An ninh Mạng: Thách thức và cơ hội thế kỷ 21
Nội dung Trọng tâm của ACCA vào Rủi ro An ninh Mạng Rủi ro An ninh Mạng bùng nổ ở châu Á Tấn công mạng các loại hình và tác động Thông tin Quan trọng cho HĐQT Câu hỏi mà HĐQT cần đặt ra đối với Ban Điều hành về an ninh mạng Truyền thông của VIOD về an ninh mạng
Trọng tâm của ACCA vào Rủi ro An ninh Mạng
Khảo sát ACCA: Nhận thức rủi ro tội phạm mạng Tây Âu Trung và Đông Âu Nam Á Bắc Mỹ Trung Đông Châu Á - TBD Toàn cầu Nam Phi Châu Phi
Rủi ro An ninh Mạng bùng nổ ở châu Á
Rủi ro An ninh Mạng bùng nổ ở châu Á Tin tặc có hơn 80% xu hướng tấn công các tổ chức ở Châu Á Tổng tổn thất kinh tế: 1,75 nghìn tỷ $ 7% GDP Châu Á- Thái Bình Dương Nguồn: Rủi ro An ninh Mạng ở Châu Á-Thái Bình Dương: Cần minh bạch hơn nữa; Marsh & McLennan 2017 Hiểu biết về Bối cảnh Nguy cơ An ninh Mạng ở Châu Á-Thái Bình Dương: Bảo vệ Doanh nghiệp Hiện đại trong Thế giới Số; Frost & Sullivan và Microsoft, 2018
Rủi ro An ninh Mạng bùng nổ ở châu Á (2) Xếp thứ 5 trong các rủi ro hàng đầu của châu Á Các tổ chức ở Châu Á mất 1,7 lần thời gian để phát hiện có xâm phạm 78% người sử dụng internet ở châu Á không được giáo dục về an ninh mạng Nguồn: Rủi ro An ninh Mạng ở Châu Á-Thái Bình Dương: Cần minh bạch hơn nữa; Marsh & McLennan 2017
Rủi ro An ninh Mạng bùng nổ ở châu Á: ví dụ gần đây 2016 Ngân hàng Trung ương Bangladesh Gian lận trị giá 81 triệu $ liên quan đến chuyển tiền
Rủi ro An ninh Mạng bùng nổ ở châu Á: ví dụ gần đây 2018 Singapore thông tin y tế cá nhân của 1,5 triệu người bị xâm phạm, bao gồm cả thông tin của Thủ tướng
Rủi ro An ninh Mạng bùng nổ ở châu Á: ví dụ gần đây 2016 Philippines - 68 website của chính phủ bị xâm nhập cùng lúc
Rủi ro An ninh Mạng bùng nổ ở châu Á: ví dụ gần đây 2015 Hồng Kông dữ liệu của 6,4 triệu trẻ em bị lấy cắp từ nhà sản xuất đồ chơi kỹ thuật số
Rủi ro An ninh Mạng bùng nổ ở châu Á: ví dụ gần đây 2014 Malaysia thông tin của 46,2 triệu thuê bao di động bị rò rỉ
Rủi ro An ninh Mạng bùng nổ ở châu Á: ví dụ gần đây 2017 Thiệt hại do virus máy tính: 12,3 nghìn tỷ VND tương đương 540 triệu USD (2016: 10,4 nghìn tỷ VND) Nguồn: BKAV Mức độ kỹ thuật số gia tăng Số tên miền được đăng ký cao nhất trong Asean (www.aaa.vn) Tỷ lệ sử dụng di động 144%, 50% điện thoại thông minh Tăng trưởng thương mại điện tử 35%/năm.
Các Vụ Vi phạm Dữ liệu Lớn nhất trên Thế giới Một số tổn thất trên 30.000 bản ghi (cập nhật đến 04/07/2018) Nguồn: informationisbeautiful.net
Tấn công mạng Loại và Tác động
Tấn công mạng Loại Tấn công mạng dù có tên thế nào.. đều tồi tệ! Trojan Botnet Malware (phần mềm độc hại) Spyware (phần mềm gián điệp) Phishing Ransonware (mã độc tống tiền) DDoS Rủi ro Cao Thường trực (APT) (quốc gia, khủng bố mạng).. và vân vân
Tấn công mạng tác động Bản chất thực (ví dụ): Gian lận tài chính Kênh bán hàng trực tuyến không sử dụng được Làm giả thương hiệu trực tuyến Rò rỉ hoặc phá hỏng dữ liệu Điều gì HĐQT lo ngại nhất tác động lớn nhất và thời gian phục hồi chậm nhất Tác động: Xâm phạm dữ liệu cá nhân Mất thông tin bảo mật vào tay đối thủ cạnh tranh Tổn hại danh tiếng và niềm tin của khách hàng Mất doanh thu Mất việc làm Sụt giảm sự tin tưởng vào hệ sinh thái giảm chi tiêu của người tiêu dùng và doanh nghiệp Danh tiếng cá nhân của thành viên HĐQT
Thông tin Quan trọng cho HĐQT
Thông tin Quan trọng cho HĐQT 1. An ninh mạng cần trở thành một chủ đề thảo luận của kỳ họp HĐQT M&A Ra mắt sản phẩm mới Dự án mới Chiến lược và ngân sách hàng năm Hành trình chuyển đổi kỹ thuật số- xây dựng một chiến lược an ninh mạng
Thông tin Quan trọng cho HĐQT (2) 2. Giải quyết những điểm yếu phòng vệ trên không gian mạng Giao một thành viên ban điều hành cấp cao chịu trách nhiệm về bảo mật thông tin Cách tiếp cận tích hợp, chứ không tiếp cận đơn lẻ Đào tạo về bảo mật thông tin nhân viên, nhà cung cấp chính (?) Biểu đồ 1: 5 thách thức hàng đầu về bảo mật thông tin Thiếu chính sách bảo mật bằng văn bản, hoặc chính sách và hướng dẫn và quy trình đi kèm đã lỗi thời Rò rỉ thông tin Thiếu tuân thủ quy định về bảo vệ dữ liệu cá nhân Thiếu phân tách trách nhiệm Thiếu giám sát và kiểm soát đối với nhà cung cấp thuê ngoài bên thứ ba
Thông tin Quan trọng cho HĐQT (3) 3. Trên cả phòng ngừa tốc độ phát hiện và khôi phục! Biểu đồ 2: Ông/bà có biết thời gian bình quân cần thiết để tổ chức mình giải quyết một sự cố hoặc vi phạm về bảo mật Chưa tới 1 tháng 2-5 tháng 6-12 tháng Trên 12 tháng Không biết
Thông tin Quan trọng cho HĐQT (3) bài học kinh nghiệm Những điều đã thực hiện đúng: Công ty bảo hiểm y tế hàng đầu của Hoa Kỳ Xâm phạm dữ liệu, có khả năng ảnh hưởng tới gần 80 triệu khách hàng và nhân viên 1. Tự phát hiện ra xâm phạm không phải tin tặc hay cơ quan truyền thông (quản lý rủi ro danh tiếng) 2. Thông báo ngay cho chính quyền liên bang. Thuê tư vấn có uy tín về về mạng máy tính để kiểm soát thiệt hại trước mắt (sự sẵn sàng nội bộ) 3. Mặc dù quy định cho phép báo cáo trong vòng 60 ngày, Anthem công bố công khai trong vòng vài ngày kể từ ngày phát hiện (phục hồi niềm tin và sự trung thành) 4. Thông điệp rõ ràng và chặt chẽ về những gì xảy ra 5. Thư của Tổng giám đốc đề cập đến lo ngại của các bên liên quan chính, xin lỗi, bày tỏ sự thông cảm, và cung cấp thông tin trước mắt
Thông tin Quan trọng cho HĐQT (4) 4. Đầu tư cho bảo mật thông tin phải theo kịp tốc độ áp dụng công nghệ Biểu đồ 4: Tổ chức của bạn đầu tư bao nhiêu cho bảo mật thông tin trong 3 năm tới? Chưa tới 64.999 USD 65.000 USD 149.000 USD 150.000 USD 350.000 USD Trên 350.000 USD Không Không biết Giải quyết xu hướng của HĐQT và Ban điều hành đối với các khoản đầu tư vào công nghệ mới áp dụng trước, quản lý sau (71%)
Thông tin Quan trọng cho HĐQT (4) 4. Đầu tư vào các thông lệ tốt căn bản Dùng password mạnh Định dạng đa chiều Đảm bảo thiết bị hệ điều hành, phần mềm và chống virut chuẩn và cập nhật Đầu tư vào Đánh giá và Rà soát hệ thống thường xuyên Mã hóa các dữ liệu nhạy cảm Tận dụng trí tuệ nhân tạo
Câu hỏi mà HĐQT cần đặt ra đối với Ban Điều hành về an ninh mạng Ai trong số thành viên ban điều hành cấp cao chịu trách nhiệm về an ninh mạng? Cá nhân này có kỹ năng và kinh nghiệm phù hợp không? Mức độ hoạt động kinh doanh của chúng ta chịu thúc đẩy hay thực hiện được nhờ kỹ thuật số/công nghệ? Những lĩnh vực nào dễ bị tấn công mạng nhất? Chúng ta đã dành ngân sách bao nhiêu cho an ninh mạng? Ngân sách đó so sánh thế nào so với đối thủ/công ty tương đương? Chúng ta đo lường hiệu quả của các chương trình an ninh mạng bằng cách nào?
Câu hỏi mà HĐQT cần đặt ra đối với Ban Điều hành về an ninh mạng (2) Kiểm tra xâm nhập hoặc đánh giá độc lập của bên thứ ba về phòng vệ mạng lần gần nhất được thực hiện khi nào? Những phát hiện chính và chúng ta sẽ giải quyết những vấn đề đó như thế nào? Kiểm toán độc lập có nêu ra bất kỳ điểm yếu nào về hệ thống kiểm soát nội bộ đối với các báo cáo tài chính liên quan đến an ninh mạng?
VIOD Truyền thông Tiếng nói tập thể chiến lược. Cải thiện các vấn đề về quản trị an ninh mạng lấy hoạt động kinh doanh làm nền tảng đi trước can thiệp của cơ quan quản lý Nghiên cứu cục bộ dựa trên bằng chứng về các vấn đề An ninh Mạng. Điều quan trọng là phải thông tin cho các nhà hoạch định chính sách của chính phủ, HĐQT Những thay đổi trong hệ sinh thái vd: bảo hiểm rủi ro An ninh Mạng (cyber risk insurance), chất lượng và sự sẵn có của chuyên gia an ninh mạng
Thảo luận
Các nghiên cứu của ACCA về vấn đề an ninh mạng vui lòng tham khảo: https://www.accaglobal.com/gb/en/professionalinsights/technology.html Diễn giả ACCA Sharath Martin vui lòng liên hệ Sharath.Martin@accaglobal.com