Lịch thi ViOlympic ngày 9/3

Dự thảo Thông tư sửa đổi, bổ sung một số điều của Thông tư 47/2014 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định các yêu cầu kỹ thuật về an toàn bảo mật với trang thiết bị phục vụ thanh toán thẻ ngân hàng, hiện đang được đăng tải công khai trên Cổng thông tin điện tử Chính phủ để lấy ý kiến đóng góp của các cơ quan, tổ chức doanh nghiệp và người dân.

Bổ sung quy định về mã hóa kết nối truy cập quản trị từ xa

Cụ thể, tại dự thảo, định nghĩa về “mã hóa mạnh” được cập nhật, điều chỉnh độ dài khóa đối với thuật toán TDES và EEC nhằm tăng tính bảo mật cho các thuật toán này.

Theo đó, khoản 9 Điều 2 của Thông tư 47 được đề nghị sửa thành “Mã hóa mạnh là phương pháp mã hóa dựa trên các thuật toán đã được kiểm tra, chấp nhận rộng rãi trên thế giới cùng với độ dài khóa tối thiểu 112 (một trăm mười hai) bit và kỹ thuật quản lý khóa phù hợp. Các thuật toán tối thiểu bao gồm: AES (128 bit); TDES (168 bit); RSA (2048 bit); ECC (224 bit); ElGamal (2048 bit)”.

Với các quy định về thiết lập và quản lý cấu hình thiết bị an ninh mạng, dự thảo Thông tư mới đề xuất bổ sung quy định về việc che giấu địa chỉ mạng nội bộ và thông tin về bảng định tuyến nội bộ nhằm giảm thiểu rủi ro an ninh mạng (điểm d khoản 1 Điều 3); đồng thời bổ sung quy định về ngăn chặn kết nối Internet của các máy trạm có quyền truy cập vào dữ liệu thẻ dạng rõ nhằm giảm thiểu rủi ro an ninh mạng liên quan đến lộ lọt dữ liệu thẻ (điểm a khoản 2 Điều 3).

Tại Điều 4 của Thông tư 47/2014 quy định về “Thay đổi, loại bỏ hoặc vô hiệu hóa các tham số, chức năng mặc định trong hệ thống trang thiết bị phục vụ thanh toán thẻ”, Ngân hàng Nhà nước đề nghị bổ sung quy định về mã hóa kết nối truy cập quản trị từ xa để giảm thiểu rủi ro an ninh mạng.

Về quy định an toàn bảo mật trong phát triển, duy trì các trang thiết bị phục vụ thanh toán thẻ, cũng để giảm thiểu rủi ro an ninh mạng, dự thảo Thông tư mới bổ sung quy định về đánh giá công nghệ phần mềm.

Theo đó, sẽ xem xét công nghệ phần mềm ít nhất một năm một lần để xác định chúng vẫn được hỗ trợ bởi nhà sản xuất và có thể đáp ứng các yêu cầu bảo mật. Nếu phát hiện không còn được nhà cung cấp hỗ trợ hoặc không đáp ứng nhu cầu bảo mật cần lên kế hoạch khắc phục và thay thế.

Với Điều 6 – Yêu cầu cấp phát và kiểm soát tài khoản truy cập vào hệ thống thanh toán của Thông tư 47/2014, Ngân hàng Nhà nước dự định sửa đổi khoản 1 và điểm e của khoản 4.

Cụ thể, để giảm thiểu rủi ro an ninh mạng, yêu cầu về truy cập vào hệ thống thanh toán thẻ được đề xuất sửa đổi thành “Việc truy cập vào tất cả thành phần hệ thống thanh toán thẻ phải được xác thực bằng ít nhất một trong các phương thức sau: mã khóa bí mật, thiết bị, thẻ xác thực và sinh trắc học” (khoản 1 Điều 6).

Đồng thời, bổ sung nội dung về tài khoản không hoạt động trong khoảng thời gian dài nhằm giảm thiểu rủi ro an ninh mạng: “Quy định và thực hiện việc thu hồi, loại bỏ hoặc vô hiệu hóa các tài khoản không sử dụng, hết hạn sử dụng, không hoạt động trong khoảng thời gian tối đa 90 ngày hoặc các tài khoản trong trạng thái không kích hoạt trong một khoảng thời gian” (điểm e khoản 4 Điều 6).

Đề xuất thêm yêu cầu cụ thể về che giấu thông tin thẻ

Cũng tại dự thảo Thông tư sửa đổi, bổ sung Thông tư 47/2014, Ngân hàng Nhà nước còn đề xuất bổ sung yêu cầu cụ thể về che giấu thông tin thẻ và kiểm soát nhân sự có quyền khai thác thông tin thẻ nhằm giảm thiểu rủi ro an ninh mạng. Theo đó, số thẻ phải được che giấu phù hợp khi hiển thị (chỉ hiển thị tối đa 6 số đầu và 4 số cuối) và chỉ được hiển thị đầy đủ cho một số hạn chế nhân viên có thẩm quyền để thao tác nghiệp vụ hoặc khi có yêu cầu của cơ quan có thẩm quyền hoặc chủ sở hữu hợp pháp của thẻ. Tổ chức phải lập danh sách các nhân viên có quyền xem số thẻ đầy đủ và thu hồi quyền xem số thẻ đầy đủ ngay khi nhân viên thay đổi vị trí công việc.

Cùng với đó, quy định mã hóa dữ liệu thẻ trên đường truyền qua mạng bên ngoài cũng được sửa đổi để phù hợp với sự thay đổi của quy định về mã hóa mạnh. Cụ thể, dự thảo Thông tư mới quy định: “Sử dụng các phương thức mã hóa mạnh và các giao thức bảo mật an toàn để bảo vệ dữ liệu xác thực thẻ trong quá trình truyền thông tin qua mạng kết nối với bên ngoài (mạng Internet, mạng không dây, mạng truyền thông di động và các mạng khác)”.

Đối với quy định hạn chế quyền truy cập vật lý tới dữ liệu thẻ (Điều 17 Thông tư 47/2014), dự thảo Thông tư mới bổ sung quy định về bảo vệ các biện pháp giám sát vật lý: “Sử dụng camera hoặc có biện pháp khác để giám sát truy cập vật lý tới khu vực phòng máy chủ, khu vực in ấn phát hành, nơi lưu trữ, xử lý dữ liệu chủ thẻ. Camera hoặc biện pháp giám sát khác phải được bảo vệ khỏi việc phá hoại hoặc vô hiệu hóa. Các dữ liệu giám sát phải được lưu trữ tối thiểu 3 tháng”.

Ngoài ra, cũng để giảm thiểu rủi ro an ninh mạng, tại Điều 18 - Giám sát, bảo vệ và kiểm tra các trang thiết bị phục vụ thanh toán thẻ, Ngân hàng Nhà nước đề xuất bổ sung yêu cầu về giám sát truy cập tới tài nguyên mạng và dữ liệu chủ thẻ của hệ thống thanh toán thẻ.

Theo đó, bổ sung điểm i khoản 1 Điều 18: “Ban hành chính sách, quy trình thực hiện giám sát tất cả các truy cập tới tài nguyên mạng, dữ liệu chủ thẻ và phổ biến cho các bên liên quan”.

Vân Anh

Tây Ninh sẽ trang bị thêm 369 camera giám sát an ninh trật tự

Theo Đề án trang bị hệ thống camera giám sát an ninh trật tự tập trung tỉnh Tây Ninh, UBND tỉnh này dự kiến đầu tư lắp đặt 369 camera tại 116 vị trí trên địa bàn trong giai đoạn 2020 - 2022.

Phát hoảng “máy bay bà già” dính bầu

Mấy ngày gần đây, mọi việc trong nhà gia đình ông bà Y. (Hương Khê – Hà Tĩnh)đang rối tung lên vì việc làm "tày đình" do cậu quý tử H. gây ra. H cặp bồ vớimột phụ nữ đáng tuổi mẹ mình và họ chung sống với nhau như vợ chồng. Đến khi "chị"bồ có bầu thì H. cao chạy xa bay, điện thoại liên lạc lúc nào cũng "ngoài vùngphủ sóng".

Ảnh minh họa: Nguồn Internet

Đối với hệ thống công nghệ thông tin tại chỗ, ông Paul phân tích, từ phương diện phần cứng cho đến phần mềm và các cài đặt về an ninh bảo mật thì toàn bộ những yêu cầu về mã hóa, quản lý lưu lượng, cài đặt tường lửa, cài đặt về mạng hoặc kiểm soát truy cập cũng như kiểm soát dữ liệu thì doanh nghiệp phải chịu trách nhiệm toàn bộ. .

Những công việc như vậy là một gánh nặng khủng khiếp bởi việc thực hiện ban đầu tốn rất nhiều thời gian và công sức. Sau quá trình triển khai, bắt đầu đưa vào vận hành rồi thì doanh nghiệp vẫn phải duy trì hệ thống hoạt động xuyên suốt, liền mạch và an toàn. Doanh nghiệp phải gánh các chi phí khá lớn gồm triển khai ban đầu và chi phí vận hành trong vòng đời. 

Khi doanh nghiệp chuyển từ hạ tầng tại chỗ sang nền tảng điện toán đám mây thì hầu hết các gánh nặng, khó khăn, thách thức, hạn chế nói trên đều được hóa giải. 

Như vậy có nghĩa là doanh nghiệp không phải bận tâm đến những gì không phải là thế mạnh cốt lõi của họ nữa. Họ được giải phóng để tập trung vào những gì tốt nhất như triển khai hoạt động kinh doanh, tạo ra giá trị cho khách hàng, tạo ra sự khác biệt trên thị trường.

“Chúng tôi gọi đây là mô hình chia sẻ an ninh bảo mật với khách hàng”, ông Paul nói. Trong mô hình chia sẻ bảo mật này, từ lớp thấp như địa điểm về mặt vật lý, các thiết bị phần cứng, đến phần mềm ảo hóa sẽ do nhà cung cấp dịch vụ đám mây thực hiện mà doanh nghiệp không phải bận tâm.

Chẳng hạn khi doanh nghiệp triển khai các giải pháp của họ trên nền tảng AWS thì sẽ có một phân vùng đám mây riêng ảo, được phân tách ra khỏi phân vùng đám mây khác của khách hàng khác. Với đám mây riêng, chỉ doanh nghiệp sở hữu mới được quyền truy cập, hoặc những người mà doanh nghiệp cho phép truy cập vào để thực hiện nhiệm vụ.

Có thể nói rằng môi trường đám mây riêng ảo đó, ngay cả AWS cũng không truy cập vào được và toàn bộ quyền kiểm soát truy cập đám mây riêng ảo đó là do doanh nghiệp quản lý. Đây là mô hình bảo mật chia sẻ trách nhiệm giữa doanh nghiệp và nhà cung cấp dịch vụ đám mây.

Với mô hình này doanh nghiệp sẽ chịu trách nhiệm việc duy trì các hoạt động về mã hóa. Ví dụ như mã hóa dữ liệu đang được lưu trữ, mã hóa dữ liệu đang được truyền tải trên đường truyền, kiểm soát tất cả các khía cạnh về mạng, về truy cập, về tường lửa. Tất cả những chính sách kiểm soát truy cập này đều thuộc trách nhiệm và quyền kiểm soát của khách hàng.

Trong mô hình trách nhiệm chung về mặt bảo mật này doanh nghiệp cũng có quyền đề xuất nhà cung cấp chia sẻ những kinh nghiệm bảo mật điện toán đám mây. Nhà cung cấp phải bảo đảm tính minh bạch, chia sẻ các cách cài đặt, các chính sách đảm bảo, tuần thủ quy định cho khách hàng.

Suốt quá trình làm việc, nhà cung cấp dịch vụ có thể giúp doanh nghiệp xây dựng những chính sách công nghệ, thậm chí là công cụ để tuân thủ trong ngành như quy định trong ngành ngân hàng, khách sạn,... 

Chuyển đổi số đang là mục tiêu quan trọng của nhiều doanh nghiệp Việt Nam, trong đó việc chuyển từ hạ tầng tại chỗ lên đám mây là một bước đi quan trọng trong quá trình này. Covid-19 càng tạo động lực để doanh nghiệp đẩy nhanh chuyển đổi số, do khách hàng đang quen với việc mua sắm và làm việc trên môi trường Internet. 

Song song với việc mang dữ liệu lên không gian mạng, việc bảo vệ nó cũng quan trọng không kém. Do đó, doanh nghiệp cần thận trọng, đồng thời lựa chọn các nhà cung cấp dịch vụ đám mây có uy tín để chuyển đổi số trơn tru và an toàn. 

Hải Đăng

Ba mắt xích quan trọng để bảo mật điện toán đám mây

Doanh nghiệp khi ứng dụng điện toán đám mây cần hiểu rõ và kiện toàn 3 yếu tố chính: công nghệ, quy trình và con người.