Chưa quan tâm đến đánh giá dự phòng rủi ro
Kết quả khảo sát đối với 511 tổ chức đại diện cho mọi thành phần (cơ quan nhà nước, doanh nghiệp…) về mức độ nhận thức và ứng dụng an toàn thông tin đã được công bố tại sự kiện Ngày An toàn thông tin 2011 (Security Day) diễn ra tại Hà Nội ngày 23/11/2011. Khảo sát do VNISA phối hợp cùng VNCERT thực hiện cho thấy tỷ lệ các doanh nghiệp có nhận biết về việc bị hacker tấn công vào hệ thống mạng đã tăng lên nhưng tỷ lệ ước lượng được thiệt hại hay có những quy trình phản ứng với tấn công thì rất thấp.
Theo ông Vũ Quốc Thành, Tổng thư ký VNISA, các quy trình phản ứng với tấn công ở mỗi doanh nghiệp là khác nhau tùy theo cấu trúc của mỗi tổ chức, tuy nhiên khi phát hiện sự cố, doanh nghiệp cần có những quy định về việc phải giữ nguyên hiện trạng ra sao, không được động đến cái gì, ai có trách nhiệm phải báo cáo, báo cáo đi đâu, bộ phận có trách nhiệm xử lý đầu tiên thì phải xử lý trong vòng bao lâu… Mỗi tổ chức cần xây dựng những biện pháp cụ thể, những con người chịu trách nhiệm cụ thể, dần dần tạo thành quy trình.
Ngoài ra, muốn ước lượng được các tổn thất thì phải có đánh giá về các rủi ro. Đánh giá rủi ro được thực hiện từ trước khi bị tấn công. Với một chuyên viên có kinh nghiệm, họ sẽ biết hệ thống đó sẽ xảy ra những rủi ro nào, nếu xảy ra rủi ro, những tài nguyên nào sẽ bị ảnh hưởng và mỗi tài nguyên có một giá trị mà các phương pháp đánh giá có thể quy thành tiền. Việc đánh giá được các tổn thất cho thấy doanh nghiệp ý thức ra sao về giá trị của các thông tin.
Việc này phải được đánh giá, đối chiếu từ trước để dự phong rủi ro. Lãnh đạo cấp cao của doanh nghiệp phải là người đứng ra thẩm định thông tin nào là giá trị và để bảo vệ chúng cần đầu tư bao nhiêu. Đánh giá sau khi tấn công sẽ dựa trên những thiệt hại thực tế. Thông thường, tài nguyên thông tin chỉ được đánh giá thiệt hại bằng tiền một cách tương đối và thường do người chủ của tổ chức đó xác định. Vì vậy, khi đánh giá rủi ro cần có sự tham gia của 3 thành phần: chuyên viên tư vấn, chủ doanh nghiệp và đội ngũ kỹ thuật.
Ước lượng trước được các thiệt hại sẽ giúp doanh nghiệp có được câu trả lời cụ thể cho bài toán chúng ta cần đầu tư bao nhiêu tiền, để bảo vệ cái gì? Điều này là rất quan trọng bởi không nhất thiết phải đầu tư quá nhiều cho những tài nguyên ít giá trị. Ông Thành ví von, “giống như một ngôi nhà, sẽ có cửa được làm bằng kính nhưng cũng có cửa phải làm bằng lưới thép chắc chắn”.
Nhiều dịch vụ, công nghệ ATTT chưa được biết và sử dụng