Trong vòng quay về bảo mật thông tin, năm 2014 là một năm dường như không dừng lại dòng chảy từ đe dọa của tội phạm mạng và vi phạm dữ liệu, ảnh hưởng rộng lớn từ lĩnh vực bán lẻ, ngân hàng, cho đến các hệ thống thông tin của các chính phủ.

Ông Steve Durbin, Giám đốc Diễn đàn bảo mật thông tin (ISF), một tổ chức hiệp hội phi lợi nhuận, cho biết cho dù năm 2014 chưa kết thúc, nhưng chúng ta đã có thể ước lượng được quy mô, mức độ nghiêm trọng và phức tạp từ đe dọa của tội phạm mạng liên tục gia tăng.

Trong năm 2015, tổ chức ISF đưa ra năm xu hương chủ đạo ảnh hưởng đến bảo mật thông tin và ông Durbin cho biết các xu hướng này không mới, nó chỉ mới ở mức độ ngày càng tinh vi và phức tạp hơn.

1. Tội phạm mạng

Ảnh
Tấn công vào mạng Sony Pictures được xem là vụ lớn nhất trên đất Mỹ

Các tổ chức tội phạm, các nhà hoạt động hay các tổ chức khủng bố ngày càng tăng mức độ lấy Internet làm mục tiêu để kiếm tiền, gây chú ý, làm gián đoạn hoặc thậm chí làm một tổ chức hay một doanh nghiệp sụp đổ thông qua tấn công trên không gian mạng.

Ngày nay, Tội phạm không gian mạng là những người có kĩ năng cao, được trang bị nhiều công cụ tối tân, và hay sử dụng các công cụ của thế kỉ 21 để tấn công các hệ thống của thế kỉ 20.

Ông Durbin cho biết, năm 2014 đã chứng minh rằng mức độ phối hợp rất cao giữa các tổ chức tội phạm mạng và những công nghệ tối tân đã làm bất ngờ nhiều doanh nghiệp, tổ chức lớn.

Trong năm 2015, theo ông Durbin, các tổ chức và doanh nghiệp nên chuẩn bị cho những tấn công mà chưa từng diễn ra trước đó, từ đó sẽ đưa ra phương án tự hồi phục sau tấn công, thậm chí bị ảnh hưởng lớn. Những việc mà doanh nghiệp và tổ chức cần làm là nhận diện được các hoạt động kinh doanh quan trọng phụ thuộc vào mạng và đầu tư giải pháp tự hồi phục để từ đó có thể giảm thiểu của những tổn thất chưa thể lường trước được.

2. Luật hóa và tính riêng tư

Ảnh
Nga quy định dữ liệu công dân Nga phải được lưu trữ ở nước này

Nhiều quốc gia đã hoặc đang xây dựng các quy định để bắt buộc các doanh nghiệp trong bảo vệ và sử dụng thông tin cá nhân, cũng như có chế tài đối với doanh nghiệp vi phạm. Các doanh nghiệp nên chuẩn bị cho xu hướng này và xem bảo vệ thông tin cá nhân là một trong những rủi ro của kinh doanh nhằm tuân thủ các quy định, không làm xấu hình ảnh doanh nghiệp và mất khách hàng do dữ liệu bị đánh cắp hoặc bị phát tán.

Hơn nữa, một số nước đã hoặc sẽ yêu cầu cụ thể với lưu trữ dữ liệu cá nhân như dữ liệu công dân phải được lưu trữ trên máy chủ đặt tại nước đó. Trong trường hợp này, doanh nghiệp cần làm việc với các hãng cung cấp dịch vụ đám mây cho mình để làm rõ việc thông tin được lưu trữ và xử lí như thế nào.

3. Rủi ro đến từ đối tác là bên cung cấp dịch vụ thứ ba

Ảnh
Tội phạm mạng sử dụng tài khoản của đối tác thứ ba tấn công mạng Target

Các chuỗi cung ứng là một trong những thành phần quan trọng của tất cả tổ chức kinh doanh trên phạm vi rộng và là xương sống của nên kinh tế toàn cầu ngày nay. Tuy nhiên, độ mở của chia sẽ thông tin với bên thứ ba cũng tạo ra nhiều mối nguy hiểm trong bảo vệ bí mật dữ liệu. Các thông tin nhạy cảm và có giá trị, một khi đã được chia sẻ cho đối tác thì vô hình chung doanh nghiệp đã trực tiếp mất quyền kiểm soát với dữ liệu này.

Thậm chí những kết nối tưởng như vô hại cũng là nơi mà tội phạm mạng sử dụng để phát động một cuộc tấn công không gian mạng. Hệ thống bán lẻ Target là một ví dụ, tội phạm mạng sử dụng kết nối cập nhật hóa đơn của đối tác cung cấp điều hòa không khí để tấn công mạng máy tính của hãng này và tạo nên một trong những vụ đánh cắp dữ liệu lớn nhất từ trước tới nay.

Trong năm tới, đối tác thứ ba tiếp tục sẽ là mục tiêu của tấn công không gian mạng vì họ dường như không có khả năng hoặc không chú trọng đến đảm bảo an toàn thông tin cho một doanh nghiệp khác. Theo ISF, các doanh nghiệp nên chú trọng hơn việc tiếp cận thông tin của đối tác thứ ba khi truy nhập đến sở hữu trí tuệ, khách hàng, thông tin nhân viên, kế hoạch kinh doanh hay các thông tin trong đàm phán.

Theo ISF, các doanh nghiệp có thể áp dụng mô hình hình cây để đảm bảo an toàn thông tin với các quy định được cụ thể và dễ áp dụng. Ở mỗi mức, sẽ áp dụng tương tự các quy định về bảo mật mật xuống mức thấp hơn.

4. Xu hướng mang thiết bị kết nối mạng đến nơi làm việc

Ảnh
Xu hướng mang thiết bị BYOD đến nơi làm việc ngày càng phổ biến

Xu hướng mang những thiết bị có kết nối mạng “bring-your-own-device” (BYOD) đến nơi làm việc ngày càng tăng nhưng chỉ có một số ít tổ chức và doanh nghiệp có những quy định hay hướng dẫn đối với xu hướng này.

Cùng với phát triển của công nghệ số, nhiều người đã mang những thiết bị di động như ở cứng lưu trữ đám mây và thậm chí bộ phát sóng Wi-Fi đến nơi làm việc ngày càng tăng. Và do đó, những điểm yếu về bảo mật để tội phạm mạng khai thác vào mạng nội bộ sẽ tăng lên. Những thiết bị cá nhân thường được sử dụng bởi những người không có nhiều kiến thức về tin học, ứng dụng và thiết bị có nhiều lỗi bảo mật, nên rủi rõ bị khai thác và mức độ ảnh hưởng là khó lường trước được.

Việc sử dụng thiết bị BYOD nên có những quy định và hướng dẫn sử dụng. Cũng cần lưu ý rằng nếu không có những hướng dẫn tốt, doanh nghiệp và tổ chức sẽ đối mặt với những sự cố mất thông tin do ranh giới giữa các nhân và thông tin kinh doanh thương bị thói quen con người phá vỡ.

5. Yếu tố con người

Ảnh
Hành vi con người được xem là quan trọng trong bảo mật thông tin

Trong các tổ chức và doanh nghiệp, yếu tố con người luôn được xem là tài sản lớn nhất và cũng là yếu tố dễ gây ra tổn thương nhất.

Trong nhiều thập niên vừa qua, các tổ chức đã chi hàng triệu, thậm chí hàng tỉ USD, cho hoạt động nâng cao nhận thức về bảo mật thông tin. Cách tiếp cận này là hướng tới tài sản lớn nhất của họ - con người và nhằm thay đổi hành vi của nhân viên, từ đó giảm thiểu nguy cơ bằng cách cung cấp cho họ những kiến thức về trách nhiệm và việc phải làm.

Tuy nhiên, theo ISF, thì cách tiếp cận này đã thất bại và tiếp tục thất bại. Thay vào đó, các tổ chức và doanh nghiệp cần quy định về hành vi bảo mật thông tin trong các hoạt động tác nghiệp, xem rủi ro đến từ nhân viên là hàng đầu trong bảo mật thông tin.

Theo ISF, thay vì tiếp tục nâng cao nhận thức của nhân viên về trách nhiệm bảo mật thông tin và họ phải làm gì, thì các tổ chức và doanh nghiệp cần nhấn mạnh hành vi đúng trong bảo mật thông tin, đưa hành vi “dừng và suy nghĩ” thành một thói quen khi tiếp xúc với thông tin trong toàn bộ tổ chức.

Trong thực tế rất nhiều tổ chức và doanh nghiệp đang thực hiện theo xu hướng “nâng cao nhận thức” trong bảo mật thông tin nên họ có thể bị rủi ro do lỗi con người. Việc áp dụng những hành vi tích cực sẽ giảm thiểu được những rủi ro này.

Theo Nhandan.




Bình luận

  • TTCN (0)