7 xu hướng ATTT tại Việt Nam năm 2023
Mới đây, Công ty An ninh mạng Viettel (VCS) đã phát hành Báo cáo thị trường an toàn thông tin (ATTT) Việt Nam năm 2022 với những số liệu điều tra và phân tích chuyên sâu của các chuyên gia hàng đầu trong lĩnh vực ATTT. Báo cáo cũng đưa ra dự báo về 7 xu hướng ATTT chủ yếu tại Việt Nam trong năm 2023.
Tình hình ATTT tại Việt Nam năm 2022
Theo thống kê của VCS – Threat Intelligence, năm 2022 ghi nhận tổng cộng 4240 cuộc tấn công giả mạo (phishing) và giả mạo thương hiệu (impersonate), gia tăng 40% so với năm 2021. Riêng quý 3/2022, VCS ghi nhận số lượng tên miền lừa đảo tăng đột biến, gấp 1,8 lần so với cùng kỳ năm 2021.
Các cuộc tấn công này ngày càng tinh vi và khó nhận biết, tiêu biểu như: Lừa đảo bằng cách giả mạo tin nhắn thương hiệu (SMS Brand name); lừa đảo sử dụng các tên miền phụ để truy cập, đồng thời phải sử dụng điện thoại mới truy cập vào được trang web lừa đảo; tạo các ứng dụng vay tiền.
Nạn nhân chủ yếu của các cuộc tấn công là người dùng sử dụng thẻ ngân hàng, ví điện tử. Đáng chú ý hơn, VCS ghi nhận xuất hiện các nạn nhân là người dùng sử dụng các dịch vụ chứng khoán, vay tiền trực tuyến. VCS cũng ghi nhận chiến dịch lừa đảo sử dụng tin nhắn định danh giả mạo (SMS fake brandname) hoạt động liên tục và mạnh mẽ xuyên suốt năm 2022; chiến dịch lừa đảo chuyển tiền quốc tế (quý 2/2022); chiến dịch lừa đảo thông qua vay tiền trực tuyến (quý 3, 4/2022).
Năm 2022 cũng ghi nhận tổng số lỗ hổng được phát hiện và công bố tăng 13,9% so với năm 2021, trong đó phải kể đến các lỗ hổng mức cao, nghiêm trọng trên các sản phẩm, phần mềm phổ biến trên thế giới bao gồm MS Exchange Server, WSO2, Atlassian Confluence, Zimbra, Oracle, Big-IP….
VCS còn ghi nhận 150 triệu thông tin tài khoản người dùng được rao bán trên không gian mạng trong năm 2022. Cụ thể, những thông tin này bị đánh cắp từ nhiều loại mã độc đánh cắp thông tin phổ biến nhất hiện nay, điển hình như Redline Stealer. Nghiêm trọng hơn, thông tin đăng nhập của người dùng vào các hệ thống trọng yếu của các tổ chức, doanh nghiệp (DN) tại Việt Nam liên tục xuất hiện trong tập dữ liệu và chiếm một phần không hề nhỏ.
Cũng trong năm 2022 đã có 29 vụ lộ lọt dữ liệu tại Việt Nam gây ảnh hưởng đến các công ty lớn với hàng triệu người dùng, đáng chú ý là xuất hiện các vụ lộ lọt dữ liệu của các đơn vị, công ty xây dựng, phát triển các sản phẩm, phần mềm CNTT cho các DN, tổ chức thuộc lĩnh vực tài chính, ngân hàng, chứng khoán.
Trong năm 2022 còn ghi nhận hơn 10 triệu cuộc tấn công từ chối dịch vụ (DDoS) với cường độ tấn công > 1G tăng dần theo từng quý, tiêu biểu nhất là cuộc tấn công DDoS lên đến 140 Gbps trong tháng 7/2022. Điều này cảnh báo về việc bảo vệ và chống tấn công DDoS cần được chú trọng đảm bảo hoạt động liên tục của DN.
Xu hướng ATTT tại Việt Nam năm 2023
Theo báo cáo củaVCS, năm 2023 dự báo sẽ có 7 xu hướng ATTT chủ yếu tại Việt Nam, đây là những dự đoán này có ý nghĩa rất quan trọng giúp cá nhân, tổ chức và DN chuẩn bị nguồn lực kịp thời để bảo vệ hệ thống trước các rủi ro ngày gia tăng cao trên môi trường mạng.
Xu hướng 01: Xu hướng bảo mật lấy dữ liệu làm trọng tâm (data-centric security)
Sau ảnh hưởng từ đại dịch COVID-19, năm 2022, nhu cầu làm việc từ xa gia tăng đáng kể, từ đó đòi hỏi về chia sẻ thông tin, khai thác dữ liệu nhiều hơn, bảo mật dữ liệu là một hệ quả tất yếu. Một cuộc khảo sát của Standard & Poor cho thấy 58% người được hỏi có kế hoạch tăng chi tiêu cho bảo mật dữ liệu, với 16% lập kế hoạch tăng đáng kể.
Ngay cả với khoản đầu tư đó, số lượng các vụ vi phạm dữ liệu ngày càng tăng. Mức độ phổ biến của dữ liệu và độ phức tạp của các phương thức chia sẻ thông tin tạo môi trường cho tin tặc tấn công vào các lỗ hổng và đánh cắp dữ liệu.
Việc bảo vệ dữ liệu người dân cũng được Chính phủ Việt Nam quan tâm thúc đẩy. Tháng 3/2022, Chính phủ ban hành Nghị quyết số 27/NQ-CP thông qua hồ sơ Dự thảo xây dựng Nghị định bảo vệ dữ liệu cá nhân do Bộ Công an đề xuất. Dự thảo Nghị định sẽ gồm 6 chương, 27 điều quy định về dữ liệu cá nhân; các điều kiện và quy trình xử lý, bảo vệ, xử lý vi phạm về dữ liệu cá nhân; trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân.
Tháng 10/2022, Thủ tướng chính phủ cũng ký ban hành Nghị định số 59/2022/NĐ-CP quy định về định danh và xác thực điện tử và có hiệu lực thi hành từ ngày 20/10/2022. Trong đó, chủ thể danh tính điện tử có trách nhiệm bảo vệ thông tin danh tính điện tử; bảo đảm an toàn yếu tố xác thực. Bên sử dụng dịch vụ cần tuân thủ quy chuẩn kỹ thuật về định danh và xác thực điện tử; quản lý, bảo mật thông tin tài khoản định danh điện tử, bảo đảm sử dụng tài khoản định danh điện tử an toàn… Đồng thời tuân thủ các quy định của pháp luật về an toàn thông tin mạng, an ninh mạng, giao dịch điện tử, tiêu chuẩn, quy chuẩn kỹ thuật trong lĩnh vực xác thực điện tử.
Hoạt động số hóa dữ liệu công dân, sử dụng định danh điện tử tại Việt Nam ngày càng gia tăng, đồng nghĩa với nhu cầu bảo vệ dữ liệu người dùng của các tổ chức, DN không ngừng mở rộng, đặc biệt các nhóm có khối lượng dữ liệu lớn như ngân hàng, bảo hiểm hay các cơ quan nhà nước, địa phương… Khi người dùng tiêu thụ nhiều dữ liệu hơn, việc rò rỉ cơ sở dữ liệu cũng tăng lên nhanh chóng. Ảnh hưởng từ rò rỉ dữ liệu mạng đã gây thiệt hại đến nhiều công ty lớn nhỏ, buộc họ phải tăng cường bảo mật mạng để ngăn chặn các cuộc tấn công trong tương lai.
Xu hướng 02: Bảo mật điện toán đám mây (ĐTĐM) (cloud security), các dòng sản phẩm chuyên biệt cho cloud, và tích hợp trên cùng 1 nền tảng
Quy mô thị trường đám mây Việt Nam có thể đạt tới con số 53.000 tỷ đồng vào năm 2025. Với tốc độ phát triển nhanh chóng của dịch vụ đám mây, Bộ TT&TT đã đưa ra nhận định rằng ĐTĐM sẽ là một trong những xu thế phát triển mạnh tại Việt Nam năm 2023. Nhiều tổ chức nghiên cứu cũng đã đưa ra dự báo về mức độ tăng trưởng của thị trường đám mây Việt Nam có thể đạt mức 26%/ năm – chỉ số đáng kinh ngạc, cao nhất Đông Nam Á hiện nay. Tính đến tháng 9/2022, khoảng 56% DN, tổ chức lựa chọn sử dụng dịch vụ đám mây, và trung bình một DN sẽ đầu từ khoảng hơn 66 triệu đồng/năm cho dịch vụ này.
Tại Việt Nam, xu hướng DN chuyển dịch lên đám mây được nhận định gia tăng mạnh thời gian qua, đặc biệt là từ giai đoạn bắt đầu đại dịch COVID-19. Cũng ở giai đoạn này, việc ảnh hưởng của chuỗicung ứng chip toàn cầu, dẫn đến tiến độ giao hàng cho các thiết bị phần cứng bị kéo dài hơn trước đây.
Đi kèm với sự phát triển, bên cạnh đó luôn luôn tồn tại các mối đe dọa an ninh dữ liệu, các hình thái tấncông mạng cũng thay đổi nhanh chóng. Theo Công ty cổ phần Công nghệ An ninh không gian mạng Việt Nam (VNCS), có tới 84% số đơn vị tham gia một khảo sát chorằng các biện pháp ATTT truyền thống không hoạt động tốt trên môi trường đám mây. Vì vậy, nhu cầu dành cho các dòng sản phẩm chuyên biệt về ĐTĐM ngày càng gia tăng mạnh mẽ. Các dịch vụ giám sát ATTT trên hạ tầng cloud, đánh giá bảo mật ATTT hạ tầng cloud… cần được chú trọngvà phát triển hơn nữa.
Xu hướng 03: Yêu cầu tuân thủ chính sách ATTT quốc tế (Security Compliance) ngày càng cao
Lĩnh vực ATTT đang ngày càng được coi trọng tại Việt Nam, mục tiêu hướng đến một ngành công nghiệp chủ chốt. Chiến lược an toàn, an ninh mạng quốc gia, chủ động ứng phó với các thách thức từ không gian mạng đến năm 2025, tầm nhìn 2030 đặt mục tiêu đến năm 2030 duy trì, nâng cao năng lực, thứ hạng về an toàn, an ninh mạng của Việt Nam trên bảng xếp hạng toàn cầu; Việt Nam trở thành một trong những trung tâm bảo đảm an toàn, an ninh mạng hàng đầu châu Á.
Đồng thời hình thành được thị trường về bảo đảm an toàn, an ninh mạng, có sự cạnh tranh và ảnh hưởng trên toàn khu vực và thế giới và duy trì doanh thu thị trường an toàn, an ninh mạng hàng năm tăng trưởng từ 10 – 20%… Vì vậy, việc tuân thủ chính sách ATTT quốc tế, trở thành một yếu tố quan trọng nâng caonăng lực cạnh tranh toàn cầu.
Trong nhóm ngành ngân hàng, nhu cầu đánh giá tuân thủ theo tiêu chuẩn quốc tế ngày càng cao saukhi Ngân hàng Nhà nước ban hành các quy định về việc lựa chọn các công ty cung cấp dịch vụ tuân thủ tiêu chuẩn quốc tế. Cuối tháng 3/2022, Hội đồng Tiêu chuẩn Bảo mật PCI (SSC), tổ chức giám sát Tiêu chuẩn Bảo mật Dữ liệu ngành Thẻ Thanh toán (PCI DSS), đã thông báo về việc ban hành PCI DSS4.0 thay thế phiên bản 3.2.1 đã ban hành năm 2018, mở rộng các tiêu chí quy định về xác thực nhiều yếu tố (MFA) và mật khẩu.
Với nhiều thay đổi nổi bật như: Triển khai MFA cho tất cả quyền truy cập vào môi trường dữ liệu của chủ thẻ; tăng tính linh hoạt cho các tổ chức để chứng minh cách họ đang sử dụng các phương pháp khác nhau để đạt được các mục tiêu bảo mật; bổ sung các phân tích rủi ro được nhắm mục tiêu để cho phép các thực thể linh hoạt trong việc xác định tần suất họ thực hiện các hoạt động nhất định, sao cho phù hợp nhất với nhu cầu kinh doanh và mức độ rủi ro của họ,…
Xu hướng 04: Các rủi ro về tấn công bề mặt (attack surface) do việc chuyển dịch lên cloud và làm việc từ xa, đòi hỏi các giải pháp, tính năng kiểm soát bề mặt tấn công
Theo dự báo của Gartner, thị trường quản lý tấn công bề mặt đang ở giai đoạn khởi động, nhưng có thể đóng vai trò là nền tảng cho một kế hoạch ATTT hiệu quả nhất cho DN trong tương lai gần. Ngày càng nhiều các tổ chức đã gặp các cuộc tấn công bề mặt không thể kiểm soát được trong bối cảnh đại dịch COVID-19 và việc áp dụng rộng rãi các dịch vụ đám mây.
Theo số liệu thống kê từ Gartner, trong năm 2022 chỉ dưới 5% các giải pháp về quản lý tấn công bề mặt được cung cấp trong các nền tảng ATTT, tuy nhiên con số này sẽ tăng lên 70% vào năm 2026.
Xu hướng chuyển dịch lên cloud, tích hợp các giải pháp trên 1 nền tảng duy nhất, sự phát triển mạnh mẽ của SaaS, IoT, OT tiềm ẩn những rủi ro về những tài sản không xác định phơi ra ngoài Internet. Do đó tạo ra khối lượng nhu cầu lớn về các giải pháp chuyên biệt, tính năng kiểm soát tấn công bề mặt.
Xu hướng 05: Hệ thống bảo mật hệ thống vận hành (OT Security) cho các hạ tầng trọng yếu
Do tác động của cách mạng chuyển đổi số nên các thiết bị công nghệ bắt đầu được kết nối thông qua CNTT (IT), và điều này tạo cơ hội cho những kẻ tấn công và tin tặc thâm nhập vào hệ thống. Trong đó các lĩnh vực bị tấn công OT chủ yếu là hàng không, năng lượng, logistic.
Tại Việt Nam vấn đề bảo mật OT đang là thách thức rất quan trọng, trong đó: nhận thức về bảo mật OT còn hạn chế, chủ yếu tập trung nhiều ở các DN lớn năng lượng; việc tiếp cận môi trường OT để kiểm tra, thử nghiệm mà vẫn đảm bảo tính ổn định hoạt động; chuyên gia bảo mật OT còn hạn chế tại Việt Nam. Các công ty cung cấp dịch vụ giám sát bảo mật hệ thống OT ở Việt Nam chưa nhiều, đòi hỏi đội ngũ chuyên gia giàu kinh nghiệm và các công cụ ATTT dành riêng cho các thiết bị OT.
Xu hướng 06: DevSecOps trở thành hoạt động trọng yếu của DN
DevSecOps (Development, Security và Operations) hướng tới tự động hóa việc tích hợp bảo mật ở mọi giai đoạn của vòng đời phát triển phần mềm hay chính là tư duy “tất cả mọi thành phần đều có trách nhiệm với bảo mật”.
DevSecOps tích hợp bảo mật ứng dụng và bảo mật cơ sở hạ tầng một cách liền mạch vào các quy trình và công cụ của Agile, DevOps. Nó giải quyết các vấn đề bảo mật khivừa xuất hiện với các ưu điểm nhanh, gọn, dễ dàng và ít tốn kém hơn để sửa chữa.
Ngoài ra, DevSecOps làm cho bảo mật ứng dụng và bảo mật cơ sở hạ tầng trở thành trách nhiệm chung của các nhóm phát triển, bảo mật và vận hành, thay vì như trước kia thì đó là trách nhiệm duy nhất của một nhóm bảo mật riêng biệt. Nó cho phép “phát triển phần mềm, an toàn hơn, sớm hơn” bằng cách tự động hóa việc cung cấp bảo mật mà không làm chậm chu kỳ phát triển phần mềm.
Một khảo sát trên toàn thế giới của Github với sự tham gia của 4.300 công ty, tổ chức sản xuất phần mềm cho thấy tỷ lệ áp dụng DevSecOps trong sản xuất phần mềm đã tăng từ 27% lên 35,9% chỉ qua một năm 2021. Điều này khẳng định, DevSecOps đang và sẽ tiếp tục là xu hướng của công nghệ thôngtin trong những năm tới.
Xu hướng 07: Quản lý rủi ro ATTT trong chuỗi cung ứng
Theo báo cáo của Gartner năm 2022, 89% công ty đều đã từng gặp phải rủ ro về chuỗi cung ứng trong 5 năm qua, nhưng nhận thức về rủi ro và kế hoạch quản lý các rủi ro này của phần lớn công ty đều chưa thực sự rõ ràng.
Rủi ro chuỗi cung ứng bao gồm: Rủi ro từ bên thứ 3 cung cấp dịch vụ, mua sắm cácthiết bị phần cứng, phần mềm nhiễm mã độc, rủi ro khi lưu trữ dữ liệu từ bên thứ 3…Chính vì vậy, các giải pháp đánh giá và đảm bảo ATTT cho bên thứ 3 (third-pary risk governance) đang được kỳ vọng quan tâm trong thời gian tới./.