Khi lỗ hổng an ninh đến từ bên trong

• Hacker hăm dọa trang web 'đen' Ashley Madison
• Phát hiện đằng sau vụ hack trang web Ashley Madison
• Hai người Canada tự tử sau vụ rò rỉ thông tin từ trang web đen Ashley Madison
• Hacker Nga bị tố tấn công tập đoàn Dow Jones
• Tổng thống Obama 'nắn gân' Trung Quốc về chiến tranh mạng

Trang web Ashley Madison trở nên nổi tiếng là nhờ nó giúp thành viên lừa lọc bạn tình của họ. Vì vậy, có lẽ nhờ thế mà nó trở thành vụ việc rò rỉ thông tin gây chấn động mạnh khi mà vụ việc có lẽ xuất phát từ chính trong nội bộ.

Ít nhất thì đó là những gì mà nhà phân tích bảo mật John McAfee kết luận về Ashley Madison. Ông ghi nhận Ashley Madison không phải bị tấn công, mà dữ liệu bị một người phụ nữ quản lý, làm việc cho Avid Life Media đánh cắp và tuồn ra ngoài.

Nếu sự thật là vậy, lỗi của Ashley Madison nằm ở bên trong, không phải bên ngoài, và hiểm hoạ này có vẻ nguy hiểm hơn chúng ta thường nghĩ. Có nhiều nghiên cứu bảo mật CNTT trong năm nay chỉ ra rằng việc trộm cắp dữ liệu từ trong nội bộ những doanh nghiệp lớn đang có chiều hướng gia tăng.

Trong vài trường hợp, hiểm hoạ từ bên trong có thể tổn hại nghiêm trọng đến tài chính và rất khó chống lại. Tóm lại, tấn công từ bên ngoài là ai đó cố tìm cách thâm nhập vào bên trong. Còn tấn công từ bên trong, kẻ chủ ý đã có sẵn khóa cửa và biết rõ nơi nào chủ nhà cất đồ đạc quý giá.

Dù vậy, những đe doạ bên ngoài hay bên trong đều có cùng một động cơ, là mong muốn có được lợi ích nào đó từ dữ liệu. Với hiểm hoạ từ bên ngoài, hacker thường tìm kiếm dữ liệu để chúng có thể bán được ra thị trường chợ đen. Còn với hiểm họa bên trong, đó có thể là nhân viên hiện thời, nhân viên đã nghỉ việc, họ tìm cách kiếm tiền dựa vào thứ gì đó mà họ có thể lấy được, đồng thời đối thủ cạnh tranh lại muốn thứ dữ liệu họ có.

Đó cũng là trường hợp hồi tháng 1 đầu năm nay ở Boston, khi Proctor & Gamble nộp đơn tố cáo 4 cựu nhân viên Gillette đã tiết lộ thông tin mật và các giao dịch thương mại của hãng cho đối thủ trực tiếp.

Còn hồi tháng 7 rồi, một nhân viên của Merit Health Northwest Mississippi bị tố cáo là đã xóa các thông tin bệnh nhân khỏi bệnh viện trong khoảng thời gian 2 năm mà không được cho phép. Nhân viên này thú nhận rằng đã đánh cắp tên, địa chỉ, ngày tháng năm sinh, số an sinh xã hội, thông tin khám sức khỏe của nhiều bệnh nhân.

Theo công ty National Cybersecurity Institute (NCI), Mỹ, có lẽ vấn đề khó nhất trong bảo mật thông tin là xử lý những nhân viên có ý đồ xấu. Người ta thường nghĩ các chuyên gia bảo mật chỉ chú trọng xử lý các lỗi bảo mật từ bên ngoài, nhưng mối đe doạ an ninh mạng từ trong nội bộ hiện đang rất được các chuyên gia quan tâm.

Dĩ nhiên, đặt niềm tin vào nhân viên là một việc và đảm bảo cho hệ thống an toàn lại là việc khác của các chuyên gia công nghệ. Những chủ doanh nghiệp cần gánh cả hai yếu tố này lên vai, cần cân nhắc bảo mật cả trong lẫn ngoài doanh nghiệp mình.

Theo NCI, trong hầu hết trường hợp, khi nói về mối đe doạ từ bên trong, nhân viên liên quan thường không còn làm việc với công ty đó nữa. Nhân viên khi rời bỏ một công ty nào đó thường có thái độ bất mãn hoặc có điều gì đó không hài lòng. Đó là tại sao doanh nghiệp thường muốn nhanh chóng loại bỏ nhân viên này và từ đó dẫn đến thái độ không đúng mực của nhân viên sau khi nghỉ việc, rất dễ dẫn đến tình trạng rò rỉ thông tin doanh nghiệp sau đó.

Hoặc là nhân viên vẫn còn làm việc nhưng không hài lòng vấn đề gì đó. Và nghiêm trọng nhất là rò rỉ thông tin nội bộ xuất phát từ động cơ chính trị.

Theo các nhà tư vấn bảo mật CNTT, doanh nghiệp cần theo dõi nhân viên theo khía cạnh con người hơn là kỹ thuật. Một chuyên gia bảo mật cũng cần chú ý đến những diễn tiến của xã hội, những sự kiện thời sự diễn ra xung quanh. Văn hóa và xã hội ngày nay có rất nhiều điều chướng tai, gai mắt. Đó cũng là những sự kiện không thể không để mắt.

Nhân viên có ý đồ

Vậy đâu là động cơ trong vụ rò rỉ thông tin ở Ashley Madison? Vẫn còn quá sớm để biết được nhưng các chuyên gia bảo mật có thể nói cho CIO biết rằng kiểu rò rỉ dữ liệu này luôn có thể xảy ra cho bất kỳ doanh nghiệp nào.

Từ khi vụ Ashley Madison đổ vỡ từ hồi tháng 7 rồi, nhiều chuyên gia bắt đầu bàn đến dữ liệu bị rò rỉ, là hàng triệu địa chỉ email người dùng. Ngay sau đó, nhiều nhân viên của Ashley Madison bị nghi ngờ bởi vì kẻ xấu có vẻ như hiểu quá rõ công nghệ của Ashley Madison .

Theo McAfee, hacker đã kết hợp các công cụ công nghệ cao và kỹ năng thu thập thông tin để truy cập vào dữ liệu của ai đó. Nhưng để làm được điều này, tin tặc phải có khóa hoặc có kẻ hỗ trợ từ bên trong. Để củng cố ý kiến này, McAfee đã trích một số thông tin mà kẻ tấn công đăng tải:

• Một bản đồ vẽ toàn bộ văn phòng Ashley Madison.
• Biểu đồ cập nhật mới nhất về cơ cấu doanh nghiệp.
• Danh sách điều khoản, hợp đồng, có cả chữ ký.
• Danh sách địa chỉ IP và trạng thái của từng máy chủ của công ty, lên đến hàng trăm máy.
• Mã nguồn của mỗi chương trình mà Ashley Madison viết.

Do vậy, các chuyên gia khẳng định có một cá nhân hay vài cá nhân nào đó bên trong có được mật mã truy cập đến toàn hệ thống của Ashley Madison.

Vô tình gây hại

Nhiều chuyên gia cho rằng hầu hết dữ liệu tuồn ra ngoài từ bên trong là do nhân viên vô ý. Một nhân viên nào đó không có tình tạo ra một lỗ hổng bảo mật nào đó hoặc cho phép kẻ khác truy cập dữ liệu. Chỉ riêng việc này được nhận định là nhiều hơn việc nhân viên cố ý tạo lỗ hổng bảo mật. Vì vậy, nhận thức của nhân viên về bảo mật, an toàn thông tin là rất cần thiết, nhất là trong những trường hợp thường gặp là nhân viên bị mất laptop, email sai địa chỉ, thậm chí những báo cáo tài chính cũng bị gửi nhầm người nhận. Lớn hơn chút nữa là các thiết bị cá nhân như iPhone , máy tính bảng của nhân viên bị tấn công. Những lỗi nhỏ nhặt như vậy đều tạo cho tin tặc cơ hội lấy cắp thông tin tài chính, mất khách hàng và thậm chí cả danh tiếng.

Mối nguy từ bên trong cũng rất khác nhau, tuỳ vào từng mô hình doanh nghiệp và loại dữ liệu mà kẻ xấu thu thập. Kẻ xấu bên trong luôn muốn kiếm tiền từ dữ liệu nội bộ, nhất là các dữ liệu về sở hữu trí tuệ. Điều nữa là phần lớn nhân viên thường cho rằng họ sở hữu thứ mà họ đang làm, trong khi họ làm việc. Thứ dễ lấy nhất thường là mã nguồn, các lập trình viên thường nghĩ họ sở hữu mã nguồn mà họ đang ngồi viết. Họ đem mã nguồn từ nơi này đến nơi khác, bởi vì họ có thể tái sử dụng mã nguồn ấy, khiến họ cứ nghĩ rằng đó là tài sản của họ. Dù vậy, các chuyên gia đều đồng ý nhân viên không hài lòng với công việc là mối đe dọa lớn nhất.

Xác định kẻ trộm

Vậy làm thế nào để xác định được đâu là nhân viên “có tiềm năng”? Theo các chuyên gia, doanh nghiệp cần quan sát. Doanh nghiệp thường dựa vào những bảng đánh giá, báo cáo hàng năm về nhân viên để xác định đâu là nhân viên giỏi nhất, tốt nhất. Doanh nghiệp cũng dựa vào đối tác, khách hàng đánh giá, phản hồi về tác phong, cách làm việc của nhân viên. Doanh nghiệp cần có thêm báo cáo những loại dữ liệu nào mà một nhân viên được truy cập. Điều này sẽ giúp cho bộ phận CNTT điều chỉnh được vai trò của từng nhân sự và cần đảm bảo không ai được phép truy cập toàn quyền vào mọi dữ liệu.

Nhưng công nghệ chỉ mới là một phần của giải pháp. Điều quan trọng không kém là theo dõi thay đổi trong hành vi người dùng. Đó có thể là năng suất trồi sụt của nhân viên, là thời gian đi làm, hoặc là thái độ của nhân viên đối với đồng nghiệp. Cuối cùng, một doanh nghiệp cần xem chính sách đối với nhân viên có thỏa đáng hay chưa, như lương bổng, điều kiện làm việc và nhiều yếu tố xã hội khác để biết chắc được nhân viên không muốn tuồn thông tin, dữ liệu doanh nghiệp ra ngoài.

Hệ thống thông tin doanh nghiệp: Cần bảo mật từ bên trong Dù nhận thức về an toàn thông tin ở Việt Nam đang có chiều hướng chuyển biến tích cực nhưng vẫn còn đó những nỗi lo. Nhiều doanh nghiệp có thể mua các thiết bị an ninh mạng hàng chục ngàn USD, còn quy trình bảo mật lại không quan tâm. Theo ông Ngô Vi Đồng, Chủ tịch Chi hội An toàn thông tin (VNISA) phía Nam, an toàn thông tin (ATTT) không chỉ là bảo mật và an toàn mà còn liên quan đến an ninh. Doanh nghiệp xây dựng hàng rào ATTT nhằm đảm bảo 3 yếu tố: Bảo mật, toàn vẹn và sẵn sàng. Những sự cố mất cắp dữ liệu, lỗi bảo mật ở các doanh nghiệp hiện nay thường xuất phát từ bên trong nhiều hơn là tấn công từ bên ngoài. Doanh nghiệp cần đánh giá hàng rào an ninh mạng của mình, khả năng phòng chống các cuộc tấn công… Việc đánh giá thông qua chất lượng ATTT hoặc số lượng các thiết bị an ninh, bảo mật trên hệ thống. Tuy nhiên đánh giá số lượng thiết bị có thể dẫn đến ngộ nhận rằng hệ thống đã an toàn. Vì vậy nên kiểm tra cụ thể bằng cách cho điểm độ an toàn/bảo mật. Theo các chuyên gia, con người là mắt xích yếu nhất trong hệ thống thông tin doanh nghiệp, trong khi doanh nghiệp lại thường thiếu quan tâm đến điểm yều này. Những thói quen sử dụng webmail, tin nhắn, chat, mạng xã hội… là một trong những nguyên nhân tạo ra mất an toàn thông tin. Hướng đến chuẩn hoá Một thiếu sót thường xảy ra của doanh nghiệp là khi xây dựng hàng rào bảo mật thì không dựa trên các tiêu chuẩn về ATTT như ISO 17799, ISO 27000... Có thể kể đến các tiêu chí thường gặp như: an ninh nhân sự; an ninh vật lý; xác định, phân cấp và quản lý tài nguyên…. Gần đây, doanh nghiệp trong nước bắt đầu quan tâm đến tiêu chuẩn bảo mật nhiều hơn. Những cuộc hội thảo về ISO 27000 cùng với sự xuất hiện của các tổ chức chứng nhận tiêu chuẩn bảo mật đã khiến cho nhận thức của các doanh nghiệp trở nên tốt hơn. Hệ thống an toàn thông tin (ISMS), theo định nghĩa của Tổng cục Tiêu chuẩn Đo lường Chất lượng Việt Nam (www.tcvn.gov.vn) , là hệ thống quản lý tất cả các mặt của ATTT bao gồm con người, các qui trình và các hệ thống công nghệ thông tin. Mối quan tâm của ISMS tập trung vào 3 thuộc tính chính: tính tin cậy (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability). Ưu tiên cho quản trị Theo đề nghị của các chuyên gia VNISA, doanh nghiệp nên dành 80% cho chi phí quản lý trong tổng chi phí đầu tư cho CNTT; chú trọng đến quy trình, huấn luyện, phân quyền truy cập… Chỉ cần để 20% chi phí còn lại cho trang thiết bị bao gồm hệ thống máy chủ, tường lửa, hệ thống mã hóa…. Các nhân viên quản trị ATTT cùng với quản trị mạng tạo ra một “hàng rào” ngăn chặn các đợt tấn công từ ngoài hoặc trong. Các bộ phận này sẽ áp dụng chính sách bảo mật nội bộ, đưa ra các quy định cụ thể về mật khẩu, cài đặt phần mềm phòng chống virus… Doanh nghiệp nên dành 80% cho chi phí quản lý trong tổng chi phí đầu tư cho CNTT; chú trọng đến quy trình, huấn luyện, phân quyền truy cập… Chỉ cần để 20% chi phí còn lại cho trang thiết bị bao gồm hệ thống máy chủ, tường lửa, hệ thống mã hóa. Bộ phận ATTT phải buộc các nhân viên khi sử dụng máy tính và truy cập hệ thống cần đảm bảo mật khẩu có đủ độ dài ký tự (bao gồm chữ và số) và phải có những ký tự đặc biệt, cho dù hầu hết nhân viên đều không thoải mái khi làm điều này. Nhân viên các bộ phận khi di chuyển trong công ty sẽ phải quét thẻ từ hoặc vân tay vào các thiết bị kiểm tra đặt trước cửa ra/vào của các khu vực. Điều này giúp cho bộ phận ATTT kiểm tra số lượt người ra/vào, phân quyền đối với một số khu vực hạn chế (VD: chỉ dành cho lãnh đạo). Doanh nghiệp cũng nên quan tâm đến giải pháp quản trị và lưu trữ tài liệu. Khi có hệ thống quản trị dữ liệu này thì nhân viên trong công ty sẽ không bận tâm đến việc quản lý và lưu trữ dữ liệu vì hệ thống sẽ tự động lưu trữ và sắp xếp ngăn nắp. Việc quản trị và lưu trữ thông tin cũng giúp cho việc tìm dữ liệu nhanh chóng và dễ dàng, tiết kiệm thời gian.

  PC WORLD VN, 11/2015