Security incident là gì?

Sự cố bảo mật (security incident) là một sự kiện (event) có thể chỉ ra rằng hệ thống hoặc dữ liệu của tổ chức đã bị xâm phạm (compromise) hoặc các biện pháp được áp dụng để bảo vệ chúng đã thất bại.

Trong CNTT, một sự kiện là bất cứ thứ gì có ý nghĩa đối với phần cứng hoặc phần mềm của hệ thống và sự cố (incident) là một sự kiện làm gián đoạn các hoạt động bình thường. Các sự kiện an ninh (security event) thường được phân biệt theo mức độ nghiêm trọng và rủi ro tiềm ẩn liên quan đối với tổ chức.

Ví dụ: nếu một người dùng bị từ chối quyền truy cập vào dịch vụ (service) được yêu cầu, điều đó có thể được coi là một sự kiện bảo mật vì điều này có thể cho thấy hệ thống bị xâm nhập, nhưng lỗi truy cập (access failure) cũng có thể do nhiều nguyên nhân khác. Hầu hết các sự kiện bảo mật, bất kể điều gì gây ra chúng, là chúng thường không có tác động nghiêm trọng đến tổ chức. Tuy nhiên, nếu số lượng lớn người dùng bị từ chối truy cập, điều đó có thể cho thấy một vấn đề nghiêm trọng hơn, chẳng hạn như cuộc tấn công từ chối dịch vụ phân tán (DDoS), do đó sự kiện đó có thể được phân loại là sự cố bảo mật (security incident) vì nó làm gián đoạn hoạt động.

Một số ví dụ về các sự cố bảo mật (security incident) bao gồm:

• Các thay đổi trái phép đối với phần cứng, firmware hoặc phần mềm hệ thống
• Nhiễm phần mềm độc hại (malware) như ransomware hoặc vi-rút xâm nhập (compromise) mạng, hệ thống hoặc máy trạm (workstation) hoặc thực hiện các hành động trái phép
• Xử lý hoặc lưu trữ dữ liệu trái phép
• Mất hoặc trộm cắp thiết bị máy tính.
• Một cuộc tấn công mạng (cyber attack) bên ngoài nhằm phá vỡ, vô hiệu hóa, phá hủy hoặc kiểm soát một cách ác ý toàn bộ môi trường tính toán (computing environment) hoặc cơ sở hạ tầng (infrastructure) của tổ chức