Rủi ro về an toàn thông tin

Theo ông Lê Văn Lợi, Viện trưởng Viện Tin học Doanh nghiệp (VCCI), rủi ro đầu tiên là dễ mất kiểm soát. Trong ĐTĐM, bằng cách sử dụng cơ sở hạ tầng của người khác, khách hàng nhất thiết phải nhường quyền kiểm soát cho nhà cung cấp trên một số vấn đề mà có thể ảnh hưởng đến an ninh. Đồng thời, các thỏa thuận (hoặc hợp đồng) có thể không đưa ra một cam kết cung cấp dịch vụ này trong một phần của cung cấp dịch vụ đám mây, do đó, để lại một khoảng trống trong phòng thủ an ninh. Hiện tại có rất ít các công cụ, thủ tục hoặc dữ liệu tiêu chuẩn định dạng đảm bảo tính di động dịch vụ. Điều này có thể gây khó khăn cho khách hàng để di chuyển đến một nhà cung cấp khác hoặc chuyển dữ liệu về cho các ứng dụng khác của khách hàng, dẫn đến sự phụ thuộc vào một nhà cung cấp dịch vụ đám mây. Đặc biệt, tính linh động của dữ liệu, khía cạnh cơ bản nhất, lại không được kích hoạt...

Dịch vụ tập trung là đặc điểm chính của ĐTĐM. Điều này có thể dẫn tới rủi ro là không tách được bộ nhớ lưu trữ của các khách hàng khác nhau, có thể có các cuộc tấn công an ninh làm lẫn lộn dữ liệu các khách hàng khác nhau. "Các cuộc tấn công vào các cơ chế cách ly tài nguyên vẫn còn ít hơn nhiều và khó khăn hơn nhiều cho kẻ tấn công khi so sánh với các cuộc tấn công trên các hệ điều hành truyền thống", ông Lợi cho biết thêm.

Theo ông Lợi, dịch vụ phải đạt được các yêu cầu về một loại giấy phép, chứng nhận nào đó, ví dụ tiêu chuẩn ngành công nghiệp hoặc yêu cầu pháp lý. Có thể có rủi ro khi di cư ứng dụng đến các đám mây nếu các nhà cung cấp dịch vụ ĐTĐM không thể cung cấp bằng chứng về sự tuân thủ của họ đối với các yêu cầu có liên quan; hoặc nếu nhà cung cấp dịch vụ ĐTĐM không cung cấp cơ chế kiểm soát dịch vụ cho khách hàng.

Các giao diện bị lộ cũng khiến cho nguy cơ bị tấn công ngày càng gia tăng, đặc biệt là khi kết hợp với truy cập từ xa và các lỗ hổng trình duyệt web.

ĐTĐM còn gây ra rủi ro cho việc bảo vệ dữ liệu cho khách hàng và các nhà cung cấp. Trong một số trường hợp, nó có thể khiến khách hàng (trong vai trò điều khiển dữ liệu) khó kiểm tra hiệu quả xử lý dữ liệu của các nhà cung cấp và khó đảm bảo rằng dữ liệu được xử lý một cách hợp pháp.

Khi một yêu cầu để xóa một nguồn tài nguyên ĐTĐM được thực hiện với hầu hết các hệ điều hành, chưa chắc có thể xóa sạch các dữ liệu. Xóa hết hoặc xóa dữ liệu đúng thời điểm cũng có thể không thực hiện được, hoặc vì lý do có bản sao dữ liệu dự phòng, hoặc vì phần xóa cũng lưu dữ liệu từ các khách hàng khác. Khi dữ liệu tập trung cùng với cơ chế tái sử dụng các nguồn tài nguyên phần cứng, nguy cơ không xóa hết dữ liệu là rất cao.

Một vài khuyến cáo.

Ông Lợi cho rằng: Hầu hết các vấn đề pháp lý liên quan đến ĐTĐM hiện nay sẽ được giải quyết trong quá trình đánh giá, lựa chọn hợp đồng (nghĩa là khi so sánh giữa các nhà cung cấp khác nhau) hoặc thông qua đàm phán. Các trường hợp phổ biến hơn trong ĐTĐM là lựa chọn hợp đồng trên thị trường (chào giá dịch vụ cố định). Tuy nhiên, vẫn có trường hợp lựa chọn các nhà cung cấp kết hợp với việc đàm phán.

Không giống như các dịch vụ Internet truyền thống, điều khoản hợp đồng tiêu chuẩn có thể xứng đáng được xem xét bổ sung bởi vì bản chất của ĐTĐM. Ông Lợi khuyến cáo: Trong hợp đồng nên đặc biệt chú ý đến quyền và nghĩa vụ liên quan đến các thông báo vi phạm an ninh, truyền dữ liệu phát sinh, thay đổi quyền kiểm soát và truy cập vào dữ liệu của các đơn vị thực thi pháp luật. Bởi vì các đám mây có thể được sử dụng để thuê ngoài cho cơ sở hạ tầng quan trọng trong nội bộ, và sự gián đoạn của cơ sở hạ tầng có thể có hiệu ứng không mong muốn.

Theo ông Lợi, trước khi có hành lang pháp lý cụ thể cho ĐTĐM, khách hàng và nhà cung cấp đám mây nên nhìn vào các điều khoản của hợp đồng của họ để đánh giá và đề cập đúng mức các nguy cơ bảo mật.

Theo www.taichinhdientu.vn