Trong nền kinh tế số ngày nay thì việc thuê dịch vụ bên ngoài để quản lý các bộ phận quan trọng trong các tổ chức doanh nghiệp (TC/DN) đang ngày càng trở nên phổ biến, cho dù đó là thông qua nhà cung cấp SaaS (Software as a Service), nhà cung cấp dịch vụ bên thứ ba hoặc các nhà thầu. Họ thường cung cấp các dịch vụ quan trọng như thanh toán, lưu trữ dữ liệu,... và trở thành một phần không thể thiếu trong hoạt động mở rộng kinh doanh của TC/DN. Các bên thứ ba này thường không nằm dưới sự kiểm soát của TC/DN và thường không có khả năng cung cấp sự minh bạch hoàn toàn về các biện pháp kiểm soát bảo mật thông tin của họ. Một số nhà cung cấp có thể có các tiêu chuẩn bảo mật mạnh mẽ và thực hiện quản lý rủi ro tốt, tuy nhiên một số nhà cung cấp khác thì không. Điều này có nghĩa là mỗi nhà cung cấp, dù trực tiếp hay gián tiếp đều có ảnh hưởng đến vấn đề an ninh mạng của các TC/DN. 

Mới đây nhất, công ty SecureLink (Công ty hàng đầu trong lĩnh vực bảo mật và cung cấp quyền truy cập từ xa an toàn của bên thứ ba tại Hoa Kỳ) và Viện Ponemon đã phát hành một báo cáo vào ngày 04/5/2021 có tiêu đề “Khủng hoảng về bảo mật truy cập từ xa của bên thứ ba” [4], tiết lộ sự mất kết nối đáng báo động giữa mối đe dọa truy cập bên thứ ba được nhận thấy của một tổ chức và các biện pháp bảo mật mà tổ chức đó thực hiện. Từ đó có thể thấy được tại sao quản lý rủi ro của bên thứ ba là một phần quan trọng trong chiến lược an ninh mạng của bất kỳ TC/DN nào. Dưới đây sẽ trình bày cụ thể những tác động tiêu cực mà việc rò rỉ, vi phạm dữ liệu của bên thứ ba đem lại và cách phòng tránh cũng như ngăn chặn vấn đề này.  

Tác động tài chính: Vi phạm dữ liệu thường đem lại hậu quả lớn về kinh tế cho dù nguyên nhân là do bên nào đi chăng nữa. Theo báo cáo do Ponemon cung cấp vào năm 2020 [1] thì tổn thất do vi phạm dữ liệu trung bình là 3,92 triệu USD và chi phí trung bình cho mỗi bản ghi bị mất là 150 USD. Tuy nhiên, đó mới chỉ là mức trung bình, có những yếu tố khiến con số đó tăng cao và có thể lên tới hơn 4 triệu USD. Một trong những vấn đề khiến chi phí đó tăng cao là ai đã gây ra vi phạm. Nếu có sự tham gia của bên thứ ba thì thiệt hại kinh tế của các TC/DN phải gánh chịu thường sẽ cao hơn.

Những vấn đề về pháp lý: Bất kỳ TC/DN nào thu thập, lưu trữ và xử lý thông tin cá nhân giờ đây đều phải chịu trách nhiệm về việc bảo vệ dữ liệu đó, cũng như bảo vệ quyền riêng tư của khách hàng. Nếu không có sự bảo vệ nghiêm ngặt thì rất dễ bị tấn công mạng, dẫn đến các hình phạt tài chính nặng nề và ảnh hưởng xấu đến vị thế tốt của TC/DN. Ví dụ điển hình là vào năm 2019, cơ quan thu phí y tế Hoa Kỳ (AMCA), một cơ quan thanh toán đóng vai trò là nhà cung cấp bên thứ ba cho các nhà cung cấp dịch vụ chăm sóc sức khỏe lớn trên khắp Hoa Kỳ đã xảy ra vi phạm dữ liệu, khiến hàng triệu hồ sơ của bệnh nhân đã bị lộ. Việc vi phạm đã đặt AMCA và các khách hàng của họ vi phạm đạo luật HIPAA (Đạo luật về trách nhiệm giải trình và cung cấp bảo hiểm y tế liên bang). Khi đó AMCA đã mất đi một lượng lớn khách hàng và phải nộp đơn phá sản. Bên cạnh đó, AMCA cũng khiến các khách hàng mà họ cung cấp dịch vụ phải chịu các vụ kiên tập thể và điều tra cấp tiểu bang.

Tùy thuộc vào nơi hoạt động kinh doanh của TC/DN thì sẽ phải tuân theo pháp luật bao gồm bảo vệ dữ liệu và quyền riêng tư của dữ liệu. Các TC/DN bán sản phẩm và dịch vụ cho các quốc gia trong Liên minh Châu Âu phải tuân thủ Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu. Trong khi ở Việt Nam các hệ thống pháp luật đã ghi nhận vấn đề bảo vệ bí mật đời sống riêng tư và bí mật cá nhân từ bản Hiến pháp năm 1959, 1980, 1992. Đặc biệt, Hiến pháp năm 2013 cũng đã mở rộng một cách toàn diện phạm vi quy định quyền được bảo vệ bí mật đời sống riêng tư, bí mật cá nhân, bí mật gia đình. Mới đây nhất là Luật An toàn thông tin mạng năm 2015 đã quy định cụ thể về hoạt động an toàn thông tin mạng, quyền, trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm an toàn thông tin mạng.

Nguy cơ rò rỉ những thông tin độc quyền: Tội phạm mạng không chỉ nhắm đến tài chính hoặc thông tin của khách hàng mà còn có thể theo đuổi tài sản trí tuệ. Lấy ví dụ về hai nhóm tin tặc là DoppelPaymer và REvil, chúng đã từng khóa dữ liệu của một công ty và sau đó đe dọa bán dữ liệu nếu công ty đó không trả tiền chuộc. Trong đó, DoppelPaymer nhắm mục tiêu vào các nhà cung cấp trong ngành công nghiệp không gian và quốc phòng, đồng thời liệt kê dữ liệu độc quyền bị lộ trên trang web của mình để đe dọa các tổ chức đã không trả tiền. Đây là một vấn đề đáng lo ngại và sẽ gây tốn thất kinh tế cho bất kỳ TC/DN nào khi sảy ra vi phạm dữ liệu và có thể là đấu chấm hết cho các TC/DN đó.

Tiềm ẩn những nguy cơ cho các cuộc tấn công trong tương lai: Khi tội phạm mạng truy cập dữ liệu thông qua bên thứ ba, vi phạm đó có thể không phải là mục đích cuối cùng của chúng. Nó có thể đơn giản là phát súng mở đầu trong một chiến dịch tấn công và vi phạm lớn hơn. Thông tin bị đánh cắp có thể nhằm mục đích sử dụng cho các mưu đồ lừa đảo hoặc được sử dụng trong các cuộc tấn công sau này.

Ảnh hưởng đến danh tiếng của TC/DN: Khi nói đến vi phạm dữ liệu và rò rỉ thông tin thì không quan trọng là bên thứ ba có lỗi hay bản thân TC/DN có lỗi, mà vấn đề là sẽ làm cho khách hàng mất lòng tin vì thông tin cá nhân của họ đã bị lộ hoặc bị đánh cắp. Nếu vi phạm dữ liệu xảy ra nghiêm trọng, khách hàng có xu hướng sẽ suy nghĩ lại về việc hợp tác kinh doanh với TC/DN đó. 

Đánh giá cẩn thận năng lực bảo mật của bên thứ ba trước khi thiết lập mối quan hệ: Không thể loại bỏ hoàn toàn tất cả rủi ro của bên thứ ba, nhưng TC/DN có thể quản lý nó bằng cách đánh giá tất cả các rủi ro an ninh mạng đi kèm với mỗi nhà cung cấp như một phần của quy trình thẩm định, điều đó giúp TC/DN lường trước được mức độ rủi ro sẽ phải chịu khi làm việc với một bên thứ ba cụ thể. Đánh giá rủi ro của bên thứ ba thường bao gồm các bước sau: - Lập danh sách các bên thứ ba cung cấp dịch vụ cho TC/DN của mình.

- Phân loại các nhà cung cấp từ rủi ro cao nhất đến rủi ro thấp nhất dựa trên hệ thống, mạng và dữ liệu mà bên thứ ba truy cập.

- Tính toán phân tích rủi ro an ninh mạng cho từng nhà cung cấp theo công thức: Rủi ro = Khả năng xảy ra vi phạm dữ liệu  x  Tác động của vi phạm dữ liệu / Chi phí [3]

Đặt ra các tiêu chuẩn về bảo mật vào các hợp đồng với bên thứ ba: Mặc dù điều này sẽ không ngăn chặn 100% việc vi phạm dữ liệu của bên thứ ba, nhưng nó sẽ giữ cho bên thứ ba luôn kiểm soát và buộc họ phải có trách nhiệm duy trì các biện pháp an ninh mạng nghiêm ngặt nếu không sẽ có nguy cơ bị chấm dứt hợp đồng. Để giúp ngăn ngừa bất kỳ rủi ro bảo mật kéo dài nào, hãy xem xét thêm các điều khoản và điều kiện vào hợp đồng, yêu cầu bên thứ ba thông báo cho TC/DN về các lỗ hổng khi chúng phát sinh và khắc phục các vấn đề bảo mật trong vòng 72 giờ để giúp giảm thiểu rủi ro tiềm ẩn.

Giới hạn quyền truy cập dữ liệu của bên thứ ba: Để tránh việc vi phạm dữ liệu của bên thứ ba, điều cần thiết là phải biết giới hạn truy cập dữ liệu của họ. Nếu dữ liệu của TC/DN có thể truy cập được cho mọi nhà cung cấp mà không có bất kỳ hạn chế nào, thì khả năng cao sẽ xảy ra vi phạm dữ liệu. Vì vậy, để giữ an toàn cho TC/DN thì việc giới hạn quyền truy cập dữ liệu đối với bên thứ ba là điều vô cùng cần thiết. Sau đó sẽ tùy thuộc vào tình trạng bảo mật của của bên thứ ba để cung cấp những quyền truy cập vào dữ liệu phù hợp.

Áp dụng mô hình dữ liệu và mạng Zero Trust: Các cuộc tấn công mạng không thể lấy cắp dữ liệu hoặc di chuyển ngang qua một môi trường khi không có độ tin cậy được thực hiện. Zero Trust là một khuôn khổ bảo mật thông tin quy định rằng các TC/DN không nên tin tưởng bất kỳ thực thể nào bên trong hoặc bên ngoài phạm vi của họ vào bất kỳ lúc nào. Nó cung cấp khả năng hiển thị và các kiểm soát công nghệ thông tin cần thiết để bảo mật, quản lý và giám sát mọi thiết bị, người dùng, ứng dụng và mạng đang được sử dụng để truy cập dữ liệu kinh doanh. Dữ liệu và thông tin liên lạc được mã hóa đảm bảo rằng chỉ những người phù hợp mới có quyền truy cập vào đúng thông tin vào đúng thời điểm. Nó cũng liên quan đến việc phát hiện trên thiết bị và khắc phục các mối đe dọa. Điều này đặc biệt hữu ích đối với rủi ro của bên thứ ba và để ngăn chặn các cuộc tấn công mạng. 

Thực tế cho thấy nhiều vi phạm dữ liệu đã được tiết lộ trong 5 năm qua đều có liên quan đến các mối quan hệ với nhà cung cấp bên thứ ba. Hậu quả của những vi phạm này có thể có tác động tiêu cực đến các TC/DN. Từ việc giảm sự tin tưởng, lòng trung thành của khách hàng dẫn đến các vụ kiện tụng gây thiệt hại lớn. Để ngăn chặn những sự cố bảo mật này, các TC/DN phải hợp tác làm việc với các bên thứ ba cung cấp dịch vụ cho họ và hiểu các biện pháp bảo mật của họ từ trong ra ngoài, kết hợp quản lý rủi ro vào các hợp đồng của nhà cung cấp, áp dụng mô hình truy cập ít đặc quyền nhất và thường xuyên theo dõi cũng như khắc phục các lỗ hổng bảo mật và đảm bảo môi trường công nghệ thông tin an toàn, vững chắc. 

Quốc Trường