Có thể nói năm 2014 là một năm đáng nhớ trong lĩnh vực bảo mật thông tin. Tin tức của các vụ rò rỉ liên tiếp xuất hiện trên mặt báo và các nạn nhân của chúng rất đa dạng, từ nhà bán lẻ, ngân hàng, hệ thống chơi game đến cả chính phủ. Giám đốc điều hành của Diễn đàn Bảo mật Thông tin ISF (Information Security Forum), một tổ chức phi thương mại và cũng là hiệp hội của các đơn vị trong ngành công nghệ thông tin nhận định rằng quy mô, mức độ nghiêm trọng và sự phức tạp của các vụ tấn công ngày càng gia tăng. Ông cho biết, các chuyên gia hàng đầu của ISF đã đưa ra 5 xu hướng sau.
1. Tội phạm mạng
Mạng Internet hiện nay là một khu vực vô cùng trù phú cho giới tội phạm, khủng bố hay hành động cực đoan khai thác để kiếm lợi, gây chú ý hoặc tạo khủng hoảng một cách dễ dàng hơn nhiều so với trước kia. Các cuộc tấn công trên mạng giờ đây có thể đánh sập những công ty lớn hay thậm chí hạ bệ một chính phủ. Giới tội phạm mạng hiện nay có kỹ năng chuyên nghiệp và am hiểu các phương tiện kỹ thuật hiện đại để hỗ trợ. Durbin ví rằng chúng dùng những công nghệ của tương lai để đối phó với những giải pháp hiện tại mà nhà chức trách đang áp dụng.
Ông nói: “Năm 2014 là năm mà giới chuyên gia chúng tôi chứng kiến tội phạm mạng có năng lực cao và mức độ hợp tác làm bất ngờ cả những tổ chức lớn”. Trong năm 2015, các tổ chức nên chuẩn bị trước tâm lý đón nhận những phương thức tấn công hết sức bất ngờ và gây tác hại đáng kể để có thể giảm thiệt hại xuống mức thấp nhất. Cùng với sự gia tăng của những cá nhân hay tổ chức tiến hành tấn công mạng để gây tiếng vang thì giới tội phạm mạng càng có thêm nhiều công cụ hỗ trợ. Các doanh nghiệp và tổ chức cần xác định rõ hoạt động chủ yếu của mình phải được bảo mật dựa vào những yếu tố nào để củng cố và liên tục cảnh giác trước những cuộc tấn công bất thình lình.
2. Bảo mật thông tin cá nhân và quy định
Hầu hết các nước đều đã công bố hoặc đang tiến hành soạn thảo các quy định liên quan tới việc bảo vệ và sử dụng thông tin cá nhân (Personally Identifiable Information - PII) với những hình phạt nghiêm khắc dành cho các đơn vị quản lý không có những biện pháp xác đáng bảo vệ các thông tin này. Điều này khiến cho các công ty phải coi bảo mật thông tin cá nhân như là nghĩa vụ phải tuân thủ và cần được coi như một nguy cơ rủi ro nghiêm trọng không kém các nguy cơ khác trong hoạt động của công ty. Nếu làm tốt, nguy cơ bị xử phạt và mất uy tín với khách hàng do làm lộ thông tin cá nhân sẽ giảm đi nhiều. Có thể thấy rằng việc gia tăng các hành động đối phó với nguy cơ này sẽ tăng mạnh trong năm 2015 và ngày càng trở nên phức tạp hơn.
Durbin cho biết xu hướng áp dụng ngày càng nhiều các quy định có mức phạt nghiêm khắc liên quan tới việc thu thập, lưu trữ và sử dụng thông tin đang trở nên phổ biến trên phạm vi Khối Cộng đồng chung châu Âu. Ông này cho rằng thậm chí cần được đẩy lên mức độ cao hơn nữa và cần có sự tham gia của các thành viên lãnh đạo cấp cao trong tổ chức. Durbin cũng nói thêm các doanh nghiệp nên tham khảo các quy chế của EU đối với việc bảo mật thông tin cá nhân và coi chúng như một thước đo quy chuẩn để áp dụng. Rõ ràng là khi giới lập pháp vào cuộc và các quy định mà họ đặt ra sẽ là một thanh gươm treo lơ lửng trên đầu các doanh nghiệp. Muốn tránh khỏi phiền phức các doanh nghiệp phải cẩn trọng và nên thành lập ngay bộ phận pháp lý hay tư vấn pháp luật liên quan tới vấn đề này. Nếu không họ sẽ rất bị động và có khả năng sẽ phải tốn kém để giải quyết các rắc rối pháp lý có thể xảy ra.
3. Nguy cơ từ các đối tác cung ứng bên ngoài
Chuỗi cung ứng hiện nay là một phần không thể thiếu trong hoạt động kinh doanh toàn cầu của các doanh nghiệp đa quốc gia, thậm chí có thể coi nó như là xương sống của nền kinh tế thế giới hiện nay. Tuy nhiên, Durbin cho biết những người phụ trách bảo mật thông tin của các công ty hiện nay đang ngày càng quan ngại tới những nguy cơ tiềm ẩn từ việc có quá nhiều nhân tố mở có thể ảnh hưởng tới an ninh thông tin của doanh nghiệp. Các đối tác cung cấp thường được chia sẻ những thông tin kinh doanh có giá trị và nhạy cảm. Và tất nhiên, một khi thông tin đã được chia sẻ thì doanh nghiệp coi như đánh mất quyền kiểm soát trực tiếp với các thông tin này. Hệ quả của nó là khả năng bảo mật thông tin một cách toàn vẹn có kiểm soát sẽ bị đe dọa bởi nguy cơ từ đối tác.
Ngay cả những kết nối tưởng chừng vô hại cũng có thể trở thành lỗ hổng để tin tặc đột phá. Điển hình là trường hợp xảy ra đầu năm 2014, nhà bán lẻ trực tuyến Target bị tấn công thông qua một ứng dụng web mà đơn vị cung cấp điều hòa không khí trung tâm dùng để đệ trình và xét duyệt hóa đơn cung cấp dịch vụ. Durbin chia sẻ quan điểm: “Trong những năm tới, các đối tác cung cấp bên thứ 3 sẽ tiếp tục phải chịu áp lực trở thành mục tiêu dòm ngó của giới tin tặc và gần như họ không đủ khả năng để chống chọi cũng như không thể đảm bảo sẽ không trở thành một mối đe dọa tiềm ẩn cho sự an toàn dữ liệu của doanh nghiệp mà họ cung cấp dịch vụ. Mọi doanh nghiệp/tổ chức cần lưu tâm tới hậu quả mà có thể do các nhà cung cấp vô tình gây ra khi tiếp xúc với những thông tin sở hữu trí tuệ, thông tin khách hàng hay nhân viên của doanh nghiệp, kế hoạch thương mại hay nội dung đàm phán kinh doanh… Không chỉ cảnh giác với các đối tác sản xuất hoặc phân phối mà cần để mắt tới cả các đối tác cung cấp dịch vụ chuyên nghiệp khác như luật sư, kế toán…, nói chung là mọi đối tác có thể có liên quan tới các thông tin có giá trị của doanh nghiệp.”
Bộ phận phụ trách an toàn thông tin doanh nghiệp nên làm việc chặt chẽ với những người phụ trách các hợp đồng dịch vụ để tiến hành thẩm định kỹ về thỏa thuận với các đối tác bên ngoài. Việc xác lập quy trình quản trị rủi ro an toàn thông tin một cách chi tiết với các đơn vị cung ứng là vô cùng cần thiết để có thể quy định cũng như quản lý mức độ tiếp cận thông tin của họ, nhằm tránh những rủi ro có thể xảy đến trong tương lai.
4. Xu hướng BYOD trong công việc
Từ vài năm trở lại đây, việc nhân viên dùng thiết bị di động cá nhân của mình truy cập vào mạng công ty (BYOD) đã trở thành một xu hướng không thể tránh khỏi đối với hầu hết các doanh nghiệp. Một số công ty thậm chí đã kịp lập ra và phát triển các chính sách hiệu quả cho BYOD. Một chuyên gia bảo mật an toàn thông tin nói: “Rõ ràng là nguy cơ ảnh hưởng tới an toàn thông tin doanh nghiệp đang gia tăng cùng với sự phát triển của ứng dụng và lưu trữ trên nền điện toán mây, cộng thêm với việc ngày càng nhiều người dùng mang thiết bị di động cá nhân đến sử dụng tại chỗ làm. Việc này tiềm ẩn các rủi ro bảo mật cả từ bên ngoài lẫn bên trong do việc quản lý thiết bị thiếu chặt chẽ, ứng dụng có lỗ hổng hay thậm chí các ứng dụng doanh nghiệp chỉ được kiểm định qua quýt và thiếu tin cậy.” Ông cũng lưu ý với những đơn vị hoặc chủ doanh nghiệp nếu nhận thấy nguy cơ an ninh đến từ trào lưu BYOD quá cao thì phải duy trì một nhận thức ngang tầm với sự phát triển của các hoạt động này tại doanh nghiệp mình. Còn nếu thấy chấp nhận được thì hãy thiết lập một cơ chế quản lý tốt cho việc này. Hãy luôn ghi nhớ rằng nếu coi thường sự phát triển của trào lưu này, các thiết bị cá nhân mà người dùng mang tới chỗ làm có thể sẽ trở thành những điểm đột phá qua hàng rào an ninh thông tin doanh nghiệp và việc mất cắp dữ liệu cá nhân cũng như thông tin doanh nghiệp là chuyện sẽ xảy ra trong sớm tối. Và cũng đừng quên rằng người dùng luôn có cách sử dụng thiết bị của họ tại công ty cho dù doanh nghiệp áp dụng chính sách cấm BYOD. Xét về một khía cạnh nào đó, đây cũng là một gợi ý tốt cho đội ngũ phụ trách bảo mật của công ty đa dạng hóa các nhận thức về hành vi người dùng để từ đó có thể dự đoán và chặn trước những nguy cơ mà họ nhận thấy.
5. Luôn ghi nhớ yếu tố con người là then chốt
Tất cả những điều mà giới chuyên gia đã nói ở trên đều có một điểm chung là chúng đều có một đầu mối là người dùng - tài sản quý báu nhất của doanh nghiệp. Trong suốt vài thập kỷ qua, các tổ chức/doanh nghiệp đã sử dụng một ngân sách khổng lồ lên tới hàng tỷ USD cho các hoạt động nâng cao nhận thức về an ninh thông tin. Đó hoàn toàn là cách làm đúng đắn khi nâng cao năng lực nhận thức về hiểm họa thay vì tìm cách vá víu, cấm cản hay ngăn chặn người dùng.
Tuy vậy cũng vẫn cần ý thức được rằng việc thay đổi nhận thức của người dùng tốn rất nhiều thời gian. Do đó bên cạnh các hoạt động đó, doanh nghiệp cũng cần tích cực trong việc thay đổi quy trình làm việc để có thể biến người dùng của mình từ chỗ là nguy cơ tiềm ẩn thành tiền đồn trong phòng tuyến chống rò rỉ thông tin bảo mật.
Durbin nói: “Vào thời điểm năm 2015, các tổ chức/doanh nghiệp cần chuyển từ việc hô hào nâng cao nhận thức sang việc tìm ra một giải pháp cụ thể để có thể thực thi các biện pháp bảo mật thông tin một cách uyển chuyển. Nguy cơ về an toàn thông tin luôn luôn hiện hữu do chúng gắn liền với yếu tố con người. Do vậy, một khi các doanh nghiệp/tổ chức coi nhân lực của mình như là tài sản quý báu nhất, họ cần được quản lý theo một cách thích đáng nhất.”
Tóm lại, thay vì việc chỉ làm cho mọi người nhận thức một cách đơn giản về an toàn thông tin rồi hướng dẫn sơ lược về cách ứng phó như thế nào, các tổ chức cần tích cực tuyên truyền cho cách hành xử đúng đắn đối với lĩnh vực bảo mật thông tin, phải làm sao để người dùng nhận ra và áp dụng các quy trình bảo mật một cách tự nhiên như một việc làm thường nhật trong văn hóa công sở. Làm tốt được điều này, chắc chắn các nguy cơ rò rỉ dữ liệu an toàn thông tin sẽ giảm đi đáng kể.
Mời quý độc giả theo dõi Truyền hình trực tuyến các kênh của Đài Truyền hình Việt Nam.