(VietNamNet) – Chính sách bảo mật (security policy) có vai trò quyết định trong việc tăng cường các giải pháp an ninh mạng của DN, tổ chức. Tuy nhiên không phải DN nào cũng có các chính sách bảo mật hợp lý.
Ông Steve Riley: "an ninh mạng là các gì đó không thuận tiện, nhưng nó có vai trò quan trọng và ảnh hưởng trực tiếp đến hoạt động nghiệp vụ của chúng ta" (Ảnh: Thế Phong) |
Sau Indonesia, Malaysia, Philippin và Thái Lan, một hội thảo trong khuôn khổ chương trình “Asia Security roadshow” đã được tổ chức tại Hà Nội vào ngày 5/5 đề cập đến các vấn đề về chiến lược cụ thể của an ninh mạng Việt Nam.
Trong buổi hội thảo, bài trình bày của ông Steve Riley (Giám đốc chương trình cấp cao Nhóm công nghệ và kinh doanh bảo mật) về nội dung Security Policy (chính sách bảo mật) cho DN được đông đảo đại biểu tham dự chú ý.
Các chính sách bảo mật doanh nghiệp thường bị thất bại từ đầu. Vì sao?
Có một thực tế là rất nhiều DN, tổ chức ở VN hiện nay đều có website hoặc các hệ thống ứng dụng CNTT. Các DN cũng đều biết tới bảo mật và tầm quan trọng của nó. Cũng có một số DN đã áp dụng các chính sách bảo mật và an ninh mạng, nhưng đôi khi nó không hề có tác dụng. Vì sao vậy?
Stive Riley đưa ra ba nguyên nhân chính khiến các chính sách bảo mật DN thường bị thất bại:
- Người xây dựng chính sách bảo mật không đánh giá được giá trị của thông tin mình đang bảo vệ. Rất nhiều người để lộ thông tin bí mật về hệ thống trong những hoàn cảnh không cần thiết và vô tâm...
- Người xây dựng chính sách bảo mật không đánh giá được hết các chính sách của mình vạch ra sẽ được hành động và triển khai như thế nào trong thực tế.
- Bảo mật luôn đặt ra những ngăn trở. Và nếu các chính sách bảo mật tạo ra sự phiền toái không đáng có, nó sẽ bị người dùng bỏ qua như thể rẽ lên vỉa hè để đi qua đoạn tắc đường vậy! Phải đơn giản hóa sao cho vẫn đảm bảo các yêu cầu bảo mật, mà không quá phiền toái.
Nguy cơ trong quá trình thực hiện chính sách bảo mật?
Nguy cơ đầu tiên, các quy trình an ninh mạng luôn "ngáng đường", luôn đặt ra những trở ngại để vượt qua và nhiều khi, nó bị bỏ qua một cách cố ý như người ta vượt đèn đỏ lúc vắng người.
Nguy cơ thứ hai, có nhiều điều không rõ ràng trong bảo mật, chẳng hạn không có cách nào đánh giá được giá trị của việc chúng ta tham gia mạng. Nhiều khi giá trị các thông tin liên quan đến an ninh mạng bị xem nhẹ.
Thứ ba, yếu tố con người luôn đặt ra những điểm yếu rất khó khắc phục trong bảo mật.
Con người khi tương tác với máy tính xuất hiện nhiều khó khăn có thể trở thành các nguy cơ về bảo mật: Đánh giá rủi ro kém; Con người xử lý các tình huống ngoại lệ (không quen) tồi; Họ thường chuyển giao ý nguyện để các chương trình máy tính thực hiện và đa số tin tưởng, ỷ lại hoàn toàn vào máy tính; Nhưng máy móc có thể hỏng hóc và gặp sự cố; Ai cũng cần bảo mật hệ thống của mình, nhưng nếu phải mất thì giờ, phải khó khăn thì người ta sẽ tìm cách bỏ qua!
Khi tấn công vào công nghệ ngày càng khó và phức tạp, người ta sẽ chuyển hướng tấn công vào con người để đạt mục đích. Tại sao tấn công vào con người lại dễ dàng hơn? Vì con người có rất nhiều điểm yếu: dễ dàng tin tưởng, sẵn sàng giúp đỡ, dễ bị kích thích...
Riley cho rằng bộ phận hỗ trợ, dịch vụ khách hàng luôn là bộ phận dễ bị tấn công để lấy thông tin nhất trong các DN và tổ chức. Ông đưa ra nhiều giải thích và trình bày những kiểu "tấn công vào lòng người" phổ biến: Đánh vào trách nhiệm: "Sếp anh đã đồng ý rồi, anh không phải lo"; Dùng sự dụ dỗ:" Làm điều này, anh sẽ có nhiều cái lợi..." Tranh thủ lòng tin: "Tôi là người vẫn thường làm việc với cơ quan anh hàng tháng, có gì nguy hiểm khi tôi đang vội không kịp đưa giấy xuất trình đâu?"; Đánh vào trách nhiệm tinh thần: "Nếu không giúp tôi, lỡ có chuyện gì anh gánh chịu được chứ?"; Làm cho người ta xấu hổ nếu không giúp mình; Cũng có thể dùng cách lợi dụng các điểm chung nào đó để nhờ làm cùng, chiến thuật lợi hại khác là "cầu xin".
Cuối cùng, Riley nói - các nguy cơ xuất hiện trên mạng hoàn toàn không có gì là mới, tất cả đều đã có rất lâu trong lịch sử. Nhưng công nghệ mới giúp cho các nguy cơ này thêm mạnh và có những cách thể hiện khác đi. "Phising ư? Tội phạm ăn cắp định danh chính là giả mạo và đã có từ lâu rồi!" - Riley lấy ví dụ.
Làm sao để có một chính sách bảo mật tốt?
Đầu tiên, Riley nói: "Đó là vấn đề nhận thức!", những người lãnh đạo cần hiểu rằng, "bảo mật là các gì đó không thuận tiện, nhưng nó có vai trò quan trọng. Không có nó bạn có thể đi nhanh hơn, nhưng cũng có thể không bao giờ đến đích."
"Không có công cụ hay phần mềm bảo mật nào giải quyết được tất cả các vấn đề của bạn". Để có thể làm bảo mật tốt, không chỉ dựa vào thiết bị, công cụ mạnh hay nhân lực dồi dào, mà còn cần một quy trình hợp lý, một chính sách tối ưu để vận hành quy trình đó.
Chính sách bảo mật tốt phải quan tâm khắc phục được các yếu điểm trong mã chương trình, trong khi cấu hình hệ thống sai, hay có sẵn các phương án khắc phục lỗi tình huống.
"Thực tế là có nhiều chính sách bảo mật tồi đến mức, người ta chỉ tìm cách bỏ qua các công đoạn sau của nó. Như vậy chính sách bảo mật cần tạo điều kiện cho các đơn vị nghiệp vụ hoạt động tốt. Nhưng nó cũng phải khiến cho lãnh đạo và nhân viên nhìn thấy các giá trị thông tin mà chúng ta có."
Để đảm bảo rằng chính sách bảo mật phản ánh đúng nhu cầu của các dịch vụ, bạn phải chắc chắn rằng Chính sách cho phép ta xử lý những trường hợp không rõ ràng, và phải được phổ biến rộng rãi đến mọi người.
Thường xuyên thử nghiệm tấn công chính hệ thống của mình! Đồng thời giáo dục, đào tạo liên tục cho người sử dụng.
Giáo dục cho bộ phận hỗ trợ dịch vụ, chăm sóc khách hàng... về các vụ "tấn công vào lòng người" để lấy thông tin. Đồng thời cần có sự hỗ trợ của lãnh đạo cấp cao để các bộ phận này có thể nói "không" khi cảm thấy mình đang bị tấn công như vậy.
-
Thế Phong