An toàn thông tin: CIA & Risk Management

🎯 Mục tiêu bài học

Bảo mật không chỉ là đi hack dạo. Nó là một môn khoa học về quản lý rủi ro.

1. Tam giác bảo mật CIA (The Holy Trinity)

Mọi lỗ hổng trên đời đều vi phạm 1 trong 3 nguyên tắc này.

a. Confidentiality (Tính Bí mật)

• Định nghĩa: Chỉ người có quyền mới được xem dữ liệu.
• Vi phạm:
  • Data Breach: Hacker dump database khách hàng.
  • Sniffing: Nghe lén wifi quán cafe lấy password.
  • Social Engineering: Gọi điện lừa nhân viên đọc mã OTP.
• Biện pháp: Encryption (Mã hóa), Access Control (Phân quyền), 2FA.

b. Integrity (Tính Toàn vẹn)

• Định nghĩa: Dữ liệu không bị chỉnh sửa trái phép.
• Vi phạm:
  • Hacker sửa file log để xóa dấu vết.
  • Man-in-the-Middle sửa nội dung gói tin chuyển tiền (Sửa stk người nhận).
• Biện pháp: Hashing (Băm), Digital Signature (Chữ ký số).

c. Availability (Tính Sẵn sàng)

• Định nghĩa: Hệ thống phải hoạt động khi người dùng cần.
• Vi phạm:
  • DDOS Attack: Làm sập server.
  • Ransomware: Mã hóa ổ cứng đòi tiền chuộc -> Không truy cập được dữ liệu.
  • Cắt cáp quang biển.
• Biện pháp: Load Balancing, Backup, Redundancy (Dự phòng), Disaster Recovery Plan.

🔥 Case Study: Những vụ hack để đời

• Sony Pictures (2014) - Mất Confidentiality: Hacker Triều Tiên (đồn đoán) tung hê toàn bộ email, kịch bản phim chưa chiếu, bảng lương nhân viên. -> Thiệt hại uy tín khủng khiếp.
• WannaCry (2017) - Mất Availability: Mã độc tống tiền lây lan qua lỗ hổng Windows (EternalBlue). Bệnh viện ở Anh tê liệt, không mổ được. -> Thiệt hại nhân mạng.

2. Quản lý rủi ro (Risk Management)

Không thể bảo mật 100%. Ta chỉ có thể giảm thiểu rủi ro xuống mức chấp nhận được.

• Asset (Tài sản): Database, Source code, Server.
• Threat (Mối đe dọa): Hacker, Động đất, Nhân viên bất mãn.
• Vulnerability (Lỗ hổng): Bug trong code, Pass yếu, Cửa phòng server không khóa.

Định lượng rủi ro (Quantitative Risk Analysis)

• SLE (Single Loss Expectancy): Mất bao nhiêu tiền cho 1 vụ? (Vd: Mất laptop = 20tr).
• ARO (Annual Rate of Occurrence): Bị mấy lần 1 năm? (Vd: 0.1 lần/năm - tức là 10 năm bị 1 lần).
• ALE (Annual Loss Expectancy): Thiệt hại trung bình năm = SLE × ARO.

👉 Nếu ALE = 2tr/năm, mà chi phí mua phần mềm bảo mật là 10tr/năm -> Chấp nhận rủi ro (Risk Acceptance) còn rẻ hơn!

3. Các chiến lược xử lý rủi ro

Chiến lược	Hành động	Ví dụ
Risk Avoidance	Né luôn, không làm nữa.	Sợ bị hack thẻ tín dụng -> Không chấp nhận thanh toán thẻ, chỉ nhận tiền mặt.
Risk Mitigation	Giảm thiểu hậu quả/khả năng.	Cài Antivirus, Vá lỗi Windows, Dùng Firewall.
Risk Transfer	Chuyển rủi ro cho thằng khác.	Mua bảo hiểm cháy nổ, Thuê AWS (để AWS lo phần cứng).
Risk Acceptance	Kệ nó, sai đâu sửa đó.	Server dev chết thì dựng lại, không cần backup tốn tiền.

4. NIST Privacy Framework

Năm trụ cột bảo vệ quyền riêng tư người dùng:

• Identify: Nhận diện dữ liệu nhạy cảm.
• Govern: Đưa ra chính sách bảo mật.
• Control: Áp dụng các biện pháp kỹ thuật.
• Communicate: Minh bạch với người dùng.
• Protect: Ngăn chặn rò rỉ.