Rủi ro về an toàn dữ liệu từ các dịch vụ điện toán đám mây công cộng
Hãy hình dung một kịch bản đơn giản như sau: một nhân viên đang phải hoàn thành bản báo cáo để gửi lãnh đạo vào sáng hôm sau, anh ta có thể tải dữ liệu lên “đám mây” để tiếp tục hoàn thiện báo cáo trên máy tính ở nhà. Ví dụ như ứng dụng Google Docs cho phép người dùng tải lên và chia sẻ tài liệu, theo dõi các thay đổi. Các phóng viên và biên tập viên có thể chia sẻ tài liệu, cùng soạn thảo và ghi nhận xét vào một bài viết trên Google Docs. Cách làm này vừa thuận tiện vừa giúp nâng cao năng suất và được nhiều người dùng yêu thích, nhưng lại dễ dẫn đến nguy cơ rò rỉ thông tin.
Các hệ thống CNTT “ngầm” và các dịch vụ tiện ích đám mây đã được sử dụng phổ biến trong các TC/DN. Vào tháng 1/2016, Cisco Cloud Consumption cho biết: Một doanh nghiệp lớn sử dụng trung bình 1.220 dịch vụ đám mây, tăng gần gấp đôi so với 730 dịch vụ của sáu tháng trước đó. Con số này cao hơn rất nhiều so với ước tính của các CIO (họ cho rằng doanh nghiệp của mình chỉ dùng khoảng 91 dịch vụ đám mây công cộng). Số dịch vụ trên đám mây mà các doanh nghiệp lớn sử dụng đã tăng tới 67% so với 6 tháng trước đó và tăng 112% nếu so với năm trước.
Trong Báo cáo 10 dự báo hàng đầu về an ninh đám mây năm 2016, Gartner dự đoán rằng tới năm 2020, 1/3 các cuộc tấn công thành công vào các doanh nghiệp là nhằm vào các tài nguyên CNTT “ngầm”. Gartner cũng nhấn mạnh rằng tới năm 2018, nhu cầu ngăn chặn các vụ rò rỉ dữ liệu từ các dịch vụ trên đám mây công cộng sẽ khiến 20% số doanh nghiệp phải xây dựng các chương trình quản lý và đảm bảo an ninh dữ liệu.
Cùng với sự tồn tại và phát triển của các hệ thống CNTT “ngầm”, việc sử dụng các dịch vụ tiện ích đám mây có thể đem tới những rủi ro chính sau đây:
Rủi ro lộ, lọt thông tin
Các nhà cung cấp dịch vụ điện toán đám mây đang rất nỗ lực để bảo vệ dữ liệu của khách hàng. Nhưng người dùng vẫn phải chịu trách nhiệm chính trong việc biết thông tin của mình được lưu trữ ở đâu và có phương pháp bảo vệ chúng như thế nào. Không có những quy định chặt chẽ để quản lý các nhà cung cấp dịch vụ điện toán đám mây và không thể theo dõi thông tin của người dùng đang được chia sẻ như thế nào, nhà cung cấp sử dụng biện pháp kỹ thuật nào để bảo vệ thông tin của khách hàng... là những nguyên nhân gây ra rủi ro an toàn thông tin cho các TC/DN.
Rủi ro thương hiệu
Rủi ro thương hiệu đi liền với nguy cơ lộ, lọt thông tin. Nếu thông tin của TC/DN bị đánh cắp hay chia sẻ không hợp lệ, thì tác động của việc đó tới uy tín thương hiệu của TC/DN sẽ khó có thể đo đếm được. Những vụ lộ thông tin trên mạng không chỉ dẫn đến những tổn thất trực tiếp về tài chính mà còn khiến khách hàng mất lòng tin vào thương hiệu.
Rủi ro về quản trị doanh nghiệp
Việc quản trị của TC/DN khi sử dụng các dịch vụ đám mây sẽ gặp nhiều rủi ro. Trong đó, nổi bật là các phòng, ban không tuân thủ quy định của cơ quan quản lý. Những vi phạm xuất hiện ngày càng nhiều, nhưng những người chịu trách nhiệm đảm bảo tuân thủ các quy định lại không biết hết được các bộ phận trong doanh nghiệp của mình đang sử dụng những dịch vụ đám mây nào. Trong khi đó, những nhân viên thường chỉ thấy được những ưu điểm của dịch vụ đám mây, mà không nhận ra những rủi ro chúng có thể mang đến cho TC/DN.
Rủi ro về khả năng kinh doanh liên tục
Các doanh nghiệp cần đảm bảo rằng, những nhà cung cấp dịch vụ điện toán đám mây họ đang sử dụng có khả năng tài chính vững mạnh. Nếu không, họ có thể bị mất những dữ liệu quý giá khi nhà cung cấp dịch vụ phá sản, ngừng hoạt động. Chẳng hạn như, cuối năm 2013, nhà cung cấp dịch vụ lưu trữ đám mây Nirvanix nộp đơn xin bảo hộ phá sản và cho khách hàng chưa đầy một tháng để chuyển dữ liệu đi nơi khác (hoặc để mất vĩnh viễn). Những thay đổi đột ngột như vậy có thể đem đến những thách thức rất lớn đối với việc đảm bảo khả năng kinh doanh liên tục.
Các TC/DN khó có khả năng giám sát chất lượng của các dịch vụ để biết những dịch vụ đó có tuân thủ các thoả thuận đã ký hay không, có xứng đáng với số tiền họ đã trả hay không. Khó khăn này còn tăng lên nếu các bộ phận nghiệp vụ (không có những cán bộ chuyên trách về CNTT, những người có hiểu biết về kỹ thuật ...) đàm phán và ký hợp đồng với những nhà cung cấp dịch vụ đám mây.
Thiệt hại về tài chính
Cisco từng giúp một nhà sản xuất thiết bị toàn cầu phát hiện việc nhân viên của họ sử dụng hơn 630 dịch vụ đám mây, 90% trong số đó không được bộ phận CNTT biết tới. Những dịch vụ không được biết tới này tiêu tốn của họ gần một triệu đô la mỗi năm. Chi phí tăng lên vì các bộ phận khác nhau cùng mua những dịch vụ giống nhau và đánh mất khả năng thương lượng khi ký hợp đồng lớn. Tất cả các giải pháp CNTT, dù do đối tác bên ngoài hay nội bộ doanh nghiệp cung cấp, đều phải đáp ứng các yêu cầu, tiêu chuẩn về pháp lý, hợp đồng, nghiệp vụ kinh doanh và công nghệ có liên quan. Các nhà cung cấp dịch vụ điện toán đám mây bên ngoài có thể gặp rắc rối với các yêu cầu đó, nên cần có các biện pháp quản lý để đảm bảo sự tuân thủ. Việc triển khai các biện pháp quản lý nhà cung cấp có thể giúp phòng tránh, giảm thiểu rủi ro và đảm bảo tuân thủ các yêu cầu quan trọng trên nhiều mặt với mọi nhà cung cấp. Khi nắm bắt được các hoạt động thuê ngoài dịch vụ đám mây tự phát và đưa chúng vào tầm quản lý TC/DN sẽ từng bước nhận được những lợi ích của công tác quản trị CNTT và ATTT.
Để có thể quản trị rủi ro và hạn chế tối đa tác hại của các dịch vụ “ngầm”, các nhà quản trị cần có cách tiếp cận đúng đắn. Việc áp dụng chính sách “đóng” để ngăn chặn rủi ro đôi khi phản tác dụng do vừa cản trở xu thế làm việc cộng tác và các động lực phát triển kinh doanh, vừa tạo ra những rủi ro ngầm. Bên cạnh đó, nhiều nhà lãnh đạo vẫn nghĩ rằng họ không cần lo ngại về các dịch vụ CNTT “ngầm” vì đã có những phương thức an ninh bảo vệ.
Giải pháp bảo mật đám mây
Bên cạnh chính sách, chiến lược tốt, TC/DN cũng cần có giải pháp kỹ thuật phù hợp. Để quản trị tốt các dịch vụ điện toán đám mây công cộng được sử dụng trong doanh nghiệp cần quan tâm tới giải pháp bảo mật đám mây (Cloud Access Security Broker - CASB). Đây là công cụ phần mềm trung gian giữa cơ sở hạ tầng của doanh nghiệp và hạ tầng đám mây của các nhà cung cấp, đóng vai trò người gác cổng, cho phép doanh nghiệp mở rộng phạm vi áp dụng các chính sách ATTT ra ngoài cơ sở hạ tầng của họ. Giải pháp CASB đảm bảo kết nối mạng giữa các thiết bị trong doanh nghiệp và các nhà cung cấp dịch vụ đám mây tuân thủ theo các chính sách về ATTT.
Một đặc điểm quan trọng khác của giải pháp CASB là khả năng nắm bắt được các ứng dụng điện toán đám mây được sử dụng trong TC/DN. Từ đó xác định những dịch vụ không được cấp phép. Điều này đặc biệt quan trọng đối với các ngành có quy định quản lý nghiêm ngặt khi sử dụng điện toán đám mây. CASB giúp xác định các ứng dụng mà người dùng gặp rủi ro cao. Từ đó, áp đặt các biện pháp kiểm soát an ninh như mã hoá.
Ngoài ra, CASB còn cung cấp các dịch vụ như ánh xạ thông tin đăng nhập khi không có hệ thống đăng nhập một lần (Single Sign-On). Khác với tường lửa, giải pháp bảo mật mới này cho phép xem xét chi tiết các hoạt động của người dùng, giúp xác định những người dùng có động cơ xấu hay những mối đe doạ từ bên trong, phát hiện những bất thường (vi phạm các quy định an ninh) trong việc sử dụng dịch vụ đám mây. Tuy nhiên, CASB không thay thế cho các giải pháp an ninh mạng hiện có như tường lửa, web proxy hay chống thất thoát dữ liệu (Data Loss Prevention - DLP). Các giải pháp DLP truyền thống thường tập trung vào hạ tầng mạng và thiết bị đầu cuối bên trong doanh nghiệp mà không bao phủ được các dịch vụ điện toán đám mây. Ngược lại, các giải pháp CASB có một số tính năng phòng chống thất thoát dữ liệu nhưng lại không đầy đủ và thường phải tích hợp với giải pháp DLP chuyên dụng.
Việc áp dụng các giải pháp CASB phần nào nhằm đáp ứng nhu cầu quản trị rủi ro an toàn, an ninh thông tin của doanh nghiệp trong bối cảnh hiện nay.
Các chuyên gia của Gartner khuyến nghị rằng, các TC/DN nên phát triển chương trình quản trị an ninh trên toàn bộ dữ liệu của mình, xác định những lỗ hổng trong chính sách để có lộ trình giải quyết và mua bảo hiểm trong những trường hợp phù hợp.
Nguyễn Anh Tuấn
(tổng hợp)