У якому напрямку забезпечувати безпеку даних у нову еру В'єтнаму?

На семінарі на тему «Безпека даних та мережева безпека в епоху національного розвитку», що відбувся 25 вересня в газеті Nhan Dan, експерти звернули увагу на ризики та рекомендації щодо захисту даних та мережевої безпеки у В'єтнамі.

Безпека даних така ж важлива, як і захист територіального суверенітету .

На семінарі пан Фам Дай Дуонг, член Центрального комітету партії, заступник голови Центрального комітету з питань політики та стратегії, зазначив, що сьогодні цифрова трансформація присутня всюди, стаючи неминучою тенденцією часу. Цифрова трансформація тісно пов'язана з багатьма галузями, такими як цифрове урядування, цифрова економіка тощо. У яких дані є дуже важливим фактором, що розглядається як національний актив.

Пан Фам Дай Дуонг наголосив, що безпека даних має таке ж значення, як і захист територіального суверенітету на морі та на суші. Центральний уряд завжди надає значення захисту суверенітету в кіберпросторі, вважаючи це постійним та невіддільним завданням у забезпеченні національної безпеки.

«Дані вважаються національним стратегічним активом, тому нам потрібні стратегії для забезпечення безпеки даних та безпеки мережі. Погляд партії та держави щодо забезпечення безпеки мережі та безпеки даних полягає в тому, що під час розробки політики необхідно перейти від пасивного оборонного мислення до проактивного та активного виявлення ризиків на ранній стадії та вжиття проактивних заходів».

Пан Дуонг зазначив, що це дуже важливий фактор захисту безпеки даних, а також відповідальність не лише державних органів, а й бізнесу та людей – суб’єктів, які безпосередньо використовують та експлуатують дані. «Якщо раніше закон обмежувався лише рівнем запобігання, то зі стрімким розвитком технологій сьогодні необхідно підкреслити роль лідерства та проактивної орієнтації».

Пан Нго Туан Ань, керівник відділу безпеки даних Національної асоціації даних ( Міністерство громадської безпеки ), поділився тим, що обмін даними є найважливішим компонентом системи. Багато витоків інформації виникають через дуже базові вразливості, головним чином через конфігурацію, вразливості, пов'язані зі сховищем, та вразливості, пов'язані з резервним копіюванням.

«По-перше, це проблема конфігурації. Ми уявляємо, що дані знаходяться в «будинку», але не заблоковані ретельно. Є системи, які містять дуже важливу інформацію, але використовують слабкі паролі, конфігурації за замовчуванням або безпосередньо доступні Інтернету. Коли сервіс розміщується в Інтернеті, через кілька хвилин у всьому світі з’являються автоматичні інструменти сканування та експлуатації. Ось чому до багатьох систем, лише за допомогою невеликої лазівки, можна отримати незаконний доступ», – сказав пан Туан Ань.

Ще одним ризиком, за словами пана Нго Туан Аня, є поширена ситуація зі зберіганням даних. Багато підрозділів зберігають забагато форм і непотрібних даних, що призводить до збільшення витрат на зберігання та розширення поверхні ризику. Коли система зберігання даних скомпрометована, весь блок даних може бути викритий. У контексті нещодавно прийнятого закону про захист персональних даних, підрозділ зберігання нестиме юридичну відповідальність у разі виникнення ризиків.

Насправді, за словами пана Туан Аня, жодна система не може гарантувати 100% безпеки. Опитування показують, що якщо у зловмисника є мотив для нападу, рівень успіху дуже високий, коли система має слабкі місця. Тому необхідні багаторівневі захисні заходи, в яких резервне копіювання вважається одним із життєво важливих факторів.

Під час обговорення пан Нгуєн Ле Тхань, засновник і виконавчий голова правління компанії Verichains Security, поділився тим, що зазвичай системи часто атакуються слабкими місцями, які можуть бути пов'язані зі старою системою, недбалою конфігурацією або помилками в захисті. Іноді ці слабкі місця виникають через неправильну авторизацію, помилки користувачів або помилки системного адміністрування.

Зловмисники шукатимуть ці недоліки та слабкі місця в системі керування базами даних, щоб атакувати в першу чергу. Якщо елементи системи добре побудовані та контрольовані, вони продовжуватимуть шукати слабкі місця, які важче захистити.

У цей час користувачі та адміністратори стають мішенями для зловмисників. Залежно від своїх можливостей та обізнаності про особисту безпеку, кожна людина має можливість керувати, захищати та охороняти власну інформацію.

Ще одна проблема виникає через шахрайство з боку окремих осіб та компаній, які наймають працівників або партнерів на умовах неповного робочого дня. Після певного періоду роботи ці особи проникають в інформаційну систему користувача, і користувач, навіть не підозрюючи про це, заражається шкідливим програмним забезпеченням. «Були випадки, коли багато людей подавали заявки на роботу в організації, і після певного періоду роботи їхні персональні дані зазнавали атак», – розповів пан Тхань.

Зрештою, за словами пана Тханя, суб'єкти та організації, які проникають у систему даних, можуть атакувати з боку третіх сторін. Це партнери, які часто надають продукти, послуги та рішення, пов'язані з системою. Щоб побудувати інформаційну систему, нам потрібно використовувати технології, що надаються багатьма сторонами, і іноді ми не можемо опанувати та контролювати їх усі. Будь-яка третя сторона може бути недбалою, і це є можливістю для вищезазначених суб'єктів для атаки.

Насправді, за словами цього експерта, атаки третіх сторін численніші та ефективніші, ніж атаки на користувачів та прямі атаки на вразливості системи.

Це показує, що технологічна автономія для зменшення залежності від третіх сторін є надзвичайно важливою. Однак зробити це непросто. Тому що побудова системи вимагає багатьох кроків, а також участі багатьох різних компонентів, і нам дуже важко побудувати все самостійно.

Пан Тхань вважає, що необхідно визначити, що жодна система не є абсолютно безпечною. «Наразі більшість сучасних підрозділів кібербезпеки організовані та діють дуже систематично. Вони мають мотивацію, цілі та значні фінансові ресурси. Тому нам потрібно мислити інакше, визначати, які «активи» є найважливішими та найнеобхіднішими у всій інформаційній системі. Виходячи з цього, використовувати інші заходи щодо захисту, щоб у разі інциденту втрата даних була невеликою, обсяг втраченої інформації не був надто цінним і не завдав серйозної шкоди», – сказав пан Тхань.

Потрібен інженер загального профілю з управління даними та кібербезпеки.

Пан Фам Дай Дуонг – член Центрального комітету партії, заступник голови Центрального комітету з питань політики та стратегії, зазначив, що для захисту даних необхідно поєднати два елементи: перший – це захист за допомогою технологій, інфраструктури та процесів, тобто технічних рішень; другий – це захист за допомогою правової системи. У нас вже є багато законів, таких як Закон про кібербезпеку, Закон про захист персональних даних... і найближчим часом Національні збори продовжать переглядати та вдосконалювати відповідні закони.

Крім того, Резолюція 57/NQ-TW також визначає план впровадження, включаючи План № 01 щодо стратегічних технологій, для підвищення автономії та освоєння основних технологій захисту даних. Послідовна точка зору полягає в переході від пасивного захисту до проактивного раннього виявлення ризиків, проактивного запобігання та реагування.

За словами доктора Фан Ван Хунга, заступника головного редактора газети «Нян Дан», нам не вистачає «інженерів загального профілю» з управління даними та мережевої безпеки для гармонійного та синхронного поєднання.

Завдяки можливості копіювання без обмежень, дані стають ключовим засобом виробництва, надзвичайно важливим у цифровій економіці. З точки зору управління, необхідно побудувати та інституціоналізувати синхронну правову систему в напрямку керівної ролі права, створення справедливості, захисту вразливих груп та регулювання відповідно до цілей держави.

За словами доктора Фан Ван Хунга, закон має чітко визначити права власності фізичних осіб та права держави, створити систему для умовного обміну даними та поєднати публічні та приватні дані. Виникатимуть суперечки, які закон не зможе врегулювати, тому прокуратура та судові органи повинні створювати прецеденти для ефективної синхронізації правової системи та управління.

З точки зору експерта з кібербезпеки, пан Нго Туан Ань зазначив: «З практичного досвіду необхідно зосередитися на трьох групах рішень: посилення конфігурації безпеки перед розміщенням сервісів в Інтернеті; управління, класифікація та обмеження непотрібного зберігання даних; побудова процесу раннього виявлення, ізоляції, відновлення та правової координації у разі виникнення інцидентів. Це важливі кроки для захисту найважливішого активу організації: даних».

Пан Туан Ань також повідомив, що Національна асоціація даних розробляє набір основних стандартів, пов’язаних із безпекою даних. Очікується, що найближчим часом цей набір стандартів буде представлено департаментам та відділам для обговорення, щоб допомогти підрозділам, насамперед членам, опублікувати та застосувати його, тим самим покращивши дотримання вимог.

Ще одним важливим змістом є проактивний розвиток рішень у сфері кібербезпеки. Вітчизняні підрозділи та підприємства разом з Національною асоціацією кібербезпеки координують роботу з розвитку вітчизняної екосистеми продуктів кібербезпеки. Фактично, існує багато доказів того, що іноземні технологічні продукти становлять ризики, оскільки можуть існувати вразливості, навмисні чи ненавмисні, які дозволяють витягувати та передавати дані.

«Бувають випадки, коли деякі системи безпеки, розгорнуті у В’єтнамі, випадково пропускають дані через іноземну інфраструктуру перед їхнім зберіганням. Це збільшує ризик витоку даних. Тому, щоб забезпечити безпеку даних, нам потрібно зосередитися на стандартизації, впровадженні відповідності та сприянні розвитку рішень безпеки, що належать В’єтнаму», – наголосив представник Національної асоціації даних.

Джерело: https://www.vietnamplus.vn/huong-di-nao-de-dam-bao-an-ninh-du-lieu-trong-ky-nguyen-moi-cua-viet-nam-post1064101.vnp