Australia: Lỗ hổng kiểm soát Microsoft 365

M365 được áp dụng rộng rãi trong các cơ quan, tổ chức tại Australia. Ảnh: TL

Rủi ro về bảo mật do quản trị yếu kém

Công tác quản lý hiệu quả M365 có vai trò quan trọng trong bảo vệ dữ liệu nhạy cảm của Chính phủ và duy trì việc cung cấp các dịch vụ công thiết yếu trong bối cảnh các mối đe dọa an ninh mạng ngày càng gia tăng.

Tuy nhiên, tại 7 cơ quan được kiểm toán, công tác này còn nhiều hạn chế, làm gia tăng nguy cơ xảy ra sự cố mạng, vi phạm dữ liệu và gián đoạn hoạt động. Dù các tổ chức đã ban hành chính sách và quy trình giám sát rủi ro an ninh mạng, song các nội dung này chưa bao quát các thiết lập bảo mật M365. Đây là khoảng trống đáng chú ý trong quản trị, khiến việc kiểm soát rủi ro chưa toàn diện.

Kiểm toán viên chỉ ra một loạt thiếu sót phổ biến tại 7 cơ quan được kiểm toán như: Chưa xác định yêu cầu bảo mật tối thiểu; thiết lập bảo mật không được sao lưu; cho phép sử dụng thiết bị cá nhân nhưng thiếu cơ chế quản lý; chưa rà soát đầy đủ người dùng và quyền truy cập; an ninh đám mây chưa được bảo đảm...

Quản lý danh tính và quyền truy cập là một trong những điểm yếu nổi bật. Việc sử dụng các phương thức xác thực không an toàn khiến các tổ chức dễ bị truy cập trái phép. Báo cáo cho biết, các tài khoản bị xâm phạm chiếm 39% số vụ việc an ninh mạng được báo cáo nhắm vào Chính phủ Australia trong năm 2024-2025. Điều này cho thấy mức độ rủi ro lớn từ các lỗ hổng kiểm soát truy cập.

Đáng chú ý, nhiều hạn chế có thể khắc phục với chi phí không lớn - như tăng cường xác thực đa yếu tố (MFA), nâng cấp các phương thức xác thực cũ hay cải thiện quản lý danh tính đặc quyền. Tuy nhiên, việc triển khai chưa đầy đủ cho thấy công tác bảo mật chưa được quan tâm đúng mức.

Công tác bảo vệ thông tin cũng tồn tại nhiều bất cập. Các đơn vị cho phép chia sẻ dữ liệu ra bên ngoài rộng rãi, thiếu kiểm soát, làm suy yếu khả năng giám sát và thực thi chính sách; trong khi các biện pháp ngăn ngừa mất dữ liệu chưa được triển khai rộng rãi, kiểm soát chia sẻ kém hiệu quả, lưu trữ dữ liệu chưa khoa học...

Bên cạnh đó, các lỗ hổng trong quản lý và giám sát an ninh tiếp tục làm gia tăng rủi ro. Dù các tổ chức đều sử dụng hệ thống quản lý thông tin để giám sát an ninh M365, nhưng việc giám sát chưa đầy đủ đã hạn chế khả năng phản ứng với sự cố. Các vấn đề nổi lên gồm: Chưa giám sát đầy đủ các vai trò đặc quyền; chưa kiểm soát hiệu quả các tính năng quản lý an ninh; quyền truy cập của nhà cung cấp chưa được kiểm soát chặt; nhật ký không được lưu giữ trong thời gian phù hợp.

Ngoài ra, các biện pháp kiểm soát hiện có mới chỉ phát huy hiệu quả một phần. Các tổ chức đã triển khai quét và chặn tệp độc hại, nhưng vẫn còn những thiếu sót như: Chưa kiểm soát chặt người dùng có rủi ro cao; cài đặt bảo mật còn lỏng lẻo; các biện pháp bảo vệ email chưa hoàn toàn hiệu quả.

Hoàn thiện kiểm soát, ứng phó với các mối đe dọa mới

Báo cáo kiểm toán cho biết, hầu hết các tổ chức đã thiết lập chính sách an ninh mạng và triển khai các cài đặt bảo mật cơ bản cho M365. Tuy nhiên, các thiết lập này chỉ cung cấp mức độ bảo vệ hạn chế và hiếm khi phù hợp với các thực tiễn tốt nhất. Kết quả quản lý và ứng dụng M365 còn khiêm tốn, đòi hỏi phải tiếp tục hoàn thiện để giảm thiểu rủi ro.

“Chúng tôi đã xác định những điểm yếu đáng kể tại 4/5 danh mục bảo mật gồm: Quản trị; quản lý danh tính và quyền truy cập; bảo vệ thông tin; quản lý và khả năng hiển thị bảo mật. Mặc dù các tổ chức đã triển khai các biện pháp kiểm soát trong từng danh mục, các thiếu sót vẫn được ghi nhận ở tất cả các tổ chức, khiến các biện pháp kiểm soát chỉ có hiệu quả một phần” - Tổng Kiểm toán bang cho biết.

Để khắc phục, các tổ chức được khuyến nghị phải áp dụng các tiêu chuẩn thực hành tốt nhất trong xây dựng và triển khai yêu cầu bảo mật tối thiểu đối với M365, bảo đảm cân bằng giữa rủi ro và nhu cầu hoạt động. Đồng thời, cần bảo đảm các dịch vụ M365 đáp ứng yêu cầu của tổ chức và tiêu chuẩn bảo mật, tăng cường giám sát để phát hiện sai lệch, thường xuyên rà soát các biện pháp kiểm soát bảo mật đám mây.

Trong quản lý danh tính và quyền truy cập, cần triển khai xác thực đa yếu tố chống lừa đảo cho người dùng có đặc quyền; chuyển đổi sang các phương thức xác thực mạnh và hiện đại hơn; sử dụng hệ thống quản lý quyền truy cập đặc quyền để kiểm soát truy cập kịp thời. Đối với bảo vệ thông tin, cần triển khai đầy đủ các biện pháp ngăn ngừa mất dữ liệu và kiểm soát chặt việc chia sẻ dữ liệu nhằm hạn chế nguy cơ rò rỉ.

Về quản lý an ninh mạng, cần liên tục theo dõi các sự kiện an ninh có rủi ro cao; lưu giữ nhật ký trong thời gian phù hợp; kiểm soát chặt quyền truy cập của khách và các bên liên quan. Ngoài ra, các tổ chức cần tăng cường khả năng phòng vệ bằng cách thực thi các cài đặt bảo mật sẵn có của M365; triển khai các biện pháp kiểm soát bảo vệ chống mạo danh; kiểm tra tính xác thực của email; hạn chế người dùng cài đặt các ứng dụng chưa được phê duyệt.

Tổng Kiểm toán bang nhận định, sự phát triển nhanh chóng của công nghệ đang đặt ra nhiều thách thức mới đối với các tổ chức. Do đó, việc duy trì cảnh giác, liên tục củng cố an ninh và tuân thủ các thực tiễn tốt nhất là yêu cầu cần thiết để ứng phó hiệu quả với các mối đe dọa mới nổi. Đồng thời, các tổ chức công cần xem xét và triển khai đầy đủ các khuyến nghị của Báo cáo nhằm nâng cao hiệu quả quản lý và bảo mật hệ thống./.

(Theo audit.wa.gov.au)

THIÊN LAM