Danh tính phi con người và những vấn đề cần được làm sáng tỏ

Năm 2024 Bộ Công an Việt Nam đã công bố dự thảo Luật Bảo vệ Dữ liệu Cá nhân

ĐT&ƯD: Năm ngoái, Bộ Công an Việt Nam đã công bố dự thảo Luật Bảo vệ Dữ liệu Cá nhân (PDPL) để lấy ý kiến công chúng. Dự thảo này nhằm thiết lập các quy định toàn diện về bảo vệ dữ liệu cá nhân. Ông có thể chia sẻ các nguyên tắc chung để quản lý dữ liệu liên quan đến danh tính phi con người, đặc biệt trong lĩnh vực bảo mật và quyền riêng tư dữ liệu không?

Ông Mohamed Marjook Hussain: Theo Hiệp hội An ninh Mạng Quốc gia, 46,15% doanh nghiệp Việt Nam đã phải hứng chịu các cuộc tấn công mạng vào năm 2024, với quy mô và tần suất tấn công tăng lên đáng kể. Báo cáo cũng nhấn mạnh rằng, về bảo vệ dữ liệu cá nhân, có tới 43,47% tổ chức không có nhân viên chuyên trách hoặc chỉ giao cho nhân viên bán thời gian xử lý. Ngoài ra, 19,45% tổ chức vẫn đang gặp khó khăn trong việc tuân thủ các quy định về bảo vệ dữ liệu.

Báo cáo Bảo mật Danh tính năm 2024 của ManageEngine cho thấy 59% số người được hỏi tại Việt Nam đã phải đối mặt với các cuộc tấn công mạng liên quan đến danh tính trong 12 tháng qua. Thêm vào đó, 86% số người được hỏi tại Việt Nam tin rằng họ cần áp dụng nhiều công cụ bảo mật danh tính hơn để đối phó với các mối đe dọa bảo mật danh tính tiềm ẩn trong tương lai.

Quản lý dữ liệu liên quan đến định danh con người và định danh phi con người (NHIs) là vô cùng quan trọng trong các tổ chức số hiện nay. Một chiến lược quan trọng cho các tổ chức quản lý dữ liệu liên quan đến NHIs là tăng cường bảo mật truy cập đặc quyền bằng quản lý danh tính toàn diện. Các tài khoản đặc quyền thực sự là "viên ngọc quý" của môi trường CNTT của một tổ chức, đóng vai trò như chìa khóa truy cập vào các tài sản kinh doanh quan trọng chứa thông tin nhạy cảm của tổ chức; việc bảo mật chúng là tối quan trọng.

Một giải pháp bảo mật truy cập đặc quyền toàn diện có thể giải quyết tất cả các khía cạnh của quản lý danh tính, bao gồm cả những khía cạnh liên quan đến các thực thể phi con người. Các tổ chức cần hợp nhất tất cả các danh tính xác thực của họ - cả con người và phi con người - dưới một khung quản lý duy nhất. Điều này sẽ giúp họ loại bỏ các rủi ro tiềm ẩn và có được cái nhìn toàn diện về hệ sinh thái truy cập đặc quyền của mình.

Bên cạnh việc áp dụng giải pháp PAM, các tổ chức nên triển khai MFA (xác thực đa yếu tố) nâng cao, giám sát phiên làm việc và cung cấp quyền truy cập theo yêu cầu. Họ cũng nên tận dụng AI và máy học để theo dõi hành vi truy cập đặc quyền, chẳng hạn như thời gian đăng nhập hoặc mẫu truy cập bất thường, và đưa ra cảnh báo để điều tra.

Tại sao danh tính phi con người lại quan trọng trong kỷ nguyên AI

ĐT&ƯD: Ông có thể giúp độc giả của Điện tử & Ứng dụng hiểu rõ hơn về khái niệm "Danh tính phi con người"? Và tại sao nó lại quan trọng trong kỷ nguyên AI?

Ông Mohamed Marjook Hussain: Định danh phi con người (NHIs) hay còn gọi là định danh máy, là những thông tin xác thực cho phép các thực thể phi con người, chẳng hạn như các ứng dụng, robot phần mềm và thiết bị đầu cuối (máy chủ, máy tính để bàn, thiết bị IoT,…), tự xác thực và giao tiếp trong hệ thống. Các ví dụ về NHIs bao gồm khóa API, thiết bị IoT, tài khoản dịch vụ, token và bot.

Những định danh này đã trở nên phổ biến trong hệ sinh thái kỹ thuật số ngày nay, vượt qua cả định danh con người. Theo ước tính, "cứ 1.000 người dùng, các tổ chức thường có 10.000 kết nối hoặc thông tin xác thực phi con người". NHIs thường được tạo bởi các nhà phát triển hoặc nhà phát triển không chuyên và không được quản lý trực tiếp bởi các nhóm CNTT, điều này đặt ra những thách thức đáng kể trong việc quản trị.

Khi các tổ chức mở rộng quy mô hoạt động và áp dụng kiến trúc AI và đám mây, số lượng và độ phức tạp của NHIs dự kiến sẽ tăng theo cấp số nhân. Theo Statista, quy mô thị trường AI của Việt Nam dự kiến sẽ tăng lên 999 triệu USD vào năm 2025, với tỷ lệ tăng trưởng kép hằng năm (CAGR) là 27,85% từ năm 2025 đến năm 2030. Trong khi đó, doanh thu thị trường đám mây công cộng của Việt Nam được dự báo sẽ đạt 1,22 tỷ USD vào năm 2025, với CAGR là 22,01% từ năm 2025 đến năm 2029.

Đối với các nhóm bảo mật, việc quản lý NHIs là một thách thức phức tạp, không chỉ vì chúng rất nhiều mà còn vì chúng tồn tại trên toàn bộ tổ chức, trải rộng trên các công cụ, dịch vụ và môi trường khác nhau. Sự phân bố rộng rãi này là do NHIs thường có đặc quyền cao và quyền truy cập vào các tài nguyên và dữ liệu quan trọng, điều này cũng khiến chúng trở thành mục tiêu hấp dẫn cho tội phạm mạng. Để giảm thiểu rủi ro và ngăn chặn các vi phạm, các doanh nghiệp phải thực hiện các biện pháp bảo mật nâng cao để đảm bảo khả năng phục hồi trước các mối đe dọa liên quan đến NHIs trong tương lai.

59% số người được hỏi tại Việt Nam đã phải đối mặt với các cuộc tấn công mạng liên quan đến danh tính trong 12 tháng qua

ĐT&ƯD: Với sự phát triển mạnh mẽ của AI và IoT, những tiến bộ trong luật pháp và quy định trong tương lai được kỳ vọng sẽ giải quyết những thách thức liên quan đến việc bảo vệ danh tính phi con người. ManageEngine đóng vai trò gì trong vấn đề này?

Ông Mohamed Marjook Hussain: Là một công ty hàng đầu trong lĩnh vực quản lý CNTT, ManageEngine đóng một vai trò quan trọng trong việc giúp các tổ chức quản lý hiệu quả NHIs và tuân thủ các quy định trong tương lai. Công ty cung cấp các công cụ quản lý danh tính và truy cập để quản lý và xác thực quyền truy cập của các thiết bị IoT, ứng dụng AI và hệ thống tự động hóa, giúp ngăn chặn các mối đe dọa phát sinh từ việc lạm dụng danh tính.

ManageEngine cũng giúp các tổ chức theo dõi hoạt động của NHI trong thời gian thực và phát hiện các bất thường, chẳng hạn như xâm nhập hoặc thao túng dữ liệu, thông qua các sản phẩm được hỗ trợ bởi AI. Công ty cung cấp các giải pháp bảo mật tích hợp, giúp ứng phó nhanh chóng với các mối đe dọa và giảm thiểu rủi ro trước khi chúng ảnh hưởng đến hệ thống.

Trước những thay đổi liên tục của luật bảo mật dữ liệu, ManageEngine cung cấp các sản phẩm như công cụ quản lý log (log management tools) để giúp các tổ chức ghi lại, báo cáo và chứng minh sự tuân thủ. ManageEngine cũng cung cấp các giải pháp bảo vệ danh tính được thiết kế để đáp ứng các tiêu chuẩn quốc tế và địa phương, chẳng hạn như GDPR và ISO/IEC 27001. Ngoài ra, ManageEngine thường xuyên tổ chức các hội thảo và chương trình đào tạo, đồng thời xuất bản các tài liệu để nâng cao nhận thức về quản lý danh tính, giúp các doanh nghiệp hiểu được những rủi ro và cách giảm thiểu chúng.

Ông Mohamed Marjook Hussain, Giám đốc kỹ thuật khu vực ANZ và APAC, ManageEngine

ĐT&ƯD: Các doanh nghiệp Việt Nam có thể giải quyết những rủi ro này như thế nào? Đâu là những phương pháp hiệu quả và thiết thực nhất để quản lý danh tính con người và bảo vệ môi trường số tại Việt Nam?

Ông Mohamed Marjook Hussain: Các doanh nghiệp và đội ngũ công nghệ Việt Nam có thể giải quyết những thách thức trong việc quản lý NHIs bằng cách:

Áp dụng nguyên tắc “Zero Trust”: Doanh nghiệp nên thực thi nguyên tắc đặc quyền tối thiểu và liên tục xác minh danh tính.

Sử dụng AI và tự động hoá: Các công nghệ này có thể phát hiện các mẫu truy cập bất thường, dự đoán nhu cầu truy cập và đơn giản hóa việc quản lý NHIs.

Đào tạo đội ngũ: Doanh nghiệp nên đào tạo nhân viên về tầm quan trọng của các hoạt động bảo mật trong việc quản lý NHIs và tiến hành các chương trình nâng cao nhận thức thường xuyên để giảm thiểu các rủi ro liên quan.

Triển khai MFA: Việc này cung cấp thêm một lớp bảo mật, giúp ngăn chặn hành vi trộm cắp danh tính và truy cập trái phép.

Xác định tất cả NHIs trên cơ sở hạ tầng CNTT: Để đảm bảo không có thông tin nào không được quản lý, doanh nghiệp nên sử dụng các công cụ khám phá tự động để giải quyết quy trình này.

Tập trung quản lý thông tin xác thực: Để ngăn chặn các hoạt động bảo mật yếu kém liên quan đến việc quản lý phân tán NHIs, doanh nghiệp nên sử dụng giải pháp PAM tập trung. Một giải pháp như vậy sẽ lưu trữ, quản lý và xoay vòng thông tin xác thực cho NHIs một cách an toàn, giảm nguy cơ bị lộ.

Triển khai quản lý khóa trên toàn doanh nghiệp: Các khóa mật mã, chứng chỉ và mã thông báo API thường được quản lý không đúng cách, khiến chúng trở thành mục tiêu hàng đầu của tội phạm mạng. Do đó, doanh nghiệp nên triển khai hệ thống quản lý khóa cấp doanh nghiệp để tự động hóa việc tạo, xoay vòng và thu hồi khóa, đảm bảo rằng tất cả các khóa đều được được bảo vệ và sử dụng đúng cách.

Áp dụng kiểm soát truy cập: Điều này đảm bảo NHIs chỉ có các quyền cần thiết để thực hiện chức năng của chúng.

Giám sát và kiểm toán hoạt động: Giám sát và kiểm toán hoạt động của NHI trong thời gian thực có thể giúp doanh nghiệp phát hiện và xử lý các bất thường kịp thời.

Luôn cập nhật luật pháp và quy định: Doanh nghiệp nên liên tục theo dõi và điều chỉnh theo luật pháp và quy định mới để duy trì tuân thủ và chủ động giải quyết các thách thức pháp lý tiềm ẩn.

ĐT&ƯD: Xin cảm ơn ông về cuộc trò chuyện thú vị này.