HOTLINE: +84-283920 8030
Trang chủ
Giới thiệu
Dịch vụ
Giám Sát An Toàn Thông Tin
Kiểm Thử Xâm Nhập
Red Teaming
Điều Tra Và Ứng Cứu Sự Cố
Thông Tin Mối Đe Dọa ANM
Săn Tìm Mối Đe Dọa
Kiểm Tra Cấu Hình Bảo Mật
Giải pháp
Sản phẩm
Tin tức
Blog
Video
Tuyển dụng
Tài liệu
Sự kiện
Liên hệ

Bảo mật API trong Chính phủ: Thách thức và giải pháp cho các cơ quan công

04/06/2025
Trong kỷ nguyên số hóa, các chính phủ trên toàn cầu đang ngày càng phụ thuộc vào API (Giao diện lập trình ứng dụng) để cung cấp dịch vụ số, chia sẻ dữ liệu liên ngành và hiện đại hóa cơ sở hạ tầng. Tuy nhiên, sự tiện lợi này cũng mở ra một cánh cửa lớn cho các mối đe dọa an ninh mạng. Nghiên cứu mới nhất của Akamai mang đến cái nhìn sâu sắc về những thách thức và tác động mà các tổ chức chính phủ đang phải đối mặt.

Mối đe dọa API ngày càng tăng trong khu vực công

Thực tế đáng báo động là trong năm 2024, 86.1% các tổ chức thuộc khu vực công đã báo cáo ít nhất một sự cố bảo mật API, tăng đáng kể so với 76.8% của năm trước. Con số này thậm chí còn vượt qua mức trung bình 84% của tất cả các ngành, cho thấy mức độ nghiêm trọng của vấn đề. Từ việc tuân thủ GDPR đến việc bảo vệ chủ quyền dữ liệu trên các hệ thống đa đám mây, các cơ quan chính phủ đang rất cần khả năng hiển thị, quản trị mạnh mẽ và khả năng phục hồi tốt hơn.

Chi phí thật của các sự cố bảo mật API Chính phủ

Việc các cơ quan chính phủ ngày càng tích hợp API đã tạo ra nhiều lỗ hổng mới. Các cơ chế xác thực kém, cấu hình API sai và nhận thức chưa đủ về các chỉ số rủi ro quan trọng đã khiến khu vực công đặc biệt dễ bị tổn thương trước các cuộc tấn công API. Hậu quả không chỉ dừng lại ở việc đánh cắp dữ liệu mà còn ảnh hưởng nghiêm trọng đến tính liên tục hoạt động, việc tuân thủ quy định và niềm tin của công chúng.

Akamai đã khảo sát hơn 1.200 chuyên gia CNTT và bảo mật và nhận thấy rằng chi phí trung bình để giải quyết một sự cố API trong chính phủ là 717.500 đô la Mỹ (tương đương hơn 18 tỷ VND) — cao hơn 21.3% so với mức trung bình của tất cả các ngành.

Bảng thống kê thiệt hại API theo quốc gia
Bảng thống kê thiệt hại API theo quốc gia

Nhưng chi phí tài chính chỉ là một phần của câu chuyện. Các tác động hàng đầu mà các cơ quan chính phủ phải chịu bao gồm:

  • Gia tăng căng thẳng và/hoặc áp lực cho đội ngũ/phòng ban (28.5%)
  • Làm tổn hại đến danh tiếng của phòng ban với các lãnh đạo cấp cao và/hoặc hội đồng quản trị (27.2%)
  • Tiền phạt từ cơ quan quản lý (25.2%)

Những hệ quả này cho thấy gánh nặng không chỉ là về tài chính mà còn ảnh hưởng sâu sắc đến con người và danh tiếng.

Lỗ hổng từ việc thiếu hiển thị và công cụ lỗi thời

Khi phân tích nguyên nhân chính của các sự cố bảo mật API, hai yếu tố nổi bật là:

  • Thiếu kiểm soát xác thực API (25.2%)
  • Các công cụ truyền thống được sử dụng để bảo mật API (25.2%)

Mặc dù có nhiều bằng chứng về hậu quả của các mối đe dọa API, nhưng bảo mật API vẫn chưa phải là ưu tiên hàng đầu cho nhiều nhóm chính phủ, chỉ xếp thứ sáu trong số các ưu tiên an ninh mạng trong năm tới (17.9%).

Một vấn đề lớn khác là khả năng hiển thị. Mặc dù 66.9% các cơ quan có danh sách đầy đủ các API, nhưng chỉ 18.5% biết API nào trả về dữ liệu nhạy cảm (ví dụ: số ID quốc gia, dữ liệu sinh trắc học).

Hãy thử hình dung một API trái phép được triển khai bởi một bộ phận hoặc công ty con mà không có sự giám sát đầy đủ. API này có thể được thiết kế để truy cập dữ liệu công dân mà không có kiểm soát truy cập thích hợp, hoặc có thể là một phiên bản cũ không được gỡ bỏ, trở thành điểm yếu bị khai thác. Đây không phải là giả thuyết – nhiều cơ quan chính phủ Hoa Kỳ đang đối mặt với những thách thức nghiêm trọng về an ninh mạng, với 75% từng trải qua vi phạm dữ liệu.

Bảo mật API toàn diện: Giải pháp an toàn từ Akamai

Các cuộc tấn công API vào chính phủ đang gia tăng về phạm vi, quy mô, mức độ tinh vi và chi phí. Điều này bao gồm cả các cuộc tấn công bot được hỗ trợ bởi AI tạo sinh (GenAI), vốn có khả năng thích nghi nhanh chóng để vượt qua các công cụ bảo mật API truyền thống.

Để bảo vệ doanh thu, dữ liệu nhạy cảm và giảm bớt gánh nặng cho các đội ngũ bảo mật, việc thực hiện các biện pháp chủ động để bảo mật API là vô cùng cần thiết. Điều này bao gồm việc nâng cao kiến thức của đội ngũ về các mối đe dọa API nâng cao và các khả năng phòng thủ cần thiết.

Akamai hiểu rõ những thách thức đặc thù của ngành chính phủ và cung cấp các giải pháp mạnh mẽ được thiết kế để giúp các tổ chức giảm thiểu rủi ro:

  • Akamai API Security: Giúp khám phá các API, hiểu rõ tình trạng rủi ro, phân tích hành vi và ngăn chặn các mối đe dọa tiềm ẩn.
  • Akamai Account Protector: Hỗ trợ ngăn chặn lạm dụng tài khoản bằng cách giám sát hành vi người dùng trong thời gian thực và thích ứng với các hồ sơ rủi ro thay đổi.

Đừng để những lỗ hổng API trở thành điểm yếu nghiêm trọng cho các dịch vụ công và dữ liệu công dân. Hãy chủ động trang bị những giải pháp bảo mật API phù hợp để bảo vệ sự ổn định và niềm tin của cộng đồng.

Nguồn: 2024 API Security Impact Study: Government

VietSunshine là nhà phân phối của Akamai tại Việt Nam, liên hệ với chúng tôi để được tư vấn và hỗ trợ tốt nhất.
API Security Akamai
Khuyến nghị phòng chống ransomware: Framework, Kiến Trúc, Giải Pháp và Dịch Vụ

Có thể bạn quan tâm