Hàng năm, báo cáo về chi phí của Tập đoàn IBM (Mỹ) cung cấp thông tin chi tiết từ các vụ vi phạm thực tế để giúp người dùng hiểu được các rủi ro mạng trong một thế giới đang thay đổi. Báo cáo này đã trở thành một công cụ tiêu chuẩn hàng đầu, cung cấp cho các nhà lãnh đạo công nghệ thông tin (CNTT), các nhà quản lý rủi ro và bảo mật một góc nhìn về các yếu tố có thể giúp giảm thiểu thiệt hại do vi phạm dữ liệu.

Vậy tại sao các doanh nghiệp vẫn mất trung bình khoảng 280 ngày mới tìm ra và ngăn chặn vi phạm? Các CISO và Giám đốc CNTT có thể làm gì để giảm thiểu khung thời gian này để kết quả không còn là thiệt hại về tài chính và danh tiếng?

Có một số lý do tại sao sự thỏa hiệp thường mất quá nhiều thời gian để phát hiện và giải quyết. Đầu tiên phải nhắc đến là nguồn tài chính để đầu tư cho an ninh mạng của các tổ chức, doanh nghiệp luôn không đủ. Theo báo cáo tình trạng an ninh mạng năm 2020 của ISACA, 60% số người được hỏi cho rằng ngân sách an ninh mạng của họ được cấp ít vốn hoặc không đáng kể. Các chương trình an ninh mạng thiếu kinh phí thường thiếu cơ sở hạ tầng bảo mật, nhân sự và sự đào tạo cần thiết để tránh các cuộc hoặc có phản ứng hiệu quả khi vi phạm xảy ra.

Các tổ chức cũng không bắt kịp tốc độ truyền thông tin mà không có tự động hóa bảo mật. Theo IBM, tự động hóa bảo mật được triển khai có thể giảm gần 25% vòng đời vi phạm so với các hệ thống an ninh không có tự động hóa. Các cuộc tấn công có thể xuất hiện nếu các công ty không cẩn trọng về sự thỏa hiệp của bên thứ ba. Có một thực tế là, tin tặc ngày càng gia tăng các cuộc tấn công mạng và chúng cũng ngày càng trở nên tinh vi hơn.

Việc phát hiện vi phạm sớm không phải lúc nào cũng giúp người dùng có thể nhìn thấy được các hệ thống nội bộ và nguồn cấp dữ liệu. Các chỉ báo vi phạm thường có thể phát hiện được đầu tiên trên các nguồn trực tuyến công khai như diễn đàn, web đen, nơi mà dữ liệu phải trả tiền hoặc có sẵn miễn phí. Nếu không có bộ công cụ cảnh báo mối đe dọa, người dùng đang bỏ lỡ cơ hội tiềm năng để giảm thời gian phát hiện và khắc phục.

Những hậu quả của việc vi phạm dữ liệu

Theo IBM, các tổ chức có hơn 25.000 nhân viên đang xem xét mức giá vi phạm là 5,52 triệu USD, nhưng các tổ chức có thể tiết kiệm trung bình 1,12 triệu USD nếu họ rút ngắn vòng đời của vi phạm xuống dưới 200 ngày. Chi phí này bao gồm các chi phí liên quan đến quản lý khủng hoảng, kinh doanh thua lỗ, thông tin liên lạc với cơ quan quản lý và phản ứng của nạn nhân.

Những con số này không bao gồm chi phí của cơ quan quản lý đối với việc không tuân thủ. Ví dụ: theo quy định của GDPR, các tổ chức vi phạm phải báo cáo sự cố trong vòng 72 giờ. Nếu dữ liệu cá nhân bị tiết lộ, bị truy cập, thay đổi hoặc bị đánh cắp yêu cầu phải hành động ngay. Trong trường hợp mất dữ liệu nhạy cảm như dữ liệu sức khỏe hoặc tài chính, sự cố phải được báo cáo với cơ quan có thẩm quyền và từng cá nhân bị ảnh hưởng trong vòng 72 giờ. Nếu không tuân thủ, tổ chức đó có nguy cơ bị phạt nặng hàng triệu USD. Các tổ chức, doanh nghiệp cũng có nguy cơ dính phải các vụ kiện tụng và cái giá phải trả là đánh mất lòng tin của khách hàng và các bên liên quan.

Chiến lược phát hiện và khắc phục sớm

Theo Cyberdefensemagazine, các chuyên gia đề xuất một số chiến lược sau đây để giúp người dùng có thể phát hiện các vi phạm sớm hơn trong tổ chức của mình và giảm thiểu vòng đời vi phạm:

- Đầu tư nhiều hơn vào các giải pháp an ninh mạng toàn diện, đặc biệt là những giải pháp khai thác tự động hóa.

- Cải thiện thông tin liên lạc với các giám đốc điều hành và thành viên hội đồng quản trị, từ đó đưa các mối quan tâm về an ninh mạng để lập ngân sách và ra quyết định trong toàn tổ chức.

- Thành lập một đội ứng phó sự cố và an ninh mạng chuyên trách.

- Phát triển và thường xuyên kiểm tra kế hoạch ứng phó vi phạm để có sự chuẩn bị tốt hơn cho việc khắc phục khi có sự cố xâm phạm.

- Ưu tiên các phương pháp tốt nhất về an ninh mạng, chẳng hạn như giới hạn quyền đối với dữ liệu trong tổ chức và đào tạo nhân viên về an ninh mạng.

Tuy nhiên, các cảnh báo vi phạm sớm thường xuất hiện trên các nguồn trực tuyến công khai, chẳng hạn như web đen, đôi khi có trước các cuộc xâm phạm trên hệ thống của người dùng. Các nhóm an ninh mạng có thể tránh được điều này bằng cách tận dụng các công cụ và nguồn cấp dữ liệu giám sát không gian trực tuyến ẩn đề cập đến công ty của mình hoặc các thông tin nhạy cảm như địa chỉ email và dữ liệu nội bộ khác. Cải thiện mức độ bao phủ dữ liệu không phải là giải pháp cho việc phát hiện sớm, nhưng nó có thể hỗ trợ một cách chủ động hơn trong một chặng đường dài.

Hiện nay, nhiều nguồn dữ liệu không rõ ràng như các diễn đàn và trang web chưa được lập danh mục, chúng không bị thu thập thông tin bởi các giải pháp về mối đe dọa thương mại, đó là lý do tại sao điều quan trọng là phải kiểm tra mức độ phù hợp của dữ liệu khi đánh giá các nhà cung cấp mới. Các nguồn có liên quan xuất hiện nhanh chóng trên web đen. Các nhà phân tích an ninh mạng thường không có thời gian để điều hướng các nguồn này theo cách thủ công để tìm kiếm những rủi ro tiềm ẩn, vì vậy hãy để phần mềm thực hiện việc này.

Hầu hết các CISO đều hiểu rằng vi phạm là không thể tránh khỏi, nhưng với việc phát hiện và khắc phục sớm, các tổ chức có thể giảm đáng kể thiệt hại về tài chính, bảo vệ chủ thể dữ liệu và quyền sở hữu trí tuệ của họ, đồng thời giữ gìn danh tiếng của họ.

Khi bề mặt tấn công tăng lên thông qua chuyển đổi kỹ thuật số thì các chiến lược phát hiện sớm là điều cần thiết cho tăng trưởng kinh doanh trong tương lai.