Hvilken retning skal man ta for å sikre datasikkerhet i den nye æraen i Vietnam?

På seminaret med temaet «Datasikkerhet og nettverkssikkerhet i en nasjonal utviklings æra» som ble holdt 25. september på Nhan Dan Newspaper, pekte eksperter på risikoer og anbefalinger innen databeskyttelse og nettverkssikkerhet i Vietnam.

Datasikkerhet er like viktig som å beskytte territoriell suverenitet .

På seminaret sa Pham Dai Duong, medlem av partiets sentralkomité og nestleder for den sentrale komiteen for politikk og strategi, at digital transformasjon i dag er til stede overalt og er blitt en uunngåelig trend i tiden. Digital transformasjon er nært knyttet til mange felt som digital forvaltning, digital økonomi osv. Der data er en svært viktig faktor, og regnes som en nasjonal ressurs.

Herr Pham Dai Duong understreket at datasikkerhet har samme betydning som å beskytte territoriell suverenitet til sjøs og på land. Sentralregjeringen legger alltid vekt på å beskytte suvereniteten i cyberrommet, og anser dette som en kontinuerlig og uatskillelig oppgave for å sikre nasjonal sikkerhet.

«Data regnes som en nasjonal strategisk ressurs, så vi trenger strategier for å sikre datasikkerhet og nettverkssikkerhet. Partiets og statens synspunkt når det gjelder å sikre nettverkssikkerhet og datasikkerhet er at det i politikkutforming er nødvendig å gå fra passiv defensiv tenkning til proaktiv og aktiv identifisering av risikoer tidlig og proaktive tiltak.»

Herr Duong sa at dette er en svært viktig faktor for å beskytte datasikkerhet, og at det også er ansvaret ikke bare for statlige etater, men også for bedrifter og enkeltpersoner – de som direkte bruker og utnytter data. «Hvis loven tidligere bare stoppet på forebyggende nivå, er det med dagens raske teknologiutvikling nødvendig å understreke rollen til lederskap og proaktiv orientering.»

Herr Ngo Tuan Anh – leder for datasikkerhetsavdelingen i National Data Association ( Ministry of Public Security ), delte at datadeling er den viktigste komponenten i systemet. Mange lekkasjer kommer fra svært grunnleggende sårbarheter, hovedsakelig fra konfigurasjons-, lagringsrelaterte sårbarheter og sikkerhetskopieringsrelaterte sårbarheter.

«Først og fremst er det et konfigurasjonsproblem. Vi forestiller oss at dataene er i et «hus», men at de ikke er låst nøye. Det finnes systemer som inneholder svært viktig informasjon, men som bruker svake passord, standardkonfigurasjoner eller er eksponert direkte for Internett. Når en tjeneste legges ut på Internett, vil det etter noen få minutter være automatiske skanne- og utnyttelsesverktøy over hele verden. Det er derfor mange systemer, bare et lite smutthull, kan nås ulovlig», sa Tuan Anh.

En annen risiko, ifølge Ngo Tuan Anh, er den utbredte lagringssituasjonen. Mange enheter lagrer for mange skjemaer og unødvendige data, noe som fører til økte lagringskostnader og utvider risikoflaten. Når lagringssystemet kompromitteres, kan hele datablokken bli eksponert. I sammenheng med den nylig ferdigstilte loven om personvern, vil lagringsenheten være juridisk ansvarlig når risikoer oppstår.

Faktisk, ifølge Tuan Anh, kan ingen systemer garantere 100 % sikkerhet. Undersøkelser viser at hvis en skurk har et motiv for å angripe, er suksessraten svært høy når systemet har svakheter. Derfor er flerlags forsvarstiltak nødvendige, der sikkerhetskopiering anses som en av de viktigste faktorene.

Under diskusjonen fortalte Nguyen Le Thanh – grunnlegger og administrerende direktør i Verichain's Security Company – at systemer vanligvis angripes av svakheter, som kan skyldes at systemet er for gammelt eller uforsiktig i konfigurasjonen, eller feil i beskyttelsen. Noen ganger kommer disse svakhetene fra feil autorisasjon, brukerfeil eller systemadministrasjonsfeil.

Angripere vil se etter disse feilene og svakhetene i et databasehåndteringssystem for å angripe først. Hvis systemelementene er godt bygget og kontrollert, vil de fortsette å se etter svakheter som er vanskeligere å beskytte.

På dette tidspunktet vil brukere og administratorer bli mål for angripere. Avhengig av deres kapasitet og bevissthet om personlig sikkerhet, har hver person muligheten til å administrere, beskytte og sikre sin egen informasjon.

Et annet problem kommer fra fenomenet med svindelforsøkende personer og selskaper som rekrutterer deltidsansatte eller samarbeidspartnere. Etter en periode med tilmelding vil disse personene infiltrere brukerens informasjonssystem, og brukeren vil bli infisert med skadelig programvare uten å vite det. «Det har vært tilfeller der mange personer har søkt jobber i en organisasjon, og etter en periode med arbeid har deres personopplysninger blitt angrepet», avslørte Thanh.

Til slutt, ifølge Mr. Thanh, kan subjektene og organisasjonene som infiltrerer datasystemet angripe fra tredjeparter. Dette er partnere som ofte tilbyr produkter, tjenester og løsninger relatert til systemet. For å bygge et informasjonssystem må vi bruke teknologi levert av mange parter, og noen ganger kan vi ikke mestre og kontrollere alt. Enhver tredjepart kan være uaktsom, og dette er en mulighet for subjektene ovenfor til å angripe.

Faktisk, ifølge denne eksperten, er tredjepartsangrep flere og mer effektive enn brukerangrep og direkte angrep på systemsårbarheter.

Dette viser at teknologisk autonomi for å redusere avhengigheten av tredjeparter er ekstremt viktig. Det er imidlertid ikke lett å gjøre det. Fordi det å bygge et system krever mange trinn, samt deltakelse fra mange forskjellige komponenter, og det er svært vanskelig for oss å bygge hele greia selv.

Thanh mener det er nødvendig å fastslå at ingen systemer er helt trygge. «For tiden er de fleste moderne angrepsenheter for cybersikkerhet organisert og opererer svært systematisk. De har motivasjon, mål og rikelig med økonomiske ressurser. Derfor må vi tenke annerledes, for å bestemme hvilke «eiendeler» som er de viktigste og nødvendige i hele informasjonssystemet. Herfra må vi bruke andre tiltak rundt beskyttelse, slik at datatapet ikke er stort i tilfelle en hendelse, mengden informasjon som går tapt ikke er for verdifull og ikke forårsaker alvorlig skade», sa Thanh.

Trenger en generell ingeniør for datastyring og cybersikkerhet

Pham Dai Duong – medlem av partiets sentralkomité og nestleder for den sentrale komiteen for politikk og strategi – sa at for å beskytte data er det nødvendig å kombinere to elementer: For det første er det beskyttelse gjennom teknologi, infrastruktur og prosesser – det vil si tekniske løsninger; for det andre er det beskyttelse gjennom rettssystemet. Vi har allerede mange lover, som loven om cybersikkerhet, loven om beskyttelse av personopplysninger, ... og i den kommende tiden vil nasjonalforsamlingen fortsette å gjennomgå og perfeksjonere relaterte lover.

I tillegg fastsetter resolusjon 57/NQ-TW også en implementeringsplan, inkludert plan nr. 01 om strategiske teknologier, for å forbedre autonomien og mestre kjerneteknologier for å sikre data. Det gjennomgående synspunktet er å gå fra passivt forsvar til proaktiv tidlig risikoidentifisering, proaktiv forebygging og respons.

Ifølge Dr. Phan Van Hung – assisterende sjefredaktør i Nhan Dan Newspaper, mangler vi «generelle ingeniører» innen datahåndtering og nettverkssikkerhet for å få til en harmonisk og synkron kombinasjon.

Med muligheten til å kopiere uten grenser er data i ferd med å bli et sentralt produksjonsmiddel, ekstremt viktig i den digitale økonomien. Når det gjelder forvaltning, er det nødvendig å bygge og institusjonalisere et synkront rettssystem i retning av å være lovførende, skape rettferdighet, beskytte sårbare grupper og regulere i henhold til statens mål.

Ifølge Dr. Phan Van Hung må loven spesifisere enkeltpersoners eierrettigheter og statens rettigheter, bygge et rammeverk for betinget datadeling og kombinere offentlige og private data. Det vil oppstå tvister som loven ikke kan regulere, så påtalemyndigheten og rettsorganene må bygge presedens for å synkronisere rettssystemet og styringen effektivt.

Fra perspektivet til en cybersikkerhetsekspert sa Ngo Tuan Anh: «Fra praktiske lærdommer er det nødvendig å fokusere på tre grupper av løsninger: å stramme inn sikkerhetskonfigurasjonen før tjenester legges ut på Internett; å administrere, klassifisere og begrense unødvendig datalagring; å bygge en prosess for tidlig deteksjon, isolering, gjenoppretting og juridisk koordinering når hendelser oppstår. Dette er viktige trinn for å beskytte organisasjonens viktigste ressurs: data.»

Tuan Anh sa også at National Data Association utvikler et sett med grunnleggende standarder knyttet til datasikkerhet. Det forventes at standardene i nær fremtid vil bli lagt ut til kommentarer fra avdelinger og filialer for å støtte enheter, først og fremst medlemmer, i å publisere og anvende dem, og dermed forbedre samsvar.

Et annet viktig innhold er proaktiv utvikling av cybersikkerhetsløsninger. Innenlandske enheter og bedrifter samarbeider sammen med National Cyber ​​Security Association for å utvikle et innenlandsk økosystem for cybersikkerhetsprodukter. Faktisk finnes det mye bevis for at utenlandske teknologiprodukter utgjør en risiko, fordi det kan være sårbarheter, enten bevisste eller utilsiktede, som gjør at data kan hentes ut og overføres.

«Det finnes tilfeller der sikkerhetssystemer som er distribuert i Vietnam ved et uhell lar data passere gjennom utenlandsk infrastruktur før de lagres. Dette øker risikoen for datalekkasje. Derfor må vi, for å sikre datasikkerhet, fokusere på standardisering, implementering av samsvar og fremme utviklingen av sikkerhetsløsninger som eies av Vietnam», understreket representanten for National Data Association.

Kilde: https://www.vietnamplus.vn/huong-di-nao-de-dam-bao-an-ninh-du-lieu-trong-ky-nguyen-moi-cua-viet-nam-post1064101.vnp