Những chuẩn mực về thực tiễn bảo mật

Tính minh bạch là yếu tố then chốt

Kaspersky vừa công bố báo cáo nghiên cứu chuyên sâu mới với tiêu đề “Bảo vệ không chỉ dừng lại ở việc phát hiện: Tại sao niềm tin và tính minh bạch đóng vai trò quyết định đến tương lai an ninh mạng” (Protection beyond detection: Why trust and transparency decide your cybersecurity future).

Báo cáo được xây dựng dựa trên đánh giá độc lập về mức độ minh bạch và trách nhiệm giải trình của 14 nhà cung cấp giải pháp an ninh mạng hàng đầu.

Báo cáo đánh giá các nhà cung cấp dựa trên một hệ thống tiêu chí khắt khe về tính minh bạch và trách nhiệm giải trình. Kết quả cho thấy, mặc dù việc tuân thủ các quy định cơ bản đã trở nên phổ biến trong ngành, song vẫn còn khá hiếm nhà cung cấp giải pháp an ninh mạng có các biện pháp xây dựng niềm tin có thể kiểm chứng một cách độc lập.

Báo cáo cho rằng, tính minh bạch nên là tiêu chí đánh giá trọng yếu khi lựa chọn nhà cung cấp. Những nhà cung cấp kết hợp được khả năng bảo vệ mạnh mẽ với tính minh bạch có cấu trúc - chẳng hạn như cung cấp SBOM (Danh mục thành phần phần mềm), quy trình cập nhật có thể kiểm chứng, công bố kết quả kiểm toán và cho phép khách hàng kiểm soát luồng dữ liệu - sẽ mang lại cho doanh nghiệp (DN) sự đảm bảo cao nhất.

Ở cấp độ ngành, nghiên cứu phản ánh sự chuyển dịch rõ rệt hướng tới mô hình quản trị an ninh mạng dựa trên trách nhiệm giải trình. Các sáng kiến và quy định pháp lý ngày càng nhấn mạnh vào khả năng truy xuất nguồn gốc, phát triển an toàn và tính minh bạch sau khi đưa sản phẩm ra thị trường.

Điều này báo hiệu những thực hành bảo mật hiện còn ít được áp dụng (low adoption) có thể sẽ sớm trở thành tiêu chuẩn bắt buộc trong tương lai.

Các đánh giá độc lập đóng vai trò như một thước đo chung, giúp nhà cung cấp lẫn khách hàng DN có cơ sở đối chiếu và ra quyết định khi các yêu cầu về tính minh bạch và trách nhiệm tiếp tục được nâng cao.

Để hỗ trợ các Giám đốc An ninh thông tin quản lý rủi ro từ bên thứ ba một cách hiệu quả, Kaspersky đã đính kèm trong báo cáo chuyên sâu một danh mục kiểm tra (checklist) thực tiễn.

Dựa vào danh mục này, các CISO có thể đánh giá mức độ tin cậy của các nhà cung cấp phần mềm và củng cố khả năng chống chịu, phục hồi cho chuỗi cung ứng công nghệ của doanh nghiệp.

Kaspersky vượt trên tiêu chuẩn ngành, thiết lập chuẩn mực mới về thực hành bảo mật

Báo cáo cũng đã chỉ ra những yếu tố khác biệt then chốt: Trên tổng số 14 đơn vị được đánh giá, Kaspersky là một trong ba cái tên hiếm hoi cung cấp cho khách hàng quyền truy cập vào các Trung tâm Minh bạch (Transparency Centers). Đây là nơi mà các bên độc lập có thể trực tiếp rà soát mã nguồn, quy trình xử lý dữ liệu và các bước cập nhật phần mềm.

Kaspersky đã vận hành hơn 10 Trung tâm minh bạch trên toàn cầu, cung cấp nhiều hình thức đánh giá khác nhau, phục vụ nhu cầu của khách hàng doanh nghiệp và tổ chức Chính phủ.

Bên cạnh đó, Kaspersky cũng là một trong ba nhà cung cấp hiếm hoi cho phép truy cập Danh mục thành phần phần mềm (Software Bill of Materials - SBOM) và là một trong bốn nhà cung cấp công bố báo cáo minh bạch định kỳ giải trình chi tiết về các yêu cầu từ cơ quan thực thi pháp luật và cơ quan Chính phủ.

Trong số 60 tiêu chí đánh giá, Kaspersky đạt hoặc vượt chuẩn ngành ở 57 danh mục, giữ kết quả cao nhất trong số các nhà cung cấp được đánh giá.

Ngoài ra, Kaspersky là một trong ba nhà cung cấp duy nhất đáp ứng tất cả các tiêu chí về vị thế bảo mật (security posture), bao gồm: Báo cáo lỗ hổng, cảnh báo bảo mật, hợp tác và cam kết theo tuyên bố “Safe Harbor”, kết quả kiểm toán bảo mật và quy trình vòng đời phát triển phần mềm an toàn (SDLC).

Những tiêu chí này được báo cáo mô tả là “các chỉ số then chốt về mức độ tin cậy và khả năng chống chịu, phục hồi dài hạn”.

Chia sẻ về kết quả nghiên cứu, ông Eugene Kaspersky, nhà sáng lập kiêm CEO của Kaspersky cho biết, để có thể tạo dựng niềm tin thực sự, các tổ chức phải có khả năng kiểm chứng được tính minh bạch.

“Các giải pháp an ninh mạng hoạt động sâu bên trong hệ thống của khách hàng, vì vậy trách nhiệm giải trình là tối quan trọng. Khi các chuyên gia độc lập có thể trực tiếp đánh giá sản phẩm của chúng tôi, minh bạch không còn là lời hứa suông mà trở thành yếu tố có thể đo lường”.

Tại khu vực châu Á - Thái Bình Dương, nơi chuyển đổi số đang tăng tốc cùng các biến động địa chính trị, niềm tin chính là yếu tố định hình an ninh mạng.

Ông Adrian Hia, Giám đốc điều hành Kaspersky khu vực cho biết: “Bằng cách công khai công nghệ, quy trình và cách xử lý dữ liệu cho các đơn vị giám sát độc lập, Kaspersky tiếp tục thiết lập những tiêu chuẩn cao hơn về một hệ thống an ninh mạng đáng tin cậy tại khu vực và trên toàn cầu”.

Các nền tảng phát hiện và phản hồi điểm cuối (EDR) thường phải xử lý dữ liệu đo lường (telemetry), quản lý cập nhật tự động và phụ thuộc vào các dịch vụ đám mây để duy trì khả năng bảo vệ.

Do đó, tính minh bạch và trách nhiệm giải trình giờ đây gắn liền với quản trị DN, tuân thủ quy định và quản lý rủi ro chuỗi cung ứng, thay vì chỉ được xem là các đặc tính kỹ thuật đơn thuần./.