Chuyển đổi số: Quá trình chuyển mình của doanh nghiệp


Chuyển đổi số đang trở thành xu hướng toàn cầu trong rất nhiều doanh nghiệp, tổ chức trong CMCN 4. Theo báo cáo năm 2016 của công ty kiểm toán, tư vấn tài chính PricewaterhouseCoopers, 86% trong số 2000 doanh nghiệp từ 26 quốc gia được nghiên cứu kỳ vọng đạt được việc giảm kinh phí và tăng lợi nhuận nhờ nỗ lực chuyển đổi số trong vòng 5 năm. Vậy tác động của chuyển đổi số đến từ đâu?


Nếu thích ứng được với quá trình số hóa, sự chuyển đổi về kỹ năng và tay nghề của lực lượng lao động sẽ tạo thêm giá trị cho doanh nghiệp.

Về bản chất, chuyển đổi số bao gồm cả các quá trình, phương thức xử lý thông minh giúp doanh nghiệp có mối quan hệ chặt chẽ hơn với khách hàng, tùy chỉnh và chuyển đổi sản phẩm, tiết kiệm chi phí, tăng năng lực nhân viên qua công nghệ, tạo ra các mô hình kinh doanh mới, phương thức quản lý mới…

Trong buổi đầu của chuyển đổi số, có một số khái niệm khiến người ta dễ nhầm lẫn. Do đó, chúng ta cần phân biệt các khái niệm chuyển đổi sang dạng số (Digitization), áp dụng công nghệ số (Digitalization) mà ta hay gọi chung là số hóa với chuyển đổi số (Digital Transformation) mặc dù chúng là các quá trình khác nhau của chuyển đổi số. Để hiểu rõ hơn các khái niệm, chúng ta hãy thử lấy một ví dụ trong lĩnh vực chúng ta quen thuộc là giáo dục: 

Việc giáo viên đưa bài giảng lên thành slides, video, học sinh trao đổi, làm bài thi qua internet, trao đổi kiến thức qua email là bước chuyển đổi sang dạng số (Digitization). Bước này có thể coi như bước chuẩn bị, thay đổi cách lưu trữ, chuyển tải thông tin, kiến thức.

Việc ứng dụng các công nghệ dựa trên các dữ liệu dạng số này như tự động chấm điểm bài thi, phát hiện sao chép khi làm bài, dùng dữ liệu lớn phân tích khả năng của học sinh, nhu cầu đào tạo của của xã hội, dùng AI, máy tính trả lời tự động một số câu hỏi của học sinh, dùng internet thu/trả học phí, dùng mạng xã hội để marketing chương trình đào tạọ, kết nối học viên… là bước áp dụng công nghệ số (Digitalization) vào các quy trình giáo dục. Ở bước này, giá trị mang lại là sự tiết kiệm chi phí, thời gian, công sức của con người nhờ sử dụng công nghệ.

Việc dựa vào các công nghệ mới này nảy sinh ra các hình thức đào tạo, cách thức quản lý giáo dục mới như học và dạy từ xa, có thể mở ra chương trình đào kết nối giáo viên từ nhiều nơi trên thế giới, tận dụng giáo viên dư thừa nơi này để dạy nơi khác, có thể dùng bài giảng hay thanh toán học phí qua các phương tiện online để mở ra thị trường, khai thác các giá trị mới… chính là chuyển đổi số (Digital Transformation) trong lĩnh vực giáo dục. Bước này tạo ra đột phá về giá trị khi tạo ra cách tiếp cận mới, nguồn thu mới trong giáo dục. 

Do đó có thể nói một cách ngắn gọn, chuyển đổi số là hệ quả, hiệu ứng của quá trình chuyển đổi sang dạng số và tận dụng các công nghệ xử lý số. 

Có rất nhiều lĩnh vực có thể hưởng lợi sớm từ chuyển đổi số như chăm sóc sức khỏe, ngân hàng – tài chính, thương mại điện tử, sản xuất đồ chơi, kinh tế chia sẻ, quản lý khách sạn, dịch vụ taxi – vận tải… Cùng với các  lĩnh vực khác đang tham gia tích cực và tận dụng quá trình chuyển đổi số, chúng cùng tạo ra các hình thức kinh doanh, mang lại giá trị mới cho con người và xã hội. Tuy nhiên chuyển đổi số cũng sẽ đối mặt với các thách thức mới, nên doanh nghiệp, tổ chức vẫn cần liên tục thay đổi để thích ứng và  giải quyết, ví dụ công nghệ số phải đi đôi với bảo mật số. Các ứng dụng số càng nhiều thì nguy cơ bị tấn công mạng (cyber attack) càng cao hơn, dữ liệu dễ bị rò rỉ nhiều hơn. Sự phát triển công nghệ, mô hình kinh doanh mới xuất hiện quá nhanh cũng khiến các chế tài, luật pháp hay các quy định (regulation) của các mô hình kinh doanh truyền thống không theo kịp, cần phải chuyển đổi để thích ứng.

Vài kinh nghiệm thực tiễn khi tham gia quá trình chuyển đổi số

Mặc dù các bước chuyển đổi sang dạng số, áp dụng công nghệ số là quá trình tất yếu của chuyển đổi số, tuy nhiên mỗi ngành công nghiệp, dịch vụ có một đặc thù nhất định nên không dễ định nghĩa một quy tắc thành công hay bước cụ thể chung nào. Qua quan sát và trải nghiệm về quá trình chuyển đổi số ở một số các tổ chức, doanh nghiệp, tôi nhận thấy có một số vấn đề cần chú trọng:   

Thu thập dữ liệu, thiết lập chỉ số và đánh giá

Luôn phải coi dữ liệu là tài sản của doanh nghiệp, tổ chức hay của quốc gia. Có thể thấy các công nghệ mấu chốt trong cuộc CMCN 4.0 đều xoay quanh vấn đề dữ liệu như IoT dùng để thu thập dữ liệu, các công nghệ BigData, AI cần dữ liệu để đào tạo, xử lý, các công cụ Analytics cần dữ liệu để hỗ trợ quyết định…  Thu thập, làm sạch, có biện pháp bảo vệ dữ liệu, có các công nghệ tiên tiến xử lý, phân tích dữ liệu là những khía cạnh không thể thiếu trong doanh nghiệp tham gia vào quá trình chuyển đổi số. Lưu ý chất lượng của dữ liệu là rất quan trọng. Quyết định, gợi ý, dự báo sai hay lãng phí tài nguyên, công nghệ xử lý dữ liệu là hậu quả của dữ liệu kém chất lượng khi thu thập. 

Quá trình chuyển đổi số không chỉ diễn ra bên trong một doanh nghiệp hay trong một ngành dịch vụ nhất định mà có sự tương tác trong chuỗi cung ứng giá trị.

Khi có dữ liệu, quy trình được số hóa, việc “cân, đo, đong, đếm” trở nên dễ dàng hơn. Các tổ chức doanh nghiệp cần xác định ra các các chỉ số liên quan đến nghiệp vụ của doanh nghiệp để so sánh và cải tiến và tập trung tối ưu chỉ số này. Có thể ban đầu chỉ xác định ra một chỉ số (ví dụ giảm thời gian trung bình khách hàng nhận được sản phẩm của công ty), chỉ số này được phân nhỏ ra xem phụ thuộc vào chỉ số thành phần nào, mỗi chỉ số thành phần phụ thuộc vào quy trình nào, sản phẩm nào, có thể cải tiến bằng một giải pháp công nghệ mới nào không, nếu thay đổi giải pháp, chỉ số này tăng giảm ra sao

Bắt đầu bằng những giải pháp “thắng nhanh” (quick win solution)

Đừng trông chờ vào số hoá toàn bộ các bước, quy trình hay có một giải pháp công nghệ tổng thể cho doanh nghiệp, tổ chức. Quá trình chuyển đổi số là quá trình liên tục: thu thập dữ liệu, thay đổi cải tiến dựa trên dữ liệu này, tiếp tục thu thập dữ liệu từ sự thay đổi, tiếp tục chuyển đổi… và có thể áp dụng trong từng bộ phận nhỏ của tổ chức hay doanh nghiệp hay chỉ trong một quy trình dịch vụ. Các công nghệ cũng thay đổi rất nhanh, nên nếu có dữ liệu, có công nghệ xử lý dữ liệu ở quy trình nào để giảm chi phí, tăng hiệu quả kinh doanh hãy áp dụng ngay. |

Nên áp dụng số hóa, chuyển đổi ở từng bước, quy mô nhỏ để tránh bị ảnh hưởng đến các nguồn thu, mô hình kinh doanh chủ đạo của doanh nghiệp, giảm thiệt hại khi mắc sai lầm. Cách tiếp cận số hóa từng bước sẽ tránh bị sa lầy vào các giải pháp công nghệ chưa thành thạo, không “gây sốc” đến quy trình truyền thống của doanh nghiệp. Việc thường xuyên cập nhật, nắm bắt sự ra đời các công nghệ, dịch vụ mới sẽ hỗ trợ doanh nghiệp thực hiện các giải pháp “thắng nhanh” này.  

Tích hợp số, API và Microservice 

Quá trình chuyển đổi số không chỉ diễn ra bên trong một doanh nghiệp hay trong một ngành dịch vụ nhất định mà có sự tương tác trong chuỗi cung ứng giá trị. Ví dụ một doanh nghiệp cần dữ liệu, quy trình xử lý từ một doanh nghiệp khác thay vì trao đổi qua email, hệ thống file, mua ứng dụng có thể dùng các giao diện lập trình ứng dụng (API) để trao đổi dữ liệu và xử lý dữ liệu đấy. Việc tạo ra các API cũng có thể giúp doanh nghiệp nhanh chóng tạo ra hướng dịch vụ, tiếp cận khách hàng mới. Ví dụ doanh nghiệp chỉ có ứng dụng trên Web, dựa vào API có thể nhanh chóng có ngay ứng dụng trên mobile hoặc tích hợp vào ứng dụng của doanh nghiệp khác để chia sẻ thị trường (chẳng hạn doanh nghiệp thương mại điện tử dùng API của một doanh nghiệp cung cấp giải pháp thanh toán, doanh nghiệp vận tải dùng API của doanh nghiệp dịch vụ bản đồ…). 

Với các tổ chức, dịch vụ công, dữ liệu mở, API mở càng trở nên quan trọng trong việc thúc đẩy nền kinh tế số. Ví dụ các nguồn dữ liệu về nghiên cứu khoa học, địa lý, lệ phí dịch vụ công, thông tin thời tiết, giao thông, phân bố dân số… đều là các nguồn dữ liệu rất có ích cho nhiều doanh nghiệp trong việc xây dựng ứng dụng, dịch vụ của mình.

Việc thiết kế, tổ chức các thành phần IT trong doanh nghiệp, tổ chức dưới dạng các microservice (chia một khối phần mềm lớn thành các dịch vụ nhỏ hơn), có thể triển khai trên các máy chủ khác nhau sẽ giúp việc tháo, lắp, tích hợp, thử nghiệm công nghệ mới diễn ra dễ dàng mà không ảnh hưởng đến quy trình hoạt động hằng ngày của doanh nghiệp.

Quy tắc 80/20

Thu thập và số hóa dữ liệu có thể giúp doanh nghiệp giải quyết được 80% vấn đề chỉ với 20% nỗ lực. Trong thực tế có nhiều hiện tượng, dạng dữ liệu được phân bố theo nguyên tắc Pareto (Pareto principle) để có thể áp dụng quy tắc 80/20 này, ví dụ như một số từ chiếm phần lớn nội dung của văn bản, một số người có giá trị tài sản bằng phần lớn còn lại của thế giới, một số ít nguyên nhân gây ra phần lớn lỗi của một hệ thống…

Khi tôi tham gia một nhóm vừa triển khai sản phẩm mới của một doanh nghiệp, những ngày đầu tiên liên tiếp có phản hồi của khách hàng và bộ phận bán hàng vì một số lỗi sản phẩm. Thay vì vội vã tìm cách sửa ngay các lỗi khi nhận được phản hồi mà với nguồn của nhân lực của công ty không thể đáp ứng ngay được, các lỗi đó được thu thập lại, phân nhóm, tìm ra các đặc tính chung của nguyên nhân, rồi dựa vào các dữ liệu hiện tại của công ty để tạo ra một model ước tính lỗi nào sẽ gây ảnh hưởng tới nhiều lượng khách hàng nhất trong tương lai. Sau đó những lỗi dự đoán gây ảnh hưởng nhiều nhất được lựa chọn ưu tiên cho các kỹ sư sửa chữa. Sau khi sửa các lỗi này những ngày tiếp theo các phản hồi xấu và sức ép từ khách hàng giảm hẳn, nhóm kỹ sư có thời gian và ít stress hơn để xử lý nốt các lỗi còn lại. 

Không chỉ áp dụng trong xử lý lỗi, một số tính năng mới của sản phẩm công ty cũng được thay đổi theo nguyên tắc này: Khi phân tích thấy phần lớn khách hàng chỉ dùng một vài tính năng của sản phẩm, chức năng này được ưu tiên tuỳ chỉnh để phù hợp với yêu cầu khách hàng hơn hoặc tạo ra sản phẩm mới nếu tính năng được yêu cầu từ khách hàng còn thiếu. Rõ ràng những cách tiếp cận trên (data driven) sẽ không thể giải quyết được nếu doanh nghiệp không tích cực thu thập thông tin dữ liệu khách hàng, nhân viên, sản phẩm và tìm các nguồn dữ liệu, công nghệ thay thế để có giải pháp hiệu quả cho nó.

Thay đổi nguồn nhân lực để thích nghi với bối cảnh mới

CMCN4 tạo ra sự đe dọa đến công ăn việc làm của nhiều người vì máy móc, công nghệ sẽ làm thay một số công việc. Tuy nhiên nếu doanh nghiệp thích ứng với nó có thế giúp lực lượng lao động của mình chuyển đổi về kỹ năng và tay nghề để tạo thêm giá trị cho doanh nghiệp thay vì cắt giảm nhân lực. Ví dụ trong lĩnh vực IT, khi nói về một kỹ sư quản lý hệ thống (System Administrator) ta có thể nghĩ ngay đến người mua sắm, lắp đặt kết nối máy móc, cài đặt phần mềm, máy in… Với sự phát triển của công nghệ hiện nay, người kỹ sư hệ thống sẽ phải thích nghi với các khái niệm tính toán đám mây (cloud computing), các công cụ giám sát (monitoring) và các phần mềm, ngôn ngữ lập trình giúp tự động triển khai cài đặt hệ thống mới.

Các rào cản về kỹ thuật, ngôn ngữ cũng dần được tháo gỡ, ví dụ công cụ dịch tự động của Google cho phép dịch khá tốt hàng chục loại ngôn ngữ khác nhau. Nhiều công ty cung cấp các API để tích hợp vào hệ thống thông tin theo nhu cầu của doanh nghiệp để giải quyết khá tốt một vài vấn đề nhất định, nên những người đang làm công việc của mình trong công ty sẽ phải mở rộng kiến thức trong lĩnh vực chuyên môn của doanh nghiệp để bù đắp lại phần việc máy tính đã thay thế. Mỗi nhân viên không nên đóng khung mình trong một công việc duy nhất mà nên dành thêm thời gian giao tiếp, tìm hiểu thêm công việc, học thêm kiến thức từ các bộ phận liên quan trong doanh nghiệp (bộ phận phụ thuộc vào mình và bộ phận mình phụ thuộc vào) để có trải nghiệm rõ hơn những giá trị mình tạo ra, giúp tùy chỉnh chính xác hơn chuỗi cung ứng nhân lực của doanh nghiệp.

Do đó, để theo kịp sự ảnh hưởng của CMCN4, mỗi cá nhân, doanh nghiệp, tổ chức và chính phủ phải rất nỗ lực chuyển mình, để “ngấm” được quá trình thay đổi, ứng dụng của công nghệ thì mới hy vọng quá trình Chuyển đổi số đóng góp vào sự phát triển của doanh nghiệp nói riêng và nền kinh tế nói chung.

Lưu Vĩnh Toàn – http://tiasang.com.vn

Nguy cơ robot công nghiệp bị tin tặc tấn công


Các nhà máy trong tương lai sẽ vận hành thông minh hơn nhờ những robot công nghiệp kết nối internet tốc độ cao, nhưng điều này cũng có nghĩa chúng dễ bị tổn thương hơn trước các vụ tấn công của tin tặc, theo tờ The Wall Street Journal.

Trong tương lai, các robot công nghiệp có thể nâng cao sản lượng hàng hóa và thúc đẩy các mức lương cao hơn cho người lao động nhưng có một vấn đề đáng lo ngại: chúng dễ tổn thương trước các vụ tấn công của bọn tin tặc.

Theo các chuyên gia an ninh mạng và các nhà sản xuất robot cũng như các chuyên gia kỹ thuật, các nhà máy, các bệnh viện và các chủ thể sử dụng robot công nghiệp khác đang thiếu sự chuẩn bị phòng vệ đầy đủ để ngăn chặn các cuộc tấn công mạng.

Rủi ro bị tấn công mạng đang gia tăng khi các robot công nghiệp đang có bước phát triển nhanh chóng từ chỗ chỉ là những cỗ máy hoạt động riêng lẻ và ngoại tuyến (offline) thành những cỗ máy kết nối internet và làm việc bên cạnh con người.

“Hiện nay vẫn chưa có khái niệm chống virus cho robot. Vậy nên, mức độ bảo vệ cho robot thường rất lỏng lẻo hoặc không có gì cả”, Yossi Naar, người đồng sáng lập Công ty Cybereason ở Boston (Mỹ), chuyên cung cấp các dịch vụ an ninh mạng cho các thiết bị kết nối, cho biết.

Các nhà sản xuất robot công nghiệp và các khách hàng ngày càng nhận thức rõ các rủi ro an ninh mạng. Các tổ chức như Tổ chức tiêu chuẩn hóa quốc tế (ISO) ở Geneva (Thụy Sĩ) đang nghiên cứu rủi ro an ninh mạng đối với robot công nghiệp.

Roberta Nelson Shea, nhân viên kỹ thuật ở công ty sản xuất robot công nghiệp Universal Robots (Đan Mạch) nói: “Ngành công nghiệp sản xuất robot của chúng tôi đang thức tỉnh trước khái niệm an ninh mạng. Thế giới càng kết nối, các rủi ro an ninh mạng càng cao”.

Mặc dù ngành tự động hóa đã trải qua nhiều thập kỷ phát triển, các công ty vẫn thấy rất ít lý do để nâng cao vấn đề an ninh mạng cho các robot công nghiệp vì cho đến nay, chúng vẫn chưa gặp phải bất cứ vụ tấn công mạng nghiêm trọng nào, chủ yếu bởi vì hầu hết các robot không được kết nối internet.

Song khi mạng không dây 5G sắp được triển khai trong thời gian tới với tốc độ cao gấp 100 lần mạng 4G, các nhà máy sẽ được khuyến khích trang bị các công cụ tự động hóa và kết nối trong những năm tới.

Sự phổ cập của robot công nghiệp đang diễn ra. Doanh số robot công nghiệp toàn cầu tăng gấp đôi trong 5 năm qua, đạt 381.000 đơn vị với giá trị 16,2 tỉ đô la, theo Liên đoàn Robot học quốc tế (IFR). Theo một báo cáo của Viện Toàn cầu McKinsey có trụ sở ở Washington (Mỹ), các công nghệ tự động hóa có thể thay thế 400 triệu việc làm trên thế giới vào năm 2030, tương đương gần 15% lực lượng lao động toàn cầu.

Trong một báo cáo hồi năm 2017, công ty an ninh mạng Trend Micro (Nhật Bản) phát hiện rằng có hơn 83.000 robot công nghiệp trên thế giới kết nối với internet công cộng thông qua các máy chủ và các bộ định tuyến công nghiệp.
Nhiều công ty đang kết nối các robot công nghiệp của họ với mạng internet vì điều này giúp lưu trữ hoạt động lập trình, cài đặt các bản cập nhật phần mềm và gửi dữ liệu theo thời gian thực đến văn phòng điều hành của các công ty.

“Trước đây, những robot này thường hoạt động độc lập và bạn phải có mặt ở nhà máy để thay đổi các lập trình hoạt động của chúng nên rủi ro an ninh mạng khá thấp. Nhưng hiện nay, chúng đang kết nối mọi thứ, buộc chúng ta phải tính đến rủi ro này”, Carole Franklin, Giám đốc phát triển tiêu chuẩn của Hiệp hội Các ngành công nghiệp tự động hóa (Mỹ), cho biết.

Các chuyên gia an ninh mạng nhận định nếu thành công trong các vụ tấn công mạng, bọn tin tặc có thể giành quyền kiểm soát các robot công nghiệp, sửa đổi hoạt động của chúng để tạo ra các lỗi cho sản phẩm. Bọn chúng cũng có thể cài đặt mã độc vào các robot này, buộc các công ty phải trả những khoản tiền lớn để được gỡ mã độc.

Song một số chuyên gia cho rằng khác với các máy tính cá nhân, tính phức tạp của các robot công nghiệp giúp chúng chống lại mối đe dọa tấn công mạng. Một lợi thế giúp robot công nghiệp giảm nguy cơ trở thành các mục tiêu tấn công mạng là mức giá cao ngất ngưỡng của chúng. Các cỗ máy này thường tốn vài chục ngàn đô la và điều này có nghĩa là bọn tin tặc, ít nhất vào thời điểm hiện nay, không thể dễ dàng mua một robot công nghiệp để tháo nó ra và nghiên cứu cách để xâm nhập tấn công mạng.

Song giá cả rốt cục sẽ giảm xuống và các robot công nghiệp sẽ nhanh chóng xuất hiện rộng rãi, do vậy, cần phải củng cố các hệ thống phòng thủ mạng trước thời điểm đó.

Howard Chizeck, Giáo sư chuyên ngành kỹ thuật máy tính và điện ở Đại học Washington (Mỹ) tin rằng robot công nghiệp sẽ kịp thời được trang bị các công cụ bảo vệ an ninh mạng để chống lại các vụ tấn công.

Năm 2015, một nhóm nghiên cứu do Giáo sư Chizeck dẫn đầu đã xâm nhập mạng thành công vào một robot phẫu thuật được điều khiển từ xa để chứng minh nguy cơ các cuộc tấn công mạng như vậy là điều có thể xảy ra.
Ông nói: “Tất cả robot công nghiệp đều dễ bị tổn thương trừ phi các biện pháp bảo vệ được thực hiện để giúp chúng không dễ tổn thương nữa”.

Lê Linh- (TBKTSG Online)

Quote

PenTest Edition: My Favorite Wi-Fi Hacking Tools – 2018


Penetration testing and security analysis is an integral aspect of cybersecurity. The ability to master some of these tools is certainly indispensable. Penetration testers and other cybersecurity professionals use these tools everyday to examine the security posture of their networks. All of these tools are free to download; however, whether you can use them or […]

via PenTest Edition: My Favorite Wi-Fi Hacking Tools – 2018 — The Cybersecurity Man

Quote

[Phần 3] Hiểu cơ bản về blockchain, cryptocurrency (coin & token), whitepaper, ICO và nguồn gốc của chúng một cách trần trụi, đơn giản…


3. ICO[…]Tôi xin kể vắn tắt một câu chuyện không chắc chắn về sự thật như sau:Tôi đã từng được nghe kể đến nhóm KMP gồm ba thành viên sáng lập Kim, May, Pat là một nhóm lập trình viên được cho là thông minh, dựa vào công nghệ blockchain cùng bitcoin ra đời vào năm […]

via [Phần 3] Hiểu cơ bản về blockchain, cryptocurrency (coin & token), whitepaper, ICO và nguồn gốc của chúng một cách trần trụi, đơn giản… — hùngkaka

Quote

[ Phần 2] Hiểu cơ bản về blockchain, cryptocurrency (coin & token), whitepaper, ICO và nguồn gốc của chúng một cách trần trụi, đơn giản…


Tạm dịch là Tiền mã hóa. Cryptocurrency là một danh từ ghép giữa crypto (là một dạng viết rút gọn của cryptography: mã hóa, mật mã, bằng mật mã) và currency (tiền tệ). Vì vậy, chúng ta dịch nghĩa đen là: Tiền tệ mã hóa. Chứ không phải là Tiền mã hóa. Nếu là Tiền […]

via [ Phần 2] Hiểu cơ bản về blockchain, cryptocurrency (coin & token), whitepaper, ICO và nguồn gốc của chúng một cách trần trụi, đơn giản… — hùngkaka

Quote

[ Phần 1] Hiểu cơ bản về blockchain, cryptocurrency (coin & token), whitepaper, ICO và nguồn gốc của chúng một cách trần trụi, đơn giản…


” Rất nhiều dự án thực hiện ICO để lừa đảo tại Việt Nam, đó là lý do tôi viết về lĩnh vực này để chia sẻ cho các bạn…” Bài viết này trước tiên là dành cho các bạn blogger; các bạn nhà báo chưa kịp tìm hiểu về ngành nhưng đã vội viết […]

via [ Phần 1] Hiểu cơ bản về blockchain, cryptocurrency (coin & token), whitepaper, ICO và nguồn gốc của chúng một cách trần trụi, đơn giản… — hùngkaka

Các mối đe dọa mạng lớn nhất cần đề phòng vào năm 2019


Các chuyên gia của The Chertoff Group, một công ty tư vấn bảo mật toàn cầu cho phép khách hàng điều hướng các thay đổi về rủi ro, công nghệ và chính sách bảo mật, đã phát triển một danh sách các mối đe dọa mạng lớn nhất cần phải lưu ý trong năm 2019.

Cryptojacking

Sự bùng nổ gần đây của ransomware là một dấu hiệu của việc các tổ chức tội phạm sẽ tiếp tục sử dụng phần mềm độc hại vì mục tiêu lợi nhuận. Cryptojacking, còn được gọi là “phần mềm độc hại đào tiền ảo “, sử dụng đồng thời hai phương pháp: xâm chiếm truy cập ban đầu và chèn script độc hại vào trang web, để lấy cắp tài nguyên từ các nạn nhân. Cryptojacking là một hình thức kiếm lợi nhuận âm thầm và xảo quyệt, ảnh hưởng đến các điểm cuối, thiết bị di động và máy chủ do nó chạy ở chế độ nền, lặng lẽ lấy cắp tài nguyên của máy tính để tạo ra lợi nhuận lớn hơn và rủi ro ít hơn. Do dễ triển khai, mức độ rủi ro thấp và khả năng sinh lời, báo cáo cho rằng xu hướng này sẽ tiếp tục tăng trong năm 2019.

Phần mềm quản lý và kiểm tra các phiên bản mã nguồn trong quá trình phát triển phần mềm

Trong khi khai thác lỗ hổng phần mềm là một chiến thuật lâu đời được sử dụng trong các cuộc tấn công mạng, các nỗ lực phá hoại quá trình phát triển phần mềm cũng đang gia tăng. Ví dụ, các nhà phát triển, trong một số trường hợp cụ thể, bị nhắm làm mục tiêu tấn công. Phần mềm độc hại cũng đã được phát hiện trong một số thư viện phần mềm nguồn mở nhất định. Khi mã phần mềm trở nên phức tạp và năng động hơn, cơ hội cho sự phá hoạt cũng tăng lên. Vào năm 2019, chúng ta sẽ thấy sự gia tăng liên tục trong việc sử dụng các ứng dụng hoặc dịch vụ của bên thứ ba như là một “kênh liên lạc” trong mạng thông qua sự sai lệch của phần mềm/firmware (và các bản cập nhật của chúng) của bên thứ ba; các kênh như vậy có thể vượt qua các khả năng bảo vệ và phát hiện truyền thống để ngăn chặn các sự cố bên ngoài và lây nhiễm mạng công ty.

Gia tăng các cuộc tấn công vào hệ sinh thái tiền điện tử

Việc sử dụng tiền điện tử cho các giao dịch hàng ngày đang trở nên phổ biến và chúng ta sẽ tiếp tục thấy sự gia tăng trong tấn công chống lại các cá nhân và tổ chức sử dụng tiền điện tử như một lựa chọn tiêu chuẩn trong hoạt động kinh doanh và các giao dịch của họ.

Xu hướng chính sách mạng

Sự tiến triển trong luật pháp riêng tư dữ liệu và bảo mật

Các vi phạm nổi tiếng cùng với việc triển khai GDPR và Đạo luật bảo vệ quyền riêng tư của người tiêu dùng của California sẽ giúp thúc đẩy các nỗ lực hướng tới  luật pháp toàn diện về bảo mật dữ liệu và quyền riêng tư, mặc dù sự phân chia trong Quốc Hội và lợi ích giới hạn từ Nhà Trắng có khả năng sẽ làm chậm tiến độ. Hy vọng rằng các tiểu bang khác sẽ đi theo California nếu Quốc hội không có hành động gì, bất chấp các vụ kiện được đệ trình bởi các công ty công nghệ hay Sở Tư pháp.

Các mối đe dọa mạng và các hoạt động ảnh hưởng

Sợ hãi, không chắc chắn và nghi ngờ tiếp tục gia tăng khi nói đến an ninh mạng của các công nghệ bầu cử và sẽ tiếp tục phát triển khi Mỹ tiến hành cuộc bầu cử tổng thống vào năm 2020.

Nâng cao kỳ vọng tiết lộ sự cố

Quy định bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR) bắt đầu có hiệu lực từ ngày 25 tháng 5 năm 2018. GDPR yêu cầu các tổ chức phải báo cáo vi phạm dữ liệu cá nhân trong vòng 72 giờ sau khi nhận thức được. Tương tự như vậy, Sở Dịch vụ tài chính bang New York (DFS) đã áp đặt yêu cầu rằng các công ty là đối tượng thuộc quyền hạn của DFS phải thông báo cho DFS trong vòng 72 giờ sau khi xác định rằng một trong hai sự kiện sau đã xảy ra: (1) vi phạm dữ liệu cá nhân hoặc ( 2) các sự kiện có “khả năng gây tổn hại nghiêm trọng đến bất kỳ phần trọng yếu nào của (các) hoạt động bình thường” của pháp nhân được quy định. Những khung thời gian này rút ngắn đáng kể thời gian báo cáo, gây áp lực lên các tổ chức, yêu cầu các tổ chức hoàn thiện ứng phó sự cố và khả năng phục hồi để có thể đáp ứng các quy định mới này.

Hơn thế nữa, vào ngày 21 tháng 2, Ủy ban chứng khoán và sàn giao dịch Mỹ (SEC) đã phát hành hướng dẫn cập nhật về các yêu cầu công bố bảo mật an ninh mạng của công ty theo luật chứng khoán liên bang. Hướng dẫn tập trung vào hai chủ đề: (1) tầm quan trọng của việc duy trì các chính sách và quy trình mạng toàn diện, đặc biệt là báo cáo kịp thời các rủi ro và sự cố mạng và (2) việc áp dụng luật cấm giao dịch nội gián cho các rủi ro và sự cố an ninh mạng trọng yếu. Các sự cố gần đây tại Yahoo, Uber và Equifax đã buộc chính phủ và các công ty đại chúng phải xem xét kỹ hơn các quy tắc tiết lộ vi phạm. Câu hỏi được đặt ra ở đây là về tính trọng yếu. – theo định nghĩa, trọng yếu là khi nếu có một “khả năng đáng kể một nhà đầu tư hợp lý sẽ xem xét thông tin là quan trọng trong việc đưa ra quyết định đầu tư hoặc việc tiết lộ thông tin đã bị bỏ qua sẽ được nhà đầu tư hợp lý xem xét thay đổi đáng kể tổng số thông tin có sẵn.” Trong khi đó, Ủy ban quy định rằng “chúng tôi không mong các công ty tiết lộ công khai thông tin kỹ thuật cụ thể về hệ thống an ninh mạng của họ”, các công ty đại chúng được kỳ vọng sẽ “tiết lộ phạm vi vai trò của ban quản trị trong việc giám sát rủi ro của công ty, chẳng hạn như cách ban quản trị quản lý chức năng giám sát của nó và tác động của nó đối với cấu trúc lãnh đạo của hội đồng quản trị.” Một câu hỏi quan trọng là làm thế nào để ban điều hành và ban quản trị nâng cao hiểu biết của họ về rủi ro mạng để họ có thể đưa ra những đánh giá có hiểu biết về tính trọng yếu.

Quy trình xử lý lỗ hổng (Vulnerability Equities Process –VEP)

VEP là một quy trình được sử dụng bởi chính phủ Mỹ trong việc xác định cách xử trí lỗ hổng bảo mật chưa được công bố hoặc chưa được khắc phục trên cơ sở từng trường hợp một, hoặc là phổ biến thông tin về các lỗ hổng cho các đại lý / nhà cung cấp với hy vọng rằng nó sẽ được vá, hoặc sẽ tạm thời giới hạn hiểu biết về lỗ hổng ở chính phủ Hoa Kỳ và các đối tác tiềm năng khác để nó có thể được sử dụng cho mục đích an ninh quốc gia và thực thi pháp luật, chẳng hạn như thu thập tình báo, hoạt động quân sự, và / hoặc phản gián. ” Việc Eternal Blue, một chương trình của Cục an ninh quốc gia Hoa Kỳ khai thác lỗ hổng trong việc triển khai thực hiện giao thức SMB (Server Message Block) của Microsoft, bị một nhóm hacker tận dụng để tạo ra vụ tấn công Wannacry đã kêu gọi hành động nhằm giải quyết hạn chế của VEP, nghiêng về hướng tăng cường tiết lộ.

CISA và sự kháng cự của khu vực tư nhân

Đạo luật chia sẻ thông tin an ninh mạng (Cybersecurity Information Sharing Act – CISA) đã được thông qua để cải thiện an ninh mạng thông qua việc tăng cường chia sẻ thông tin về các mối đe dọa an ninh mạng giữa khu vực công và tư nhân. Mặc dù nó cung cấp bảo vệ trách nhiệm pháp lý cho khu vực tư nhân, nhiều công ty lớn tiếp tục thận trọng trong việc chia sẻ thông tin nhạy cảm, thông tin có khả năng giảm rủi ro với các công ty khác và chính phủ.

Sự mơ hồ về các tuyến phòng thủ

Các tổ chức tiếp tục gặp khó khăn trong việc xác định và thực hiện hiệu quả các tuyến phòng thủ đầu tiên và thứ hai. Mặc dù có một nhận thức chung rằng tuyến phòng thủ đầu tiên bao gồm các hoạt động bảo mật thông tin và tuyến phòng thủ thứ hai chịu trách nhiệm giám sát rủi ro mạng, các chuyên gia bảo mật, các nhà quản lý rủi ro và các cơ quan quản lý không nhất quán về việc thực hiện các khái niệm này. Sự mơ hồ trong lĩnh vực này có tác động quan trọng tới việc giảm thiểu rủi ro.

Xu hướng thị trường mạng

Tấn công giả lập để đo lường hiệu quả

Các tổ chức đang nắm lấy mô hình ATT & CK của MITER (Adversarial Tactics Techniques and Common Knowledge, kỹ thuật chiến thuật đối kháng và khung kiến thức chung có sẵn từ MITER, là một cơ sở tri thức được giám tuyển gồm 11 chiến thuật và hàng trăm kỹ thuật mà những kẻ tấn công có thể tận dụng khi xâm phạm doanh nghiệp) với một loạt sản phẩm và dịch vụ mới cung cấp những mô hình chi tiết, tốt hơn liên quan đến các chiến thuật đe dọa, các kỹ thuật và thủ tục đe dọa (Tactic-Technique-Procedure – TTP). Năm 2019 sẽ chứng kiến sự gia tăng các sản phẩm và dịch vụ có thể mô phỏng các chiến dịch tấn công, đe dọa và đề xuất các chiến lược giảm thiểu rủi ro và/hoặc xác thực tính hợp lệ của con người, quy trình và công nghệ để giải quyết các TTP này.

Các giải pháp nhận dạng di chuyển đến đám mây

Trước đây, các tổ chức thường ưu tiên quản lý tại chỗ các công cụ và dịch vụ danh tính của họ, đặc biệt là Active Directory (một dịch vụ thư mục của Microsoft) và quản lý tài khoản đặc quyền do tính chất nhạy cảm của thông tin cũng như tầm quan trọng chung trong việc bảo vệ thông tin để duy trì hoạt động kinh doanh. Ngày nay, các tổ chức đang dần chuyển sang các giải pháp quản lý danh tính và truy cập (Identity and Access Management – IAM) dựa trên đám mây do khả năng bảo mật ứng dụng dựa trên đám mây thực sự rất đáng khen ngợi. Việc di chuyển IAM sang đám mây tiếp tục quá trình di cư của sản phẩm bảo mật với bắt đầu là các sản phẩm phát hiện và phản hồi điểm cuối và được áp dụng trên toàn bộ các phân đoạn của ngành bảo mật.

Bùng nổ xác thực thông qua thiết bị di động

Việc chấp nhận và sử dụng sinh trắc học, nhận diện khuôn mặt, mã QR, vv thông qua thiết bị di động sẽ tăng lên khi các tổ chức và người dùng tin tưởng rằng các phương pháp này cung cấp bảo mật bổ sung cho các yếu tố “không an toàn” tại các địa điểm như buồng bỏ phiếu, đăng ký giấy phép phương tiện giao thông, v.v. Xu hướng chấp nhận đang gia tăng cũng liên kết với sự phát triển của hội tụ an ninh mạng-vật lý trong việc chứng minh danh tính – ví dụ, cần phải sử dụng nhận dạng khuôn mặt tại cửa an ninh, truy cập WiFi qua thiết bị, v.v.

Khách hàng ngày càng tập trung vào yếu tố quản lý rủi ro hiệu quả như một nhân tố tạo nên giá trị khác biệt

Các tác động của mã độc tống tiền “notPetya” đối với FedEx và vụ vi phạm dữ liệu tới Equifax không chỉ là các khoản chi phí – trong cả hai trường hợp, khách hàng đã rời bỏ công ty và công ty mất doanh thu. Hơn nữa, Equifax đã được chứng minhg là chống lại một số tiêu chuẩn bảo mật thông tin (ví dụ, PCI). Do đó, khách hàng sẽ không chỉ ngày càng tìm kiếm sự đảm bảo rằng các nhà cung cấp dịch vụ có các chương trình an ninh mạng tại chỗ mà còn nhìn vào các biện pháp tuân thủ để chứng minh hiệu quả thực tế.

Theo : http://ictvietnam.vn/

Thùy Linh

Quote

Samsung DeX Linux beta is coming: here’s how it works


It has been more than a year since Samsung first teased the possibility of running a fully-supported full Linux (Ubuntu really) desktop on a Galaxy smartphone. Considering Samsung’s almost Google-like tendencies, it was perhaps considered DOA. At SDC this year, however, the company is making some noise to prove that Linux on DeX is very…

via Samsung DeX Linux beta is coming: here’s how it works — SlashGear