จะสร้างความมั่นใจด้านความปลอดภัยของข้อมูลในยุคใหม่ของเวียดนามไปในทิศทางใด?

ในงานสัมมนาหัวข้อ “การรักษาความปลอดภัยข้อมูลและความปลอดภัยของเครือข่ายในยุคการพัฒนาชาติ” ที่จัดขึ้นเมื่อวันที่ 25 กันยายน ณ หนังสือพิมพ์หนานดาน ผู้เชี่ยวชาญได้ชี้ให้เห็นถึงความเสี่ยงและข้อเสนอแนะในการปกป้องข้อมูลและความปลอดภัยของเครือข่ายในเวียดนาม

ความปลอดภัยของข้อมูลมีความสำคัญเท่ากับการปกป้อง อำนาจอธิปไตย ในดินแดน

ในการสัมมนาครั้งนี้ คุณ Pham Dai Duong สมาชิกคณะกรรมการกลางพรรคคอมมิวนิสต์จีน รองประธานคณะกรรมการนโยบายและยุทธศาสตร์กลาง กล่าวว่า ปัจจุบัน การเปลี่ยนแปลงทางดิจิทัลเกิดขึ้นทุกหนทุกแห่ง และกลายเป็นกระแสที่หลีกเลี่ยงไม่ได้ การเปลี่ยนแปลงทางดิจิทัลมีความเชื่อมโยงอย่างใกล้ชิดกับหลายสาขา เช่น รัฐบาลดิจิทัล เศรษฐกิจ ดิจิทัล เป็นต้น ซึ่งข้อมูลถือเป็นปัจจัยสำคัญอย่างยิ่งและถือเป็นทรัพย์สินของชาติ

นาย Pham Dai Duong เน้นย้ำว่า ความมั่นคงปลอดภัยของข้อมูลมีความหมายเช่นเดียวกับการปกป้องอธิปไตยเหนือดินแดนทั้งทางทะเลและทางบก รัฐบาลกลางให้ความสำคัญกับการปกป้องอธิปไตยในโลกไซเบอร์มาโดยตลอด โดยถือว่าเรื่องนี้เป็นภารกิจที่ต่อเนื่องและไม่อาจแยกออกจากกันได้ในการสร้างความมั่นคงของชาติ

ข้อมูลถือเป็นสินทรัพย์เชิงยุทธศาสตร์ระดับชาติ ดังนั้นเราจึงจำเป็นต้องมีกลยุทธ์เพื่อสร้างความมั่นใจในความปลอดภัยของข้อมูลและความปลอดภัยของเครือข่าย มุมมองของพรรคและรัฐในการสร้างความมั่นใจในความปลอดภัยของเครือข่ายและความปลอดภัยของข้อมูลคือ ในการกำหนดนโยบาย จำเป็นต้องเปลี่ยนจากการคิดเชิงรับแบบตั้งรับ ไปสู่การระบุความเสี่ยงอย่างเชิงรุกและเชิงรุกตั้งแต่เนิ่นๆ และดำเนินมาตรการเชิงรุก

คุณเดืองกล่าวว่านี่เป็นปัจจัยสำคัญอย่างยิ่งในการปกป้องความปลอดภัยของข้อมูล และยังเป็นความรับผิดชอบไม่เพียงแต่ของหน่วยงานรัฐเท่านั้น แต่ยังรวมถึงภาคธุรกิจและประชาชน ซึ่งเป็นผู้ที่ใช้และแสวงหาประโยชน์จากข้อมูลโดยตรงด้วย “หากในอดีตกฎหมายหยุดอยู่แค่ระดับการป้องกัน แต่ด้วยการพัฒนาอย่างรวดเร็วของเทคโนโลยีในปัจจุบัน จำเป็นต้องเน้นย้ำถึงบทบาทของผู้นำและการมุ่งเน้นเชิงรุก”

คุณโง ตวน อันห์ หัวหน้าฝ่ายรักษาความปลอดภัยข้อมูล สมาคมข้อมูลแห่งชาติ ( กระทรวงความมั่นคงสาธารณะ ) เปิดเผยว่า การแบ่งปันข้อมูลเป็นองค์ประกอบที่สำคัญที่สุดในระบบ การรั่วไหลของข้อมูลจำนวนมากเกิดจากช่องโหว่พื้นฐาน โดยส่วนใหญ่มาจากการกำหนดค่า ช่องโหว่ที่เกี่ยวข้องกับการจัดเก็บข้อมูล และช่องโหว่ที่เกี่ยวข้องกับการสำรองข้อมูล

“ก่อนอื่นเลย ปัญหาอยู่ที่การกำหนดค่า เราคิดว่าข้อมูลอยู่ใน “บ้าน” แต่ไม่ได้ล็อกไว้อย่างดี มีระบบที่มีข้อมูลสำคัญมาก แต่ใช้รหัสผ่านที่คาดเดายาก ตั้งค่าเริ่มต้น หรือเปิดเผยต่ออินเทอร์เน็ตโดยตรง เมื่อบริการถูกเปิดใช้งานบนอินเทอร์เน็ต ภายในไม่กี่นาทีก็จะมีเครื่องมือสแกนและเจาะระบบอัตโนมัติทั่วโลก นั่นเป็นเหตุผลว่าทำไมระบบจำนวนมาก ซึ่งเป็นเพียงช่องโหว่เล็กๆ จึงถูกเข้าถึงอย่างผิดกฎหมาย” คุณตวน อันห์ กล่าว

คุณโง ตวน อันห์ กล่าวว่าความเสี่ยงอีกประการหนึ่งคือสถานการณ์การจัดเก็บข้อมูลในวงกว้าง หน่วยงานหลายแห่งจัดเก็บแบบฟอร์มและข้อมูลที่ไม่จำเป็นมากเกินไป ส่งผลให้ต้นทุนการจัดเก็บข้อมูลเพิ่มขึ้นและความเสี่ยงขยายวงกว้างขึ้น เมื่อระบบจัดเก็บข้อมูลถูกบุกรุก ข้อมูลทั้งหมดอาจรั่วไหลได้ ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับใหม่ หน่วยงานจัดเก็บข้อมูลจะต้องรับผิดชอบทางกฎหมายเมื่อเกิดความเสี่ยง

ในความเป็นจริง คุณตวน อันห์ ระบุว่า ไม่มีระบบใดที่สามารถรับประกันความปลอดภัยได้ 100% ผลสำรวจแสดงให้เห็นว่า หากผู้ร้ายมีแรงจูงใจที่จะโจมตี อัตราความสำเร็จจะสูงมากเมื่อระบบมีจุดอ่อน ดังนั้น จึงจำเป็นต้องมีมาตรการป้องกันหลายชั้น ซึ่งการเสริมกำลังถือเป็นปัจจัยสำคัญประการหนึ่ง

ในการประชุม คุณเหงียน เล แถ่ง ผู้ก่อตั้งและประธานกรรมการบริหารของบริษัท Verichains Security ได้กล่าวว่าโดยปกติแล้ว ระบบต่างๆ มักถูกโจมตีด้วยจุดอ่อน ซึ่งอาจเกิดจากระบบเก่าเกินไปหรือการตั้งค่าที่ไม่ระมัดระวัง หรือข้อผิดพลาดในการป้องกัน บางครั้งจุดอ่อนเหล่านี้อาจเกิดจากการอนุญาตที่ไม่ถูกต้อง ข้อผิดพลาดของผู้ใช้ หรือข้อผิดพลาดในการบริหารจัดการระบบ

ผู้โจมตีจะมองหาข้อบกพร่องและจุดอ่อนเหล่านี้ในระบบการจัดการฐานข้อมูลเพื่อโจมตีก่อน หากองค์ประกอบของระบบได้รับการสร้างและควบคุมอย่างดี พวกเขาจะยังคงมองหาจุดอ่อนที่ยากต่อการป้องกันต่อไป

ในเวลานี้ ผู้ใช้และผู้ดูแลระบบจะกลายเป็นเป้าหมายของผู้โจมตี แต่ละคนมีความสามารถในการจัดการ ปกป้อง และรักษาความปลอดภัยข้อมูลของตนเอง ขึ้นอยู่กับความสามารถและความตระหนักรู้ด้านความปลอดภัยส่วนบุคคล

อีกปัญหาหนึ่งเกิดจากปรากฏการณ์ที่บุคคลและบริษัทฉ้อโกงรับสมัครพนักงานพาร์ทไทม์หรือเพื่อนร่วมงาน หลังจากเข้าร่วมงานไประยะหนึ่ง บุคคลเหล่านี้จะแทรกซึมเข้าไปในระบบสารสนเทศของผู้ใช้ และผู้ใช้จะถูกมัลแวร์โจมตีโดยไม่รู้ตัว “มีหลายกรณีที่คนจำนวนมากสมัครงานในองค์กร และหลังจากทำงานไปได้ระยะหนึ่ง ข้อมูลส่วนบุคคลของพวกเขาก็ถูกโจมตี” คุณถั่น เปิดเผย

สุดท้ายนี้ คุณ Thanh ระบุว่า บุคคลและองค์กรที่แทรกซึมเข้าไปในระบบข้อมูลอาจถูกโจมตีจากบุคคลที่สาม ซึ่งมักเป็นพันธมิตรที่จัดหาผลิตภัณฑ์ บริการ และโซลูชันที่เกี่ยวข้องกับระบบ ในการสร้างระบบสารสนเทศ เราจำเป็นต้องใช้เทคโนโลยีที่จัดหาโดยหลายฝ่าย ซึ่งบางครั้งเราไม่สามารถควบคุมและควบคุมได้ทั้งหมด บุคคลหรือองค์กรใดๆ ก็ตามอาจละเลยได้ และนี่จึงเป็นโอกาสให้บุคคลหรือองค์กรที่กล่าวมาข้างต้นสามารถโจมตีได้

ในความเป็นจริง ตามที่ผู้เชี่ยวชาญรายนี้กล่าวไว้ การโจมตีจากบุคคลที่สามนั้นมีจำนวนมากและมีประสิทธิภาพมากกว่าการโจมตีผู้ใช้และการโจมตีโดยตรงต่อช่องโหว่ของระบบ

สิ่งนี้แสดงให้เห็นว่าความเป็นอิสระทางเทคโนโลยีเพื่อลดการพึ่งพาบุคคลที่สามนั้นมีความสำคัญอย่างยิ่งยวด อย่างไรก็ตาม การทำเช่นนั้นไม่ใช่เรื่องง่าย เพราะการสร้างระบบต้องอาศัยหลายขั้นตอน รวมถึงการมีส่วนร่วมของส่วนประกอบต่างๆ มากมาย และเป็นเรื่องยากมากสำหรับเราที่จะสร้างระบบทั้งหมดด้วยตัวเอง

คุณถั่นเชื่อว่าจำเป็นต้องกำหนดว่าไม่มีระบบใดที่ปลอดภัยอย่างแท้จริง “ปัจจุบัน หน่วยโจมตีความมั่นคงปลอดภัยทางไซเบอร์สมัยใหม่ส่วนใหญ่มีการจัดระเบียบและดำเนินงานอย่างเป็นระบบ พวกเขามีแรงจูงใจ เป้าหมาย และทรัพยากรทางการเงินมากมาย ดังนั้น เราจึงจำเป็นต้องคิดต่างออกไป เพื่อพิจารณาว่า “สินทรัพย์” ใดสำคัญและจำเป็นที่สุดในระบบสารสนเทศทั้งหมด จากนั้นจึงใช้มาตรการอื่นๆ ในการป้องกัน เพื่อป้องกันไม่ให้เกิดเหตุการณ์ไม่ร้ายแรง การสูญเสียข้อมูลในปริมาณที่ไม่สูงเกินไป และไม่ก่อให้เกิดความเสียหายร้ายแรง” คุณถั่นกล่าว

ต้องการวิศวกรทั่วไปสำหรับการกำกับดูแลข้อมูลและความปลอดภัยทางไซเบอร์

นาย Pham Dai Duong สมาชิกคณะกรรมการกลางพรรค รองหัวหน้าคณะกรรมการนโยบายและยุทธศาสตร์กลาง กล่าวว่า การปกป้องข้อมูลจำเป็นต้องผสมผสานสององค์ประกอบเข้าด้วยกัน ประการแรกคือการปกป้องด้วยเทคโนโลยี โครงสร้างพื้นฐาน และกระบวนการ ซึ่งก็คือการแก้ปัญหาทางเทคนิค ประการที่สองคือการปกป้องโดยระบบกฎหมาย ขณะนี้เรามีกฎหมายหลายฉบับแล้ว เช่น กฎหมายว่าด้วยความมั่นคงปลอดภัยไซเบอร์ กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และในอนาคต รัฐสภาจะพิจารณาและปรับปรุงกฎหมายที่เกี่ยวข้องอย่างต่อเนื่อง

นอกจากนี้ มติ 57/NQ-TW ยังได้กำหนดแผนการดำเนินงาน ซึ่งรวมถึงแผนงานที่ 01 ว่าด้วยเทคโนโลยีเชิงกลยุทธ์ เพื่อเสริมสร้างความเป็นอิสระและควบคุมเทคโนโลยีหลักเพื่อรักษาความปลอดภัยข้อมูล มุมมองที่สอดคล้องกันคือการก้าวจากการป้องกันเชิงรับไปสู่การระบุความเสี่ยงตั้งแต่เนิ่นๆ การป้องกันเชิงรุก และการตอบสนองเชิงรุก

ตามที่ดร. Phan Van Hung รองบรรณาธิการบริหารหนังสือพิมพ์ Nhan Dan กล่าว เรากำลังขาดแคลน "วิศวกรทั่วไป" ในการจัดการข้อมูลและความปลอดภัยของเครือข่ายเพื่อให้เกิดการผสมผสานที่สอดประสานและซิงโครไนซ์

ด้วยความสามารถในการคัดลอกข้อมูลได้อย่างไร้ขีดจำกัด ข้อมูลจึงกลายเป็นปัจจัยการผลิตหลักที่สำคัญอย่างยิ่งในเศรษฐกิจดิจิทัล ในด้านการบริหารจัดการ จำเป็นต้องสร้างและยกระดับระบบกฎหมายที่เชื่อมโยงกันให้เป็นระบบเดียวกัน เพื่อนำไปสู่กระบวนการทางกฎหมาย สร้างความเป็นธรรม คุ้มครองกลุ่มเปราะบาง และกำกับดูแลให้เป็นไปตามเป้าหมายของรัฐ

ดร. ฟาน วัน ฮุง ระบุว่า กฎหมายจำเป็นต้องระบุสิทธิความเป็นเจ้าของของบุคคลและสิทธิของรัฐ สร้างกรอบการแบ่งปันข้อมูลแบบมีเงื่อนไข และผสานข้อมูลสาธารณะและข้อมูลส่วนบุคคลเข้าด้วยกัน อาจมีข้อพิพาทที่กฎหมายไม่สามารถควบคุมได้ ดังนั้น อัยการและหน่วยงานตุลาการจึงจำเป็นต้องสร้างบรรทัดฐานเพื่อประสานระบบกฎหมายและธรรมาภิบาลให้สอดคล้องกันอย่างมีประสิทธิภาพ

จากมุมมองของผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ คุณโง ตวน อันห์ กล่าวว่า "จากบทเรียนภาคปฏิบัติ จำเป็นต้องมุ่งเน้นไปที่โซลูชันสามกลุ่ม ได้แก่ การกำหนดค่าความปลอดภัยที่เข้มงวดยิ่งขึ้นก่อนนำบริการต่างๆ ขึ้นสู่อินเทอร์เน็ต การจัดการ การจำแนกประเภท และการจำกัดพื้นที่จัดเก็บข้อมูลที่ไม่จำเป็น และการสร้างกระบวนการสำหรับการตรวจจับแต่เนิ่นๆ การแยก การกู้คืน และการประสานงานทางกฎหมายเมื่อเกิดเหตุการณ์ขึ้น ขั้นตอนเหล่านี้คือขั้นตอนสำคัญในการปกป้องทรัพย์สินที่สำคัญที่สุดขององค์กร นั่นคือข้อมูล"

คุณตวน อันห์ ยังกล่าวอีกว่า สมาคมข้อมูลแห่งชาติกำลังพัฒนาชุดมาตรฐานพื้นฐานที่เกี่ยวข้องกับความปลอดภัยของข้อมูล คาดว่าในอนาคตอันใกล้นี้ ชุดมาตรฐานนี้จะถูกเผยแพร่เพื่อรับฟังความคิดเห็นจากหน่วยงานและสาขาต่างๆ เพื่อสนับสนุนให้หน่วยงานต่างๆ โดยเฉพาะอย่างยิ่งสมาชิก นำไปเผยแพร่และนำไปปฏิบัติ ซึ่งจะช่วยยกระดับการปฏิบัติตามข้อกำหนดให้ดียิ่งขึ้น

เนื้อหาสำคัญอีกประการหนึ่งคือการพัฒนาเชิงรุกของโซลูชันความมั่นคงปลอดภัยไซเบอร์ หน่วยงานและองค์กรต่างๆ ในประเทศ ร่วมกับสมาคมความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (National Cyber ​​Security Association) กำลังประสานงานเพื่อพัฒนาระบบนิเวศผลิตภัณฑ์ความมั่นคงปลอดภัยไซเบอร์ภายในประเทศ อันที่จริง มีหลักฐานมากมายที่บ่งชี้ว่าผลิตภัณฑ์เทคโนโลยีจากต่างประเทศมีความเสี่ยง เนื่องจากอาจมีช่องโหว่ทั้งที่ตั้งใจและไม่ตั้งใจ ซึ่งทำให้สามารถดึงและส่งต่อข้อมูลได้

“มีบางกรณีที่ระบบรักษาความปลอดภัยบางระบบที่ติดตั้งในเวียดนามเผลอปล่อยให้ข้อมูลผ่านโครงสร้างพื้นฐานต่างประเทศก่อนจะถูกจัดเก็บ ซึ่งทำให้ความเสี่ยงต่อการรั่วไหลของข้อมูลเพิ่มสูงขึ้น ดังนั้น เพื่อให้มั่นใจถึงความปลอดภัยของข้อมูล เราจำเป็นต้องมุ่งเน้นไปที่การสร้างมาตรฐาน การปฏิบัติตามข้อกำหนด และการส่งเสริมการพัฒนาโซลูชันด้านความปลอดภัยและความมั่นคงปลอดภัยของเวียดนาม” ตัวแทนจากสมาคมข้อมูลแห่งชาติกล่าวเน้นย้ำ

ที่มา: https://www.vietnamplus.vn/huong-di-nao-de-dam-bao-an-ninh-du-lieu-trong-ky-nguyen-moi-cua-viet-nam-post1064101.vnp