Đầu năm nay, OPSWAT thông báo từ một trong các nhà cung cấp dịch vụ truyền thông bên thứ ba về một sự cố an ninh xảy ra tại phía họ, có khả năng làm lộ một lượng nhỏ thông tin liên hệ kinh doanh liên quan đến khách hàng của chúng tôi. Thông báo này được gửi trực tiếp từ nhà cung cấp và sau đó, hai đội ngũ của chúng tôi đã tiến hành phối hợp chặt chẽ với nhau.
Không có dấu hiệu nào cho thấy có hoạt động độc hại bên trong OPSWAT , không có bằng chứng về việc rò rỉ dữ liệu từ khách hàng của chúng tôi, và không có mối đe dọa nào đang diễn ra tại thời điểm chúng tôi nhận được thông báo. Tuy nhiên, chúng tôi vẫn xử lý tình huống này với sự nghiêm túc cần thiết.
Với tư cách là Giám đốc An ninh Thông tin (CISO), những sự cố như thế này càng khẳng định một số thực tế mà trên lý thuyết thì dễ bàn luận, nhưng trên thực tế lại rất khó xử lý.
Thứ nhất, rủi ro từ bên thứ ba không còn là vấn đề thứ yếu. Các doanh nghiệp hiện đại có mối liên kết chặt chẽ với nhau. Các nền tảng quản lý danh tính, tích hợp SaaS và hệ thống tương tác khách hàng mang lại giá trị kinh doanh thực sự, nhưng chúng cũng làm gia tăng diện tích tiếp xúc khi xảy ra sự cố nằm ngoài tầm kiểm soát trực tiếp của bạn. Ngay cả khi hệ thống bảo mật của bạn vẫn vững vàng, tác động của sự cố đó vẫn có thể lan đến tổ chức của bạn.
Thứ hai, tính minh bạch trong nội bộ công ty cũng quan trọng không kém việc kiểm soát tình hình. Ngay khi đã làm rõ phạm vi và tác động của sự việc, chúng tôi đã quyết định trao đổi trực tiếp với nhân viên. Chúng tôi không coi đó là một mối đe dọa cấp bách, nhưng chúng tôi biết rằng mọi người sẽ đưa ra quyết định sáng suốt hơn khi được thông tin đầy đủ. Thay vì gây ra sự hoang mang bằng cách im lặng, chúng tôi đã quyết định xây dựng lòng tin thông qua việc trao đổi cởi mở.
Thứ ba, chất lượng phản ứng được quyết định bởi sự chuẩn bị, chứ không phải sự hoảng loạn. Các đội ngũ an ninh, CNTT và ứng dụng doanh nghiệp của chúng tôi đã có thể hành động nhanh chóng bởi vì các vai trò, quy trình báo cáo lên cấp trên và quy trình xử lý bằng chứng đã được thiết lập sẵn. Các bản ghi nhật ký đã được lưu giữ. Các đường dẫn truy cập đã được rà soát. Thông tin tình báo về mối đe dọa đã được sử dụng để phát hiện các rủi ro thứ cấp. Kỷ luật đó đã được xây dựng từ trước, ngay cả trước khi sự cố xảy ra, chính xác là bởi vì chúng tôi biết rằng kỷ luật sẽ không thể xuất hiện trong lúc sự cố diễn ra nếu không có nền tảng chuẩn bị từ trước.
Cuối cùng, những sự cố như thế này thường đi kèm với các vụ lừa đảo qua email (phishing) hoặc các chiêu trò lừa đảo bằng kỹ thuật xã hội. Ngay cả khi hệ thống vẫn được bảo mật, người dùng vẫn có thể trở thành mục tiêu. Tăng cường cảnh giác, xác minh các yêu cầu bất thường và báo cáo các hoạt động đáng ngờ vẫn là những biện pháp phòng vệ hiệu quả nhất mà chúng ta có.
Tôi đưa ra quan điểm này nhằm nhấn mạnh một nguyên tắc mang tính tổng quát hơn là chỉ tập trung vào một sự cố cụ thể của nhà cung cấp. An ninh mạng không chỉ đơn thuần là việc ngăn chặn các vụ vi phạm; nó còn bao gồm cách thức một tổ chức ứng phó với các sự cố ảnh hưởng đến môi trường hoạt động của mình, tính minh bạch trong giao tiếp, cũng như việc không ngừng củng cố niềm tin giữa các bên liên quan.
Tại OPSWAT, chúng tôi sẽ tiếp tục coi an ninh là một trách nhiệm hoạt động, chứ không phải là một chức năng phụ. Điều đó có nghĩa là chúng tôi sẽ đặt ra những tiêu chuẩn cao cho chính mình và các đối tác, trao đổi cởi mở khi cần thiết, đồng thời luôn nhận thức rõ rằng khả năng phục hồi được xây dựng dựa trên sự chuẩn bị và con người, chứ không phải sự hoàn hảo.
- Mike Barker
Giám đốc An ninh Thông tin (CISO) & Giám đốc Điều hành (COO), OPSWAT
