Vilken riktning ska man ta för att säkerställa datasäkerheten i Vietnams nya era?

Vid seminariet med temat "Datasäkerhet och nätverkssäkerhet i en era av nationell utveckling" som hölls den 25 september på Nhan Dan Newspaper, pekade experter på risker och rekommendationer inom dataskydd och nätverkssäkerhet i Vietnam.

Datasäkerhet är lika viktigt som att skydda territoriell suveränitet .

Vid seminariet sade Pham Dai Duong, medlem av partiets centralkommitté och biträdande ordförande för den centrala policy- och strategikommittén, att digital transformation idag är närvarande överallt och har blivit en oundviklig trend i tiden. Digital transformation är nära kopplad till många områden som digital förvaltning, digital ekonomi etc. Där data är en mycket viktig faktor och betraktas som en nationell tillgång.

Herr Pham Dai Duong betonade att datasäkerhet har samma betydelse som att skydda territoriell suveränitet till sjöss och på land. Centralregeringen fäster alltid vikt vid att skydda suveräniteten i cyberrymden och anser att detta är en kontinuerlig och oskiljaktig uppgift för att säkerställa nationell säkerhet.

"Data betraktas som en nationell strategisk tillgång, så vi behöver strategier för att säkerställa datasäkerhet och nätverkssäkerhet. Partiets och statens synvinkel när det gäller att säkerställa nätverkssäkerhet och datasäkerhet är att det i beslutsfattandet är nödvändigt att övergå från passivt defensivt tänkande till proaktiv och aktiv identifiering av risker tidigt och proaktiva åtgärder."

Herr Duong sa att detta är en mycket viktig faktor för att skydda datasäkerheten, och att det inte bara är statliga myndigheters ansvar, utan även företagens och individernas – de personer som direkt använder och utnyttjar data. ”Om lagen tidigare bara stannade vid förebyggande nivå, så är det med dagens snabba teknikutveckling nödvändigt att betona ledarskapets och den proaktiva inriktningens roll.”

Herr Ngo Tuan Anh - chef för datasäkerhetsavdelningen, National Data Association ( ministeriet för offentlig säkerhet ), delade med sig av att datadelning är den viktigaste komponenten i systemet. Många läckor kommer från mycket grundläggande sårbarheter, främst från konfiguration, lagringsrelaterade sårbarheter och säkerhetskopieringsrelaterade sårbarheter.

"Först och främst är det ett konfigurationsproblem. Vi föreställer oss att data finns i ett 'hus' men inte är noggrant låsta. Det finns system som innehåller mycket viktig information men använder svaga lösenord, standardkonfigurationer eller exponeras direkt för internet. När en tjänst läggs ut på internet, kommer det efter några minuter att finnas automatiska skannings- och utnyttjandeverktyg över hela världen. Det är därför många system, bara ett litet kryphål, kan nås olagligt", sa Tuan Anh.

En annan risk, enligt Ngo Tuan Anh, är den utbredda lagringssituationen. Många enheter lagrar för många formulär och onödiga data, vilket leder till ökade lagringskostnader och en utökad riskyta. När lagringssystemet komprometteras kan hela datablocket exponeras. I samband med den nyligen färdigställda lagen om skydd av personuppgifter kommer lagringsenheten att vara juridiskt ansvarig när risker uppstår.

Enligt Tuan Anh kan faktiskt inget system garantera 100 % säkerhet. Undersökningar visar att om en skurk har ett motiv att attackera är framgångsgraden mycket hög när systemet har svagheter. Därför är flerskiktade försvarsåtgärder nödvändiga, där backup anses vara en av de viktigaste faktorerna.

Vid diskussionen berättade Nguyen Le Thanh – grundare och styrelseordförande för Verichain's Security Company – att system normalt sett ofta attackeras av svagheter, vilket kan bero på att systemet är för gammalt eller slarvigt i konfigurationen, eller fel i skyddet. Ibland beror dessa svagheter på felaktig auktorisering, användarfel eller systemadministrationsfel.

Angripare kommer att leta efter dessa brister och svagheter i ett databashanteringssystem för att attackera först. Om systemelementen är välbyggda och kontrollerade kommer de att fortsätta leta efter svagheter som är svårare att skydda.

Vid denna tidpunkt kommer användare och administratörer att bli måltavlor för angripare. Beroende på deras kapacitet och medvetenhet om personlig säkerhet har varje person möjlighet att hantera, skydda och säkra sin egen information.

Ett annat problem uppstår genom fenomenet med bedrägliga individer och företag som rekryterar deltidsanställda eller samarbetspartners. Efter en period av anställning infiltrerar dessa individer användarens informationssystem och användaren infekteras med skadlig kod utan att veta om det. "Det har förekommit fall där många personer sökt jobb på en organisation, och efter en period av anställning har deras personuppgifter attackerats", avslöjade Thanh.

Slutligen, enligt Mr. Thanh, kan de personer och organisationer som infiltrerar datasystemet attackera från tredje part. Dessa är partners som ofta tillhandahåller produkter, tjänster och lösningar relaterade till systemet. För att bygga ett informationssystem måste vi använda teknik som tillhandahålls av många parter och ibland kan vi inte behärska och kontrollera allt. Varje tredje part kan vara försumlig och detta är en möjlighet för ovanstående personer att attackera.

Enligt denna expert är faktiskt tredjepartsattacker fler och mer effektiva än användarattacker och direkta attacker mot systemsårbarheter.

Detta visar att teknologisk autonomi för att minska beroendet av tredje part är oerhört viktigt. Att göra det är dock inte lätt. Eftersom att bygga ett system kräver många steg, liksom deltagande från många olika komponenter, är det mycket svårt för oss att bygga allting själva.

Herr Thanh anser att det är nödvändigt att fastställa att inget system är absolut säkert. ”För närvarande är de flesta moderna cybersäkerhetsattackenheter organiserade och arbetar mycket systematiskt. De har motivation, mål och rikliga ekonomiska resurser. Därför måste vi tänka annorlunda, för att avgöra vilka ”tillgångar” som är de viktigaste och mest nödvändiga i hela informationssystemet. Utifrån detta, använda andra åtgärder kring skydd så att dataförlusten inte är stor, mängden information som förloras inte är alltför värdefull och inte orsakar allvarliga skador”, sa herr Thanh.

Behöver en generell ingenjör för datastyrning och cybersäkerhet

Herr Pham Dai Duong – medlem av partiets centralkommitté och biträdande ordförande för den centrala kommittén för policy och strategi – sa att för att skydda data är det nödvändigt att kombinera två element: För det första är det skydd genom teknik, infrastruktur och processer – det vill säga tekniska lösningar; för det andra är det skydd genom rättssystemet. Vi har redan många lagar, såsom lagen om cybersäkerhet, lagen om skydd av personuppgifter,... och under den kommande tiden kommer nationalförsamlingen att fortsätta att granska och finslipa relaterade lagar.

Dessutom anger resolution 57/NQ-TW även en implementeringsplan, inklusive plan nr 01 om strategiska teknologier, för att förbättra autonomin och behärska kärnteknologier för att säkra data. Den genomgående synpunkten är att gå från passivt försvar till proaktiv tidig riskidentifiering, proaktiv förebyggande och respons.

Enligt Dr. Phan Van Hung – biträdande chefredaktör för tidningen Nhan Dan – saknar vi "generella ingenjörer" inom datahantering och nätverkssäkerhet för att få en harmonisk och synkron kombination.

Med möjligheten att kopiera utan gränser håller data på att bli ett viktigt produktionsmedel, extremt viktigt i den digitala ekonomin. När det gäller ledning är det nödvändigt att bygga och institutionalisera ett synkroniserat rättssystem i riktning mot att leda lagen, skapa rättvisa, skydda utsatta grupper och reglera i enlighet med statens mål.

Enligt Dr. Phan Van Hung behöver lagen specificera individers äganderätt och statens rättigheter, bygga ett ramverk för villkorlig datadelning och kombinera offentliga och privata data. Det kommer att uppstå tvister som lagen inte kan reglera, så åklagarmyndigheten och rättsväsendet måste skapa prejudikat för att effektivt synkronisera rättssystemet och styrningen.

Ur en cybersäkerhetsexperts perspektiv sa Ngo Tuan Anh: "Utifrån praktiska lärdomar är det nödvändigt att fokusera på tre grupper av lösningar: skärpa säkerhetskonfigurationen innan tjänster läggs ut på internet; hantera, klassificera och begränsa onödig datalagring; bygga en process för tidig upptäckt, isolering, återställning och juridisk samordning när incidenter inträffar. Dessa är viktiga steg för att skydda organisationens viktigaste tillgång: data."

Tuan Anh sade också att National Data Association håller på att utveckla en uppsättning grundläggande standarder relaterade till datasäkerhet. Det förväntas att standarderna inom en snar framtid kommer att skickas ut för kommentarer från avdelningar och filialer för att stödja enheter, i första hand medlemmar, i att publicera och tillämpa dem, och därigenom förbättra efterlevnaden.

Ett annat viktigt innehåll är den proaktiva utvecklingen av cybersäkerhetslösningar. Inhemska enheter och företag samordnar sig tillsammans med National Cyber ​​Security Association för att utveckla ett inhemskt ekosystem för cybersäkerhetsprodukter. Det finns faktiskt mycket bevis för att utländska teknikprodukter utgör risker, eftersom det kan finnas sårbarheter, avsiktliga eller oavsiktliga, som gör att data kan extraheras och överföras.

"Det finns fall där vissa säkerhetssystem som distribuerats i Vietnam av misstag låter data passera genom utländsk infrastruktur innan de lagras. Detta ökar risken för dataläckage. För att säkerställa datasäkerhet måste vi därför fokusera på standardisering, implementering av efterlevnad och främja utvecklingen av säkerhetslösningar som ägs av Vietnam", betonade representanten för National Data Association.

Källa: https://www.vietnamplus.vn/huong-di-nao-de-dam-bao-an-ninh-du-lieu-trong-ky-nguyen-moi-cua-viet-nam-post1064101.vnp