В каком направлении следует обеспечивать безопасность данных в новую эру во Вьетнаме?

На семинаре на тему «Безопасность данных и сетей в эпоху национального развития», который состоялся 25 сентября в газете Nhan Dan, эксперты обозначили риски и рекомендации в области защиты данных и безопасности сетей во Вьетнаме.

Безопасность данных так же важна, как и защита территориального суверенитета .

На семинаре г-н Фам Дай Зыонг, член Центрального Комитета партии, заместитель главы Центрального Комитета по политике и стратегии, отметил, что сегодня цифровая трансформация присутствует повсюду, становясь неизбежной тенденцией времени. Цифровая трансформация тесно связана со многими областями, такими как цифровое правительство, цифровая экономика и т. д. В этих областях данные играют важнейшую роль и рассматриваются как национальное достояние.

Г-н Фам Дай Зыонг подчеркнул, что безопасность данных имеет такое же значение, как и защита территориального суверенитета на море и суше. Центральное правительство всегда придаёт большое значение защите суверенитета в киберпространстве, считая это постоянной и неотъемлемой задачей обеспечения национальной безопасности.

Данные считаются национальным стратегическим активом, поэтому нам необходимы стратегии обеспечения безопасности данных и сетей. Позиция партии и государства в вопросах обеспечения безопасности сетей и данных заключается в том, что при разработке политики необходимо перейти от пассивного оборонительного мышления к проактивному и активному выявлению рисков на ранних этапах и принятию превентивных мер.

Г-н Дуонг отметил, что это очень важный фактор защиты данных, и ответственность за него несут не только государственные органы, но и предприятия, и граждане — субъекты, непосредственно использующие и эксплуатирующие данные. «Если раньше закон ограничивался лишь профилактикой, то сегодня, с быстрым развитием технологий, необходимо подчеркнуть роль лидерства и проактивной позиции».

Г-н Нго Туан Ань, руководитель Департамента безопасности данных Национальной ассоциации данных ( Министерство общественной безопасности ), отметил, что обмен данными — важнейший компонент системы. Многие утечки данных происходят из-за самых простых уязвимостей, в основном связанных с конфигурацией, хранением данных и резервным копированием.

«Прежде всего, это проблема конфигурации. Мы представляем себе, что данные находятся в «доме», но не заперты должным образом. Существуют системы, содержащие очень важную информацию, но использующие слабые пароли, настройки по умолчанию или напрямую доступные через интернет. Когда сервис размещается в интернете, через несколько минут по всему миру автоматически появляются инструменты сканирования и эксплуатации уязвимостей. Именно поэтому многие системы, даже с небольшой лазейкой, могут стать объектом незаконного доступа», — сказал г-н Туан Ань.

По словам г-на Нго Туан Аня, ещё одним риском является распространённая ситуация с хранением данных. Многие хранилища хранят слишком много форм и ненужных данных, что приводит к увеличению затрат на хранение и расширению поверхности риска. В случае компрометации системы хранения данных весь блок данных может быть раскрыт. В соответствии с недавно принятым законом о защите персональных данных, хранилище будет нести юридическую ответственность в случае возникновения рисков.

По словам г-на Туана Аня, ни одна система не может гарантировать 100% безопасность. Опросы показывают, что если у злоумышленника есть мотив для атаки, вероятность успеха очень высока при наличии в системе уязвимостей. Поэтому необходимы многоуровневые меры защиты, в которых резервное копирование считается одним из важнейших факторов.

В ходе обсуждения г-н Нгуен Ле Тхань, основатель и исполнительный председатель компании Verichains Security, рассказал, что обычно системы часто подвергаются атакам из-за уязвимостей, которые могут быть связаны со слишком старым ПО, небрежной настройкой или ошибками в системе защиты. Иногда эти уязвимости возникают из-за неправильной авторизации, ошибок пользователя или системного администратора.

Злоумышленники будут искать эти недостатки и уязвимости в системе управления базами данных, чтобы атаковать в первую очередь. Если элементы системы хорошо спроектированы и контролируются, они продолжат искать уязвимости, которые сложнее защитить.

В это время пользователи и администраторы станут целями злоумышленников. В зависимости от своих возможностей и понимания личной безопасности, каждый человек имеет возможность управлять своей информацией, защищать и обеспечивать её безопасность.

Другая проблема связана с тем, что мошенники и компании нанимают сотрудников на неполный рабочий день или сотрудников. После того, как пользователь какое-то время проработает в компании, он проникает в его информационную систему, и тот, сам того не подозревая, заражается вредоносным ПО. «Были случаи, когда многие люди, подавшие заявку на вакансию в организации, после определенного периода работы подвергались атаке на свои персональные данные», — рассказал г-н Тхань.

Наконец, по словам г-на Тхань, субъекты и организации, проникающие в систему данных, могут атаковать через третьих лиц. Это партнёры, которые часто предоставляют продукты, услуги и решения, связанные с системой. Для создания информационной системы необходимо использовать технологии, предоставляемые многими сторонами, и порой мы не можем овладеть всеми ими и контролировать их. Любая третья сторона может проявить халатность, и это создаёт возможность для атак со стороны вышеупомянутых субъектов.

На самом деле, по словам этого эксперта, атаки третьих лиц более многочисленны и эффективны, чем атаки пользователей и прямые атаки на уязвимости системы.

Это показывает, что технологическая автономия крайне важна для снижения зависимости от третьих лиц. Однако добиться этого непросто. Создание системы требует множества этапов и участия множества различных компонентов, и нам крайне сложно построить всё самостоятельно.

Г-н Тхань считает необходимым определить, что ни одна система не является абсолютно безопасной. «В настоящее время большинство современных подразделений по борьбе с кибератаками организованы и действуют очень систематически. У них есть мотивация, цели и значительные финансовые ресурсы. Поэтому нам нужно мыслить иначе, определить, какие «активы» наиболее важны и необходимы во всей информационной системе. Исходя из этого, использовать другие меры защиты, чтобы в случае инцидента потери данных были минимальными, объём потерянной информации не был слишком ценным и не нанёс серьёзного ущерба», — сказал г-н Тхань.

Требуется инженер-генеральный директор по управлению данными и кибербезопасности

Г-н Фам Дай Зыонг, член Центрального комитета партии, заместитель главы Центрального комитета по политике и стратегии, отметил, что для защиты данных необходимо объединить два элемента: во-первых, защиту с помощью технологий, инфраструктуры и процессов, то есть технических решений; во-вторых, защиту с помощью правовой системы. У нас уже есть множество законов, таких как Закон о кибербезопасности, Закон о защите персональных данных и т.д., и в ближайшее время Национальное собрание продолжит пересматривать и совершенствовать соответствующие законы.

Кроме того, Резолюция 57/NQ-TW также устанавливает план реализации, включая План № 01 по стратегическим технологиям, направленный на повышение автономности и освоение основных технологий для защиты данных. Последовательная позиция заключается в переходе от пассивной защиты к проактивному раннему выявлению рисков, проактивному предотвращению и реагированию.

По словам доктора Фан Ван Хунга, заместителя главного редактора газеты Nhan Dan, нам не хватает «инженеров общего профиля» в области управления данными и сетевой безопасности для создания гармоничного и синхронного сочетания.

Благодаря возможности неограниченного копирования данные становятся ключевым средством производства, чрезвычайно важным в цифровой экономике. В сфере управления необходимо создать и институционализировать синхронную правовую систему, направленную на обеспечение правопорядка, справедливости, защиты уязвимых групп и регулирования в соответствии с целями государства.

По словам доктора Фан Ван Хунга, закон должен четко определить права собственности отдельных лиц и права государства, создать систему условного обмена данными и объединить публичные и личные данные. Возникнут споры, которые закон не сможет урегулировать, поэтому прокуратуре и судебным органам необходимо создавать прецеденты для эффективной синхронизации правовой системы и государственного управления.

С точки зрения эксперта по кибербезопасности, г-н Нго Туан Ань отметил: «Из практических уроков следует сосредоточиться на трёх группах решений: ужесточение настроек безопасности перед размещением сервисов в Интернете; управление, классификация и ограничение хранения ненужных данных; создание процесса раннего обнаружения, изоляции, восстановления и правовой координации при возникновении инцидентов. Это важнейшие шаги для защиты самого важного актива организации: данных».

Г-н Туан Ань также сообщил, что Национальная ассоциация данных разрабатывает набор базовых стандартов, связанных с безопасностью данных. Ожидается, что в ближайшем будущем этот набор стандартов будет представлен для обсуждения департаментами и филиалами, чтобы помочь подразделениям, в первую очередь членам, публиковать и применять их, тем самым повышая уровень соответствия.

Другим важным направлением является проактивная разработка решений в области кибербезопасности. Отечественные организации и предприятия совместно с Национальной ассоциацией кибербезопасности координируют усилия по созданию национальной экосистемы продуктов кибербезопасности. Фактически, существует множество доказательств того, что зарубежные технологические продукты представляют риски, поскольку могут содержать уязвимости, как преднамеренные, так и непреднамеренные, позволяющие извлекать и передавать данные.

«Бывают случаи, когда некоторые системы безопасности, развёрнутые во Вьетнаме, случайно пропускают данные через зарубежную инфраструктуру до их сохранения. Это увеличивает риск утечки данных. Поэтому для обеспечения безопасности данных нам необходимо сосредоточиться на стандартизации, внедрении требований соответствия и содействии разработке решений по безопасности, принадлежащих Вьетнаму», — подчеркнул представитель Национальной ассоциации данных.

Источник: https://www.vietnamplus.vn/huong-di-nao-de-dam-bao-an-ninh-du-lieu-trong-ky-nguyen-moi-cua-viet-nam-post1064101.vnp