Mô tả:
20/03/2016
www.vncert.gov.vn
www.vncert.gov.vn
Biên soạn và trình bày: Ths. Trần Phương Nam
VNCERT khu vực miền Trung
1
20/03/2016
www.vncert.gov.vn
AN TOÀN THÔNG TIN
www.vncert.gov.vn
An toàn thông tin là gì?
2
20/03/2016
www.vncert.gov.vn
Cướp ngân hàng trong thế kỷ 21?
www.vncert.gov.vn
Cướp ngân hàng trong thế kỷ 21?
3
20/03/2016
www.vncert.gov.vn
Cướp ngân hàng trong thế kỷ 21?
Có kỹ năng của một hacker mũ đen
− 2010 hack nhà mạng AT&T tại Mỹ
− 2011 hack tập đoàn Sony và mua xe
BMW
− 2012 tấn công lấy secret key của
một nhà mạng viễn thông lớn tại
Châu Mỹ
www.vncert.gov.vn
Cướp ngân hàng trong thế kỷ 21?
Sony
và AT&T có đầy đủ hệ thống
bảo vệ và mã hóa
4
20/03/2016
www.vncert.gov.vn
Cướp ngân hàng trong thế kỷ 21?
Tìm
1 nhân viên đang bất mãn với
công ty
www.vncert.gov.vn
Cướp ngân hàng trong thế kỷ 21?
Tìm 1 nhân viên
đang bất mãn với
công ty
5
20/03/2016
www.vncert.gov.vn
Cướp ngân hàng trong thế kỷ 21?
Ở nhà và hack …
www.vncert.gov.vn
Cướp ngân hàng trong thế kỷ 21?
Người Việt có đi cướp ngân hàng nước ngoài?
6
20/03/2016
www.vncert.gov.vn
Cướp ngân hàng trong thế kỷ 21?
Người Việt có đi cướp ngân hàng nước ngoài?
www.vncert.gov.vn
Bộ ba trong an toàn thông tin
•
Lên kế hoạch đảm bảo an toàn
thông tin
−
−
•
C-I-A
Yêu cầu của tổ chức, doanh nghiệp
−
•
Thông thường ít được đề cập hoặc
so sánh với các đối tượng khác
trong tổ chức.
Chi phí cho bảo mật phải được nhìn
nhận và hợp lý
Bảo mật phải liên hệ mật thiết với
các yêu cầu của tổ chức và doanh
nghiệp, …
Biện pháp đánh giá an toàn thông
tin
−
Tập hợp các số liệu để đánh giá
hiệu quả của chương trình bảo mật
đã áp dụng.
7
20/03/2016
www.vncert.gov.vn
Các vấn đề đối với hệ thống thông
tin trong doanh nghiệp
Mật khẩu yếu
Nhận thức về ATTT kém
Kỹ năng kém
Chính sách lỗi thời
Không nhận được sự
quan tâm từ cấp trên
Và …?
www.vncert.gov.vn
Các vấn đề đối với hệ thống thông
tin trong doanh nghiệp
Con người
8
20/03/2016
www.vncert.gov.vn
Tình hình thế giới
Thế
kỷ phụ thuộc vào công nghệ thông tin
Tính toàn cầu (You are everywhere)
International relationships
New vendors
New customers
Khả năng giao tiếp (ngay lập tức)
Text messaging
Social media
Emails
Video streaming
Kinh doanh hiệu quả (thế giới ảo)
Faster speed saves time which either
saves or makes money.
Automated and streamlined processes
reduce labor costs
www.vncert.gov.vn
Tình hình thế giới
Sony + Lenovo + google.com.vn Was hacked
9
20/03/2016
www.vncert.gov.vn
Tình hình thế giới
www.vncert.gov.vn
Tổn thất từ việc mất an toàn thông tin
10
20/03/2016
www.vncert.gov.vn
Sự cố ATTT và tấn công mạng diễn ra mỗi phút
90% doanh nghiệp thừa nhận gặp phải vấn đề
mất ATTT ít nhất 1 lần trong năm 2014
Thế giới kiểu “Bring Your Own Device” (“BYOD”)
112 smartphones
bị mất
hoặcchỉ
đánh
Không
ai an toàn
100%
làcắp
khimỗi
nào sẽ
phút → 57 triệu sự cố an ninh dữ liệu tại Hoa Kỳ
tấn công và thường xuyên không
Hàng triệu thiết bị laptop và usb bị đánh cắp.
Cài cắm mã độc và tấn công doanh nghiệp
Các tin tặc được chính phủ tài trợ nhằm do
thám và phá hoại các cơ sở hạ tầng quan trọng
bị
www.vncert.gov.vn
Số lượng mã độc bị cài đặt và số lượng bị phát
hiện
11
20/03/2016
www.vncert.gov.vn
Tỉ lệ tấn công vào các nền tảng phổ biến
www.vncert.gov.vn
10 doanh nghiệp chứa thông tin cá nhân
lớn nhất thế giới
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Court Ventures
Adobe
eBay
Heartland Payment Systems
Target
TJX retail stores
U.S. Military Veterans
Evernote
LivingSocial
CardSystems
October 21, 2013
September 18, 2013
May 21, 2014
January 20, 2009
November 04, 2013
January 17, 2007
October 02, 2009
February 13, 2013
April 04, 2013
June 16, 2005
This does not include significant breaches in 2014, including:
1. Russian crime syndicate
2. Home Depot
3. JPMorgan
200.0M
152.0M
145.0M
130.0M
110.0M
100.0M
76.0M
50.0M
50.0M
40.0M
1,200.0M
56.0M
76.0M + 7.0M SMBs
Bloomberg Visual Data 9/4/2014 sourced from
Privacy Rights Clearinghouse
12
20/03/2016
www.vncert.gov.vn
Lấy cắp thông tin người dùng
để làm gì?
www.vncert.gov.vn
Rao bán thông tin
13
20/03/2016
www.vncert.gov.vn
Thu lợi từ thông tin cá nhân
Thực hiện các hành vi lừa đảo như vay tiền, bảo lãnh tín dụng
Dùng thẻ tín dụng của người khác mua sắm hàng đắt tiền rồi đem
bán lại
Thực hiện rút tiền từ tài khoản người khác
www.vncert.gov.vn
Tình hình ATTT tại Việt Nam
In Vietnam almost things is free …
14
20/03/2016
www.vncert.gov.vn
Tình hình ATTT tại Việt Nam
Số lượng người dung Windows XP lớn
−
−
−
−
5.513.411 máy tính chạy Windows XP 13 năm tuổi
Rủi ro bảo mật: Không còn dịch vụ hỗ trợ
Lỗi an ninh vĩnh viễn không được vá
Là vật trung gian gây lây nhiễm phần mềm độc hại
cho các máy tính, các mạng khác
www.vncert.gov.vn
Tình hình ATTT tại Việt Nam (cont)
Do vậy…chúng ta lên … đỉnh …
Top 10 nước mà người dùng gặp các nguy
cơ khi online nhiều nhất
Top 10 nước người dùng đối mặt với
các nguy cơ từ bên trong
Source: http://securelist.com/ (Q4-2015)
15
20/03/2016
www.vncert.gov.vn
Tình hình ATTT tại Việt Nam (cont)
Khoảng 8054 trang web bị hack trong năm 2014
Khoảng 10012 trang web bị hack trong năm 2015
Source: VNCERT
www.vncert.gov.vn
Tình hình ATTT tại Việt Nam (cont)
16
20/03/2016
www.vncert.gov.vn
Tình hình ATTT tại Việt Nam (cont)
Việt Nam thiệt hại khoảng 8.500 tỉ đồng trong năm 2014
− Gần 7 triệu máy tính đang sử dụng trên cả nước
− Mỗi người sử dụng máy tính bị thiệt hại 1.230.000 đồng
10/2014 VCCorp một vụ tấn công, mất hàng chục tỉ đồng
− Đơn vị quản lý vận hành báo Dantri, Kenh14, aFamily, GenK,
CafeF, cổng thanh toán sohapay.com,…
− Mỗi ngày VCCorp mất khoảng 2-2,5 tỷ đồng/ngày do sự cố hệ
thống.
Trong năm 2015 đã có 62.863 dòng virus máy tính mới
xuất hiện
− 61,7 triệu lượt máy tính bị lây nhiễm
− Gây thiệt hại 8700 tỉ đồng cho người dung và doanh nghiệp
www.vncert.gov.vn
Tình hình ATTT tại Việt Nam (cont)
Tin nhắn rác: không giảm mà còn bùng nổ
− Mỗi ngày có tới 13,9 triệu tin nhắn rác được phát tán tới người sử
dụng điện thoại tại Việt Nam
− 93% người sử dụng Facebook thường xuyên gặp phiền toái với tin
nhắn rác, nội dung đồi trụy hay liên kết giả mạo,…
− Mỗi tháng có thêm hơn 1.000 trang giả mạo Facebook được lập ra
nhằm đánh cắp tài khoản của người sử dụng.
WiFi miễn phí tại Việt Nam không an toàn
Mối đe dọa từ các ứng dụng giả mạo trên di động
Mã độc mã hóa tống tiền và phần mềm quảng cáo bất hợp
pháp đang là xu hướng mới
17
20/03/2016
www.vncert.gov.vn
Số lượng người dùng bị mã độc tống tiền nhắm đến
www.vncert.gov.vn
Số lượng người dung bị nhiễm mã độc tống tiền
18
20/03/2016
www.vncert.gov.vn
Doanh nghiệp cần làm gì?
Sai lầm: ATTT là vấn đề của kỹ thuật, chứ không phải là
vấn đề của quản lý.
Chính sách an toàn thông tin
Cơ sở hạ tầng (trong đó có cơ sở hạ tầng về công nghệ
thông tin)
Quản lý tài sản
An toàn nguồn nhân lực
An toàn vật lý và môi trường
www.vncert.gov.vn
Doanh nghiệp cần làm gì? (cont)
Quản lý truyền thông và vận hành
Kiểm thử ATTT và Kiểm soát truy cập
Thu thập, phát triển và duy trì hệ thống thông tin
Quản lý sự cố
Quản lý tính liên tục trong hoạt động
Tuân thủ: mục tiêu nhằm tránh sự vi phạm pháp luật, quy định,
nghĩa vụ theo các hợp đồng đã ký kết, các yêu cầu về bảo đảm
ATTT.
19
20/03/2016
www.vncert.gov.vn
Sinh viên có gì để mất?
www.vncert.gov.vn
Sinh viên có gì để mất?
20
- Xem thêm -