Theo Thông tư 09 Ngân hàng Nhà nước năm 2020 và các văn bản liên quan, các ngân hàng thương mại phải có khả năng giám sát an ninh mạng liên tục với khả năng phát hiện và phản ứng sự cố theo mức độ nghiêm trọng. Trên thực tế, các ngân hàng triển khai yêu cầu này theo hai cách chính: xây dựng trung tâm giám sát an ninh mạng nội bộ hoạt động liên tục 24/7, hoặc thuê ngoài dịch vụ giám sát từ nhà cung cấp chuyên biệt. Bài viết này phân tích cơ cấu chi phí của từng lựa chọn.
Trung tâm giám sát an ninh mạng gồm những gì
Một trung tâm giám sát an ninh mạng đầy đủ có bốn thành phần chính.
Thứ nhất là nền tảng công nghệ, bao gồm hệ thống quản lý sự kiện an ninh để tập hợp và tương quan nhật ký từ toàn bộ hạ tầng, hệ thống điều phối an ninh và tự động hóa phản ứng để xử lý sự cố theo kịch bản, công cụ phân tích hành vi người dùng và thực thể để phát hiện bất thường, cơ sở dữ liệu tình báo mối đe dọa để đối chiếu với dấu hiệu tấn công đã biết.
Thứ hai là đội ngũ nhân sự có ba cấp độ. Nhân viên cấp một giám sát cảnh báo và xử lý sự cố thường gặp theo kịch bản định trước. Nhân viên cấp hai xử lý các sự cố phức tạp hơn, điều tra nguyên nhân gốc, điều chỉnh các quy tắc phát hiện. Nhân viên cấp ba là chuyên gia xử lý các sự cố nghiêm trọng, săn tìm mối đe dọa chủ động, điều tra pháp y số.
Thứ ba là quy trình và kịch bản, bao gồm kịch bản phản ứng cho từng loại sự cố, quy trình leo thang và thông báo, quy trình điều tra pháp y số, quy trình báo cáo tuân thủ cho Ngân hàng Nhà nước và các cơ quan quản lý.
Thứ tư là hạ tầng vật lý, bao gồm phòng vận hành có kiểm soát ra vào, màn hình giám sát tập trung, kết nối dự phòng, thiết bị liên lạc nội bộ. Một số ngân hàng kết hợp trung tâm giám sát an ninh mạng với trung tâm điều hành mạng trong cùng phòng.
Chi phí xây dựng trung tâm giám sát nội bộ
Dưới đây là ước tính cho ngân hàng thương mại quy mô trung bình có khoảng 1.000 đến 2.000 thiết bị mạng và điểm cuối cần giám sát. Con số chỉ mang tính tham khảo, chi phí thực tế phụ thuộc vào nhiều yếu tố cụ thể.
Đầu tư ban đầu
Nền tảng quản lý sự kiện an ninh và các công cụ phân tích thường đòi hỏi chi phí cấp phép lớn cho năm đầu tiên. Với quy mô nêu trên, chi phí cấp phép năm đầu thường nằm trong khoảng vài tỷ đồng đến trên chục tỷ, tùy chọn hãng nào và mức độ tính năng.
Phần cứng máy chủ và lưu trữ cho việc chạy các nền tảng phân tích, lưu trữ nhật ký dài hạn thường cần đầu tư vài tỷ đồng cho quy mô trung bình. Nhật ký an ninh thường cần lưu trữ ít nhất một năm theo quy định, trong đó vài tháng đầu cần truy cập nhanh.
Hạ tầng phòng vận hành với màn hình giám sát, thiết bị liên lạc, cải tạo phòng ốc thường cần thêm vài trăm triệu đồng.
Chi phí triển khai ban đầu, tích hợp nguồn nhật ký, xây dựng quy tắc phát hiện, viết kịch bản phản ứng thường cần vài tỷ đồng cho dự án quy mô này, thực hiện trong sáu đến chín tháng.
Chi phí vận hành hàng năm
Đội nhân sự 24/7 cần ít nhất sáu người cho việc duy trì ba ca làm việc (hai người mỗi ca). Với vai trò có chuyên môn cao, mức lương trung bình tại Việt Nam cho một chuyên gia an ninh mạng có chứng chỉ quốc tế thường ở mức từ 30 đến trên 60 triệu đồng mỗi tháng tùy kinh nghiệm. Tổng chi phí nhân sự một năm cho đội sáu người có thể ở mức vài tỷ đến trên chục tỷ đồng bao gồm lương, bảo hiểm, đào tạo, chứng chỉ.
Phí bảo trì và cập nhật cấp phép các nền tảng công nghệ thường bằng 18 đến 25 phần trăm giá cấp phép ban đầu, tính hàng năm.
Các dịch vụ bổ sung như tình báo mối đe dọa từ các nhà cung cấp chuyên biệt, kiểm thử xâm nhập định kỳ, đánh giá bảo mật độc lập thường thêm vài trăm triệu đến vài tỷ đồng mỗi năm.
Chi phí thuê ngoài dịch vụ
Mô hình thuê ngoài thường có hai dạng. Dạng thứ nhất là thuê toàn bộ dịch vụ giám sát an ninh mạng như một dịch vụ trọn gói, nhà cung cấp chịu trách nhiệm về công nghệ, nhân sự, quy trình. Dạng thứ hai là mô hình lai, ngân hàng giữ đội nội bộ nhỏ cho các việc quan trọng, thuê ngoài giám sát 24/7 và xử lý sự cố thường gặp.
Chi phí thuê ngoài trọn gói cho quy mô 1.000 đến 2.000 thiết bị thường nằm trong khoảng vài tỷ đến trên chục tỷ đồng mỗi năm, tùy nhà cung cấp và mức độ dịch vụ. Không cần đầu tư vốn ban đầu lớn, chi phí biến đổi theo số lượng thiết bị.
So sánh tổng chi phí sở hữu ba năm, xây dựng nội bộ thường cao hơn thuê ngoài từ 30 đến 60 phần trăm, chủ yếu do chi phí đầu tư ban đầu lớn và chi phí nhân sự chuyên gia an ninh mạng liên tục tăng tại thị trường Việt Nam.
Các yếu tố vô hình cần cân nhắc
Ngoài chi phí trực tiếp, quyết định giữa tự xây dựng và thuê ngoài còn có các yếu tố quan trọng khác.
Tốc độ triển khai. Thuê ngoài thường có thể bắt đầu giám sát trong vài tuần đến vài tháng. Xây dựng nội bộ thường mất sáu đến mười hai tháng để đạt mức hoạt động đầy đủ.
Chất lượng phát hiện. Nhà cung cấp chuyên biệt thường có dữ liệu tình báo mối đe dọa từ nhiều khách hàng, giúp phát hiện sớm các tấn công mới. Đội nội bộ chỉ thấy dữ liệu của chính mình, có thể chậm hơn trong việc nhận diện các kiểu tấn công mới.
Kiến thức về môi trường cụ thể. Đội nội bộ hiểu sâu về hệ thống, nghiệp vụ, con người của ngân hàng. Đội thuê ngoài cần thời gian để học, có thể tạo ra nhiều cảnh báo giả trong giai đoạn đầu.
Sự linh hoạt khi thay đổi nhà cung cấp. Xây dựng nội bộ có lợi thế về độc lập, không lo bị khóa với một nhà cung cấp duy nhất. Thuê ngoài có thể gặp chi phí chuyển đổi cao nếu cần đổi nhà cung cấp.
Rủi ro pháp lý. Thông tư 09 quy định rõ trách nhiệm của tổ chức tín dụng trong việc bảo đảm an toàn hệ thống thông tin. Dù thuê ngoài, ngân hàng vẫn chịu trách nhiệm cuối cùng. Cần hợp đồng với điều khoản rõ ràng về trách nhiệm, phạm vi, chế tài.
Khuyến nghị theo quy mô
Với ngân hàng nhỏ có dưới 500 thiết bị, thuê ngoài trọn gói thường là lựa chọn kinh tế nhất. Chi phí tự xây dựng không được bù đắp bởi khối lượng công việc.
Với ngân hàng quy mô trung bình 500 đến 2.000 thiết bị, mô hình lai (thuê ngoài giám sát cấp một và hai, giữ đội nội bộ cấp ba) thường cân bằng được chi phí và chất lượng. Một số ngân hàng chọn tự xây dựng toàn bộ nếu có chiến lược dài hạn về an ninh mạng và sẵn sàng đầu tư đội chuyên môn.
Với ngân hàng lớn trên 2.000 thiết bị và có hệ thống phức tạp, tự xây dựng thường trở nên khả thi về mặt kinh tế. Tuy nhiên vẫn có ngân hàng lớn chọn mô hình lai để tận dụng lợi thế của nhà cung cấp chuyên biệt cho một số dịch vụ cụ thể.
Lời kết
Không có câu trả lời chung cho mọi ngân hàng. Quyết định phụ thuộc vào quy mô, độ trưởng thành về an ninh, chiến lược dài hạn, và khả năng ngân sách. Điều quan trọng nhất là hiểu đầy đủ cơ cấu chi phí của cả hai lựa chọn, đừng chỉ so sánh giá trị đầu tư ban đầu.