Mất thông tin, chủ yếu do con người

Bên lề buổi hội thảo “Lỗ thủng trên túi tiền doanh nghiệp” do Công ty IT Solution tổ chức hồi tháng 7, cuộc đối thoại giữa một số doanh nghiệp nhỏ cho thấy chuyện bảo mật thông tin chưa được chú trọng đúng mức. “Lỗ thủng chỉ ảnh hưởng đến túi tiền căng, chứ có hề hấn gì khi túi tiền xẹp”, đại diện một doanh nghiệp nói. Doanh nghiệp này cho biết hệ thống thông tin của họ chỉ là… vài ba máy tính nối mạng dùng chung cho bộ phận kế toán và nhân sự. Thông tin ít nên họ đã lưu trữ dự phòng, dù có tình huống nào xảy ra thì hoạt động của doanh nghiệp cũng không bị ảnh hưởng. Tuy nhiên, cách làm này không thể áp dụng ở những doanh nghiệp có hệ thống thông tin phát triển - nối mạng từ vài chục đến cả trăm máy tính, kết nối với bên ngoài và có liên lạc nội bộ. Trên thực tế, thời gian qua đã có nhiều doanh nghiệp bị thiệt hại vì không chú trọng bảo mật thông tin.

Tuổi Trẻ Online ngày 15-7-2006 dẫn nguồn tin từ Trung tâm An ninh mạng, ước tính khoảng 400 trang web của các ngân hàng, doanh nghiệp và tổ chức ở Việt Nam có thể đã bị mất cắp thông tin. Báo điện tử VnExpress ngày 10-4-2006 cho biết, nhiều người sử dụng hệ thống tin nhắn nhanh của Yahoo! (Yahoo! Messenger) đã bị một loại “sâu” lạ tấn công vào máy tính của họ, sau khi nhấn vào những đường dẫn “mời gọi” như “Gai xinh ne”, “Anh dep”… Theo ông Trần Anh Minh, Giám đốc Công ty cổ phần Phát triển phần mềm và Hỗ trợ công nghệ (Misoft), chi nhánh TPHCM, dữ liệu - tài sản thông tin của doanh nghiệp - đang gặp rất nhiều mối đe dọa từ môi trường làm việc. “Đó có thể là những phần mềm gián điệp, sự truy cập bất hợp lệ và nhất là tình trạng bị mất cắp hay rò rỉ thông tin”, ông Minh nói. Việc thông tin bị đánh cắp thường xảy ra theo nhiều cách khác nhau nhưng tựu trung, giới tội phạm tin học vẫn chỉ có hai cách tiếp cận thông tin của doanh nghiệp: con người và công nghệ, trong đó con người là cửa ải dễ xâm nhập nhất.

Ông Trần Trường Sơn, Giám đốc Công ty Thiên Hòa, đã kể một câu chuyện minh họa cho sự rò rỉ thông tin mang yếu tố con người. Cách đây ít năm, một nhân viên quản lý thông tin ở Thiên Hòa để lộ ra một thư mục đã được khóa bằng phần mềm mà công ty đã cài đặt. Điều bất thường này buộc ban giám đốc phải tiến hành điều tra. Nguyên nhân sự cố trên xảy ra chỉ vì nhân viên nọ muốn dọa trưởng phòng một phen, chứ không có ý gì khác. Vụ việc trên đã được phát hiện sớm và giải quyết nhanh nhờ công ty có chính sách bảo mật thông tin tốt. Trong công ty, điện thoại có thể đặt nhiều nơi để tăng tính tiện lợi, nhưng những cú điện thoại liên tục từ những nơi ít phải giao dịch như phòng họp, phòng ăn… thì cũng cần lưu ý. Một khi doanh nghiệp đã thiết lập được bản nội quy rõ ràng, công ty sẽ dễ phát hiện những việc bất thường. Chẳng hạn quy định  việc chép file, gửi e-mail phải được phép, nhân viên nào làm trái xem như đã vi phạm. Ông Sơn còn phân tích thêm, phần mềm hay thiết bị tốt cũng giúp ích rất nhiều trong bảo mật thông tin. Trở lại câu chuyện vừa kể, người nhân viên trên tuy đã chép được nhiều file mật nhưng anh ta vẫn không thể tích hợp được, nên rốt cuộc những thông tin đó không có giá trị thương mại. “Đây là cách đề phòng những nhân viên ban đầu chỉ vì tò mò mà xâm nhập vào kho dữ liệu của công ty, nếu việc tích hợp thông tin dễ dàng, họ có thể tìm cách tuồn ra ngoài kiếm lợi”, ông Sơn nói.

Về yếu tố công nghệ, ông Minh cho biết các thư rác (spam) có thể chứa phần mềm gián điệp dò tìm mật khẩu (password), thông tin cá nhân của những đối tượng mà giới tội phạm tin học nhắm đến. Một số thư rác còn tinh vi đến độ có thể “giả danh nội bộ”, khiến người nhận tin rằng thư được gửi từ nguồn đáng tin cậy, từ đó không đề phòng và dẫn đến thiệt hại khôn lường. Gần đây còn rộ lên hình thức “phishing”: tạo trang web giả, yêu cầu cung cấp thông tin để cập nhật sau đó chuyển hết về cho giới tội phạm tin học. “Vẫn có cách đề phòng, như nhận thư rác thì đừng mở file đính kèm, hay một công ty kinh doanh thì không nên truy cập vào những trang web không liên quan đến kinh doanh”, ông Minh nói.

Bảo mật thông tin – phải làm sao?

Vậy có bao nhiêu cách để không bị mất nguồn thông tin dữ liệu? Có bốn cấp độ quản lý rủi ro, tùy vào quy mô hoạt động và mức độ quan tâm của doanh nghiệp: loại trừ (không xây dựng hệ thống thông tin để tránh bị rủi ro); chuyển giao (nhờ dịch vụ xây dựng chính sách an toàn thông tin hoặc mua bảo hiểm rủi ro); giảm nhẹ (sử dụng các biện pháp an toàn mạng)và chấp nhận (đầu tư cho bảo mật thông tin tới mức độ nào đó và chấp nhận rủi ro còn lại). Hiện hầu hết các doanh nghiệp Việt Nam đều quản lý rủi ro theo mức “chấp nhận”, nhưng ngay cả ở cấp độ quản lý rủi ro này, các doanh nghiệp vẫn thiếu một chức danh chuyên trách: giám đốc an toàn thông tin (Chief Information Security  Officer, CISO). Theo ông Minh, rất ít các doanh nghiệp Việt Nam có chức danh giám đốc công nghệ thông tin, người lo toàn bộ hệ thống công nghệ thông tin của doanh nghiệp và  kiêm luôn cả công việc của một CISO. “Công việc của một CISO ở các doanh nghiệp Việt Nam phần lớn chỉ dừng lại ở vai trò quản trị mạng, chứ chưa có tác động đến chính sách, tổ chức, nhân sự công nghệ thông tin theo đúng vị trí của nó”, ông Minh nói.

Theo nhận định của những người am hiểu trong ngành, hiện nay ở Việt Nam chỉ có  khối tài chính ngân hàng, khu vực viễn thông và Chính phủ điện tử là nhận thức được tầm quan trọng của việc bảo mật thông tin,  còn đa số các doanh nghiệp ở khu vực sản xuất, dịch vụ vẫn thờ ơ  với điều này. Trong khi đó, để bảo vệ cho chính mình, ngăn ngừa những rủi ro có thể xảy ra trong tương lai, từ bây giờ các doanh nghiệp nên xây dựng một chính sách an toàn thông tin tốt (về con người, quy trình, công nghệ) và trang bị một hệ thống phòng chống virus toàn diện. Và đừng nghĩ chống virus là tải các phần mềm miễn phí trên mạng về. “Công việc kiểm soát các e-mail, các máy trạm và máy chủ của hệ thống phải cần đến một công cụ chuyên dụng hơn, tối thiểu là bộ công cụ Trend Micro”, ông Minh tư vấn.          

Theo TBKTSG