• Thứ Năm, 18/12/2014 17:55 (GMT+7)

    5 bước cải thiện hiểu biết về bảo mật di động trong doanh nghiệp

    Phạm Tiến Quang
    (PCWorldVN) Ngoài việc thi hành chính sách bảo mật và áp dụng các mức xử lý, doanh nghiệp cần làm nhiều hơn để nâng cao nhận thức cho nhân viên về bảo mật di động.

    Qua quá trình nghiên cứu, các chuyên gia đều đồng ý rằng điểm yếu nhất của quá trình bảo mật thiết bị di động chính là bản thân chủ nhân thiết bị. Cùng với sự phổ biến ngày càng rộng rãi của thiết bị di động thông minh, ngày càng có nhiều người dùng coi chúng là vật bất ly thân trong cuộc sống thường ngày. Song nhiều người lại sử dụng thiết bị di động thông minh theo cách không thông minh chút nào.

    Theo báo cáo của Symantec, có tới 44% người dùng trưởng thành không nhận thức được sự tồn tại của bảo mật di động. Tỷ lệ này thậm chí còn tăng lên tới 57% vào năm 2013. Các nhà nghiên cứu chỉ ra rằng, sau một thời gian dài sử dụng điện thoại cơ bản (chủ yếu đáp ứng các nhu cầu nghe-gọi-nhắn tin) vốn không yêu cầu cao về mặt bảo mật, số người dùng chuyển sang điện thoại thông minh gần như không được chú trọng tuyên truyền giáo dục nâng cao nhận thức về việc cần có những ứng dụng bảo mật bảo vệ thiết bị di động mà họ dùng thường ngày.

    Các phần mềm độc hại và lừa đảo trên di động tăng lên khi người dùng cài đặt nhiều ứng dụng. Rất nhiều người hiện nay sử dụng thiết bị di động cá nhân của mình để truy cập mạng dữ liệu của công ty. Hầu như chủ nhân của thiết bị di động thông minh nào cũng cài các ứng dụng hỗ trợ công việc vào máy của mình.

    Khi nói về vấn đề an ninh thông tin trên di động, cũng cần nhắc tới xu hướng mất thiết bị di động đang gia tăng. Theo nghiên cứu, số điện thoại thông minh bị mất trong năm 2013 lên tới 1,4 triệu chiếc so với 1,2 triệu chiếc năm 2012 (tại Mỹ).

    Việc sử dụng thiết bị di động cá nhân truy cập vào mạng doanh nghiệp đã trở thành trào lưu mới - BYOD (bring-your-own-device) và cũng mang tới những thách thức mới cho bộ phận phụ trách an ninh thông tin của doanh nghiệp. Chắc chắn sẽ không có giải pháp hoàn hảo cho việc xử lý vấn để này. Theo nghiên cứu, người dùng luôn mắc phải một lỗi bảo mật nào đó và hầu như chưa có các giải pháp hữu hiệu để khống chế thiết bị ngay lập tức. Cho đến nay, chưa có giải pháp nào thực sự tối ưu.

    Nếu giải pháp kỹ thuật chưa có, doanh nghiệp nên chuyển sang vấn đề đào tạo nâng cao kiến thức bảo mật di động cho nhân viên của mình. Dưới đây là 5 kiểu lỗi bảo mật người dùng thường phạm phải và cách thức doanh nghiệp cần làm để bảo vệ thiết bị và dữ liệu.

    1. Những người “thật thà”

    Một số người rất dễ trở thành nạn nhân của các trò lừa đảo trên mạng do chính bản thân họ không ý thức được về những mối nguy hiểm luôn rình rập người sử dụng Internet. Vậy phải làm thế nào để hướng dẫn họ nhận thức và phòng tránh được những nguy cơ đa dạng này.

    Nhiều người “thật thà” rất dễ trở thành nạn nhân của các trò lừa đảo trên mạng do chính bản thân họ không ý thức được về những mối nguy hiểm luôn rình rập người sử dụng Internet
     

    Giải pháp: Đào tạo về lừa đảo trực tuyến

    Giới tội phạm mạng luôn tìm kiếm cơ hội tấn công và thiết bị di động là những “cửa khẩu” mới đầy tiềm năng được chúng nhắm tới. Các phương thức tấn công đã thành công với máy tính cá nhân giờ đây đang được thử nghiệm với thiết bị di động. Có thể dễ dàng nhận thấy với số lượng đông đảo của thiết bị di động và khả năng phòng thủ nghèo nàn, số lượng con mồi săn được cũng tăng lên rất nhiều. Kẻ xấu luôn nhắm vào mắt xích yếu nhất của hệ thống để có thể có được điểm đột phá hiệu quả nhất.

    Tại cơ sở sản xuất thiết bị y tế Karl Storz GmbH (Đức), đội ngũ phụ trách bảo mật tiến hành áp dụng chính sách đối với 2.200 thiết bị di động giống với các thiết bị nội bộ kết nối với internet khác. Giám đốc công nghệ của hãng cho biết mục đích của chính sách này không gì ngoài việc nâng cao nhận thức của người dùng về nguy cơ lừa đảo trực tuyến. Đối với người sử dụng thiết bị nội bộ, doanh nghiệp này sử dụng chương trình đào tạo của PhishMe giả lập mô phỏng cách thức tiến công lừa đảo qua email để nhân viên có thể nhận thức trực quan ngay về hậu quả. Trong những lần đào tạo đầu tiên, có tới 70% số lượng người tham gia đào tạo (bao gồm cả nhân viên IT) không vượt qua được những bài kiểm tra lừa đảo đơn giản. Có nhiều nhân viên kỹ thuật kỳ cựu vẫn sẵn sàng nhấn vào đường link lừa đảo hoặc cung cấp ID và mật khẩu mà không kiểm chứng.

    Chắc chắn giới tội phạm mạng ưa thích kiểu tấn công thông qua mạng xã hội sẽ không dừng ở việc nhắm vào PC truyền thống, và chúng sẽ nhắm tới thiết bị di động. Số lượng người dùng bất cẩn nhấn vào link để từ đó cài đặt mã độc vào thiết bị để rồi sau đó vô tình biến thiết bị của mình thành chìa khóa để tin tặc xâm nhập vào mạng của doanh nghiệp chắc chắn lớn hơn nhiều lần so với số lượng người dùng PC. Tin nhắn lừa đảo có thể ảnh hưởng tới máy tính để bàn và xách tay của doanh nghiệp kể cả khi chúng bị kích hoạt từ điện thoại di động. Bài học về việc nhận diện và phòng tránh được nhấn mạnh với các nhân viên của Karl Storz là “nghĩ trước khi bấm”. Kiểu tấn công này có tác dụng trên hầu hết các loại thiết bị, kể cả di động. Có tới 20% số người tham gia kiểm tra đều bị dính lỗi cho dù họ dùng thiết bị di động nào đi chăng nữa.

    Một doanh nghiệp lớn khác là Raytheon với 63.000 nhân viên trên toàn cầu sử dụng thiết bị di động để làm việc cũng rất chú trọng đến nhân tố con người trong việc nâng cao bảo mật doanh nghiệp. Phụ trách CNTT toàn cầu của tập đoàn cho biết đã tổ chức đào tạo cho từng cá nhân về nguy cơ và hậu quả của việc lừa đảo phishing. Tập đoàn này sử dụng cách thức tương tác trên mạng xã hội và blog để nâng cao nhận thức cho nhân viên và cảnh báo các phương thức lừa đảo mới xuất hiện trên mạng. Hàng năm, doanh nghiêp cũng thường xuyên tổ chức các cuộc thi trực tuyến cho nhân viên về bảo mật.

    2. Những người mới dùng thiết bị di động thông minh

    Những người mới sở hữu máy tính bảng hay điện thoại thông minh thường kém nhận thức về bảo mật di động.

    Những người mới sử dụng thiết bị di động thường dễ thành nạn nhân của tội phạm mạng và tỏ ra thiếu tự tin khi sử dụng thiết bị công nghệ, chẳng hạn như nhân viên y tế. Mục tiêu là làm cho họ thấy rằng họ luôn nhận được sự trợ giúp
     

    Giải pháp: Áp dụng chính sách hỗ trợ thân thiện

    WellPoint cung cấp iPad cho khoảng 500 bác sỹ lâm sàng và điều dưỡng viên chăm sóc người già, người mù và tàn tật tại gia. Những người dùng này thuộc loại không am hiểu công nghệ và có chút không thoải mái khi sử dụng các thiết bị công nghệ. Nhóm phụ trách bảo mật của doanh nghiệp rất ngạc nhiên khi những người được cấp iPad này thường tỏ ra xấu hổ hoặc sợ sệt khi trình báo với công ty về việc thất lạc thiết bị. Họ thường sau một ngày, có người thì để sau 3 ngày mới báo là bị mất iPad hay nói rằng tìm mãi mà không thấy. Một số trường hợp đúng là bị mất cắp, một số khác thì bị bỏ quên lại nhà và được thu hồi lại thông qua định vị. Song quãng thời gian thiết bị thất lạc luôn tiềm ẩn rủi ro lớn về bảo mật dữ liệu.

    Nhóm phụ trách cuối cùng đưa ra hai giải pháp để đối phó với tình trạng này. Đầu tiên, để đối phó với tình trạng để quên iPad ở nhà, nhóm cung cấp cho họ những chiếc túi đựng đủ lớn để chứa cả iPad và giấy tờ sổ sách phục vụ công việc. Những người này được hướng dẫn về việc phải báo với nhóm phụ trách ngay nếu iPad thất lạc. Thứ hai, nhóm đưa ra chính sách không-xấu-hổ để đảm bảo rằng những người được cấp thiết bị sẽ gọi thông báo ngay khi thấy iPad thất lạc mà không cảm thấy xấu hổ gì.

    Mục tiêu là làm cho những người được cấp thiết bị cảm thấy rằng họ luôn nhận được sự trợ giúp nhiệt tình từ nhóm phụ trách. Việc tìm ra thiết bị luôn mất thời gian và cần thiết lập các giao thức phòng vệ cần thiết càng sớm càng tốt.

    Trong trường hợp iPad thực sự  bị mất cắp, để giảm thiểu nguy cơ rò rỉ dữ liệu, những người dùng iPad được đào tạo về tầm quan trọng của mật khẩu và được hướng dẫn về việc tạo ra mật khẩu đa dạng. Trong các buổi đào tạo, người dùng được tận mắt chứng kiến thông qua hội đàm trực tuyến các ví dụ minh họa dễ hiểu về những cách thức lừa đảo tinh vi thông qua e-mail, đăng nhập giả hay cuộc gọi giải mạo… Phải nhấn mạnh với học viên rằng  nếu sử dụng chung một mật khẩu cho nhiều thiết bị, người dùng sẽ đặt chính họ và bản thân công ty vào rủi ro vì phần mềm cài đặt trên thiết bị chứa đựng thông tin cá nhân của bệnh nhân mà công ty phục vụ.

    3. Những người đãng trí

    Trong khi nhiều người dùng ý thức được thông tin cá nhân của mình là vô giá và cẩn thận bảo vệ thì lại tỏ ra khá bất cẩn với dữ liệu và thiết bị của doanh nghiệp.

    Sân bay là nơi thường xảy ra thất lạc và mất cắp thiết bị di động bởi có rất nhiều người dùng doanh nghiệp qua lại nơi đây
     

     

    Giải pháp: Dùng những phương thức dễ nhớ thông qua các trò chơi để ghi nhớ

    Chính quyền bang Michigan (Mỹ) có tới 17.000 viên chức sử dụng điện thoại thông minh hay máy tính bảng. Chỉ riêng trong năm 2013, những nhân viên này đã làm mất 256 thiết bị và máy tính xách tay được cấp phát. Người phụ trách bảo mật cho biết việc đào tạo về nâng cao nhận thức an toàn dữ liệu đã từng được tổ chức và không mang lại hiệu quả mong muốn. Ông cho biết cách thức tuyên truyền bằng những bản thuyết trình PowerPoint không thu hút được sự chú ý của người dùng. Và ông muốn thay đổi lại cách tiếp cận đối với công tác đào tạo nâng cao nhận thức của người dùng. Người sử dụng cho biết chương trình đào tạo cũ rất nhàm chán, không thực tế và họ không áp dụng được điều gì cả. Do vậy, chương trình mới cần ngắn gọn, vui nhộn, tương tác được và quan trọng hơn cả là dạy được “những điều mà người dùng chưa biết”.

    Nhóm phụ trách đào tạo đã tiến hành tìm kiếm và lựa chọn đơn vị cung cấp chương trình đào tạo dựa trên nền tảng video. Một trong các chương trình được ưa thích nhất là bài giảng tương tác về tình huống thiết bị thất lạ hoặc bị đánh cắp tại sân bay. Cũng cần nói thêm là theo một thống kê, có tới 8.016 thiết bị sử dụng wi-fi đã bị mất ở 7 phi trường Chicago, Denver, San Francisco, Miami, Orlando, Minneapolis-St. Paul và Charlotte. Trong số này, 43% là máy tính xách tay, 45% là thiết bị di động. Khoảng một nửa số thiết bị thất lạc này đã được trả về cho chủ cũ, phần còn lại đã được bán đấu giá hay làm từ thiện.

    Các chương trình đào tạo đưa ra những con số thống kê về tình trạng mất cắp ở sân bay rồi hướng dẫn các bước cần áp dụng để giảm thiểu tình trạng thất lạc thiết bị. Kế tiếp là một phần vui nhộn. Người dùng sẽ vào vai anh chàng Mario và phải tìm ra 12 thiết bị thất lạc ở sân bay trong vòng 90 giây đồng hồ căn cứ trên các thông tin mà họ được cung cấp. Nhân vật mà người chơi điều khiển sẽ phải di chuyển khắp sân bay, đi từ quầy làm thủ tục đến hàng ăn, đi qua các khu kiểm tra an ninh giữa các nhà ga và sẽ có chuông báo mỗi khi tìm được một thiết bị thất lạc. Hầu như không có ai có thể tìm thấy tất cả thiết bị ở lần chơi đầu tiên.

    Hiện chính quyền bang Michigan đã chính thức áp dụng chương trình đào tạo nâng cao nhận thức này bởi hiệu quả thay đổi hành vi người dùng là rất rõ ràng. Đa số người đã tham gia khóa đào tạo cho biết họ đều nghĩ về trò chơi này mỗi khi tới sân bay.

    4. Những người nghiện công nghệ

    Những người đam mê và am hiểu công nghệ trong doanh nghiệp nhiều khi cũng làm cho bộ phận phụ trách bảo mật đau đầu, đặc biệt khi nhóm người dùng này lại am hiểu về việc cấu hình lại thiết bị cá nhân của họ để chúng có thể có toàn quyền truy cập như của người quản trị.

    Thiết bị sử dụng iOS hay root đối với Android đều mang tới nguy cơ tiềm tàng cho bảo mật

    Giải pháp: Cao tay hơn

    Các phần mềm độc hại sẽ nguy hiểm hơn gấp nhiều lần khi chúng đột nhập vào được hệ thống từ cấp độ quản trị. Gartner dự đoán vào năm 2017, có tới 75% các lỗ hổng bảo mật di động bắt nguồn từ việc sơ sót trong quản lý ứng dụng cài đặt trên thiết bị.

    Karl Storz là một trong những doanh nghiệp phải đối mặt trực diện với vấn đề này. Ở công ty công nghệ này, mọi người ở đây đều hiểu biết nhiều về công nghệ. Mặc dù điện thoại thông minh là do công ty cấp song tình cài lại cấu hình máy không phải là không có và nhiều khi chúng vượt ra ngoài tầm kiểm soát của bộ phận CNTT.

    Gartner cho biết việc jailbreak đối với thiết bị sử dụng iOS hay root đối với Android đều mang tới nguy cơ tiềm tàng cho bảo mật. Hành vi này cho phép người dùng có thể can thiệp vào cài đặt cấu hình thiết bị với quyền của người quản trị. Qua đó người dùng truy cập tài nguyên  dữ liệu mà thông thường không thể tiếp cận được. Điều này cũng đồng nghĩa với việc họ đặt dữ liệu công ty vào vùng nguy hiểm khi loại bỏ lớp bảo vệ và các thiết lập an toàn được người quản trị cung cấp. Hậu quả là họ đã vô tình tải về phần mềm độc hại rồi kích hoạt chúng, sau đó mã độc sẽ thực thi  tất cả các hành vi trái phép, bao gồm cả khai thác dữ liệu doanh nghiệp.

    Các thiết bị di động hiện nay rất dễ bị tấn công bẻ khóa truy cập bằng phương thức phá mã truy cập brute-force. Cách tốt nhất để giữ an toàn cho chúng là luôn khóa thiết bị bằng các công cụ và chính sách bảo mật cần thiết. Gartner cho rằng nếu tiến hành áp dụng chính sách bảo vệ từ ứng dụng cài đặt trong máy và khoanh vùng cách ly dữ liệu quan trọng thì hiệu quả bảo mật sẽ tăng lên đáng kể.

    Những người phụ trách bảo mật doanh nghiệp cũng cần phải áp dụng các biện pháp kiểm soát ngăn chặn truy cập dữ liệu hệ thống đối với mọi thiết bị nghi vấn có hành vi xâm nhập trái phép. Phải luôn tiến hành các biện pháp nâng cao nhận thức cho nhân viên về việc sử dụng tài nguyên công ty và chính sách ứng xử phù hợp. Các nhân viên đều phải ý thức được rằng khi họ sử dụng thiết bị theo cách không phù hợp là vi phạm quy định bảo mật của công ty và sẽ phải chịu trách nhiệm tương xứng với hậu quả.

    Các chính sách kiểu như thế này đều mang tính tăng cưởng bảo mật an toàn thông tin kết hợp cả việc sử dụng phần mềm quản lý để quản lý việc cấu hình cài đặt thiết bị, đồng thời lưu trữ dữ liệu trên mạng thay vì để chúng trong thiết bị.

    5. Những người thích chia sẻ

    Những người thuộc típ này thường chia sẻ quá nhiều thông tin trên mạng xã hội, còn một số khác thì luôn để cho bạn bè hay người thân sử dụng thiết bị của mình.

    Nhân viên trẻ có thói quen thoải mái chia sẻ trên mạng xã hội thường trở thành mồi ngon cho những kẻ lừa đảo trực tuyến.
     

    Giải pháp: Chặn các lỗ hổng

    Cùng với sự phát triển mạnh mẽ của mạng xã hội hiện nay, các công ty tuyển dụng nhiều nhân viên trẻ hiện đang phải đối mặt với nguy cơ rất nhiều dữ liệu bị phát tán qua sự chia sẻ thông tin lên mạng một cách vô tình hay cố ý. Với việc một thế hệ trẻ nghiện mạng xã hội gia nhập vào lực lượng lao động của công ty, việc giám sát bảo vệ dữ liệu nội bộ trở nên vô cùng bức thiết. Doanh nghiệp cần ý thức được nguy cơ một khi dữ liệu bị phát tán, rò rỉ trên mạng thì gần như không thể thu hồi lại được.

    Những nhân viên có thói quen thoải mái chia sẻ trên mạng xã hội thường trở thành mồi ngon cho những kẻ lừa đảo trực tuyến. Chúng thường giả danh đồng nghiệp hoặc người quen để dụ các nhân viên này chia sẻ thông tin nhạy cảm, mật khẩu hay thông tin về nơi làm việc. Một quản lý của công ty đào tạo và tư vấn nêu quan điểm rằng khi nhân viên sử dụng e-mail của công ty để đăng nhập và tham gia các sự kiện trên mạng xã hội thì sẽ luôn tạo ra các nguy cơ đe dọa cho dữ liệu của công ty. Họ luôn phải rà soát các nhân viên sử dụng email công ty để đăng ký tài khoản trên LinkedIn và Facebook để xem xét những gì họ đăng tải. Giới tội phạm mạng thường tìm kiếm trên mạng rồi theo dấu các bài viết hoặc chia sẻ mà các nhân viên này đăng tải trên mạng xã hội, blog hoặc diễn đàn.

    Như vậy cần nhấn mạnh một lần nữa là việc đào tạo nâng cao nhận thức là rất quan trọng. Nhân viên cần nhận thức rõ được việc cẩn trọng với mạng xã hội, cẩn trọng với những gì chia sẻ hoặc những thứ tưởng như vô hại được gửi đến. Cần thiết lập các chính sách riêng đối với việc sử dụng mạng xã hội tại nơi làm việc. Nếu công ty cho phép nhân viên được sử dụng mạng xã hội thì cần tạo các tài khoản riêng biệt cho việc sử dụng tại công ty và mục đích cá nhân.

    Tránh jailbreak/root với các tiêu chí quản lý dữ liệu di động cơ bản

    Gartner cho biết việc jailbreak/root thiết bị, hay các hành vi “bẻ khóa phần mềm” tương tự, là nguồn gốc của khoảng 75% các lỗ hổng bảo mật vào năm 2017. Các công ty nghiên cứu khuyến cáo rằng bộ phận IT nên áp dụng chiến lược quản lý thiết bị di động cho Android và Apple thiết bị bao gồm các bước sau:
    • Yêu cầu người sử dụng phải cam kết tuân thủ các chính sách cơ bản của doanh nghiệp, cần được chuẩn bị sẵn sàng bị thu hồi kiểm soát truy cập trong trường hợp phát sinh thay đổi. Những người không tuân thủ chính sách cơ bản sẽ không được mang thiết bị tới nơi làm việc hoặc không cấp quyền hay hạn chế truy cập mạng doanh nghiệp.
    • Đặt ra tiêu chí về độ dài tối thiểu và mức độ phức tạp của mật khẩu cài đặt cho thiết bị và thiết lập các quy định nghiêm ngặt về quá trình thử lại và thời gian chờ truy cập.


    • Xác định những phiên bản của các nền tảng và hệ điều hành được phép sử dụng để truy cập hệ thống. Các nền tảng hay phiên bản không thể cập nhật hoặc hỗ trợ không được cấp quyền truy cập.
    • Bắt buộc các thiết bị sử dụng truy cập mạng doanh nghiệp không được jailbreak/root. Nghiêm cấp việc cài đặt các ứng dụng từ những kho phần mềm không cấp phép. Các thiết bị vi phạm sẽ bị ngắt quyền truy cập mạng doanh nghiệp ngay lập tức, hoặc bị xóa sạch dữ liệu nếu cần thiết tùy theo chính sách công ty.
    • Yêu cầu các ứng dụng đã được chứng nhận cũng như luôn yêu cầu xác định quyền truy cập vào email kinh doanh, mạng riêng ảo, các mạng Wi-Fi và các ứng dụng được bảo vệ khác.

     

    Việc chia sẻ bất cẩn còn đến từ việc cho mượn thiết bị thoải mái. Ví dụ những ông bố bà mẹ sẵn sàng cho con cái sử dụng thiết bị di động của công ty để chơi hay xem video trực tuyến. Điều này tiềm ẩn nguy cơ làm hư hỏng thiết bị hoặc tệ hại hơn nếu lũ trẻ mắc bẫy của tội phạm mạng khi tự ý cài đặt phần mềm độc hại giả danh trò chơi hay vào các trang web nguy hại. Để tránh các nguy cơ này, các nhân viên cần nhận được các bản in chính sách bảo mật của công ty về việc nghiêm cấm cho bạn bè hay người thân sử dụng thiết bị công ty.

    Tựu trung lại, những nhà quản lý bảo mật an toàn thông tin doanh nghiệp cho biết mấu chốt nằm ở sự cân bằng giữa công việc và các mục đích khác. Họ vẫn cho phép người dùng có một sự linh hoạt nhất định đối với thiết bị di động, có thể cài đặt một số ứng dụng khi cần thiết. Song tuyệt đối nghiêm cấm những hành vi có thể gây nguy hại đến bảo mật an ninh thông tin của doanh nghiệp.

    PC World VN, 12/2014

    ID: A1412_69