sau 39% vụ tấn công.
- Các tổ chức quốc gia, cơ quan địa phương có liên quan đến 23% vụ tấn công
Biểu đồ 1: Ai đứng sau các vụ tấn công (nguồn Verizon)
Về cách thức tấn công:- Có 52% vụ tấn công gây ra bằng cách Hack vào hệ thống
- Có 33% vụ tấn công bao gồm tấn công thông qua mạng xã hội Social media
- Có 28% vụ tấn công có liên quan đến phần mềm độc hại (Malware)
- Những lỗi vô ý, không có chủ đích cũng là yếu tố dẫn đến 21% vụ tấn công
- Những người có quyền hạn lạm dụng, sử dụng dữ liệu cho các mục đích xấu là yếu tố gây ra 15% vụ tấn công.
- Thao tác làm việc bằng tay, hay hành động thể chất cũng là tác nhân có trong 4% vụ tấn công.
Biểu đồ 2: Cách thức tấn công (nguồn Verizon)
Về nạn nhân của những vụ tấn công:- Các tổ chức trong khu vực công là nạn nhân của 16% vụ tấn công.
- Các tổ chức Y tế là nạn nhân trong 15% vụ tấn công
- 10% các vụ tấn công diễn ra ở những tổ chức trong lĩnh vực tài chính
- Những công ty kinh doanh nhỏ, lẻ thuộc các ngành lĩnh vực khác
Biểu đồ 3: Nạn nhân của các vụ tấn công (nguồn Verizon)
Trong lĩnh vực dịch vụ lưu trú, và ăn uống: có 87 vụ tấn công, trong đó có 61 trường hợp Data breach, chủ yếu là dữ liệu thanh toán, dữ liệu thông tin chứng thực, xác thực của khách hàng. Những vị trí xuất hiện lỗ hổng là các POS (point of sale), các ứng dụng Web, và tội phạm, tin tặc là tác nhân chính gây ra những vụ tấn công. Động cơ của các cuộc tấn công chủ yếu là động cơ tài chính. Trong lĩnh vực tài chính, bảo hiểm: có 927 vụ tấn công, trong đó có 207 trường hợp Data breach, bao gồm dữ liệu thông tin cá nhân, thông tin chứng thực, xác thực của khách hàng, và những dữ liệu nội bộ khác. Các ứng dụng web không bảo mật tốt, và việc phân chia quyền hạn đối với dữ liệu dẫn đến lạm quyền, và những lỗi khác trong quá trình xử lý dữ liệu là các tác nhân liên quan đến các vụ tấn công. Những mối đe dọa đến hệ thống an ninh bao gồm bên trong và bên ngoài tổ chức, và đến từ cả các đối tác khác, các bên liên quan. Động cơ của những vụ tấn công là động cơ tài chính (ví dụ thu lợi về tài chính, gian lận, chiếm đoạt tiền, tài sản), bên cạnh đó là động cơ gián điệp. Lĩnh vực bán lẻ, có 234 vụ tấn công, trong đó có 139 trường hợp Data breach. Các tác nhân liên quan trong những vụ tấn công giống với lĩnh vực tài chính bảo hiểm. Dữ liệu bị đánh cắp, rò rỉ bao gồm chủ yếu dữ liệu thông tin cá nhân khách hàng, dữ liệu thanh toán, và dữ liệu thông tin chứng thực, xác thực của khách hàng. Lĩnh vực khoa học, công nghệ, kỹ thuật tiên tiến ghi nhận có 670 vụ tấn công, trong đó có 157 trường hợp Data breach. Lĩnh vực công, những tổ chức quốc gia, ghi nhận nhiều vụ tấn công nhất 23,399 vụ, với 330 trường hợp bị đánh cắp dữ liệu, động cơ chính là gián điệp, thăm dò thông tin bí mật. Lĩnh vực sức khỏe, ý tế cũng gây bất ngờ với 466 vụ tấn công, trong đó có tận 304 trường hợp bị đánh cắp dữ liệu, chiếm tỷ lệ cao nhất 65%, qua đó cho thấy khả năng bảo mật, an toàn thông tin của những tổ chức còn yếu kém. Bên cạnh đó trong lĩnh vực sản xuất, thậm chí cả giáo dục cũng xuất hiện nhiều vụ tấn công khác nhau. Những số liệu cho chúng ta thấy Data breach không chừa bất kỳ một lĩnh vực nào, bất kỳ một tổ chức nào. Tiếp theo chúng đa cùng đến với một số số liệu cho thấy hậu quả của bảo mật dữ liệu kém, tổn thất một tổ chức phải gánh chịu Báo cáo trong năm 2018, nghiên cứu của công ty công nghệ hàng đầu IBM về chi phí mà các tổ chức phải bỏ ra hay tổn thất khi họ bị tấn công và đánh cắp dữ liệu: “Cost of a Data breach study: Global overview”. Nghiên cứu khảo sát hơn 2200 chuyên gia IT, chuyên gia bảo mật dữ liệu,..từ 477 tổ chức đến từ trên 15 quốc gia và vùng lãnh thỗ, bao gồm một số nước Đông Nam Á, và những cường quốc (trừ Trung Quốc không được nghiên cứu) về công nghệ, đi đầu trong nhiều lĩnh vực khác nhau.Nguồn hình pcicomplianceguide.org
- Tổng chi phí trung bình phải gánh chịu cho một cuộc tấn công mạng, đánh cắp dữ liệu là 3.86 triệu USD tăng 6.4% so với năm 2017.
- Tổng chi phí trung bình phải mất đi khi 1 bản ghi dữ liệu (1 record) bị đánh cắp, rò rỉ là 148 USD tăng 4.8% so với năm 2017.
- Tổng chi phí trung bình tổn thất khi 1 bản ghi dữ liệu (1 record) bị đánh cắp, rò rỉ nếu có đội phản ứng nhanh hỗ trợ, hay tổ chức có khả năng ứng phó lại với vụ tấn công có thể được giảm 1 lượng là 14 USD. (từ 148 USD xuống 134 USD)
- Khối lượng dữ liệu bị đánh cắp, rò rỉ hàng năm tăng trung bình 2.2%
- Thời gian trung bình để xác định 1 vụ Data breach (MTTI – the mean time to identify) là 197 ngày.
- Thời gian trung bình để kiềm hãm, hạn chế tác hại lan rộng của 1 Data breach (MTTC – the mean time to contain) là 69 ngày.
- Nghiên cứu chỉ ra rằng nếu một tổ chức có thể kìm hãm, ngăn chặn kịp thời những tác hại của 1 vụ tấn công dưới 30 ngày có thể tiết kiệm 1 triệu USD so với các tổ chức phải mất trên 30 ngày.
- Tổn thất trung bình của các vụ tấn công do Hacker, tin tặc gây nên đối với mỗi bản ghi dữ liệu (1 record) bị đánh cắp là 157 USD. Trong khi đó, đối với trường hợp hệ thống an ninh, hay hệ thống dữ liệu gặp lỗi thì là 131 USD, còn trường hợp lỗi do con người là 128 USD.
- Các tổ chức là bên thứ 3 (third party) liên quan đến một vụ tấn công, đánh cắp, làm rò rỉ dữ liệu sẽ làm cho tổn thất cao hơn là 161 USD so với 148 USD đối với mỗi dữ liệu bị đánh cắp.
- Tổ chức, công ty nào vừa bị đánh cắp dữ liệu dẫn đến mất một lượng khách hàng với tỷ lệ 1% thì tổn thất trung bình sẽ là 2,8 triệu USD, nếu tỷ lệ này cao hơn hoặt bằng 4%, thì tổn thất sẽ lên đến 6 triệu USD, chênh lệch tăng với 3,2 triệu USD
- Yếu tố đầu tiên: hệ thống tự động hóa quá trình bảo mật (Security Automation). Nếu một tổ chức có hệ thống bảo mật tự động, thì tổn thất trung bình phải gánh chịu khi đối mặt với một vụ tấn công dữ liệu sẽ là 2,88 triệu USD.
- Nếu không có hệ thống tự động hóa, thì chi phí phải gánh chịu ước tính là 4,43 triệu USD, chênh lệch 1,55 triệu USD.
- Yếu tố thứ hai: là việc ứng dụng các thiết bị I.o.T (Internet of Things). Việc đẩy mạnh khai thác, và sử dụng các thiết bị I.o.T sẽ làm cho chi phí 1 bản ghi dữ liệu (1 record) bị đánh cắp, rò rỉ tăng lên một lượng ước tính là 5 USD.
- 1 triệu dữ liệu (tính theo record) bị đánh cắp, rò rỉ sẽ gây ra tổn thất trung binh tổng cộng là 40 triệu USD. Đối với 50 triệu dữ liệu sẽ là 350 triệu USD.
Nguồn hình: Shutterstock
Kết thúc phần tìm hiểu về thực trạng bảo mật dữ liệu trên toàn cầu. Chúng tôi cũng xin gửi đến các bạn, những ai chưa biết, một số thông tin về tình hình an ninh mạng của nước ta. Trích dẫn nguyên văn theo báo cáo “Tổng kết an ninh mạng năm 2018 và dự báo xu hướng 2019” của tập đoàn BKAV:- Năm 2018, thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam đã lên mức kỷ lục 14.900 tỷ đồng, tương đương 642 triệu USD, nhiều hơn 21% so với mức thiệt hại của năm 2017. Đây là kết quả được đưa ra từ chương trình đánh giá an ninh mạng do Tập đoàn công nghệ Bkav thực hiện tháng 12/2018.
- Cũng theo nghiên cứu của Bkav, có tới hơn 60% cơ quan, doanh nghiệp tại Việt Nam bị nhiễm mã độc đào tiền ảo. Trung bình cứ 10 cơ quan, doanh nghiệp, có 6 nơi bị mã độc chiếm quyền điều khiển máy tính đào tiền ảo, gây mất an ninh thông tin.
- Hơn 1,6 triệu lượt máy tính tại Việt Nam bị mất dữ liệu trong năm 2018. Bên cạnh đó, hơn 46% người sử dụng tham gia chương trình đánh giá an ninh mạng của Bkav cũng cho biết, họ đã từng gặp rắc rối liên quan tới mất dữ liệu trong năm qua.
- USB là phương tiện trao đổi dữ liệu phổ biến nhất tại Việt Nam nên số máy tính bị nhiễm mã độc lây qua USB luôn ở mức cao. Thống kê của Bkav cho thấy, có tới 77% USB tại Việt Nam bị nhiễm mã độc ít nhất 1 lần trong năm.
- Trong hai năm 2017 và 2018, số lượng lỗ hổng an ninh trong các phần mềm, ứng dụng được công bố tăng đột biến với hơn 15.700 lỗ hổng, gấp khoảng 2,5 lần những năm trước đó.
- Data security – bảo mật dữ liệu – miêu tả việc công ty thực hiện các chính sách và quy trình để đảm bảo mọi nhân viên, mọi thành phần, bộ phận, phòng ban chức năng bên trong tuân thủ, thực hiện các hành động với tài sản thông tin và dữ liệu “một cách đúng nhất”. Các hành động đúng chính là việc kiểm soát và triển khai các hoạt động dữ liệu (ví dụ khai thác, phân tích, luân chuyển, quản lý,…) sao cho cân bằng, thoản mãn các nhu cầu của những tổ chức, cá nhân, các bên liên quan đến công ty (gọi là Stakeholder); thỏa mãn các quy luật, điều luật của Chính phủ, Nhà nước; thỏa mãn mong muốn của các cấp quản lý, người đứng đầu công ty.
- Data security còn là nhiệm vụ bảo vệ dữ liệu dạng kỹ thuật số (digital data) trước các cuộc tấn công mạng, hay Data breach.
- Data security bao gồm các công việc lập kế hoạch, phát triển và thực hiện các chính sách và quy trình bảo mật, cung cấp các cách thức xác thực, ủy quyền, truy cập và kiểm soát, thống kê, báo cáo về dữ liệu và tài sản thông tin. Mục tiêu của các hoạt động bảo mật dữ liệu là bảo vệ tài sản thông tin, dữ liệu, tuân thủ các quy định về quyền riêng tư, và các yêu cầu, thỏa thuận khác trong kinh doanh.
- Bảo mật dữ liệu là quá trình bảo vệ tài sản kinh doanh quan trọng nhất ngày nay chính là dữ liệu trước việc sử dụng trái phép hoặc không mong muốn bởi các cá nhân, tổ chức khác. Data security không chỉ liên quan đến việc triển khai các giải pháp bảo mật dữ liệu phù hợp mà còn kết hợp giữa con người, các quy trình với công nghệ được chọn để bảo vệ dữ liệu trong suốt vòng đời của nó.
Nguồn hình: edtechmagazine.com
Như vậy xong các khái niệm về Data security, chúng ta cùng quay trở lại với khái niệm Data breach, và thế nào là dữ liệu bị đánh cắp, bị rò rỉ (Compromised data), đây được xem là những cơ sở đánh giá quy trình bảo mật dữ liệu của công ty, hay tổ chức có hiệu quả hay không:- Data breach là thuật ngữ mô tả trường hợp một dữ liệu bất kỳ (có thể tên khách hàng, dữ liệu tài chính, số thẻ tín dụng,…), dưới dạng giấy tờ hay dữ liệu điện tử, kỹ thuật số (digital data), đang ở trạng thái gặp rủi ro cao như có khả năng bị đánh cắp, có khả năng bị rò rỉ, hoặc bị luân chuyển đến nơi khác (ví dụ nơi lưu trữ của hacker, tổ chức tội phạm, công ty đối thủ,..), được sử dụng với các mục đích xấu, trái phép.
- Data breach có thể được thực hiện một cách có chủ đích, cố ý hoặc vô tình, không cố ý bởi lỗi của con người, lỗi hệ thống. Chi phí phải gánh chịu, hay tổn thất bởi Data breach thay đổi theo nguyên nhân, tác nhân gây ra nó, và cách thức, tốc độ tổ chức phản ứng và đối phó ra sao.
- Compromised data nghĩa là dữ liệu trong trạng thái bị tấn công, bị khai thác trái phép, bị truy cập, đánh cắp, bị rò rỉ, tiết lộ trái phép. Định nghĩa khác của IBM: dữ liệu chứa thông tin xác định của một cá nhân (ví dụ khách hàng) nào đó bị đánh cắp, hoặc thất lạc trong một vụ tấn công an ninh dữ liệu.
- Xác định các hành vi vi phạm, trái phép, lừa đảo, không mong muốn trong quá trình sử dụng dữ liệu.
- Giảm các trường hợp rủi ro về vi phạm các điều luật của quốc gia về bảo mật dữ liệu
- Dữ liệu là trái tim của tổ chức, là nguồn tài sản vô giá, do đó Data security chính là cơ sở để công ty mở rộng kinh doanh, phát triển một cách bền vững.
- Bảo vệ, duy trì hình ảnh thương hiệu đến khách hàng, tăng sự tin tưởng nơi khách hàng, và tăng khả năng giữ chân khách hàng. Theo IBM, 75% khách hàng sẽ không mua sản phẩm nếu họ không tin vào khả năng bảo vệ thông tin cá nhân của công ty.
- Bảo đảm lợi nhuận, tránh tổn thất nặng nề khi gặp phải Data breach, giảm thiểu rủi ro tài chính khác.
- Hệ thống bảo mật tốt sẽ tạo điều kiện để công ty tiếp cận với những xu hướng công nghệ mới trong tương lai.
- Sự phát triển của dữ liệu, nhiều loại, định dạng khác nhau, khối lượng dữ liệu cần thu thập, và khai thác cũng tăng lên đáng kể. Việc bắt kịp, tiếp cận với những nguồn dữ liệu mới từ nhiều nơi khác nhau sẽ tạo ra sự phức tạp, khó khăn ở cấp độ cao hơn trong việc kiểm soát, quản lý, bảo vệ sao cho hiệu quả.
- Nhiều công ty ngày nay tiếp cận chiến lược định hướng dữ liệu, hay còn gọi là Data-driven – được chúng tôi giới thiệu ở các bài viết trước (Data – driven Enterprise (phần 1) (phần 2)) cũng góp phần làm tăng thách thức của bảo mật dữ liệu. Data-driven hiểu đơn giản là việc công ty triển khai, đẩy mạnh phân tích dữ liệu vào hầu hết các hoạt động của tổ chức, dựa trên kết quả phân tích để phát triển chiến lược kinh doanh, đưa ra các quyết định. Nghĩa là, các nhân viên trong công ty, người quản lý đứng đầu các bộ phận, phòng ban chức năng khác có thể truy cập, sử dụng dữ liệu phục vụ cho công việc của họ. Do đó, nếu công ty không có chính sách, quy tắc, quy định bảo mật dữ liệu, thì việc dữ liệu bị rò rỉ, đánh cắp có thể xảy ra, như chúng tôi đề cập ở phần thực trạng: yếu tố gây nên Data breach có thể xuất phát từ chính bên trong nội bộ tổ chức.
- Đối với nhiều công ty quy mô vừa và nhỏ, điển hình tại Việt Nam, hệ thống công nghệ, kỹ thuật còn nhiều điểm yếu, và khả năng tiếp cận các nền tảng công nghệ mới, tiên tiến hơn giúp tăng cường bảo mật còn khá thấp, ví dụ theo BKAV, nhiều doanh nghiệp vẫn chưa có giải pháp diệt virus tổng thể và đồng bộ, do đó nếu 1 máy vi tính bị nhiễm virus, có thể lan truyền, lây nhiễm cho toàn bộ các máy hiện tại.
- Thực trạng đang ngày càng có nhiều tội phạm, hacker có tổ chức đang phát triển nên nhiều cách thức tấn công, phần mềm độc hại, tiếp cận, truy cập dữ liệu tinh vi hơn, khó phát hiện và ngăn chặn. Đặc biệt, những phần mềm phổ biến được sử dụng trong công việc ngày nay như Adobe Flash Player, Microsoft Windows,… theo BKAV cũng tiềm tàng nhiều lỗ hỗng an ninh có thể bị tấn công và đánh cắp dữ liệu thống tin bởi các tội phạm chuyên nghiệp. Nhiều công ty tại nước ta đôi khi vẫn chưa nhận ra thách thức tiềm ẩn này, và không có giải pháp phòng ngừa.
- Các quốc gia đang ngày một coi trọng các điều luật quy định nghiêm ngặt về an toàn dữ liệu, bảo mật thông tin cá nhân ví dụ như General Data Protection Regulaiton (GDPR) ra đời đầu tiên tại châu Âu. Và xu hướng này đang lan tỏa mạnh mẽ đến nhiều nước, và khu vực địa lý khác, ở nước ta có Luật An ninh mạng, ở bang California Hoa Kỳ có California Consumer Privacy Act (CCPA), ở Brazil có Lei Geral de Proteção de Dados (LGPD), ở Thái Lan có Thailand Personal Data Protection Act (PDPA), ở Úc có Privacy Amendment,…Đây chính là thách thức lớn đối với các công ty quy mô vừa và nhỏ vì khả năng bảo mật dữ liệu còn yếu kém, trong khi lại bị thúc đẩy tăng cường Data security bởi các điều luật quốc gia.
- Hệ thống dữ liệu, thông tin quá phức tạp, việc sử dụng nhiều công nghệ, công cụ hỗ trợ khai thác dữ liệu khác nhau nhưng không được quản lý, không xây dựng các phương án, quy trình hoạt động hiệu quả, còn làm cho hệ thống dữ liệu trở nên cồng kềnh, khó kiểm soát, có thể sẽ tạo ra lỗ hổng an ninh. Đồng ý là việc đẩy mạnh tiếp cận các công nghệ, công cụ là hợp lý tuy nhiên công ty cũng phải có chiến lược cụ thể, kế hoạch rõ ràng, quan trọng là chúng phải phù hợp với những cách thức, quy trình phân tích, xử lý, quản lý dữ liệu được đề ra ban đầu.
- Ngày nay, nhiều tổ chức lúc nào cũng phải đối mặt với tình trạng thiếu nguồn nhân lực có kỹ năng, kiến thức chuyên môn tốt không chỉ trong lĩnh vực Data Science mà còn trong lĩnh vực an ninh mạng, bảo mật, khiến cho các dự án khai thác dữ liệu, quản lý dữ liệu có tỷ lệ thành công không như mong đợi. Đây là thách thức đối với hầu hết các công ty ở mọi quốc gia không chỉ riêng nước ta, và dự báo trong các năm tới, thách thức này sẽ nghiêm trọng hơn.