an ninh mạng - viod.vn · • mức độ hoạt động kinh doanh của chúng ta chịu thúc...
TRANSCRIPT
© ACCA RESTRICTED
Nội dung
Trọng tâm của ACCA vào Rủi ro An ninh Mạng
Rủi ro An ninh Mạng – bùng nổ ở châu Á
Tấn công mạng– các loại hình và tác động
Thông tin Quan trọng cho HĐQT
Câu hỏi mà HĐQT cần đặt ra đối với Ban Điều
hành về an ninh mạng
Truyền thông của VIOD về an ninh mạng
© ACCA RESTRICTED
Trọng tâm của ACCA vào Rủi ro An ninh Mạng
© ACCA RESTRICTED
Khảo sát ACCA: Nhận thức rủi ro tội phạm mạng
Tây Âu Trung và Đông Âu
Nam Á
Trung Đông
Châu Á - TBD
Châu Phi Nam Phi Toàn cầu
Bắc Mỹ
© ACCA RESTRICTED
Rủi ro An ninh Mạng – bùng nổ ở châu Á
Tin tặc có hơn
80% xu hướng tấn
công các tổ chức ở
Châu Á
Nguồn: Rủi ro An ninh Mạng ở Châu Á-Thái Bình Dương: Cần minh bạch hơn nữa; Marsh & McLennan 2017
Hiểu biết về Bối cảnh Nguy cơ An ninh Mạng ở Châu Á-Thái Bình Dương: Bảo vệ Doanh nghiệp Hiện đại trong Thế giới Số; Frost & Sullivan
và Microsoft, 2018
Tổng tổn thất kinh tế:
1,75 nghìn tỷ
$ 7% GDP Châu Á-
Thái Bình Dương
© ACCA RESTRICTED
Rủi ro An ninh Mạng – bùng nổ ở châu Á (2)
Xếp thứ 5
trong các rủi ro
hàng đầu của
châu Á
Nguồn: Rủi ro An ninh Mạng ở Châu Á-Thái Bình Dương: Cần minh bạch hơn nữa; Marsh &
McLennan 2017
Các tổ chức ở
Châu Á mất
1,7 lần thời
gian để phát
hiện có xâm
phạm
78% người sử
dụng internet ở
châu Á –
không được giáo
dục về
an ninh mạng
© ACCA RESTRICTED
Rủi ro An ninh Mạng – bùng nổ ở châu Á: ví dụ gần đây
2016
Ngân hàng Trung ương
Bangladesh
Gian lận trị giá 81 triệu $
liên quan đến chuyển tiền
© ACCA RESTRICTED
Rủi ro An ninh Mạng – bùng nổ ở châu Á: ví dụ gần đây
2018
Singapore – thông tin y tế
cá nhân của 1,5 triệu
người bị xâm phạm, bao
gồm cả thông tin của Thủ
tướng
© ACCA RESTRICTED
Rủi ro An ninh Mạng – bùng nổ ở châu Á: ví dụ gần đây
2016
Philippines - 68 website
của chính phủ bị xâm nhập
cùng lúc
© ACCA RESTRICTED
Rủi ro An ninh Mạng – bùng nổ ở châu Á: ví dụ gần đây
2015
Hồng Kông – dữ liệu của
6,4 triệu trẻ em bị lấy cắp từ
nhà sản xuất đồ chơi kỹ
thuật số
© ACCA RESTRICTED
Rủi ro An ninh Mạng – bùng nổ ở châu Á: ví dụ gần đây
2014
Malaysia – thông tin của 46,2 triệu
thuê bao di động bị rò rỉ
© ACCA RESTRICTED
Rủi ro An ninh Mạng – bùng nổ ở châu Á: ví dụ gần đây
2017
Thiệt hại do virus máy tính:
12,3 nghìn tỷ VND tương đương 540
triệu USD (2016: 10,4 nghìn tỷ VND)
Nguồn: BKAV
Mức độ kỹ thuật số gia tăng
Số tên miền được đăng ký cao nhất trong Asean (www.AAA.vn)
Tỷ lệ sử dụng di động – 144%, 50% điện thoại thông minh
Tăng trưởng thương mại điện tử 35%/năm.
© ACCA RESTRICTED
Nguồn: informationisbeautiful.net
Các Vụ Vi phạm Dữ liệu Lớn nhất trên Thế giới Một số tổn thất trên 30.000 bản ghi (cập nhật đến 04/07/2018)
© ACCA RESTRICTED
Tấn công mạng – Loại
Tấn công mạng … dù có tên thế nào.. đều tồi tệ!
Trojan
Botnet
Malware (phần mềm độc hại)
Spyware (phần mềm gián điệp)
Phishing
Ransonware (mã độc tống tiền)
DDoS
Rủi ro Cao Thường trực (APT) (quốc gia, khủng bố
mạng)
..
… và vân vân
© ACCA RESTRICTED
Tấn công mạng – tác động
Bản chất thực (ví dụ):
• Gian lận tài chính
• Kênh bán hàng trực
tuyến không sử dụng
được
• Làm giả thương hiệu trực
tuyến
• Rò rỉ hoặc phá hỏng dữ
liệu
Điều gì HĐQT lo ngại
nhất
– tác động lớn nhất và
thời gian phục hồi chậm
nhất
Tác động:
Xâm phạm dữ liệu cá nhân
Mất thông tin bảo mật vào tay đối thủ
cạnh tranh
Tổn hại danh tiếng và niềm tin của
khách hàng
Mất doanh thu
Mất việc làm
Sụt giảm sự tin tưởng vào hệ sinh thái
– giảm chi tiêu của người tiêu dùng và
doanh nghiệp
Danh tiếng cá nhân của thành viên
HĐQT
© ACCA RESTRICTED
1. An ninh mạng cần trở thành
một chủ đề thảo luận của kỳ
họp HĐQT
• M&A
• Ra mắt sản phẩm mới
• Dự án mới
• Chiến lược và ngân sách hàng
năm
Hành trình chuyển đổi kỹ thuật số-
• xây dựng một chiến lược an ninh
mạng
Thông tin Quan trọng cho HĐQT
© ACCA RESTRICTED
2. Giải quyết những điểm yếu phòng vệ trên không gian mạng
• Giao một thành viên ban điều hành cấp cao chịu trách nhiệm về bảo mật
thông tin
• Cách tiếp cận tích hợp, chứ không tiếp cận đơn lẻ
• Đào tạo về bảo mật thông tin – nhân viên, nhà cung cấp chính (?)
Thông tin Quan trọng cho HĐQT (2)
Biểu đồ 1: 5 thách thức hàng đầu về bảo mật thông tin
Thiếu chính sách bảo mật bằng văn bản,
hoặc chính sách và hướng dẫn và quy trình
đi kèm đã lỗi thời
Rò rỉ thông tin
Thiếu tuân thủ quy định về bảo vệ dữ liệu
cá nhân
Thiếu phân tách trách nhiệm
Thiếu giám sát và kiểm soát đối với nhà
cung cấp thuê ngoài bên thứ ba
© ACCA RESTRICTED
3. Trên cả phòng ngừa – tốc độ phát hiện và khôi phục!
Thông tin Quan trọng cho HĐQT (3)
Biểu đồ 2: Ông/bà có biết thời gian bình quân cần thiết để tổ chức mình
giải quyết một sự cố hoặc vi phạm về bảo mật
Chưa tới 1 tháng
2-5 tháng
6-12 tháng
Trên 12 tháng
Không biết
© ACCA RESTRICTED
Thông tin Quan trọng cho HĐQT (3) – bài học kinh nghiệm
Công ty bảo hiểm y tế hàng
đầu của Hoa Kỳ
Xâm phạm dữ liệu, có khả
năng ảnh hưởng tới gần 80
triệu khách hàng và nhân
viên
Những điều đã thực hiện đúng:
1. Tự phát hiện ra xâm phạm – không phải tin tặc hay
cơ quan truyền thông (quản lý rủi ro danh tiếng)
2. Thông báo ngay cho chính quyền liên bang. Thuê
tư vấn có uy tín về về mạng máy tính để kiểm soát
thiệt hại trước mắt (sự sẵn sàng nội bộ)
3. Mặc dù quy định cho phép báo cáo trong vòng 60
ngày, Anthem công bố công khai trong vòng vài
ngày kể từ ngày phát hiện (phục hồi niềm tin và sự
trung thành)
4. Thông điệp rõ ràng và chặt chẽ về những gì xảy ra
5. Thư của Tổng giám đốc – đề cập đến lo ngại của
các bên liên quan chính, xin lỗi, bày tỏ sự thông
cảm, và cung cấp thông tin trước mắt
© ACCA RESTRICTED
Giải quyết xu hướng của HĐQT và Ban điều hành đối với các khoản đầu tư
vào công nghệ mới – ‘áp dụng trước, quản lý sau’ (71%)
Thông tin Quan trọng cho HĐQT (4)
4. Đầu tư cho bảo mật thông tin phải theo kịp tốc độ áp
dụng công nghệ
Biểu đồ 4: Tổ chức của bạn đầu tư bao nhiêu cho bảo mật thông tin trong
3 năm tới?
Chưa tới 64.999 USD
65.000 USD – 149.000 USD
150.000 USD – 350.000 USD
Trên 350.000 USD
Không
Không biết
© ACCA RESTRICTED
Thông tin Quan trọng cho HĐQT (4)
4. Đầu tư vào các thông lệ tốt “căn bản”
• Dùng password mạnh
• Định dạng đa chiều
• Đảm bảo thiết bị hệ điều hành, phần mềm và chống virut chuẩn và cập nhật
• Đầu tư vào Đánh giá và Rà soát hệ thống thường xuyên
• Mã hóa các dữ liệu nhạy cảm
• Tận dụng trí tuệ nhân tạo
© ACCA RESTRICTED
• Ai trong số thành viên ban điều hành cấp cao chịu trách nhiệm về an ninh mạng? Cá nhân này có kỹ năng và kinh nghiệm phù hợp không?
• Mức độ hoạt động kinh doanh của chúng ta chịu thúc đẩy hay thực hiện được nhờ kỹ thuật số/công nghệ? Những lĩnh vực nào dễ bị tấn công mạng nhất?
• Chúng ta đã dành ngân sách bao nhiêu cho an ninh mạng? Ngân sách đó so sánh thế nào so với đối thủ/công ty tương đương?
• Chúng ta đo lường hiệu quả của các chương trình an ninh mạng bằng cách nào?
Câu hỏi mà HĐQT cần đặt ra đối với Ban Điều hành về an ninh mạng
© ACCA RESTRICTED
• Kiểm tra xâm nhập hoặc đánh giá độc lập của bên thứ ba về phòng vệ mạng – lần gần nhất được thực hiện khi nào? Những phát hiện chính và chúng ta sẽ giải quyết những vấn đề đó như thế nào?
• Kiểm toán độc lập có nêu ra bất kỳ điểm yếu nào về hệ thống kiểm soát nội bộ đối với các báo cáo tài chính liên quan đến an ninh mạng?
Câu hỏi mà HĐQT cần đặt ra đối với Ban Điều hành về an ninh mạng (2)
© ACCA RESTRICTED
• Tiếng nói tập thể – chiến lược.
• Cải thiện các vấn đề về quản trị an ninh mạng lấy hoạt động kinh
doanh làm nền tảng… đi trước can thiệp của cơ quan quản lý
• Nghiên cứu cục bộ dựa trên bằng chứng về các vấn đề An ninh
Mạng. Điều quan trọng là phải thông tin cho các nhà hoạch định
chính sách của chính phủ, HĐQT
• Những thay đổi trong hệ sinh thái – vd: bảo hiểm rủi ro An ninh
Mạng (cyber risk insurance), chất lượng và sự sẵn có của
chuyên gia an ninh mạng
VIOD – Truyền thông
© ACCA RESTRICTED
Các nghiên cứu của ACCA về vấn đề an ninh
mạng vui lòng tham khảo:
https://www.accaglobal.com/gb/en/professional-
insights/technology.html
Diễn giả ACCA Sharath Martin vui lòng liên hệ