10 rủi ro an ninh mạng hàng đầu năm 2022
Theo một nghiên cứu mới của Viện Kiểm toán nội bộ (Chartered IIA), an ninh mạng sẽ là mối đe dọa số một mà các tổ chức phải đối mặt trong năm 2022, còn biến đổi khí hậu cũng là rủi ro ngày càng tăng. Đây là năm thứ tư liên tiếp an ninh mạng đứng đầu bảng xếp hạng hàng năm. Show
Báo cáo mới “Tiêu điểm Rủi ro năm 2022” là ấn bản thứ sáu của dự án nghiên cứu về tư duy lãnh đạo hàng năm nhằm phân tích những rủi ro hàng đầu mà các tổ chức phải đối mặt. Báo cáo này giúp những người phụ trách bộ phận kiểm toán nội bộ hiểu các đồng nghiệp của mình nhìn nhận bối cảnh rủi ro ngày nay như thế nào khi họ chuẩn bị kế hoạch kiểm toán cho năm 2022. Tuy nhiên, 69% những người phụ trách bộ phận kiểm toán nội bộ vẫn không coi biến đổi khí hậu là một trong 5 rủi ro hàng đầu và chỉ có 12% tổ kiểm toán nội bộ là đang ưu tiên dành thời gian và nỗ lực đáng kể cho biến đổi khí hậu. Chartered IIA cho rằng đây là điều “đáng báo động về khoảng cách giữa nhận thức và hành động” đối với rủi ro đang gia tăng này. Tổng Giám đốc điều hành của Chartered IIA, ông John Wood cho biết “Sự thích ứng nhanh chóng và triệt để đã chứng kiến trong thời kỳ đại dịch thể hiện khả năng của các doanh nghiệp khi nhu cầu phát sinh.” Ông Wood cho biết “Bây giờ là lúc cho sự đổi mới tương tự để đối phó với rủi ro ngày càng tăng do biến đổi khí hậu gây ra. Các doanh nghiệp nên chuẩn bị sẵn sàng cho các rủi ro về biến đổi khí hậu ngay từ bây giờ để tránh bị đứt gãy trên quy mô lớn trong những năm tới, và các kiểm toán viên nội bộ phải đóng vai trò lập kế hoạch và giám sát quan trọng ở đây. Sự thiếu chuẩn bị cho rủi ro này sẽ ảnh hưởng nghiêm trọng đến sự sinh tồn của doanh nghiệp.” Báo cáo mới này nhận diện những rủi ro hàng đầu đối với các tổ chức trong năm 2022 như: An ninh mạng và bảo mật dữ liệu, thay đổi về luật và quy định, đột phá số và trí tuệ nhân tạo. Khi các doanh nghiệp cân nhắc những mô hình làm việc nào để áp dụng sau đại dịch, không thể đánh giá thấp những rủi ro về văn hóa, tinh thần và sự gắn kết của nhân viên. Nguồn nhân lực, tính đa dạng và quản lý tài năng được 40% những người phụ trách bộ phận kiểm toán nội bộ coi là một trong năm rủi ro hàng đầu của họ. Trong sáu năm qua, Báo cáo Tiêu điểm Rủi ro đã nêu bật các lĩnh vực rủi ro chính để giúp kiểm toán viên nội bộ chuẩn bị công việc đánh giá rủi ro độc lập, lập kế hoạch hàng năm và xác định phạm vi kiểm toán. (Theo AIR 06/10/2021) Hiện nay, chuyển đổi số và ứng dụng công nghệ cao không phải là câu chuyện của riêng doanh nghiệp, mà còn của tất cả người dân. Tốc độ phát triển chóng mặt của công nghệ cũng như sự ảnh hưởng nặng nề của đại dịch Covid-19 đã khiến chúng ta nhận thức được sâu sắc tầm quan trọng của chuyển đổi số trong kỷ nguyên 4.0. Bởi vì, những thứ cần thiết hàng ngày như chuỗi cung ứng thực phẩm, phương tiện vận chuyển, thanh toán và giao dịch tài chính, hoạt động giáo dục, vận hành của Chính phủ, thậm chí cả khai thác nguồn tài nguyên cũng đang ngày càng phụ thuộc vào công nghệ số. Tuy nhiên, chính điều này lại làm cho chúng ta luôn có nguy cơ trở thành mục tiêu của các tội phạm mạng. Tội phạm mạng đang là vấn đề nhức nhối đối với rất nhiều ngành công nghiệp và ngành ngân hàng cũng không phải ngoại lệ Thực trạng tội phạm mạng hiện nay Thực tế cho thấy tội phạm mạng đang gia tăng với mức độ ngày càng tinh vi. Theo báo cáo về tội phạm mạng của FBI, kể từ khi đại dịch Covid-19 bắt đầu, một số loại tấn công mạng đã tăng hơn 300% và chi phí liên quan của một số tội phạm mạng tăng hơn 2,400% (WEF, 2020). Xu hướng này cũng được Google khẳng định khi công bố rằng mỗi ngày công ty đã chặn hơn 18 triệu nỗ lực lừa đảo bằng cách ghi tên Corona lên các tệp hoặc link chứa mã độc (FBI, 2020). Còn theo tổ chức Cybersecurity Ventures, thiệt hại do tội phạm mạng ước tính lên tới 6 nghìn tỷ đô la Mỹ vào năm 2021 và 10,5 nghìn tỷ USD vào năm 2025 so với chỉ 3 nghìn tỷ vào năm 2015. Con số này tương đương với GDP của nền kinh tế lớn thứ ba thế giới chỉ sau Mỹ và Trung Quốc (Steve Morgan, 2021). Lĩnh vực Tài chính – Ngân hàng trở thành mục tiêu hàng đầu của các cuộc tấn công mạng Trong số các lĩnh vực bị tấn công, tài chính – ngân hàng là lĩnh vực thu hút sự chú ý nhất của tội phạm mạng. Trong báo cáo toàn cầu về An ninh mạng của Keepersecurity (2020), gần 70% tổ chức tài chính từng là nạn nhân của các cuộc tấn công mạng. Còn theo báo cáo về an ninh mạng của Insights (2021), hơn 25% các cuộc tấn công bằng phần mềm độc hại là nhằm vào các ngân hàng và tổ chức tài chính; số lượng này nhiều hơn bất kỳ ngành nào khác. Điều này có lẽ xuất phát từ tính đặc thù của ngành Tài chính – Ngân hàng khi mà mô hình hoạt động kinh doanh cũng như việc cung ứng sản phẩm dịch vụ của ngành dựa trên nền tảng công nghệ kỹ thuật số. Trường hợp tấn công an ninh mạng Ngân hàng số tại Việt Nam Việt Nam hiện đứng thứ 21 trên thế giới về các vụ tấn công lừa đảo với 673,743 cuộc tấn công được ghi nhận trong năm 2020. Nếu xét riêng khu vực Đông Nam Á, Việt nam ở trong nhóm dẫn đầu bị tấn công mạng, chỉ sau Thái Lan và Indonesia. Theo khảo sát của Hiệp hội An toàn thông tin Việt Nam, hơn 50% các cuộc tấn công mạng là nhằm vào các tổ chức tài chính và ngân hàng. Còn theo báo cáo của Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an, trong năm 2020 các ngân hàng đã bị thiệt hại khoảng 100 tỷ đồng từ 4,000 vụ tấn công an ninh mạng, trong đó có ngân hàng bị thiệt hại tới 44 tỷ đồng. Trong thời gian qua, các ngân hàng thương mại Việt Nam đã đẩy mạnh quá trình chuyển đổi số. Mục tiêu của quá trình này là nhằm nâng cao hiệu quả hoạt động ngân hàng, gia tăng trải nghiệm khách hàng và đặc biệt tạo thuận lợi cho khách hàng trong sử dụng dịch vụ ngân hàng hiện đại. Tuy nhiên, cùng với xu hướng chuyển đổi số, chính là những thách thức về an ninh mạng. Điển hình như hệ thống dữ liệu ngân hàng bị xâm nhập để lấy cắp dữ liệu hoặc để thực hiện các hành vi gây thiệt hại về tài sản của ngân hàng và khách hàng. Các vụ tấn công nhằm vào các khách hàng của ngân hàng như lừa tiền qua tài khoản, mạo danh nhân viên ngân hàng hoặc gửi link giả mạo ngân hàng và các website mạo danh ngân hàng để lừa tiền khách hàng cũng đang trở nên phổ biến. Như vậy, có thể thấy hoạt động ngân hàng số ở Việt Nam đang đứng trước rủi ro an ninh mạng rất cao bởi vì cả ba chủ thể tham gia vào hoạt động ngân hàng số bao gồm ngân hàng, các đối tác và các khách hàng đều có thể là mục tiêu tấn công của tội phạm mạng. An ninh mạng đóng vai trò then chốt với sự phát triển theo hướng số hóa trong ngành ngân hàng hiện nay Đề xuất giải pháp hạn chế rủi ro an ninh mạng trong hoạt động Ngân hàng số Để khắc phục được những điều này, nhóm tác giả đề xuất các nhóm giải pháp xoay quanh 3 trụ cột chính: Quy trình (Processes), Công nghệ (Technology), và Con người (People). Cụ thể, nhóm giải pháp về quy trình sẽ tập trung vào giới thiệu chi tiết các bước trong quản trị rủi ro an ninh mạng cùng với các hướng dẫn chi tiết nhằm giúp các ngân hàng nhận diện, đánh giá các mối đe dọa, và qua đó có kế hoạch ngăn chặn các vi phạm an ninh mạng và đặc biệt có phương án sẵn sàng ứng phó khi sự cố xảy ra. Trong khi đó, nhóm giải pháp công nghệ được xây dựng trên cơ sở kết hợp các công cụ và kỹ thuật bảo mật hiện đại. Hai công nghệ “Trí tuệ nhân tạo (Artificial Intelligence)” và “Tự động hóa, phản hồi, điều phối và bảo mật (Security Orchestration, Automation and Response)” được đề xuất bởi vì đây là hai loại hình công nghệ đang được các ngân hàng trên thế giới đánh giá cao nhất về hiệu quả trong chiến lược đầu tư công nghệ nhằm giảm thiểu rủi ro an ninh mạng (Accenture Security, 2020). Mặc dù Blockchain là công nghệ đang được cho là đầy hứa hẹn trong đảm bảo an ninh mạng nhưng các ngân hàng cũng cần có những cân nhắc thật kỹ lưỡng trước khi đưa vào sử dụng. Bởi vì công nghệ này vẫn còn chứa đựng nhiều rủi ro chưa thể dự đoán trước được. Đối với nhóm giải pháp về nhân sự, chúng tôi tiếp cận theo hướng đẩy mạnh nhận thức và xây dựng văn hóa an ninh mạng trong ngân hàng. Ngoài ra, các kiến nghị đối với Chính phủ và NHNN trong các vấn đề liên quan đến hành lang pháp lý và xây dựng chiến lược an ninh mạng ở tầm quốc gia cũng được chú trọng. Vấn đề cuối cùng mà nhóm tác giả muốn đề xuất chính là nhóm giải pháp hạn chế rủi ro an ninh mạng cho mô hình ngân hàng số toàn diện. Mặc dù chưa được phép tại Việt Nam nhưng việc thành lập một ngân hàng số toàn diện là hướng đi chuyển đổi số mà các ngân hàng Việt Nam đang hướng đến. Trên cơ sở kinh nghiệm phát triển của ngân hàng số C6 ở Brazil (Keri Pearlson và cộng sự, 2020), chúng tôi, vì thế, đề xuất chính sách an ninh mạng cho ngân hàng số toàn diện trên cơ sở năm nhóm chính, bao gồm: nhóm phòng thủ, nhóm kỹ thuật, nhóm quản trị, nhóm an toàn ứng dụng, và nhóm phụ trách văn hóa an ninh mạng. Bên cạnh đó, rủi ro an ninh mạng cũng cần được kiểm soát chặt chẽ bằng cách sử dụng mô hình kiểm soát rủi ro 3 lớp: lớp liên quan đến quy trình hoạt động, lớp liên quan đến kiểm soát rủi ro và đảm bảo tính tuân thủ các nguyên tắc bảo mật, và cuối cùng là lớp liên quan đến kiểm soát nội bộ. Về phía khách hàng, an ninh mạng cũng là vấn đề đáng được quan tâm hàng đầu. Nhóm tác giả đề xuất một số lời khuyên khái quát cho phía khách hàng nhằm bảo vệ bản thân đối với vấn đề an ninh mạng dựa trên những rủi ro đã đề cập ở trên bao gồm: luôn giữ thông tin cá nhân ở mức an toàn cao nhất có thể khi sử dụng dịch vụ ngân hàng qua các thiết bị điện tử (sử dụng các phần mềm chống virus, tường lửa trên các thiết bị có kết nối mạng), đề phòng các trang mạng không uy tín, email, tin nhắn mạo danh lừa đảo (đặc biệt chú ý với hình thức lừa đảo chiếm đoạt thông tin khách hàng thông qua hình thức mở tệp đính kèm hoặc liên kết được nhúng), sử dụng mật khẩu mạnh, khác nhau cho các tài khoản khác nhau (không nên sử dụng thông tin cá nhân để đặt làm mật khẩu). Tóm lại, rủi ro an ninh mạng là một trong những vấn đề vấn đề sống còn trong quá trình chuyển đổi số của hệ thống ngân hàng Việt Nam hiện nay. Để hạn chế rủi ro này, các ngân hàng cần phải áp dụng đồng bộ các giải pháp cả về công nghệ bảo mật hiện đại kết hợp với xây dựng quy trình quản trị rủi ro an ninh mạng hiệu quả cùng với chính sách phát triển văn hoá an ninh mạng. Các giải pháp này sẽ chỉ khả thi khi có được sự hỗ trợ của Chính phủ và các cơ quan ban ngành về các khía cạnh pháp lý và định hướng phát triển chính sách an ninh mạng ở tầm quốc gia. Xem đầy đủ bài nghiên cứu Rủi ro an ninh mạng trong hoạt động ngân hàng số: Trường hợp Việt Nam tại đây. Nhóm tác giả: TS. Phan Chung Thủy, TS. Phan Thu Hiền, NCS. Huỳnh Ngọc Quang Anh (Khoa Ngân hàng, Trường Kinh doanh UEH). Đây là bài viết nằm trong Chuỗi bài lan tỏa nghiên cứu và kiến thức ứng dụng từ UEH với thông điệp giai đoạn năm 2022 “Research Contribution For All – Nghiên Cứu Vì Cộng Đồng”, UEH trân trọng kính mời Quý độc giả đón xem Bản tin kiến thức KINH TẾ SỐ #25 “Nâng cao trải nghiệm khách hàng trực tuyến trong ngành du lịch”. Tin, ảnh: Nhóm tác giả, Phòng Marketing – Truyền thông UEH. Giọng đọc: ThS. Phạm Nguyễn Hoài – Viện ISCM. OWASP Top 10 là một tài liệu nâng cao nhận thức tiêu chuẩn cho các nhà phát triển và bảo mật ứng dụng web. Nó thể hiện sự đồng thuận rộng rãi về các rủi ro bảo mật quan trọng nhất đối với các ứng dụng web. Trên toàn cầu được các nhà phát triển công nhận là bước đầu tiên hướng tới mã hóa an toàn hơn. Các công ty nên áp dụng tài liệu này và bắt đầu quá trình đảm bảo rằng các ứng dụng web của họ giảm thiểu các rủi ro này. Sử dụng top 10 của OWASP có lẽ là bước đầu tiên hiệu quả nhất để thay đổi văn hóa phát triển phần mềm trong tổ chức của bạn thành một sản phẩm tạo ra mã an toàn hơn. Có ba loại mới, bốn loại có thay đổi đặt tên và phạm vi, và một số hợp nhất trong top 10 cho năm 2021.
Nỗ lực dịch thuậtNhững nỗ lực đã được thực hiện bằng nhiều ngôn ngữ để dịch Top 10 - 2017 của OWASP. Nếu bạn quan tâm đến việc giúp đỡ, xin vui lòng liên hệ với các thành viên của nhóm để biết ngôn ngữ bạn quan tâm đến việc đóng góp hoặc nếu bạn không thấy ngôn ngữ của mình được liệt kê . Chúng tôi đã biên soạn readme.translations này với một số gợi ý để giúp bạn dịch. 2017 Completed Translations:
Historic:2017 Release Candidate Translation Teams:
2013 Completed Translations:
Bản dịch hoàn chỉnh năm 2010:
Top 10: 2021 của OWASP được tài trợ bởi Warror Code Warror thứ cấp. Dự án Top 10 - 2017 của OWASP đã được Autodek Autodek tham gia, và được hỗ trợ bởi chương OWASP Nova. Cảm ơn Dopect bí mật cho các phiên bản tài trợ trước đó. Kế hoạch phân tích dữ liệu top 10 2020Bàn thắngĐể giữ các bộ dữ liệu tổng hợp nhất liên quan đến việc xác định các vilsions vilennerabritical 2010 cho sự thiếu máu cho top 10 và nghiên cứu trong tương lai khác như chúng ta. Dữ liệu này nên đến từ nhiều nguồn khác nhau; Nhà cung cấp bảo mật và tư vấn, Bonties Big, Alon với đóng góp của công ty/ tổ chức. Dữ liệu sẽ được cấp độ để đáp ứng cấp độ giữa công ty giữa dụng cụ hỗ trợ và công cụ hỗ trợ của con người. Cơ sở hạ tầng phân tíchLên kế hoạch tận dụng cơ sở hạ tầng đám mây OWASP Azure để thu thập, phân tích và lưu trữ dữ liệu được đóng góp. Đóng gópChúng tôi có kế hoạch hỗ trợ cả những đóng góp đã biết và giả danh. Sở thích là những đóng góp được biết đến; Điều này vô cùng giúp xác nhận/chất lượng/niềm tin của dữ liệu được gửi. Nếu người gửi thích dữ liệu của họ được lưu trữ ẩn danh và thậm chí đi xa như gửi dữ liệu một cách ẩn danh, thì nó sẽ phải được phân loại là không được xác minh so với xác minh. Đóng góp dữ liệu được xác minhKịch bản 1: Người nộp được biết đến và đã đồng ý được xác định là một bên đóng góp. Kịch bản 2: Người nộp được biết đến nhưng không được xác định công khai. Kịch bản 3: Người gửi được biết nhưng không muốn nó được ghi trong bộ dữ liệu. Đóng góp dữ liệu chưa được xác minhKịch bản 4: Người nộp là ẩn danh. (Chúng ta có nên hỗ trợ không?) Việc phân tích dữ liệu sẽ được thực hiện với sự phân biệt cẩn thận khi dữ liệu chưa được xác minh là một phần của bộ dữ liệu được phân tích. Quá trình đóng gópCó một vài cách mà dữ liệu có thể được đóng góp:
Các ví dụ mẫu có thể được tìm thấy trong GitHub: https://github.com/owasp/top10/tree/master/2021/data Thời gian đóng gópChúng tôi dự định chấp nhận các khoản đóng góp cho Top 10 mới từ tháng 5 đến ngày 30 tháng 11 năm 2020 cho dữ liệu có niên đại từ năm 2017 đến hiện tại. Cấu trúc dữ liệuCác yếu tố dữ liệu sau được yêu cầu hoặc tùy chọn. Càng nhiều thông tin cung cấp thì phân tích của chúng tôi có thể chính xác hơn. Ở mức tối thiểu, chúng tôi cần khoảng thời gian, tổng số ứng dụng được thử nghiệm trong bộ dữ liệu và danh sách CWE và số lượng ứng dụng có chứa CWE đó. Nếu có thể, vui lòng cung cấp siêu dữ liệu bổ sung, bởi vì điều đó sẽ giúp chúng tôi có nhiều hiểu biết hơn về tình trạng thử nghiệm và lỗ hổng hiện tại.required or optional. metadata
Dữ liệu CWE
Nếu có thể, vui lòng cung cấp CWE cốt lõi trong dữ liệu, không phải các danh mục CWE. Điều này sẽ giúp phân tích, bất kỳ bình thường hóa/tập hợp nào được thực hiện như một phần của phân tích này sẽ được ghi nhận rõ ràng. Note:Nếu một người đóng góp có hai loại bộ dữ liệu, một từ HAT và một từ các nguồn TAH, thì nên gửi chúng dưới dạng hai bộ dữ liệu riêng biệt. HAT = Các công cụ hỗ trợ của con người (khối lượng/tần số cao hơn, chủ yếu từ dụng cụ) TAH = Công cụ hỗ trợ con người (khối lượng/tần số thấp hơn, chủ yếu từ thử nghiệm của con người) Sự khảo sátTương tự như Top Ten 2017, chúng tôi có kế hoạch thực hiện một cuộc khảo sát để xác định tối đa hai loại của Top Ten mà cộng đồng tin rằng rất quan trọng, nhưng có thể chưa được phản ánh trong dữ liệu. Chúng tôi dự định tiến hành khảo sát vào tháng 5 hoặc tháng 6 năm 2020 và sẽ sử dụng các biểu mẫu của Google theo cách tương tự như lần trước. Các CWE trong cuộc khảo sát sẽ đến từ các phát hiện có xu hướng hiện tại, CWE nằm ngoài mười dữ liệu hàng đầu và các nguồn tiềm năng khác. Quá trìnhỞ cấp độ cao, chúng tôi dự định thực hiện một mức độ chuẩn hóa dữ liệu; Tuy nhiên, chúng tôi sẽ giữ một phiên bản của dữ liệu thô được đóng góp cho phân tích trong tương lai. Chúng tôi sẽ phân tích phân phối CWE của các bộ dữ liệu và có khả năng phân loại lại một số CWE để củng cố chúng thành các thùng lớn hơn. Chúng tôi sẽ cẩn thận ghi lại tất cả các hành động chuẩn hóa được thực hiện để rõ ràng những gì đã được thực hiện. Chúng tôi có kế hoạch tính toán khả năng theo mô hình chúng tôi đã phát triển vào năm 2017 để xác định tỷ lệ mắc thay vì tần suất để đánh giá mức độ có khả năng một ứng dụng nhất định có thể chứa ít nhất một trường hợp của CWE. Điều này có nghĩa là chúng tôi không tìm kiếm tốc độ tần suất (số lượng phát hiện) trong một ứng dụng, thay vào đó, chúng tôi đang tìm kiếm số lượng ứng dụng có một hoặc nhiều trường hợp của CWE. Chúng tôi có thể tính toán tỷ lệ mắc dựa trên tổng số ứng dụng được thử nghiệm trong bộ dữ liệu so với số lượng ứng dụng mà mỗi CWE được tìm thấy. Ngoài ra, chúng tôi sẽ phát triển điểm số CWSS cơ sở cho 20-30 CWES hàng đầu và bao gồm tác động tiềm năng vào trọng số 10. Ngoài ra, muốn khám phá những hiểu biết bổ sung có thể được lượm lặt từ bộ dữ liệu đóng góp để xem những gì khác có thể học được có thể được sử dụng cho các cộng đồng bảo mật và phát triển. 8 mối đe dọa an ninh mạng chính là gì?Kỹ thuật xã hội. Kỹ thuật xã hội được coi là rủi ro chính vì các trang web truyền thông xã hội mới phổ biến và đa dạng. .... Dịch vụ điện toán đám mây. Xu hướng công nghệ mới trong hệ thống máy tính là điện toán đám mây. .... Các yếu tố rủi ro nội bộ. .... Bảo mật HTML. .... Apts. .... BYODS. .... Phần mềm độc hại. .... Botnets.. Rủi ro an ninh mạng hàng đầu là gì?Các nhân viên đe dọa an ninh mạng phổ biến nhất là các cuộc tấn công lừa đảo.Với các cuộc tấn công ngày càng tiến bộ hơn, nhiều nhân viên không có kỹ năng để xác định email lừa đảo.Ngoài ra, nhiều nhân viên tham gia vào kỷ luật an ninh mạng kém, sử dụng cùng một mật khẩu cho công việc và máy tính gia đình.phishing attacks. With attacks growing more advanced, many employees don't have the skills to identify a phishing email. Additionally, many employees engage in poor cyber security discipline, using the same password for work and home computers.
10 mối đe dọa mạng lớn nhất đối với tổ chức là gì?Top 10 mối đe dọa an ninh mạng:.. Kỹ thuật xã hội..... Tiếp xúc của bên thứ ba..... Sai lầm cấu hình..... Vệ sinh mạng kém..... Lỗ hổng đám mây..... Lỗ hổng thiết bị di động..... Internet của mọi thứ..... Ransomware.. 10 loại tấn công mạng hàng đầu là gì?Các loại tấn công mạng khác nhau là tấn công phần mềm độc hại, tấn công mật khẩu, tấn công lừa đảo và tấn công SQL.malware attack, password attack, phishing attack, and SQL injection attack. |