Nhức nhối câu chuyện doanh nghiệp, nhân viên và bảo mật

13/03/2017 377

Chưa bao giờ vấn đề bảo mật đối với các doanh nghiệp lại trở nên nhức nhối đến thế. Thực tế ở nhiều nơi, nhân viên vẫn rất dửng dưng với hai chữ “bảo mật”.

Người viết đã tận mắt chứng kiến trưởng phòng nhân sự tại một công ty chứng khoán ở TP.HCM, trong lúc đang hướng dẫn các nhân viên mới cách tạo tài khoản giao dịch chứng khoán trực tuyến thì quên mất mật khẩu tài khoản của mình. “Sốc” hơn, chị này ngay lập tức đứng dậy hỏi rất dõng dạc trưởng phòng IT: “Mật khẩu của chị là gì em nhớ không, có phải ABC XYZ…?”.

Đe dọa bảo mật từ chính nhân viên

Qua câu chuyện nói trên, có thể thấy việc xây dựng nền tảng IT hiện đại cùng hàng loạt hàng rào bảo mật vẫn là chưa đủ, nhất là với những công ty yêu cầu bảo mật cao như chứng khoán. Nói đến bảo mật, phải bao gồm cả yếu tố con người!

Theo nghiên cứu của công ty dịch vụ CNTT Leapfrog, sự sơ hở của nhân viên là một trong những yếu tố đe dọa bảo mật doanh nghiệp hàng đầu. Có thể kể đến các thói quen như sử dụng mật khẩu quá “hồn nhiên” (12345, abcxyz,…), dễ để lộ mật khẩu cho người khác và quên khóa các thiết bị cá nhân như di động, máy tính xách tay. Ngoài ra, việc cài các phần mềm trái phép, truy cập các website thiếu an toàn, chia sẻ dữ liệu bừa bãi cũng khiến nguy cơ máy tính nhân viên nhiễm mã độc, phần mềm quảng cáo hay tống tiền (ransomware),…

Lợi dụng sự bất cẩn, thiếu ý thức của nhân viên, hacker có thể truy cập vào sâu bên trong hệ thống của công ty và tiến hành phá hoại. Các thiệt hại sau khi bị tấn công thường khá nghiêm trọng, ảnh hưởng nặng nề đến hoạt động cũng như danh tiếng của doanh nghiệp. Có thể kể đến như cuộc tấn công Vietnam Airlines và sân bay Tân Sơn Nhất, Nội Bài vào năm 2016, đặc biệt là khi các cuộc tấn công này là mang tính chủ đích (APT – Advanced persistent threat).

Trong các cuộc tấn công, thứ mà hacker nhắm đến là kho dữ liệu có giá trị của doanh nghiệp. Nhưng ngoài việc bị tấn công thì dữ liệu cũng có thể bị rò rỉ từ chính trong nội bộ công ty. Trong một bản nghiên cứu chuyên sâu, có tới 35% người tham gia phỏng vấn cho biết sẽ sẵn sàng bán dữ liệu thông tin của công ty, nếu được trả giá hợp lý (!). Điều này cho thấy vi phạm dữ liệu là một hiểm họa cực lớn của một doanh nghiệp cho dù là bất cẩn hay cố ý.

Cần làm gì để tăng cường ý thức bảo mật doanh nghiệp?

Anh Nghiêm Sỹ Phú – Lead Security Auditor tại VNG cho biết: “Ở VNG, chúng tôi có nhiều lớp đào tạo nâng cao ý thức bảo mật, tất cả nhân viên mới hay nhân viên cũ không thuộc khối kỹ thuật đều được đào tạo về an toàn thông tin. Các nhân viên thuộc khối kỹ thuật thì luôn được nâng cao các kỹ năng và kiến thức về bảo mật hệ thống.

Phần kiểm tra online với các câu hỏi trắc nghiệm cơ bản về bảo mật thông tin, được thực hiện định kỳ hằng năm. VNG còn liên tục phát clip trình chiều về kiến thức an toàn thông tin tại khu đợi thang máy của các tầng, từ tầng hầm gửi xe B3 đến tầng 16. Có mục riêng về An Toàn Thông Tin (Security) trên trang thông tin nội bộ của công ty (start.vng.com) để Starter có thể xem lại khi cần”.

Cũng theo anh Phú, các lớp này được duy trì thường xuyên và liên tục, cung cấp những kiến thức cơ bản nhất để Starter có thể hiểu biết và tự phòng chống lại các rủi ro, không những cho các thông tin trong công việc (bảo vệ máy tính, bảo vệ email,…) mà cả các thông tin cá nhân (tin nhắn lừa đảo, tài khoản mạng xã hội,…). Các chính sách an toàn thông tin cho nhân viên cũng được cập nhật hàng năm và các sai phạm sẽ được nhắc nhở và xử lý.

“Đối với VNG, bảo mật bắt nguồn từ yếu tố cơ bản nhất, là yếu tố con người. Nên bất kỳ ai trong VNG cũng đều là một nhân tố tham gia bảo vệ an toàn thông tin cho toàn công ty. Quy tắc đào tạo của VNG là phải đảm bảo kiến thức an toàn thông tin tới tất cả mọi người, từ nhân viên đến lãnh đạo bất kể là mới hay cũ” – Anh Phú kết lại.

START