Tại sao giữ cho hệ thống cũ bảo mật hiện tại là rất quan trọng
Các hệ thống cũ chứa thông tin cần thiết cho các công ty bảo hiểm, nhưng chúng cũng có thể gây ra rủi ro bảo mật. Một hệ thống kế thừa càng cũ, nó càng ít có khả năng theo kịp sự phát triển công nghệ mới, khiến nó dễ bị tổn thương trước các mối đe dọa kỹ thuật số. Các hệ thống cũ hơn cũng ít có khả năng có các nhà phát triển hoặc tài liệu ban đầu có sẵn để tham khảo.
Các hệ thống cũ là những hệ thống không còn được hỗ trợ bởi các nhà phát triển của chúng hoặc không thể đáp ứng các tiêu chuẩn tuân thủ hiện tại, Miriam Cihodariu, nhân viên truyền thông và PR tại Heimdal Security cho biết. Chúng có thể là hệ điều hành hoặc nền tảng được thiết kế để sử dụng nội bộ, cũng như phần mềm hướng tới khách hàng.
Các công ty bảo hiểm không phải vứt bỏ hoàn toàn các hệ thống kế thừa của họ. Tuy nhiên, các công ty bảo hiểm cần đảm bảo rằng họ tuân thủ các quy định hiện hành và để bảo vệ khách hàng và công ty khỏi bị phơi nhiễm với bảo mật hệ thống kế thừa chuyên dụng.
Tại sao các công ty bảo hiểm cần giải quyết vấn đề bảo mật hệ thống cũ
Tội phạm mạng là ngành kinh doanh lớn. Hack và các hành vi tương tự gây thiệt hại cho nền kinh tế toàn cầu 3 nghìn tỷ đô la vào năm 2015 và dự kiến sẽ tiêu tốn tới 6 nghìn tỷ đô la mỗi năm vào năm 2021, người sáng lập Cybersecurity Ventures, Steve Morgan nói. Một nghiên cứu của phó giáo sư Michel Cukier của Đại học Maryland ước tính rằng tin tặc tấn công một hệ thống máy tính ở đâu đó trên thế giới trung bình cứ sau 39 giây.
Các hệ thống cũ, với các thiết lập lỗi thời hoặc không tuân thủ, cung cấp quyền truy cập dễ dàng hơn cho những người muốn đánh cắp dữ liệu của công ty bảo hiểm hoặc gây ra sự nghịch ngợm kỹ thuật số.
Tại sao các tổ chức yêu thích hệ thống kế thừa của họ?
Các hệ thống kế thừa đang được sử dụng phổ biến trong các doanh nghiệp và các tổ chức khác trên toàn thế giới. Thông thường, các tổ chức tiếp tục sử dụng phần mềm lỗi thời vì phần mềm đó đóng vai trò hỗ trợ cuộc sống cho các hệ thống hoặc thông tin quan trọng.
Ví dụ, khi Microsoft tuyên bố sẽ không còn hỗ trợ Windows XP vào năm 2014, Bộ Quốc phòng Hoa Kỳ đã liên hệ để tìm kiếm sự hỗ trợ trong khi Lầu Năm Góc chuyển sang Windows 10. Khoảng 30% máy tính trên toàn thế giới vẫn đang chạy Windows XP vào năm 2014, bao gồm một số hệ thống quân sự quan trọng của Mỹ, theo nhà báo công nghệ Jeremy Hsu.
Các tổ chức cũng có thể chọn tiếp tục sử dụng các hệ thống cũ để tối đa hóa giá trị đầu tư của họ vào phần mềm và bảo trì. “Khi đầu tư vào cơ sở hạ tầng, các tổ chức làm như vậy với kỳ vọng nhận được một thời gian nhất định từ sản phẩm. Vòng đời này trở thành một phần của ngân sách khấu hao nhiều năm và kế hoạch kinh doanh mà các nhân viên tài chính không muốn rời khỏi trừ khi thực sự cần thiết”, Jaime Manteiga, nhà nghiên cứu bảo mật thông tin và người sáng lập Venkon.us cho biết.
Cuối cùng, các hệ thống cũ có thể được duy trì vì chúng là những phần mềm được xây dựng tùy chỉnh thực hiện chính xác những gì doanh nghiệp cần, Manteiga nói thêm. Thay thế các hệ thống tùy chỉnh này có thể tốn kém và khó khăn.
Tuy nhiên, thực tế là một hệ thống kế thừa là phổ biến, có giá trị hoặc không thể thiếu, không có nghĩa là nó không có rủi ro. Thông thường, các công ty bảo hiểm thấy mình sử dụng các hệ thống kế thừa gây ra rủi ro bảo mật đáng kể, bởi vì không có lựa chọn nào tốt hơn. Ví dụ: một nền tảng chính có thể không có sự thay thế chức năng hoặc một phần mềm hoạt động nhưng không tuân thủ các luật hoặc quy định bảo mật mới nhất. Trong những trường hợp này, chú ý đến bảo mật hệ thống cũ là điều bắt buộc.
Một cách dễ dàng.
Thật dễ dàng để thấy bảo mật lỗi thời trên một hệ thống cũ có thể gây nguy hiểm cho thông tin được lưu trữ trong hệ thống đó như thế nào. Tuy nhiên, các hệ thống này cũng gây rủi ro cho mọi hệ thống khác trên mạng của công ty bảo hiểm.
Ví dụ, hãy tưởng tượng một công ty bảo hiểm có hệ thống thông tin bao gồm một máy chủ có hệ điều hành mười lăm năm tuổi có chứa lỗ hổng đã biết. Lỗ hổng đó, nếu không được giải quyết, sẽ trở thành một cánh cửa mở cho truy cập trái phép.
“Nếu kẻ tấn công có quyền truy cập vào một máy chưa được vá lỗi này (dễ dàng hơn nhiều so với hack một máy chủ hiện đại, được vá tốt), chúng có thể di chuyển sâu hơn vào mạng”, Lior Neudorfer, phó chủ tịch sản phẩm tại trung tâm dữ liệu và công ty bảo mật đám mây Guardicore giải thích.
Ví dụ này không hoàn toàn là tưởng tượng. Vào tháng 5 năm 2019, Microsoft đã phát hành một bản vá cho Windows XP và Windows Server 2003. Trong khi cả hai hệ điều hành đang tiến gần đến sinh nhật lần thứ 20, chúng vẫn đang được chạy như một phần của hệ thống CNTT của nhiều tổ chức, Daniel Goldberg và Ophir Harpaz tại Guardicore viết.
Tin tặc đã tìm kiếm các nút kém an toàn nhất trên mạng để có quyền truy cập. Trong một ví dụ nổi tiếng, tin tặc đã sử dụng cảm biến bể cá thông minh để truy cập mạng trong sòng bạc ở Las Vegas, cuối cùng vi phạm cơ sở dữ liệu về thông tin về khách hàng quen của sòng bạc – dữ liệu mà sòng bạc nghĩ rằng đã được bảo mật.
“Ai đó đã sử dụng bể cá để xâm nhập vào mạng, và một khi họ ở trong bể cá, họ quét và tìm thấy các lỗ hổng khác và di chuyển ngang đến những nơi khác trong mạng”, Justin Fier, giám đốc phân tích và tình báo mạng tại công ty AI mạng Darktrace cho biết.
Giống như bể cá, các hệ thống kế thừa có thể đại diện cho phần yếu nhất trong mạng lưới của công ty bảo hiểm, khiến toàn bộ cơ sở hạ tầng CNTT dễ bị tổn thương.
Những thách thức về bảo mật dữ liệu trên các hệ thống cũ
Các hệ thống cũ thường nằm ở trung tâm của các thách thức bảo mật dữ liệu. “Các hệ thống CNTT cũ thường là trung tâm của các sự cố vi phạm mạng và vì ngừng hoạt động thường không phải là một lựa chọn, các chuyên gia bảo mật thông tin cần phải quản lý rủi ro”, Bobby Ford, phó chủ tịch và giám đốc bảo mật thông tin toàn cầu tại Unilever cho biết.
Các hệ thống cũ đặt ra một số thách thức cho các nhóm CNTT. Ví dụ, các bản cập nhật phần mềm mới, bao gồm các bản vá bảo mật, khó áp dụng hơn cho các hệ thống cũ hơn. Một hệ thống cũ cũng có thể thiếu tài liệu đầy đủ về các biện pháp kiểm soát bảo mật hiện có của nó. Nếu không có tài liệu này, các nhóm CNTT sẽ gặp khó khăn hơn trong việc thêm tường lửa, đơn vị mã hóa, trình phát hiện phần mềm độc hại và các công cụ bảo mật khác, kỹ sư cao cấp Susan Crozier Cox tại Viện Kỹ thuật Phần mềm Đại học Carnegie Mellon viết.
Ngoài ra, các nhóm CNTT phải đối mặt với áp lực gia tăng khi cố gắng giữ an toàn cho một hệ thống cũ. Nhóm không chỉ cần cập nhật các rủi ro và công cụ bảo mật luôn thay đổi, họ còn phải đảm bảo rằng những rủi ro và công cụ đó được hiểu và điều chỉnh chính xác trong bối cảnh của một hệ thống cũ – cùng một hệ thống mà tài liệu đầy đủ có thể không tồn tại.
Tất cả những thách thức này có thể làm cho các hệ thống kế thừa trở nên khó khăn trong việc duy trì và bảo mật. Đồng thời, chi phí tài chính và bất tiện khi chuyển sang một hệ thống hoàn toàn mới có vẻ khó khăn.
Các phương pháp hay nhất cho các bản cập nhật bảo mật hệ thống cũ
Các hệ thống kế thừa thường đóng một vai trò quan trọng trong hoạt động kinh doanh hàng ngày của công ty bảo hiểm P&C. Thực hiện theo các phương pháp hay nhất để cập nhật và duy trì bảo mật hệ thống cũ có thể giúp các công ty bảo hiểm đảm bảo họ có thể sử dụng dữ liệu hệ thống cũ của mình một cách an toàn.
Làm việc theo nhóm.
Bảo mật hệ thống cũ đòi hỏi sự trợ giúp của các chuyên gia bảo mật CNTT có kinh nghiệm, nhưng dự án không thể chỉ nằm trong tay họ. Thay vào đó, các chuyên gia bảo mật và chuyên gia kinh doanh phải làm việc cùng nhau.
“Vai trò của các chuyên gia bảo mật là đánh giá khả năng và tác động tiềm tàng của một cuộc tấn công mạng, trong khi vai trò của doanh nghiệp [professionals] là xác định hệ thống và quy trình nào là quan trọng nhất”, Ford giải thích.
Mở rộng tầm nhìn bảo mật của bạn.
Nhiều công ty bảo hiểm đang tìm cách xây dựng hệ sinh thái kinh doanh, hợp tác với các công ty khác để đặt công ty bảo hiểm chính xác nơi họ cần để giúp khách hàng ở mọi giai đoạn trong hành trình cuộc sống của họ.
Một số công nghệ hỗ trợ việc tạo ra các hệ sinh thái, chẳng hạn như sử dụng các giao diện xử lý ứng dụng (API) để kết nối phần mềm và hệ thống để cải thiện việc truyền và chia sẻ dữ liệu. Tuy nhiên, khi các hệ thống kế thừa được đưa vào một hệ sinh thái dựa trên API, quá trình này trở nên phức tạp hơn – đặc biệt là khi các hướng dẫn để bảo mật công nghệ kế thừa còn thiếu, Shuvo G. Roy, người đứng đầu các giải pháp ngân hàng và thị trường vốn tại Mphasis viết.
Các hệ thống kế thừa không cần phải ngăn cản một công ty bảo hiểm xây dựng một hệ sinh thái khả thi. Tuy nhiên, các công ty bảo hiểm và các đối tác hệ sinh thái của họ sẽ được hưởng lợi từ việc xem xét các thách thức bảo mật bổ sung phát sinh khi các hệ thống kế thừa bước vào phương trình.
Nắm bắt hiệu quả.
Chi phí nâng cấp lên một nền tảng mới có vẻ quá sức. Tuy nhiên, chúng có thể thấp hơn đáng kể so với chi phí tiếp tục chăm sóc theo một hệ thống kế thừa lỗi thời.
Ví dụ, một báo cáo của GAO ước tính rằng khoảng 80 phần trăm ngân sách CNTT 90 tỷ đô la của chính phủ liên bang được chi cho việc vận hành và bảo trì các hệ thống cũ hơn, bao gồm các hệ thống cũ có thể hơn năm mươi năm tuổi trong một số trường hợp. Theo thời gian, các hệ thống kế thừa tiêu thụ một phần ngân sách của bất kỳ tổ chức nào có thể được chi tiêu tốt hơn cho việc nâng cấp các công nghệ mới. Đối mặt với chi phí nâng cấp, một số công ty chuyển sang các bản vá phần sụn để hiện đại hóa các hệ thống cũ. Mặc dù các bản vá lỗi có thể có hiệu quả trong một số trường hợp, nhưng việc thực hành thường kết thúc tốn kém hơn theo thời gian so với việc nâng cấp, David Dedinsky và Ricardo Duque của Vertiv nói.
“Các hệ thống không được tối ưu hóa, dẫn đến tỷ lệ sử dụng thấp đáng báo động và các máy chủ zombie không hiệu quả”, họ viết. Các bản vá phần sụn có thể giúp hệ thống cũ đi khập khiễng, nhưng không giải quyết các vấn đề cơ bản khiến hệ thống cũ trở thành lựa chọn kém để tiếp tục đầu tư.
Các tùy chọn như hệ thống bao quanh có thể giúp các công ty bảo hiểm cải thiện hiệu quả và tiếp tục phục vụ khách hàng trong khi họ làm việc về các biện pháp bảo mật và nâng cấp, Kumar Utpal, giám đốc bán hàng khu vực cho ngân hàng và bảo hiểm tại In2IT cho biết. Khi bảo mật được ưu tiên, các công ty bảo hiểm có thể tìm cách sử dụng khoản đầu tư hiện có của họ đồng thời loại bỏ dần các công nghệ cập nhật.
Ảnh: everythingpossible/©123RF.com, Konstantin Pelikh/©123RF.com, Evgeniy Shkolenko/©123RF.com
Đọc thêm
Nổi bật
19 Tháng 9 2024
19 Tháng 9 2024
19 Tháng 9 2024