Vụ việc của Edward Snowden tiết lộ dữ liệu của NSA, Bradley Manning làm rò rỉ dữ liệu mật của quân đội Mỹ ở WikiLeaks và vụ việc nổ súng trong khuôn viên hải quân Washington cũng bị một người làm về CNTT bên trong “tuồn” ra ngoài. Tất cả những chuyện trên chưa phải hết, nhưng cũng đã giúp những người làm công nghệ trong ngành cần xem lại các chính sách và quy trình về an ninh. Vụ nổ súng trong sân hải quân Washington làm 12 người thiệt mạng, nhưng tác động của dữ liệu rò rỉ trên WikiLeaks và của Snowden không thể lường trước được.
Theo các chuyên gia an ninh, cần tăng cường những chương trình an ninh ngay từ nội bộ, chú trọng hơn đến những quyền truy cập đến các thông tin quan trọng. Cụ thể như bộ phận An ninh của MITRE, một cơ quan của chính phủ Mỹ, điều hành các trung tâm nghiên cứu và phát triển liên bang, mục tiêu của họ là nắm bắt được những mối hiểm hoạ ngay từ nội bộ và đưa ra một chương trình để đồng bộ nhân sự, chính sách, quy trình và công nghệ với nhau. Nhưng họ chỉ mới ở giai đoạn đầu cho công việc này.
Nhận diện hiểm hoạ mới
Để cho chương trình nhận diện mối hiểm hoạ bên trong thành công thì CIO, CISO hoặc CSO đầu tiên phải có được sự đồng thuận của ban lãnh đạo, giúp họ đánh giá đúng tầm quan trọng của chương trình này, giúp nhận diện, ngăn chặn hiểm hoạ ảnh hưởng tới con người, tài sản và danh tiếng công ty. Có những ví dụ cụ thể mà nhiều doanh nghiệp từng gặp phải về lỗ hổng và hiểm hoạ từ nội bộ, qua đó chuyên viên bảo mật có thể đánh giá chúng với toàn bộ rủi ro mà công ty sẽ gặp phải nếu xảy ra sự cố.
Ví dụ, nếu doanh nghiệp sản xuất một sản phẩm nào đó thì tài sản sở hữu trí tuệ cho sản phẩm đó là lĩnh vực chính mà chương trình ngăn ngừa hiểm hoạ từ bên trong cần tập trung. Nhưng nếu đó là doanh nghiệp cung cấp dịch vụ y tế thì dữ liệu quan trọng là hồ sơ bệnh án của người bệnh.
Không nên tạo một chương trình phòng chống hiểm hoạ khi đang bị tấn công hoặc nghi ngờ có tấn công, vì theo các chuyên gia, đó là thời điểm không thích hợp để có được một chương trình phòng chống hiệu quả. Bạn không thể xây dựng được mối quan hệ trong giai đoạn khủng hoảng. Thay vì vậy, doanh nghiệp nên tạm dừng quá trình lên kế hoạch, thiết kế trong quy trình kinh doanh. Trong phần lớn trường hợp, nơi đầu tiên cần nhìn vào để tìm vết hổng bảo mật là luồng dữ liệu ra vào của doanh nghiệp. Trong một ngày, có rất nhiều dữ liệu ra vào doanh nghiệp, điều đó tốt cho việc kinh doanh nhưng lại có nhiều rủi ro về an ninh.
Theo lối cũ, các tổ chức phòng chống rất tốt những hiểm hoạ xung quanh nhưng lại rất tệ khi đương đầu với những hiểm hoạ từ bên trong mà chúng ta thường ví là “nuôi ong tay áo”.
Hãy tập trung vào luồng đi của dữ liệu, vì các công nghệ mới như điện toán đám mây và di động ngày một thâm nhập sâu vào doanh nghiệp như là những công cụ chủ chốt, sử dụng hàng ngày, nên quyền truy cập đến dữ liệu của người dùng cần chú trọng nhiều hơn. Hơn nữa, nhà quản trị cũng cần quan tâm hơn đến quy trình thuê (outsource) một mảng kinh doanh nào đó cho đối tác bên ngoài làm, cân nhắc lại quyền truy cập đến hệ thống và con người khi cần outsource.
Định nghĩa hiểm họa
Khi chúng ta nói về hiểm hoạ nội bộ nghĩa là ta đang nói đến một ai đó hoặc một thứ gì đó có quyền truy cập đến dữ liệu để gây tổn hại đến việc kinh doanh. Đó có thể là nhân viên, người trong ban lãnh đạo, người giám sát, người cộng tác và đối tác.
Trước khi có thể chỉnh sửa lại chương trình phòng chống hiểm hoạ nội bộ thì bạn cần phải tạo ra một đội ngũ đa năng để nắm bắt được nhu cầu thông tin của nhân viên, người cộng tác và nhà cung cấp dịch vụ. Vì chương trình này cần cân bằng về mức bảo vệ và quyền/nhu cầu của nhân viên.
Cách tiếp cận đa chiều là cần thiết, mục tiêu là ngăn chặn hoặc can thiệp trước khi sự cố xảy ra, và không nhất thiết phải qua bộ phận an ninh. Cụ thể như MITRE, phòng an ninh hợp tác với bộ phận nhân sự và các nhóm kinh doanh khác để chỉnh sửa chương trình này. Nhóm xem xét kỹ thời gian làm việc của từng nhân viên, từ khi nộp đơn xin việc cho tới lúc nghỉ việc, và suy đoán ra những vùng rủi ro để nhận diện và làm giảm nguy cơ.
Xác định hiểm hoạ
Với một đội ngũ phòng chống hiểm hoạ từ trong nội bộ, doanh nghiệp có thể nhanh chóng nhận ra đâu là thái độ thích hợp và không thích hợp của nhân viên, cộng tác viên và nhà cung cấp dịch vụ với những quyền truy cập dữ liệu, từ đó sẽ giúp doanh nghiệp có thể đưa ra được những chính sách bảo mật hợp lý nhất.
Một cách để bắt đầu chương trình này là thu hẹp lại những vị trí nào được cho là nhạy cảm bởi vì quyền truy cập của những vị trí đó có thể gây nhiều nguy hiểm hoặc hoàn toàn không nên.
Ngoài ra, cũng có thể áp dụng những chính sách “mạnh tay” hơn đối với nhân viên có thể giúp doanh nghiệp tránh được rủi ro về sau. Chẳng hạn như nếu một ứng viên nộp đơn xin việc mà trước đây người đó là thành viên trong một diễn đàn tin tặc, thì bộ phận nhân sự có thể quyết định ngay rằng anh ta không thích hợp cho công việc. Và sau khi ký hợp đồng với một nhân viên mới, doanh nghiệp cần áp dụng ngay chính sách truy cập dữ liệu. Một nhân viên dịch vụ khách hàng đang cố tải cơ sở dữ liệu nào đó về thì cần hiện lên cảnh báo không được phép truy cập. Tương tự vậy, nếu một người quản trị cơ sở dữ liệu tìm một mục nào đó ngoài giờ làm việc thông thường thì cũng cần cảnh báo. Các nhà quản trị lưu trữ thực hiện sao lưu dữ liệu bên ngoài cửa sổ được cấp phép cũng nên xem đó là hành động bất thường. Đó là những ví dụ điển hình cho một chương trình phòng chống rủi ro nội bộ cần nhận diện được.
Áp dụng công nghệ
Một khi doanh nghiệp thiết lập được một hàng rào cho hành vi nhân viên thì có thể bắt đầu sử dụng công nghệ để đảm bảo hàng rào ấy chắc chắn, không bị ai trèo qua.
Vài công ty ngại không thiết lập chương trình phòng chống nội bộ vì cho rằng chi phí công nghệ quá cao hoặc ảnh hưởng nhiều tới năng suất nhân viên. Nhưng các chuyên gia lại cho rằng chương trình phòng chống này phần lớn chỉ là loại bỏ các quyền truy cập đến những vùng dữ liệu không cần thiết hoặc quá nhạy cảm, bằng cách sử dụng ngay những công cụ sẵn có, tích hợp ngay trong mạng doanh nghiệp.
Bộ phận CNTT cũng có thể tách những ứng dụng có nhiều lỗ hổng bảo mật riêng ra, bằng cách chạy chúng trong môi trường ảo hoá, mục đích là tách chúng riêng ra khỏi hệ thống mà vẫn cho người dùng truy cập được Internet.
Còn với công ty đối tác, cộng tác, không bao giờ cho họ sử dụng chung cùng lớp mạng trong doanh nghiệp vì dữ liệu khách hàng rất nhạy cảm. Đôi khi những dữ liệu tưởng chừng đơn giản như tập tin ghi nhận (file log) kiểm toán lưu trên một máy tính nào đó trong doanh nghiệp cũng có thể là thông tin rất quan trọng, vì nó cho biết quy trình kiểm toán bắt đầu và kết thúc khi nào, file di chuyển hay thay đổi thế nào và do đó để lộ quy trình điều khiển về bảo mật trên máy tính đó.
Cũng vậy, luồng dữ liệu bên trong mạng nội bộ cũng có thể cho kẻ ác ý biết được thông tin về loại dữ liệu hoặc khối lượng dữ liệu. Nếu một nhân viên đột nhiên chuyển một khối lượng dữ liệu lớn trên mạng nội bộ thì hệ thống cần phải ghi nhận và cảnh báo.
Nhưng các công cụ trước nay chỉ… tới đó, các doanh nghiệp cần có một quy trình để xử lý, không chỉ dừng lại ở mức cảnh báo.
Nơi con người gặp máy tính
Không thể phủ nhận có vài người muốn làm việc cho công ty nào đó với ý định lấy cắp thông tin. Do vậy, một tập thể nhân viên có ý thức về dữ liệu sẽ rất quan trọng, và làm thế nào để khuyến khích nhân viên tố giác về những thái độ khả nghi, nhưng cũng cần có phân tích khách quan về các thái độ đó. Những người điều hành phải xem chương trình phòng chống như là một công cụ quản lý rủi ro và nhân viên phải xem chương trình này như là trách nhiệm doanh nghiệp để đảm bảo một môi trường an toàn, bảo mật.
Theo các chuyên gia, doanh nghiệp nên chủ động nhận diện và can thiệp ngay từ lúc đầu. Ví dụ nếu một ai trong công ty truy cập trang web tin tặc nào đó trên máy tính văn phòng thì có thể chặn ngay trang web đó và chương trình phòng chống gửi cảnh báo đến hệ thống giám sát đầu cuối, nhưng như thế vẫn chưa đủ. Thay vì vậy, người phụ trách đội phòng chống có thể đến nói chuyện với nhân viên đó và giải thích thái độ như vậy là không thể chấp nhận được. Và đội phòng chống lưu ý hơn về trường hợp này về sau.
Bên cạnh đó, doanh nghiệp cũng cần đưa ra một quy trình riêng dể nhận diện và báo cáo những thái độ nghi ngờ, cùng với các chính sách nhân sự khác trong những lưu ý dành cho nhân viên (sổ tay nhân viên), để đảm bảo tính nhất quán và phổ biến. Ví dụ nếu một nhân viên thấy đồng nghiệp làm điều gì sai thì có thể liên lạc với đội phòng chống bằng điện thoại, email hoặc trực tiếp. Và sau đó, sự việc này phải được xem xét thông qua một quy trình hoàn chỉnh, chu đáo để có biện pháp nhắc nhở, cảnh cáo nhân viên, trong khi giữ được tính bí mật cho người tố cáo. Những hành động ngăn ngừa như vậy sẽ làm giảm nhiều tình huống rủi ro về sau trong việc thất thoát dữ liệu hoặc thậm chí giảm được những tố cáo giả mạo.
Mọi quy trình tố cáo đều cần giám sát, ghi nhận hoặc có những hành động nào đó về mặt kỹ thuật trên một hệ thống mạng riêng. Các điều tra viên nên được cấp duyệt sử dụng mạng riêng này để đảm bảo họ cũng phải tuân thủ các chính sách của doanh nghiệp. Một quy trình hoàn thiện là yếu tố cực kỳ quan trọng ddeer bảo vệ tính riêng tư và danh tiếng cho cá nhân, đồng thời cũng liên quan đến sở hữu trí tuệ.
Nếu bảo vệ mọi thứ, nghĩa là chẳng bảo vệ gì cả
Có một thực tế là chúng ta không thể bảo vệ được hết mọi thứ. Chúng ta chỉ ưu tiên cho những mảng dữ liệu nào quan trọng mà thôi. Cùng với những chính sách thích hợp, người làm an ninh trong doanh nghiệp cũng cần hiểu được dữ liệu rò rỉ sẽ có lợi cho ai, sẽ bị tấn công như thế nào để biết giá trị thực của dữ liệu là ở mức nào và đưa ra mức bảo mật tương ứng.
Theo www.pcworld.com.vn