Tổng lượt truy cập

Wednesday, September 24, 2025

QUẢN LÝ RỦI RO CNTT VÀ ANM VỚI DỮ LIỆU

Hiện nay rất nhiều tổ chức đã thành lập phòng/Trung tâm /Khối về Dữ liệu (Dữ liệu ra quyết định, dữ liệu tài sản của mọi tổ chức ) Vậy rủi ro nào về dữ liệu cần được lưu ý và quản lý . Tôi xin đưa bạn những rủi ro chính liên quan dữ liệu và chốt kiểm soát tương:

Bảo mật dữ liệu (Data Security)

  • Rủi ro:
    • Rò rỉ dữ liệu nhạy cảm (PII, PCI, dữ liệu tài chính) ra ngoài.
    • Truy cập không đúng thẩm quyền do quản lý IAM lỏng lẻo.
  • Chốt kiểm soát:
    • Áp dụng cơ chế IAM chi tiết (RBAC/ABAC, principle of least privilege).
    • Mã hóa dữ liệu ở trạng thái nghỉ (at-rest) và khi truyền (in-transit).
    • Triển khai Data Loss Prevention (DLP), Data Masking/Tokenization cho dữ liệu nhạy cảm.

Chất lượng dữ liệu & Data Governance

  • Rủi ro:
    • Dữ liệu “rác” hoặc sai lệch ảnh hưởng đến phân tích, AI/ML.
    • Thiếu kiểm soát metadata, lineage gây khó truy xuất nguồn gốc.
  • Chốt kiểm soát:
    • Thiết lập Data Governance Framework (theo DAMA-DMBOK, DCAM).
    • Tích hợp công cụ Data Catalog, Metadata Management.
    • Định nghĩa Data Owner, Data Steward rõ ràng.

Tuân thủ & Pháp lý

  • Rủi ro:
    • Vi phạm quy định bảo vệ dữ liệu cá nhân (VD: Nghị định 13/2023 Việt Nam, GDPR EU).
    • Lưu trữ vượt phạm vi, không xóa khi hết thời hạn pháp lý.
  • Chốt kiểm soát:
    • Thiết lập Data Retention Policy và cơ chế xóa dữ liệu tự động.
    • Phân loại dữ liệu theo mức độ nhạy cảm.
    • Định kỳ kiểm toán tuân thủ về dữ liệu.

Truy cập & Giám sát

  • Rủi ro:
    • Người dùng nội bộ lạm dụng dữ liệu (insider threat).
    • Không phát hiện kịp thời hành vi truy cập bất thường.
  • Chốt kiểm soát:
    • Triển khai UEBA (User and Entity Behavior Analytics) để giám sát hành vi.
    • Ghi log toàn bộ truy cập, lưu trữ trên hệ thống immutable logging (SIEM).
    • Nguyên tắc Zero Trust: xác thực đa yếu tố (MFA), segmentation.

Hạ tầng & Vận hành

  • Rủi ro:
    • Tấn công DDoS hoặc ransomware nhắm vào hạ tầng Data Lake.
    • Mất tính sẵn sàng do sự cố cloud/on-premise.
  • Chốt kiểm soát:
    • Kiến trúc multi-zone, multi-region để tăng tính khả dụng.
    • Kế hoạch Backup & Disaster Recovery (3-2-1 backup rule).
    • Giám sát bảo mật hạ tầng bằng CSPM (Cloud Security Posture Management) hoặc tương đương

AI/Analytics trên Data Lake

  • Rủi ro:
    • Mô hình AI/ML học từ dữ liệu sai → ra quyết định sai lệch.
    • Rủi ro “model leakage” khi dữ liệu nhạy cảm bị huấn luyện và lộ ra ngoài.
  • Chốt kiểm soát:
    • Quản lý Model Risk Management (MRM): giám sát chất lượng dữ liệu đầu vào.
    • Kiểm soát dữ liệu huấn luyện bằng sandbox tách biệt.
    • Chính sách Responsible AI để giảm thiên vị (bias).



Đăng bài bởi

Quản lý rủi ro CNTT & An ninh mạng - Đặc Thù và Tách bạch

Với sự cố CNTT & ANM đã xảy ra gần đây Việt Nam (Tấn công vndirect, các công ty tài chính ….) hoặc gần đây nhất là sự cố rò rỉ dữ liệu tại Trung tâm Thông tin Tín dụng Quốc gia (CIC) gần đây, được Bloomberg (12/9/2025) và Resecurity đưa tin, là một trong những vụ tấn công mạng nghiêm trọng nhất từng xảy ra trong lĩnh vực tài chính Việt Nam. Hơn 160 triệu bản ghi dữ liệu nhạy cảm bị phát tán, ảnh hưởng đến ngân hàng, tổ chức tín dụng và hàng chục triệu người dân.

Điều này khẳng định một thực tế: rủi ro CNTT và an ninh mạng không thể chỉ được quản lý như một phần của rủi ro hoạt động truyền thống, mà cần được xem là một trụ cột quản trị độc lập.

Vì sao cần tách bạch Quản lý rủi ro CNTT&ANM là mảng riêng biệt , độc lập?

  1. Khác biệt về bản chất
    Rủi ro CNTT & an ninh mạng mang tính kỹ thuật, biến đổi nhanh, và có thể gây tê liệt hệ thống ngay lập tức – khác hẳn với các rủi ro hoạt động thông thường (quy trình, con người, gian lận).
  2. Tác động hệ thống
    Nếu CIC ngừng hoạt động, toàn bộ quy trình cấp tín dụng của ngân hàng sẽ bị đình trệ, kéo theo tác động lan rộng đến nền kinh tế. Đây không còn là rủi ro “nội bộ” mà là rủi ro quốc gia.
  3. Xu hướng quốc tế
    Các cơ quan quản lý tài chính lớn (EBA châu Âu, MAS Singapore, Basel Committee) đều đã coi QLRR CNTT & An ninh mạng là một mảng rủi ro riêng, với báo cáo và quy định tách biệt khỏi rủi ro hoạt động.

Bài học từ sự cố CIC

  • Giám sát chưa hiệu quả: Sự cố chỉ được phát hiện khi dữ liệu đã bị rao bán công khai.
  • Thiếu minh bạch báo cáo: Thông tin phản hồi chậm, gây khó khăn cho xử lý khủng hoảng.
  • Nguồn lực chưa chuyên sâu: Quản lý rủi ro CNTT &ANM  vẫn gộp chung vào rủi ro hoạt động/ nhân sự chưa được tách bạch chuyên xâu,, khiến thiếu nhân sự có năng lực kỹ thuật để đánh giá và phản biện.

Khuyến nghị 

  1. Tổ chức & Quản trị
  • Thành lập bộ phận Quản lý rủi ro CNTT & An ninh mạng độc lập, báo cáo trực tiếp cho CRO/HĐQT.
  • Áp dụng 3 Lines of Defense riêng biệt cho CNTT & ANM (vận hành – giám sát – kiểm toán).
  1. Phương pháp & Công cụ
  1. Con người
  • Bổ sung nhân sự chuyên trách có chứng chỉ quốc tế (CISSP, CISM, CRISC, CEH, ISO 27K) chuyên về quản trị rủi ro CNTT & ANM.
  • Đào tạo lãnh đạo cấp cao để nâng cao nhận thức và khả năng ra quyết định trong các sự cố mạng/ risk 
  1. Giám sát & Báo cáo
  • Xây dựng báo cáo rủi ro CNTT & ANM riêng biệt.
  • Thực hiện kịch bản diễn tập (simulation) và stress test với các tình huống như ransomware hoặc tấn công chuỗi cung ứng.

Định hướng chiến lược

  • Tách bạch rõ ràng: Xem rủi ro CNTT & an ninh mạng là một trụ cột độc lập trong khung quản trị rủi ro.
  • Đầu tư chiều sâu: Cần công cụ chuyên biệt và nhân sự chuyên môn cao, không thể dựa vào cách tiếp cận truyền thống.
  • Tăng khả năng chống chịu số (digital resilience): Đây sẽ là lợi thế cạnh tranh dài hạn và điều kiện để đáp ứng yêu cầu quản lý trong tương lai.
Hiện nay các tổ chức tài chính lớn đã đi đầu việc tách bạch và tuyển nhân sự chuyên biệt chuyên môn cho việc quản lý rủi ro CNTT&ANM: BIDV , TechcomBank, MBBank, VPBank, MSB … . Những ngân hàng khác trong lộ trình tách bạch: VietinBank, SHB, PVcomBank ….

=> Sự cố CIC cho thấy, một sự cố an ninh mạng có thể vượt xa phạm vi tổ chức, trở thành rủi ro hệ thống. Để bảo vệ doanh nghiệp và niềm tin thị trường, lãnh đạo cần nhìn nhận rủi ro CNTT & an ninh mạng như một mảng rủi ro riêng biệt, được quản trị độc lập, có nguồn lực chuyên biệt. Đây không chỉ là bài học, mà còn là yêu cầu cấp thiết trong kỷ nguyên số.


Đăng bài bởi

Tuesday, September 16, 2025

Sự kiện rò rỉ dữ liệu CIC – Bài học về quản lý rủi ro CNTT & An ninh mạng

Vụ tấn công của nhóm ShinyHunters vào Trung tâm Thông tin Tín dụng Quốc gia Việt Nam (CIC) được công bố thông tin 8/9/2025, đã phơi bày hơn 160 triệu bản ghi dữ liệu nhạy cảm, từ thông tin cá nhân đến dữ liệu phân tích tín dụng (ReSecurity, Bloomberg, BeyondMachines). Sự kiện này nhấn mạnh rằng quản lý rủi ro CNTT và an ninh mạng là lĩnh vực đặc thù, chiến lược và không thể phụ thuộc vào bộ phận quản lý rủi ro hoạt động chung.

1. Phân tích kỹ thuật và rủi ro đặc thù

  • Phương thức tấn công: Lỗ hổng trong hệ thống ứng dụng web và cơ sở dữ liệu chưa mã hóa đã bị khai thác, cho thấy sự cần thiết của việc áp dụng bảo mật đa lớp, giám sát truy cập và phân quyền chặt chẽ.
  • Hậu quả: Không chỉ dữ liệu cá nhân bị lộ, mà cả dữ liệu phân tích tín dụng, làm tăng nguy cơ gian lận tài chính và mất niềm tin vào hệ thống tài chính quốc gia.
  • Rủi ro đặc thù CNTT&ANM: Tập trung dữ liệu nhạy cảm tại một điểm mà thiếu kiểm soát chuyên sâu khiến hệ thống trở thành mục tiêu hấp dẫn, yêu cầu phương pháp quản lý rủi ro riêng biệt so với rủi ro hoạt động thông thường.

2. Khung quản lý rủi ro CNTT và an ninh mạng hiệu quả



  • Phương pháp luận và công cụ:
    • Áp dụng quy trình đánh giá rủi ro CNTT định kỳ, bao gồm penetration testing, vulnerability scanning, audit dữ liệu nhạy cảm, RCSA, LDC….
    • Sử dụng công nghệ giám sát thời gian thực, threat intelligence, SIEM/SOAR để phát hiện và ứng phó nhanh các mối đe dọa.
    • Triển khai mã hóa dữ liệu end-to-end, quản lý phân quyền nghiêm ngặt, sao lưu và phục hồi dữ liệu định kỳ.
  • Nhiệm vụ và trách nhiệm tách bạch nhiều lớp (nhân sự chuyên môn cao):
    • Thiết lập 3 lớp kiểm soát: Tuyến bảo vệ 1: Đơn vị vận hành, xây dựng sản phẩm, Tuyến bảo vệ 2: Phòng quản lý rủi ro CNTT& ANM , Tuyến bảo vệ 3: Kiênm toán nội bộ.
    • Đội ngũ CNTT và an ninh mạng chuyên biệt (Tuyến bảo vệ 1), Tuyến bảo vệ 2: Đơn vị quản lý rủi ro CNTT&ANM (độc lập và khác với Quản lý rủi ro hoạt động). Hiện nay quản lý rủi ro CNTT&ANM là mảng lớn, chuyên biệt và đặc biệt quan trọng, nhưng một mảng đặc thù hơn cả rủi ro Tín dụng của cơ quan tài chính. Vì vậy các tổ chức tài chính thế giới gần như tách độc lập việc quản lý rủi ro CNTT & ANM độc lập và theo ngành dọc 3 tuyến bảo vệ phòng thủ .
    • Nhân sự cần có trình độ kỹ thuật sâu, kinh nghiệm thực chiến, thường xuyên cập nhật các mối đe dọa mới và công nghệ bảo mật tiên tiến.
    • Đào tạo liên tục, xây dựng văn hoá quản lý rủi ro CNTT&ANM.
  • Quy trình và chính sách quản lý rủi ro:
    • Thiết lập SOP phản ứng sự cố rõ ràng, kịch bản khôi phục dữ liệu và liên lạc khẩn cấp.
    • Áp dụng chuẩn mực quốc tế: ISO 27001, NIST Cybersecurity Framework, EBA Guidelines, đảm bảo tuân thủ và chuẩn hóa quản lý rủi ro.

3. Bài học chiến lược và định hướng tương lai (Dữ liệu, QLRR CNTT&ANM và Nhân sự) 

  • Phân tán và bảo vệ dữ liệu: Tránh tập trung dữ liệu tại một điểm; áp dụng kiến trúc hybrid cloud an toàn, bảo mật dữ liệu phân tán.
  • Tách bạch quản lý rủi ro: Quản lý rủi ro CNTT và an ninh mạng cần độc lập với rủi ro hoạt động, do đặc thù kỹ thuật, tốc độ thay đổi công nghệ và tính chất mối đe dọa chuyên biệt.
  • Xây dựng đội ngũ chuyên trách: Nhân sự chuyên môn cao là trụ cột, kết hợp với phương pháp quản lý rủi ro hiện đại để bảo vệ hệ thống tài chính và quyền lợi người dân.

Kết luận:

Sự cố CIC là lời cảnh báo mạnh mẽ: quản lý rủi ro CNTT và an ninh mạng không chỉ là vấn đề kỹ thuật, mà là chiến lược sống còn, đòi hỏi công nghệ, phương pháp luận và nhân sự chuyên môn cao phối hợp nhịp nhàng. Chỉ bằng cách này, tổ chức mới có thể duy trì niềm tin, chống chịu các mối đe dọa ngày càng tinh vi và đảm bảo an toàn cho hệ thống tài chính quốc gia.


Đăng bài bởi

Friday, December 13, 2024

CÔNG CỤ PHÂN TÍCH TẤN CÔNG- THOR

Theo Tạp chí An toàn thông tin các lĩnh vực quan tâm khác của các chuyên gia an ninh mạng bao gồm: Tấn công ransomware (30%), các cuộc tấn công phối hợp vào mạng của một tổ chức (30%), sự thiếu đầu tư vào các giải pháp bảo mật (26%). Trong đó, các chuyên gia bảo mật hàng đầu đã nêu ra một số mối đe dọa hàng đầu mà các hệ thống CNTT cần phải đối mặt, trong đấy phần mềm độc hại đe dọa hàng đầu:

Phần mềm độc hại bao gồm virus và sâu, được đưa vào mạng và hệ thống với mục đích gây gián đoạn. Phần mềm độc hại có thể trích xuất thông tin bí mật, từ chối dịch vụ và giành quyền truy cập vào hệ thống.

Các Tổ chức sử dụng phần mềm chống virus và tường lửa để giám sát và chặn phần mềm độc hại trước khi phần mềm này xâm nhập vào mạng và hệ thống, nhưng những kẻ xấu vẫn tiếp tục phát triển phần mềm độc hại của chúng để vượt qua các biện pháp phòng vệ này. Điều đó làm cho việc duy trì các bản cập nhật hiện tại cho phần mềm bảo mật và tường lửa trở nên cần thiết. Ngoài ra còn có các giải pháp phần cứng để ngăn chặn phần mềm độc hại, chẳng hạn như bộ định tuyến lưới Guardian của Gryphon có thể xử lý nhiều mối đe dọa khác nhau. Vậy làm thế nào để có thể phân tích phản ứng sự cố gây mất an ninh hàng ngày, cần có giải pháp tổng thể và công cụ hỗ trợ phân tích, công cụ hỗ trợ phân tích hiện nay đánh giá cao và sử dụng phổ biến đối với chuyên gia phân tích đó chính là THOR.

THOR ?

THOR là một công cụ rất toàn diện trong việc phát hiện các dấu hiệu phần mềm độc hại, các hành vi đáng ngờ và các tấn công mạng tiềm tàng. Công cụ THOR hỗ trợ nhiều loại hệ điều hành khác nhau như Windows, Linux, macOS và hỗ trợ tích hợp vào các hệ thống quản lý thông tin và sự kiện an ninh (SIEM - Security Information and Event Management). Điều này giúp cho THOR trở thành một lựa chọn phổ biến trong các doanh nghiệp và tổ chức muốn đảm bảo an toàn cho hệ thống mạng của họ. Các chức năng chính của THOR bao gồm:

·Phát hiện IoC (Indicators of Compromise): Một trong những chức năng quan trọng của THOR là khả năng phát hiện các chỉ số xâm nhập, tức là các dấu hiệu cho thấy hệ thống đã bị tấn công hoặc bị xâm nhập trái phép. Những chỉ số này bao gồm các tập tin, URL, địa chỉ IP, các khóa registry, và nhiều dạng dữ liệu khác liên quan đến các cuộc tấn công mạng.

·Phân tích hành vi: THOR cũng có khả năng phát hiện các hành vi đáng ngờ thông qua việc phân tích các tiến trình đang chạy và các hoạt động của hệ thống. Điều này giúp phát hiện các phần mềm độc hại hoặc các mối đe dọa không dựa vào các chỉ số tấn công truyền thống mà thông qua các hành vi bất thường của hệ thống.

·Quét nhật ký sự kiện (Eventlog): THOR còn có khả năng quét và phân tích các sự kiện hệ thống được ghi lại trong nhật ký sự kiện. Điều này giúp phát hiện các cuộc tấn công hoặc hành vi đáng ngờ dựa trên các sự kiện đã xảy ra trong hệ thống, giúp truy vết các hoạt động bất thường và xác định các sự cố bảo mật.

·Quét tập tin và tiến trình: THOR cung cấp tính năng quét chi tiết các tập tin và tiến trình đang chạy trên hệ thống. Bằng cách này, nó có thể phát hiện các tập tin độc hại đã bị thay đổi hoặc thêm vào hệ thống mà không được phát hiện bởi các công cụ bảo mật thông thường.

·Tích hợp với các hệ thống SIEM: THOR được thiết kế để tích hợp dễ dàng với các hệ thống quản lý sự kiện và thông tin bảo mật (SIEM). Điều này giúp các tổ chức theo dõi các sự kiện bảo mật theo thời gian thực, cung cấp thông tin chi tiết về các cuộc tấn công và hỗ trợ trong việc xử lý các sự cố an ninh một cách hiệu quả.

THOR hoạt động bằng cách sử dụng cơ sở dữ liệu về các chỉ số xâm nhập (IoC) đã biết trước, bao gồm các chữ ký mã độc, các mẫu hành vi đáng ngờ, và các dữ liệu từ các cuộc tấn công mạng trong quá khứ. Công cụ này cũng có khả năng phát hiện các mối đe dọa chưa được nhận diện bằng cách so sánh các hoạt động của hệ thống với các mẫu hành vi bình thường và nhận diện những hoạt động bất thường.

THOR thực hiện quét toàn bộ hệ thống, từ các tập tin, các tiến trình, cho đến các nhật ký hệ thống. Khi phát hiện một dấu hiệu tấn công hoặc một phần mềm độc hại, THOR sẽ ghi nhận và cảnh báo cho người quản trị hệ thống. Điều này giúp người quản trị phát hiện sớm các cuộc tấn công tiềm tàng và đưa ra biện pháp xử lý kịp thời.

 Phiên bản của THOR

Tính năng

THOR APT Scan

THOR Lite

THOR Thunderstorm

Khả năng phát hiện

Phát hiện các APT và mã độc phức tạp

Chỉ phát hiện các mối đe dọa phổ biến

Phát hiện theo thời gian thực các APT và zero-day

Khả năng quét

Có, bao gồm tệp, bộ nhớ, registry

Quét giới hạn (tệp và tiến trình)

Giám sát liên tục, không cần quét định kỳ

Phân tích hành vi

Có, phân tích hành vi chi tiết

Không hỗ trợ

Phân tích hành vi thời gian thực

Giám sát thời gian thực

Không

Không

Có khả năng giám sát liên tục

Tích hợp với các giải pháp khác

Có khả năng tích hợp

Không

Có khả năng tích hợp

Hỗ trợ rule YARA

hỗ trợ quy tắc tùy chỉnh

Không

hỗ trợ YARA rule trong thời gian thực

Chi phí

Cao

Miễn phí

Rất cao, do yêu cầu giám sát liên tục

Đối tượng sử dụng

Doanh nghiệp lớn, tổ chức chính phủ

Tổ chức nhỏ, cá nhân

Tổ chức lớn, cần giám sát liên tục

Cập nhật cơ sở dữ liệu IoC

Thường xuyên được cập nhật bởi cả nhà phát hành và cộng đồng

Giới hạn, không thường xuyên

Thường xuyên được cập nhật bởi cả nhà phát hành và cộng đồng

 Kết quả scan:


Tham khảo:

 [2]  Quyết định 14/CT-TT năm 2018 về việc nâng cao năng lực phòng, chống phần mềm độc hại.

[3]  https://github.com/NextronSystems/thor-lite.






Đăng bài bởi