BẢO VỆ LÃNH ĐẠO KHÔNG NÊN DỪNG LẠI Ở BẢO VỆ THỂ CHẤT ĐƠN THUẦN
Các mối đe dọa đối với các nhà lãnh đạo trong các TC/DN đã trở nên phổ biến đến mức họ phải tiêu tốn một khoản chi tiêu trị giá hàng triệu đô la trong ngân sách của mình. Mới đây, Bloomberg News đưa tin, vào năm 2021, Meta Platforms, Inc. (hay còn gọi là Facebook) đã chi hơn 15,2 triệu đô la Mỹ cho các chi phí liên quan đến việc bảo vệ CEO Mark Zuckerburg ở mọi nơi. Vào tháng 4/2021, sàn giao dịch tiền tệ kỹ thuật số Coinbase (Hoa Kỳ) đã công bố ý định thuê các chuyên gia bảo mật có “kỹ năng chống giám sát” và “kỹ năng lái xe chiến thuật”. Tuy nhiên việc này mới chỉ là bảo vệ về mặt thể chất, trong khi dấu vết kỹ thuật số cá nhân của các lãnh đạo TC/DN đang là tác nhân chính gây ra rủi ro vật lý. Tấn công mạng có thể là khởi điểm của các cuộc tấn công ngoài đời thực.
Vào năm 2019, một người đàn ông có thể xác định ga tàu mà một ngôi sao nhạc pop Nhật Bản thường lui tới, bằng cách nhìn thấy nhà ga phản chiếu trong mắt cô ấy trong một bức ảnh tự chụp mà cô đăng lên Instagram. Anh ta đã sử dụng “Chế độ xem phố của Google” để tìm ra vị trí của cô khi chụp ảnh. Từ đó, người đàn ông này chỉ cần đợi ở nhà ga cho đến khi cô xuất hiện và sau đó theo cô về nhà và hành hung.
Ví dụ trên cho thấy rằng, bảo vệ kỹ thuật số cho các lãnh đạo cao cấp cũng quan trọng như việc ngăn chặn các mối đe dọa vật lý. Ngày nay, một trong những cách phổ biến nhất mà các cuộc tấn công vật lý và kỹ thuật số bắt nguồn là thông qua thông tin cá nhân từ các nhà môi giới dữ liệu trực tuyến. Họ nắm bắt và bán lại thông tin nhận dạng cá nhân, từ email, số điện thoại, vị trí địa lý và địa chỉ nhà đến hồ sơ kinh doanh, lịch sử duyệt và tìm kiếm, tài sản tài chính, bài đăng trên mạng xã hội, hồ sơ bầu cử và hơn thế nữa.
Ở Việt Nam, tình trạng lộ lọt thông tin cá nhân còn nghiêm trọng hơn, khi số lượng thông tin bị bán chui ra thị trường bên ngoài là rất lớn. Điển hình năm 2020 đã có trường hợp thông tin người dùng được rao bán rầm rộ trên mạng, trong đó bao gồm danh sách các tổng giám đốc ở Hà Nội, 1.100 giám đốc ở Đà Nẵng, 1.200 chủ tịch hội đồng quản trị, 850 thành viên câu lạc bộ doanh nhân... Theo Bộ Công an, các gói dữ liệu thô hiện nay được rao bán liên quan tới nhiều lĩnh vực khác nhau như: danh sách cán bộ, danh sách nội bộ (thậm chí bao gồm cả các đơn vị công an, quốc phòng).
MỐI NGUY CỦA VIỆC LỘ DỮ LIỆU CÁ NHÂN CỦA LÃNH ĐẠO VÀ NHỮNG ĐIỂM YẾU CỦA THIẾT BỊ CÁ NHÂN
Theo nghiên cứu của công ty bảo mật BlackCloak, 99% giám đốc điều hành có thông tin cá nhân như email, số điện thoại, ngày sinh và nhiều thông tin khác được đăng tải trên hơn 30 trang web môi giới dữ liệu. Nghiên cứu đã tổng hợp dữ liệu từ 750 giám đốc điều hành cũng phát hiện ra rằng:
- 70% hồ sơ của các vị lãnh đạo được tìm thấy trên các trang web môi giới dữ liệu chứa thông tin và ảnh trên mạng xã hội cá nhân, phổ biến nhất là từ LinkedIn và Facebook.
- 40% công ty môi giới dữ liệu trực tuyến có địa chỉ IP mạng gia đình của các giám đốc điều hành.
- 95% hồ sơ về lãnh đạo doanh nghiệp chứa thông tin cá nhân và bí mật về gia đình, người thân và hàng xóm của họ.
- Trung bình, các nhà môi giới dữ liệu trực tuyến duy trì hơn 3 địa chỉ email cá nhân cho mỗi hồ sơ về lãnh đạo doanh nghiệp.
Điều đáng lưu ý là các cuộc tấn công không chỉ do những kẻ xấu không chuyên thực hiện. Gần đây, tin tặc có tay nghề cao tại các quốc gia đã bắt đầu có chiến lược vượt qua các kiểm soát an ninh của chính phủ và tổ chức, bằng cách tấn công những gì mà đội ngũ bảo mật không thể kiểm soát như quyền riêng tư trực tuyến, thiết bị cá nhân và mạng gia đình.
Theo BlackCloak, dữ liệu nội bộ của 87% thiết bị cá nhân của giám đốc điều hành không có bất kỳ biện pháp kiểm soát an ninh mạng nào và có ít nhất 27% thiết bị chứa phần mềm độc hại chưa được phát hiện trước đó.
Ngoài ra, 75% thiết bị cá nhân bị rò rỉ dữ liệu do cài đặt quyền riêng tư của thiết bị không được thiết lập hoặc cấu hình không đúng. Bên cạnh đó, mật khẩu cá nhân hay các thông tin liên quan của 69% giám đốc điều hành đã bị rò rỉ trên các diễn đàn darkweb.
Theo một nghiên cứu của CyRC (Trung tâm Nghiên cứu An ninh mạng Synopsys), có hơn 60% ứng dụng Android chứa các lỗ hổng bảo mật với số lỗi trung bình trên mỗi ứng dụng là 39 lỗ hổng. Cũng theo nghiên cứu của Positive Technologies thì ít nhất 38% ứng dụng iOS có lỗ hổng bảo mật. Tuy nhiên, phần lớn người tiêu dùng vẫn tin rằng các ứng dụng và thiết bị iOS miễn nhiễm với các mối đe dọa và lỗ hổng bảo mật.
SỬ DỤNG TÀI KHOẢN CÁ NHÂN CỦA LÃNH ĐẠO LÀM BÀN ĐẠP TẤN CÔNG TỔ CHỨC
Theo nghiên cứu của các chuyên gia bảo mật thuộc công ty Proofpoint, 88% TC/DN bị tội phạm mạng nhắm mục tiêu vào các lãnh đạo cấp cao trong năm 2019 và 65% các nhóm tấn công mạng nhắm mục tiêu vào các địa chỉ email cụ thể để xâm nhập vào các công ty. Chúng ta có thể hiểu rõ hơn về một số cách thức tấn công của tin tặc trong hai ví dụ cụ thể sau đây.
Năm 2014, công ty kinh doanh hàng hóa Scoular Co. (Hoa Kỳ) đã mất 17,2 triệu USD khi kiểm soát viên của họ nhận được email từ kẻ giả mạo là Giám đốc điều hành của công ty yêu cầu chuyển tiền cho một ngân hàng Trung Quốc. Nguyên nhân do tin tặc đã biết được Scoular Co. đang xem xét việc mua lại một công ty ở Trung Quốc và hợp tác với công ty tư vấn KPMG.
Trong email gửi đến kiểm soát viên, tin tặc yêu cầu nhân viên chuyển tiền cho một vụ mua lại của Trung Quốc thông qua công ty kế toán và không thảo luận về giao dịch thông qua các kênh khác do các quy định của Ủy ban chứng khoán Hoa Kỳ. Người liên hệ tại KPMG là một nhân viên thật nhưng địa chỉ email và số điện thoại là giả mạo do tin tặc thiết lập với các địa chỉ email được tạo ra ở Đức, Pháp và Israel thông qua máy chủ tại Nga.
Khi kiểm soát viên gọi đến số lừa đảo, có người trả lời đúng tên và biết về giao dịch. Kiểm soát viên đã chuyển tiền theo hướng dẫn và sau đó mới phát hiện ra gian lận. Các nhà chức trách không thể bắt được các tin tặc hoặc thu hồi được bất kỳ khoản tiền nào.
Trong một vụ việc khác, ông McBride, Tổng Giám đốc của một công ty quản lý tài sản có trụ sở ở London đã nhận được email của tin tặc giả danh hiệu trưởng trường học của con gái. Nội dung thư khen ngợi cô con gái và đề nghị ông tham gia đóng góp ủng hộ giáo viên nghệ thuật bị bệnh nặng thông qua một liên kết trong thư. Dù McBride đã trải qua các khóa đào tạo kỹ năng về an toàn thông tin nhưng ông vẫn không hề nghi ngờ về bức thư nhận được vì nội dung thư cho thấy người gửi biết rất rõ về gia đình ông và tình hình học tập của con gái ông.
Vì biết con gái rất yêu quý giáo viên nghệ thuật nên McBride nóng lòng giúp đỡ bằng cách truy cập liên kết giả mạo trang gây quỹ từ thiện của giáo viên nhà trường. Việc đó khiến máy tính của ông bị lây nhiễm mã độc và cho phép tin tặc truy cập tài khoản thư điện tử của ông tại công ty. Từ đó, tin tặc đã mạo danh ông gửi thư cho phòng kế toán yêu cầu chuyển gấp 225 ngàn bảng Anh cho một nhà cung cấp ở Hồng Kông. Nhân viên phòng kế toán nhận được yêu cầu “khẩn” từ tổng giám đốc nên đã chuyển khoản ngay lập tức.
NHỮNG KHÓ KHĂN TRONG VIỆC BẢO VỆ CUỘC SỐNG SỐ CỦA LÃNH ĐẠO
Trên lý thuyết, đội ngũ bảo mật có thể áp dụng một số biện pháp bảo vệ để giúp các nhà lãnh đạo của TC/DN được an toàn trong cuộc sống cá nhân của họ, cụ thể như:
- Đảm bảo rằng xác thực đa yếu tố được áp dụng trên tất cả các thiết bị, ứng dụng và hệ thống cá nhân (bao gồm cả gia đình) cho phép áp dụng. Nên thực hiện chặn quyền truy cập vào tất cả các hệ thống của công ty từ bất kỳ thiết bị nào không được triển khai xác thực đa yếu tố.
- Gửi yêu cầu hủy tới càng nhiều nhà môi giới dữ liệu trực tuyến càng tốt, hạn chế khả năng kẻ xấu lấy thông tin cá nhân cần thiết để khởi động các cuộc tấn công lừa đảo trực tuyến.
- Đặt cập nhật hệ điều hành và firmware tự động trên tất cả các thiết bị cá nhân; thực hiện bảo mật mạng gia đình thông qua tường lửa của bộ định tuyến và mã hóa mạng wifi để đảm bảo tính toàn vẹn của thông tin liên lạc.
- Đảm bảo tất cả các thiết bị cá nhân, bao gồm cả thiết bị của người thân lãnh đạo đã được cài đặt và cập nhật phần mềm diệt virus.
- Cài đặt bảo mật wifi để bảo vệ mạng gia đình của lãnh đạo hoặc thiết lập mạng khách khi có khách hay người khác đến thăm nhà và thực hiện kết nối vào mạng này.
Tuy nhiên trên thực tế thì không thể mở rộng hệ thống quản lý thiết bị di động hay cài đặt phần mềm an ninh vào thiết bi thông minh cho các thiết bị cá nhân của người thân trong gia đình lãnh đạo vì nó sẽ khiến họ không thoải mái và có cảm giác bị kiểm soát, do vậy khó có ai trong gia đình lãnh đạo chấp thuận điều đó.
Ngay cả khi có thể thực hiện kiểm soát bảo mật các thiết bị đó thì cũng không có cách nào để cấu hình, đào tạo và thực thi các chính sách. Các chuyên gia cũng không thể yêu cầu người thân của lãnh đạo trang bị những kỹ năng cần thiết để phòng tránh được những rủi ro lừa đảo hoặc yêu cầu cập nhật hệ điều hành mới nhất ngay khi nó có sẵn. Đó là chưa kể đến việc các đơn vị phụ trách bảo mật cũng không thể luôn bảo vệ thiết bị cá nhân của lãnh đạo. Họ đã có quá nhiều công việc phải làm để bảo vệ doanh nghiệp hàng ngày. Để vượt qua những khó khăn trên, lãnh đạo TC/DN phải hiểu được tầm quan trọng của việc bảo vệ cuộc sống số, chủ động hỗ trợ đội ngũ bảo mật bằng cách tách biệt tối đa giữa đời sống và công việc, tự bảo vệ thông tin cá nhân và gia đình, tăng cường nâng cao hiểu biết về an toàn thông tin của bản thân và đồng nghiệp.