Cái nhìn sâu sắc của một nhà lãnh đạo về hậu lượng tử, AI và khả năng phục hồi

An ninh mạng đang bước vào một kỷ nguyên chuyển đổi được định hình bởi các công nghệ mới nổi. Bobbie Stempfley của Dell chia sẻ những thách thức và cơ hội sẽ định hình tương lai của an ninh mạng, từ nhiệm vụ to lớn là chuyển đổi sang mật mã hậu lượng tử cho đến vai trò ngày càng phát triển của AI và quy định toàn cầu.

Nhân Tháng Nhận thức An ninh mạng, tôi rất hân hạnh được trò chuyện với Bobbie Stempfley , Phó chủ tịch phụ trách an ninh mạng và giám đốc an ninh đơn vị kinh doanh tại Dell, để thảo luận về những gì sắp diễn ra trong ngành của chúng ta. Công nghệ thúc đẩy sự tiến bộ của con người, và việc đón đầu các mối đe dọa mới nổi sẽ giúp đảm bảo sự tiến bộ đó được an toàn.

Trong cuộc trò chuyện, chúng tôi đã khám phá những thách thức và cơ hội quan trọng sẽ định hình tương lai của an ninh mạng, từ nhiệm vụ to lớn là chuyển đổi sang mật mã hậu lượng tử cho đến vai trò ngày càng phát triển của AI và quy định toàn cầu.

Thành công ngày mai đòi hỏi phải có kế hoạch ngay từ hôm nay và chúng tôi rất vui mừng được chia sẻ những hiểu biết có thể giúp mọi tổ chức chuẩn bị cho những điều sắp tới.

Nội dung sau đây đã được chỉnh sửa để ngắn gọn và dễ đọc hơn.

Tôi biết rằng hầu hết mọi người trong lĩnh vực bảo mật và những người ra quyết định về CNTT đều đang nghĩ đến mật mã hậu lượng tử (PQC). Bạn có thể bắt đầu bằng cách định nghĩa phạm vi của vấn đề này không?

Stempfley: Tiền mã hóa hậu lượng tử là một khởi đầu khá tốt. Hãy nghĩ về mã hóa: nó là nền tảng của mọi thứ. Một người bạn của tôi có câu nói rằng “mật mã giống như nước. Nó len lỏi khắp mọi nơi”. Phạm vi của một cuộc chuyển đổi toàn diện nền tảng mật mã của chúng ta là rất lớn, và điều này nên được các chuyên gia CNTT ưu tiên hàng đầu hiện nay, mặc dù mốc thời gian cho việc chuyển đổi này chưa phải là ngay lập tức. Chúng ta còn vài năm nữa, nhưng vì mật mã hiện diện ở khắp mọi nơi, nên đây là điều bạn thực sự phải bắt đầu chú ý ngay từ bây giờ.

Các tổ chức nên bắt đầu từ đâu nếu họ mới giải quyết vấn đề này?

Stempfley: Nếu tôi là người ra quyết định về CNTT, tôi sẽ bắt đầu với hai câu hỏi chính. Câu hỏi đầu tiên là ở đâu? Tất cả các mô-đun mã hóa của tôi nằm ở đâu? Tôi sử dụng chúng ở đâu trong doanh nghiệp của mình? Bạn cần suy nghĩ về điều này không chỉ về việc mã hóa dữ liệu tĩnh, mà còn về việc chúng nằm trong thư viện nào? Tôi xử lý dữ liệu đang truyền, quản lý khóa, chế độ ký mã, nhận dạng thiết bị và truy cập an toàn như thế nào? Sau khi có danh mục, câu hỏi thứ hai dành cho các nhà cung cấp của bạn: họ đang ở đâu trong hành trình tìm hiểu ứng dụng mã hóa và chuyển đổi sang thế giới hậu lượng tử?

Khi nghĩ về chuỗi cung ứng, liệu chúng ta chỉ mạnh bằng mắt xích yếu nhất? Điều đó có công bằng không?

Stempfley: Đúng vậy, điều đó luôn được khẳng định là đúng trong bảo mật. Có nhiều biện pháp kiểm soát mà bạn có thể áp dụng xung quanh những điểm yếu nhất để giúp chúng ít gây ảnh hưởng hơn. Điều này cũng đúng phần lớn trong lĩnh vực mật mã. Bạn cần phải chuyển đổi hầu hết không gian. Bạn không thể chỉ di chuyển phòng khách; bạn phải di chuyển cả ngôi nhà. Đó là một sự phối hợp phức tạp đối với một doanh nghiệp.

Khi chúng ta tiếp cận một giải pháp, bạn có nghĩ rằng sẽ có một ngành công nghiệp phát triển xung quanh giải pháp này không? Bạn có nghĩ rằng sẽ có một loạt các công ty tập trung vào việc tạo ra các giải pháp trọn gói không?

Stempfley: Mật mã hậu lượng tử là một ví dụ khác cho thấy sẽ không có một giải pháp duy nhất. Loại chuyển đổi cần thiết này đòi hỏi chúng ta phải có giải pháp ở mọi nơi mà chúng ta sử dụng mật mã. Cho mã hóa, cho chữ ký mã, cho nhận dạng thiết bị kỹ thuật số. Điều này ngăn cản một tổ chức đơn lẻ nào đó bước vào và nói rằng, “Tôi đã sẵn sàng cho PQC.” Thật không may, đây là một sự chuyển đổi cho toàn bộ doanh nghiệp.

Hãy cùng thảo luận về các quy định. Bạn thấy xu hướng nào trong các quy định trên toàn thế giới liên quan đến an ninh mạng? 

Stempfley: Bạn đang thấy mọi thứ, từ các quy tắc và hướng dẫn về dữ liệu, và chủ quyền dữ liệu cho đến cơ sở hạ tầng và sản phẩm. Chúng ta đang thấy những gì các quốc gia như Hoa Kỳ đang làm về chứng nhận năng lực bảo mật, và ngành công nghiệp đang xử lý những gì EU đã đưa ra trong một số lĩnh vực. Tôi không nghĩ xu hướng này sẽ thay đổi. Khi bạn nghĩ về sự phụ thuộc của hầu hết mọi ngành công nghiệp vào cơ sở hạ tầng kỹ thuật số, khả năng đảm bảo rằng cơ sở hạ tầng đó hỗ trợ khách hàng của chúng ta và cho phép kết nối mạnh mẽ, an toàn là một phần quan trọng của điều này. Tất nhiên, mặc dù các khuôn khổ pháp lý rất quan trọng đối với bảo mật, nhưng điều quan trọng là chúng tạo điều kiện thay vì cản trở sự đổi mới có thể mở rộng theo nhu cầu của các công nghệ mới ra đời và sự phát triển nhanh chóng của AI mà chúng ta đang ở giữa.

Chúng tôi đã chứng kiến ​​một số trường hợp giám đốc an ninh và thành viên hội đồng quản trị phải đối mặt với áp lực gia tăng về các hành động trong quá khứ nếu xảy ra tấn công. Bạn có thể đưa ra lời khuyên nào cho các nhà lãnh đạo tổ chức để giúp họ vượt qua tình hình này?

Stempfley: Trong lĩnh vực bảo mật, chúng tôi dành nhiều thời gian để diễn đạt bằng thuật ngữ chuyên ngành. Điều quan trọng là chúng tôi phải có trách nhiệm đảm bảo mọi người hiểu và vượt ra ngoài những thuật ngữ chuyên ngành. Chúng tôi phải giao tiếp với các nhà lãnh đạo doanh nghiệp, lãnh đạo công nghệ và hội đồng quản trị theo cách mà họ hiểu những gì chúng tôi đang nói và những rủi ro hiện hữu trong doanh nghiệp, để họ có thể được thông báo khi chấp nhận những rủi ro đó.

Bạn thấy bối cảnh mối đe dọa sẽ tiếp tục phát triển như thế nào? Gần đây, chúng ta đã thấy AI tạo điều kiện cho các cuộc tấn công theo những cách mới.

Stempfley: Ngày nay, không thể có bất kỳ cuộc trò chuyện nào về bảo mật mà không nhắc đến AI. Cơ hội mà AI mang lại cho cả đối thủ và bên phòng thủ đều rất thực tế. Chúng ta đang thấy AI nâng cao khả năng nhắm mục tiêu của đối thủ. Nó cũng giúp chúng ta vượt ra ngoài phạm vi bảo mật của container để thực sự hiểu được dữ liệu cần thiết cho doanh nghiệp. Tôi nghĩ rằng cơ hội kết nối hai yếu tố này lại với nhau sẽ đặc biệt mang tính chuyển đổi đối với chúng ta với tư cách là một ngành công nghiệp.

Khi chúng ta triển khai AI nhiều hơn vào các chương trình bảo mật, nó cũng sẽ tạo ra rất nhiều dữ liệu. Liệu nó có tạo ra một bề mặt tấn công cũng cần được bảo vệ không?

Stempfley: AI đang hoàn toàn thay đổi bản chất của bề mặt tấn công. Nó đang chuyển từ một thế giới rất xác định sang một thế giới không xác định. Việc chúng ta không có khả năng dự đoán tạo ra một bề mặt tấn công mới mà chúng ta cần thực sự hiểu rõ. Tôi nghĩ rằng bề mặt tấn công đó rất giống với bề mặt con người mà chúng ta có ngày nay. Thời gian sẽ trả lời liệu tôi có đúng hay không, nhưng khả năng thực sự giám sát và hiểu rõ điều đó theo thời gian là thách thức chính hiện nay.

Tôi muốn quay lại một vấn đề mà chúng ta đã đề cập trước đó, đó là “không cần mật khẩu”. Tại sao hướng đi đó lại có lợi?

Stempfley: Mật khẩu và kiểm soát truy cập là một trong những phương thức tấn công được sử dụng rộng rãi nhất hiện nay. Có nhiều cách thức kiểm soát danh tính và truy cập an toàn và hiệu quả hơn mà không cần mật khẩu. Việc chuyển sang các giải pháp không cần mật khẩu có thể loại bỏ hoàn toàn các lớp tấn công và thay đổi bề mặt tấn công của bạn. Mọi thứ, từ chứng chỉ và các cơ chế xác thực khác, đều đóng vai trò quan trọng trong việc này. Đây là một sự chuyển đổi quan trọng mà ngành công nghiệp cần thực hiện.

Trước khi kết thúc, bạn có muốn nhắn nhủ gì tới độc giả không?

Stempfley: Tôi muốn nói hai điều. Bây giờ là năm 2025. Bạn có biết mã hóa của mình nằm ở đâu trong tổ chức của bạn không?

1. Kiểm kê các mô-đun mã hóa và cách sử dụng trong toàn doanh nghiệp của bạn.
2. Hiểu dữ liệu của bạn.

Hai điều này nói thì đơn giản nhưng thực ra lại là những hành động vô cùng phức tạp, nhưng lại đóng vai trò then chốt cho sự thành công của một tổ chức vào năm 2025 và tương lai.