6 rủi ro bảo mật dữ liệu hàng đầu có thể ảnh hưởng đến lợi nhuận ròng

Top 6 Data Security Risks that Can Impact Your Bottom Line

Đối với một tổ chức, tăng trưởng lợi nhuận là ưu tiên số một. Nhưng việc bối cảnh mối đe dọa mạng ngày càng tăng đồng nghĩa với việc nhiều rủi ro hơn đối với lợi nhuận của các tổ chức đang xuất hiện mỗi ngày. Và trong khi việc tạo ra một chiến lược an ninh mạng hợp lý vẻ quá sức đối với các nhóm có ít nguồn lực, thời gian hoặc nhân tài, việc quản lý dữ liệu kém có thể gây bất lợi hơn nhiều về lâu dài cho một tổ chức đang muốn phát triển. 6 rủi ro sau đây là mối đe dọa lớn nhất đối với sự phát triển liên tục của tổ chức bạn và đáng được nhóm bảo mật của bạn chú ý trong tương lai. Và tin tốt là – nhiều rủi ro trong số này có thể được giải quyết một cách có phương pháp, với sự trợ giúp của các đối tác đáng tin cậy, để củng cố an ninh mạng của bạn ở nơi bạn cần nhất và củng cố nó theo thời gian.

1. Tấn công mạng

Mỗi ngày, các cuộc tấn công mạng ngày càng trở nên thường xuyên hơn, tinh vi hơn và gây thiệt hại lớn hơn. Cho dù hacker chọn xâm nhập mạng của tổ chức bằng cách lợi dụng lỗ hổng zero-day chưa được vá, cung cấp một payload nguy hiểm để tạm dừng hoạt động của họ hoặc chặn lưu lượng mạng để đánh cắp dữ liệu, nếu tổ chức đó không chuẩn bị cho một cuộc tấn công như vậy, lợi nhuận ròng có thể bị ảnh hưởng nghiêm trọng.

Việc tội phạm mạng sử dụng phần mềm độc hại, và cụ thể là ransomware, đã tăng đáng kể kể từ khi bắt đầu đại dịch. Theo Báo cáo về mối đe dọa mạng năm 2022 của SonicWall, 623,3 triệu cuộc tấn công ransomware đã được ghi nhận vào năm 2021, đánh dấu mức tăng hơn 100% so với năm trước và tăng hơn 300% so với năm 2019. Hơn nữa, bằng chứng cho thấy cả yêu cầu tiền chuộc và thanh toán tiền chuộc đều có xu hướng cùng chiều. Theo bản cập nhật của Báo cáo về mối đe dọa bằng mã độc tống tiền ransomware năm 2021 Unit 42 của Palo Alto Network, nhu cầu tiền chuộc trung bình đã tăng vọt lên $5,3 triệu và chi phí thanh toán tiền chuộc trung bình đã tăng lên mức đáng kinh ngạc là $570.000. Việc thanh toán một khoản tiền chuộc lớn, chi phí ngừng hoạt động kinh doanh và bất kỳ tác hại nào mà phần mềm độc hại có thể gây ra trên hệ thống của tổ chức đều có thể ảnh hưởng đáng kể đến lợi nhuận của tổ chức đó và nếu bất kỳ dữ liệu nhạy cảm nào bị xâm phạm, thiệt hại có thể tăng cao hơn nữa.

2. Dữ liệu không được bảo vệ

Mặc dù bản thân một cuộc tấn công mạng có thể vô cùng bất lợi và tốn kém, như chúng ta đã ám chỉ, nhưng khi dữ liệu nhạy cảm của một tổ chức bị đánh cắp hoặc do bị xâm phạm, lợi nhuận của họ có thể bị ảnh hưởng thậm chí còn lớn hơn. Theo Báo cáo về vi phạm dữ liệu năm 2021 của IBM, chi phí trung bình cho một lần vi phạm đã tăng 10% so với năm 2020, hiện ở mức $4,24 triệu cho mỗi lần vi phạm.

Việc để tổ chức của bạn dễ bị thâm nhập có thể làm trầm trọng thêm hậu quả của một cuộc tấn công mạng vốn đã tốn kém. Ví dụ: trong khi khoản thanh toán tiền chuộc có thể chỉ khiến một tổ chức mất $570.000, con số đó không tính đến các chi phí liên quan đến việc tạm ngừng hoạt động kinh doanh, khôi phục hệ thống, chi phí điều tra và có lẽ quan trọng nhất là tiền phạt tuân thủ. Trên thực tế, tổng chi phí trung bình của một cuộc tấn công bằng ransomware lên tới $4,62 triệu. Mặc dù bảo hiểm mạng có thể giúp bù đắp một số thiệt hại này, nhưng cuối cùng, thực hiện các bước để bảo vệ dữ liệu của tổ chức bạn trước khi vi phạm xảy ra là yếu tố quan trọng nhất để tránh các chi phí không lường trước được của vi phạm.

3. Lỗi do con người

Khi các tổ chức thực hiện các bước để bảo vệ dữ liệu của họ chống lại các vi phạm, họ thường nhầm lẫn việc ưu tiên bảo vệ trước các mối đe dọa từ bên ngoài. Và mặc dù vi phạm chắc chắn dễ xảy ra do người ngoài có ý đồ xấu, nhưng các mối đe dọa và tai nạn từ nội bộ đôi khi có thể bị bỏ qua. Khảo sát về vi phạm dữ liệu nội bộ của Egress năm 2021 cho thấy 94% tổ chức đã gặp phải sự cố vi phạm dữ liệu nội bộ trong 12 tháng trước và 84% tổ chức đã gặp sự cố bảo mật do lỗi của nhân viên.

Xem xét vụ vi phạm trung bình hiện khiến các tổ chức thiệt hại $4,24 triệu, nên không cần nói rằng việc bảo vệ chống lại các mối đe dọa từ bên trong như lỗi của con người cũng quan trọng hơn nhiều so với việc bảo vệ khỏi các cuộc tấn công có chủ đích từ bên ngoài. Các tổ chức có thể bắt đầu chống lại yếu tố lỗi do con người bằng cách đảm bảo cách nhân viên của họ chia sẻ dữ liệu của công ty. Việc đảm bảo dữ liệu nhạy cảm của tổ chức bạn được mã hóa khi chuyển tiếp và chỉ những người có quyền cụ thể mới có thể mở, đọc, sửa đổi và chuyển tiếp dữ liệu đó là chìa khóa để tránh việc vô tình, nhưng cũng như vi phạm dữ liệu tốn kém.

4. Mạng phẳng ( A flat network)

Vì lỗi do con người hiện là nguồn vi phạm dữ liệu phổ biến nên việc cấp cho nhân viên quá nhiều quyền truy cập vào mạng của tổ chức của bạn có thể cực kỳ nguy hiểm. Theo Báo cáo điều tra vi phạm dữ liệu năm 2021 của Verizon, việc sử dụng thông tin đăng nhập nhân viên bị đánh cắp chiếm một phần tư tổng số vi phạm trong 12 tháng trước đó. Khi một nhân viên bị đánh cắp thông tin đăng nhập có quyền truy cập mạng đầy đủ hoặc gần đầy đủ, một hacker sẽ có cùng cấp độ truy cập khi đóng giả là nhân viên đó.

Một cách để các tổ chức bắt đầu chống lại rủi ro này là phân đoạn mạng của họ một cách hợp lý. Thay vì các thành phần mạng khác nhau của tổ chức, tất cả phụ thuộc vào một hệ thống phòng thủ vành đai duy nhất, việc phân chia mạng thành nhiều mạng con nhỏ hơn sẽ chỉ cho phép nhân viên (hoặc bất kỳ kẻ xấu nào đóng giả là nhân viên) có ít quyền truy cập nhất cần thiết. Mặc dù mục tiêu của việc giải quyết các rủi ro bảo mật là ngăn chặn vi phạm trước khi một vi phạm xảy ra, nhưng nếu và khi một vi phạm xảy ra, các tổ chức có thể tận dụng lợi thế của mạng được phân đoạn để hạn chế tác động của vi phạm và nhanh chóng ngăn chặn mối đe dọa.

5. Nhân viên chưa qua đào tạo

Việc thiếu đào tạo cho nhân viên luôn là một trong những yếu tố góp phần lớn nhất dẫn đến các vi phạm xảy ra do lỗi của con người và việc thiếu đào tạo có thể tự thể hiện theo một số cách. Thông thường, các nhân viên là người dễ bị tấn công phi kỹ thuật, và cụ thể hơn một chút là các cuộc tấn công lừa đảo (phishing attack). Một báo cáo năm 2021 của atlasVPN chỉ ra rằng các cuộc tấn công phi kỹ thuật là nguyên nhân gây ra nhiều vụ vi phạm dữ liệu tổ chức nhất (14%) vào năm 2020. Hơn nữa, Báo cáo Xu hướng Đe dọa Hàng quý và Báo cáo Tình báo hàng quý (Quarterly Threat Trends & Intelligence Report) gần đây nhất của PhishLabs (một giải pháp của HelpSystems) cho thấy khối lượng trang web lừa đảo tăng 28% vào năm 2021, trong số các thống kê liên quan.

Việc thiếu đào tạo toàn diện, nhất quán và hấp dẫn cũng có thể dẫn đến tạo mật khẩu kém, đánh cắp mật khẩu hoặc thậm chí vi phạm dữ liệu ngẫu nhiên như những điều đã thảo luận trước đó. Mặt khác, đầu tư vào đào tạo nhân viên một cách tử tế có thể giúp giảm thiểu lừa đảo và các cuộc tấn công phi kỹ thuật khác khi được triển khai theo ví dụ thực tiễn hay nhất. Không may, các tổ chức thường bỏ qua việc đào tạo bảo mật và đôi khi thậm chí sẽ không tạo và thực thi các chính sách và quy trình bảo mật dữ liệu để nhân viên tuân theo ngay từ đầu.

6. Nhận thức sai về an toàn thông tin

Phần lớn, tất cả các rủi ro bảo mật dữ liệu được thảo luận cho đến thời điểm này đều có thể khắc phục được bằng cách thực hiện các thay đổi cụ thể trong tổ chức của bạn. Dữ liệu không được bảo vệ và các mối đe dọa bên ngoài như hacker có thể được tính bằng cách triển khai các giải pháp bảo mật dữ liệu tích hợp với phần mềm và quy trình làm việc của bạn. Nhân viên không được đào tạo và lỗi do con người trong một tổ chức thường đi đôi với nhau và có thể được giải quyết bằng cách tạo ra một bộ chính sách bảo mật dữ liệu công ty kỹ lưỡng và thực hiện một cách tiếp cận thường xuyên và hấp dẫn hơn để đào tạo nhân viên. Ngay cả một mô hình an ninh mạng lỗi thời cũng có thể được cập nhật để phù hợp với các phương pháp hay nhất.

Tuy nhiên, có cảm giác an toàn giả có lẽ là một rủi ro thậm chí còn nguy hiểm hơn đối với an ninh của các tổ chức, bởi việc sửa chữa điều này đòi hỏi phải thay đổi triết lý từ cấp trên xuống. Nếu các giám đốc điều hành C-level của một tổ chức duy trì tư duy “điều đó sẽ không bao giờ xảy ra với chúng ta” – “điều đó” đề cập đến một sự cố bảo mật lớn – thì các rủi ro bảo mật khác có thể không được xem là rủi ro. Bằng chứng cho thấy rằng gần 8/10 người tiêu dùng quyết định hợp tác kinh doanh với tổ chức dựa trên danh tiếng của họ về bảo mật thông tin, và bởi chỉ cần duy nhất một vi phạm dữ liệu cũng có thể khiến danh tiếng của tổ chức đó bị tổn hại nghiêm trọng. Thay đổi tích cực về tư duy bảo mật của tổ chức bạn là rất xứng đáng với thời gian và nỗ lực ngay cả khi đó không phải là một giải pháp dễ dàng.