Ngày 20 tháng 5 năm 2024
Chỉ trong sáu tháng qua, các thành phố của Mỹ - từ St. Cloud, Florida, đến Wichita, Kansas, đến Long Beach, California và các thành phố khác - đã trở thành mục tiêu của các cuộc tấn công mạng, gây nguy hiểm cho các dịch vụ công quan trọng. Tuy nhiên, một nghiên cứu gần đây cho thấy nhiều thành phố đã và đang thực hiện các mối đe dọa này một cách nghiêm túc và đang làm việc để tăng cường khả năng phục hồi mạng của họ.
RiskRecon, một công ty Mastercard và là nhà cung cấp xếp hạng và đánh giá an ninh mạng hàng đầu, đã phân tích cách 271 thành phố trên khắp Hoa Kỳ đã thay đổi tư thế bảo mật của họ trong ba năm qua. Vào tháng 8 năm 2021, công ty đã đánh giá các thành phố này và chỉ định xếp hạng dựa trên hiệu suất của chúng trên chín lĩnh vực bảo mật, từ bảo mật ứng dụng đến lưu trữ web. Kể từ đó, RiskRecon đã nhận thấy xếp hạng bảo mật tổng thể trung bình đã được cải thiện từ 7,3 lên 8,1 trên thang điểm 10.
Tính đến tháng 1, 221 thành phố đã được xếp hạng A hoặc B, cho thấy an ninh mạnh hơn ở nhiều khu vực pháp lý.
Tuy nhiên, các thành phố không nên để ý, Rigo Van den Broeck, phó chủ tịch điều hành đổi mới sản phẩm an ninh mạng tại Mastercard cho biết. “Không có tổ chức nào là quá lớn hoặc quá nhỏ để bị nhắm mục tiêu. Có một hacker tiềm năng cho mọi tổ chức - bất kể quy mô,” ông nói.
Một trong những lỗ hổng nguy hiểm nhất đối với các thành phố - và một lỗ hổng tương đối dễ sửa - là cập nhật phần mềm lỗi thời, Rigo Van den Broeck của Mastercard cho biết.
Trong một cuộc trò chuyện gần đây với Mastercard Newsroom, Van den Broeck chia sẻ những gì nghiên cứu của RiskRecon tiết lộ về bối cảnh rủi ro hiện tại đối với các thành phố và cách bảo vệ tốt hơn các hệ thống và dữ liệu quan trọng.
Van den Broeck: Tất cả chúng ta đều đã thấy các tiêu đề chi tiết về các cuộc tấn công mạng gây tê liệt trên các chính phủ và cơ sở hạ tầng công cộng - không thiếu các ví dụ. Trên tất cả các lĩnh vực, số hóa đã là một điều không đổi trong nhiều năm, nhưng trong lịch sử, nhiều chính phủ đã chậm hơn trong việc thích ứng. COVID là một yếu tố thay đổi cuộc chơi ở chỗ việc cung cấp các dịch vụ kỹ thuật số không còn là tùy chọn. Điều quan trọng là các chính phủ có thể phục vụ công dân của họ qua internet. Sự phát triển nhanh chóng này đã mở rộng đáng kể bề mặt tấn công, cung cấp nhiều cơ hội hơn cho tội phạm mạng.
Điều quan trọng là phải hiểu ai đứng đằng sau các cuộc tấn công. Tin tặc thường chọn mục tiêu của họ dựa trên một vài yếu tố phổ biến, chẳng hạn như độ nhạy của dữ liệu của tổ chức hoặc mức độ quan trọng của việc chúng hoạt động mà không bị gián đoạn. Chính phủ cũng là mục tiêu chính cho các tác nhân xấu có động cơ chính trị. Khi chúng ta kết hợp tất cả các yếu tố này, không có gì ngạc nhiên khi các chính phủ thường bị nhắm mục tiêu.
Van den Broeck: Tin tặc thường sử dụng dữ liệu bị đánh cắp trong các nỗ lực tống tiền hoặc bán thông tin này cho các tội phạm khác, dẫn đến tổn thất đáng kể cho các tổ chức bị vi phạm. Báo cáo Chi phí vi phạm dữ liệu năm 2023 của IBM cho thấy chi phí trung bình toàn cầu của một vụ vi phạm dữ liệu vào năm 2023 là 4,45 triệu đô la.
Với các thành phố, rủi ro tài chính thậm chí còn lớn hơn do các dịch vụ thiết yếu mà họ cung cấp và dữ liệu nhạy cảm mà họ được giao nhiệm vụ bảo vệ. Khi họ gặp một sự cố mạng, tác động rất rộng. Chúng tôi đã chứng kiến những vụ vi phạm khiếnnhân viên cấp cứukhông có được thông tin thời gian thực mà họ cần để ứng phó khủng hoảng hiệu quả, ví dụ như hạn chế quyền truy cập vào máy tính công cộng tại một trong những hệ thống thư viện đông đúc nhất thế giới. Việc khôi phục và vận hành lại hệ thống có thể tốn kém và các thành phố có thể phải đối mặt với chi phí liên quan đến giám sát, kiện tụng và ứng phó sự cố.
Và sau đó là tổn hại về mặt danh tiếng, khi mất đi lòng tin của công chúng có thể gây bất lợi, đặc biệt khi chúng ta cho rằng chính quyền địa phương được xếp hạng là một trong những cơ quan chính phủ đáng tin cậy nhất. Thật khó để đặt giá cho điều đó.
Van den Broeck: RiskRecon liên tục đánh giá sự hiện diện trên internet của hơn 19 triệu tổ chức, từ các thương gia thương mại điện tử đến các tập đoàn đa quốc gia đến các tổ chức chăm sóc sức khỏe. Các đánh giá bao quát và sâu sắc, tìm kiếm bằng chứng có thể nhìn thấy công khai mà chúng ta có thể sử dụng để suy ra vệ sinh mạng của một tổ chức, những thứ như phần mềm lỗi thời và dễ bị tổn thương hoặc truyền thông internet không được bảo vệ một cách thích hợp. Nghiên cứu của chúng tôi đã chỉ ra rằng những người có vệ sinh an ninh mạng rất kém - được xếp hạng là D hoặc F - trải qua các sự kiện vi phạm thường xuyên hơn 35 lần so với các tổ chức được xếp hạng A.
Van den Broeck: Mộtsố báo cáo và nghiên cứu, cho dù từ Mastercard hay các nơi khác trong ngành, liên tục xác định một số ứng cử viên hàng đầu góp phần gây ra vi phạm. Trong số đó có phần mềm lỗi thời, đã không thể nhận được các bản cập nhật bảo mật trong một thời gian và khi các dịch vụ nhạy cảm tiếp xúc với internet công cộng và không nên nhận được. Hãy suy nghĩ về cơ sở dữ liệu và các công cụ truy cập từ xa.
Tin tốt là các thành phố mà chúng tôi đã theo dõi trong những năm gần đây đang cho thấy xếp hạng tổng thể cao hơn, cho thấy vệ sinh mạng tốt hơn. Chúng tôi đã thấy sự cải thiện toàn diện trong tám trong số chín miền bảo mật mà chúng tôi đánh giá và những lợi ích đã được thực hiện ở đúng vị trí, bao gồm bảo mật hệ thống email và tên miền, vá phần mềm và mã hóa web.
Van den Broeck: RiskRecon ủng hộ một cách tiếp cận xem xét mức độ nghiêm trọng của vấn đề mà một tổ chức đang phải đối mặt và mức độ nhạy cảm của hệ thống mà nó tác động. Phần mềm lỗi thời từ lâu đã ngự trị như một trong những lỗ hổng nguy hiểm nhất đối với một doanh nghiệp và điều đó không được mong đợi sẽ thay đổi trong thời gian sớm. Đó nên là một ưu tiên.
Việc phát triển vệ sinh mạng mạnh mẽ cần có thời gian, vì vậy việc đánh giá các cách giảm thiểu rủi ro trong suốt hành trình an ninh mạng của bạn luôn quan trọng. Có những nguồn lực có thể giúp các thành phố bất kể quy mô của chúng. Các cơ quan an ninh mạng ở các cấp khác nhau của chính phủ và các nhóm ứng phó khẩn cấp máy tính có nhiệm vụ mở rộng hỗ trợ bảo mật internet. Mastercard cũng tự hào hỗ trợ một số tổ chức cung cấp dịch vụ an ninh mạng miễn phí, bao gồm CyberPeace Institute, Global Cyber Alliance và Shadowserver Foundation.
Van den Broeck: Hiểu được rủi ro của bên thứ ba là rất quan trọng đối với các tổ chức, đặc biệt là xem xét sự phức tạp của việc mở rộng chuỗi cung ứng và tỷ lệ vi phạm của bên thứ ba ngày càng tăng. Có một hiện tượng trong an ninh mạng khi các tổ chức tương tự sử dụng cùng một loại công nghệ vì họ cần một số khả năng nhất định và quyết định dựa vào cùng một phần mềm hoặc thậm chí khi có một vài nhà cung cấp chuyên biệt đáp ứng nhu cầu của các tổ chức đó. Tác động của điều này là sự tập trung toàn thân của rủi ro mạng có thể gây ra hậu quả thảm khốc nếu một trong những nhà cung cấp dịch vụ hoặc nhà cung cấp phần mềm này bị ảnh hưởng bởi một sự kiện an ninh mạng.
Trong cuộc khảo sát gần đây của chúng tôi với Viện Cyentia, “Tình trạng quản lý rủi ro của bên thứ ba”, chúng tôi nhận thấy rằng 23% số người được hỏi cho biết tổ chức của họ đã bị vi phạm bảo mật từ bên thứ ba. Thiết lập một chương trình quản lý rủi ro mạnh mẽ của bên thứ ba là một điều cần thiết ngày nay. Chúng tôi đã vượt quá thời điểm mà việc thẩm định đúng hạn chỉ xảy ra ở giai đoạn giới thiệu nhà cung cấp. Thay vào đó, các tổ chức cần khả năng hiển thị thời gian thực đối với các bên thứ ba của họ để hiểu và quản lý đầy đủ các rủi ro của họ.
Điều thú vị là chúng ta đã thấy rủi ro an ninh mạng xuất hiện bất ngờ với các thành phố và chính phủ nhỏ hơn vì họ chia sẻ nhiều nguồn lực để đạt được hiệu quả. Điều này có nghĩa là một lỗ hổng trong một hệ thống có thể đủ để hạ gục các dịch vụ của nhiều thành phố, như chúng ta đã thấy trong một cuộc tấn công ransomware tấn công 23 thị trấn nhỏ ở Texas vài năm trước. Thật dễ dàng để nghĩ rằng bạn có thể không phải là mục tiêu của một cuộc tấn công mạng vì động cơ có thể không rõ ràng, nhưng những sự cố chúng tôi tiếp tục thấy chứng minh điều ngược lại.