Từ bảo vệ hệ thống sang bảo vệ dữ liệu trong hệ thống

Ảnh minh họa.

Một trong những điểm đáng chú ý của dự thảo là đối tượng cần được bảo vệ bên trong hệ thống dữ liệu. Ngay trong phần phân loại thông tin, dự thảo đã tách bạch rõ các nhóm gồm thông tin công cộng, thông tin riêng, dữ liệu cá nhân và bí mật nhà nước. Đồng thời xác định tính chất bí mật tăng dần của từng nhóm thông tin để làm căn cứ quan trọng trong việc xác định cấp độ an ninh mạng của hệ thống thông tin. 

Điểm mới là ở chỗ dữ liệu đã được đặt vào vai trò chi phối đối với cách phân loại rủi ro và thiết kế phương án phòng vệ. Một hệ thống xử lý dữ liệu cá nhân, nhất là dữ liệu cá nhân nhạy cảm, rõ ràng sẽ không thể được nhìn nhận giống như một hệ thống chỉ cung cấp thông tin công cộng. Tương tự, một hệ thống có liên quan đến bí mật nhà nước hay lưu trữ dữ liệu đặc biệt quan trọng của quốc gia sẽ phải nằm ở cấp độ bảo vệ cao hơn nhiều. Nói cách khác, dự thảo đang làm rõ một nguyên tắc: dữ liệu nào, mức độ bảo vệ đó.

Điều này đặc biệt đáng chú ý trong bối cảnh các cuộc tấn công mạng hiện nay là ngày càng tập trung vào đánh cắp, thao túng, mã hóa, làm sai lệch hoặc khai thác dữ liệu để gây thiệt hại. Với nhiều tổ chức, thiệt hại lớn nhất của một sự cố an ninh mạng là ở việc dữ liệu khách hàng bị lộ, dữ liệu vận hành bị sửa đổi, hoặc dữ liệu trọng yếu bị chiếm quyền kiểm soát. Khi đó, bảo vệ an ninh mạng nếu không bắt đầu từ bảo vệ dữ liệu thì rất dễ rơi vào tình trạng phòng thủ lệch trọng tâm.

Dự thảo cũng cho thấy rõ hơn xu hướng gắn an ninh dữ liệu với quản lý rủi ro. Việc xác định cấp độ hệ thống gắn với việc đánh giá mối đe dọa, lỗ hổng, khả năng xảy ra sự cố và năng lực ứng phó hiện có. Trong đó, loại dữ liệu mà hệ thống nắm giữ chính là yếu tố làm thay đổi đáng kể mức độ rủi ro. Khi một hệ thống xử lý khối lượng lớn dữ liệu cá nhân hoặc dữ liệu quan trọng, thì yêu cầu bảo vệ tất yếu phải cao hơn, chặt hơn và liên tục hơn.

An ninh dữ liệu được đưa vào lõi của yêu cầu kỹ thuật và trách nghiệm quản trị

Dự thảo đưa an ninh dữ liệu thành một trong những yêu cầu kỹ thuật cơ bản của phương án bảo đảm an ninh mạng, đặt ngang với an toàn mạng, an toàn máy chủ và an toàn ứng dụng. Đây là chi tiết mang nhiều ý nghĩa chính sách, vì nó khẳng định dữ liệu đã trở thành một trụ cột cần được bảo vệ bằng các yêu cầu, quy trình và biện pháp riêng trong tổng thể bảo vệ an ninh mạng.

Cùng với đó, dự thảo yêu cầu việc bảo đảm an ninh mạng phải được thực hiện thường xuyên, liên tục từ khâu thiết kế, xây dựng, vận hành cho tới khi hủy bỏ hệ thống. Điều này đồng nghĩa với việc an ninh dữ liệu không thể chỉ được xử lý ở giai đoạn sau khi hệ thống đã vận hành, càng không thể chỉ phản ứng khi xảy ra sự cố. Nếu dữ liệu là tài sản trọng yếu, thì ngay từ giai đoạn xây dựng phương án bảo vệ đã phải tính tới cách dữ liệu được lưu trữ ở đâu, chia sẻ thế nào, phân quyền ra sao, sao lưu như thế nào, kết nối với hệ thống khác ở mức nào và hậu quả sẽ ra sao nếu dữ liệu bị khai thác hoặc làm sai lệch.

Một điểm rất đáng chú ý khác là dự thảo dành yêu cầu riêng đối với các hệ thống triển khai tại trung tâm dữ liệu hoặc trên nền điện toán đám mây. Với hệ thống cấp độ 3, cấp độ 4, thiết kế phải bảo đảm tách biệt logic giữa các hệ thống, giữa các vùng mạng và giữa các vùng lưu trữ. Với hệ thống cấp độ 5 hoặc hệ thống thông tin quan trọng về an ninh quốc gia, mức độ bảo vệ còn cao hơn, khi nhiều thành phần phải được tách biệt vật lý. Những yêu cầu này cho thấy bảo vệ dữ liệu là bài toán kiến trúc hạ tầng, phân tách tài nguyên, cô lập vùng lưu trữ và hạn chế lan truyền rủi ro giữa các hệ thống.

Dự thảo cũng gắn an ninh dữ liệu với trách nhiệm rất cụ thể của chủ quản hệ thống thông tin. Người đứng đầu cơ quan phải tổ chức kiểm tra, đánh giá an ninh mạng và quản lý rủi ro định kỳ, kết nối hệ thống giám sát; báo cáo sự cố; bảo đảm tính đầy đủ, trung thực và chính xác của kết quả đánh giá. Khi dữ liệu trở thành mục tiêu trọng yếu của tấn công mạng, trách nhiệm quản trị dữ liệu an toàn vì thế cũng không thể tiếp tục bị coi là việc riêng của bộ phận kỹ thuật.

Trong môi trường số hiện nay, phòng thủ an ninh mạng hiệu quả không còn đồng nghĩa với việc dựng thêm lớp bảo vệ quanh hệ thống, mà phải chuyển mạnh sang bảo vệ giá trị cốt lõi nằm bên trong hệ thống, đó là dữ liệu. Từ cách phân loại thông tin, xác định cấp độ, thiết kế biện pháp kỹ thuật cho tới tổ chức giám sát, kiểm tra và quản lý rủi ro, dữ liệu đang dần được đặt vào vị trí trung tâm của chiến lược phòng thủ. Nếu xu hướng này được thể chế hóa rõ hơn khi nghị định được ban hành, an ninh dữ liệu nhiều khả năng sẽ trở thành một trong những tuyến phòng thủ quan trọng nhất của an ninh mạng trong giai đoạn tới.

Thu Uyên