Cập nhật nội dung đào tạo nâng cao nhận thức về an toàn thông tin

13:55 | 11/06/2018

Theo Eddie Schwartz, Chủ tịch Hội đồng cố vấn an ninh mạng của Hiệp hội Kiểm toán và Kiểm soát Hệ thống thông tin (Information Systems Audit and Control Association - ISACA), khi xem xét các sự cố an ninh trong những năm gần đây, dù tấn công là tình cờ hay có chủ đích bằng mã độc, thì con người đều là điểm chịu lỗi quan trọng nhất. Vì thế, hầu hết các tổ chức/doanh nghiệp đều đã xây dựng những chương trình đào tạo nhằm nâng cao nhận thức về ATTT cho cán bộ, nhân viên. Tuy nhiên, các chương trình đó mới ở mức cơ bản và ít được cập nhật, nên việc đào tạo nâng cao nhận thức về ATTT chưa góp phần đáng kể vào công tác đảm bảo an toàn, an ninh thông tin.

Cập nhật nội dung đào tạo cho phù hợp với tình hình

Cũng giống như các chương trình đào tạo khác, nội dung đào tạo nhằm nâng cao nhận thức về ATTT cần theo kịp thực tiễn. Trong tình hình mới, khi các kỹ thuật tấn công mới liên tục xuất hiện, người dùng cần nắm được cách phòng tránh phù hợp, cũng như cách tận dụng những tính năng đảm bảo an toàn mới của hệ thống. Chẳng hạn, trước đây, người dùng được cảnh báo không mở các liên kết trong thư điện tử do người lạ gửi. Nhưng trong các cuộc tấn công có chủ đích hiện nay, tin tặc có thể xâm nhập bằng nhiều cách khác nhau vào địa chỉ hòm thư của đồng nghiệp, từ đó gửi những văn bản có liên quan, gây chú ý như danh sách tăng lương, khen thưởng.... Việc lây lan qua cổng USB cũng là điều không tránh khỏi. Để đảm bảo an toàn, phòng tránh những nguy cơ mới, cán bộ, nhân viên cần có thông tin về những kiểu tấn công mới xuất hiện để đề cao cảnh giác và được hướng dẫn sử dụng những công cụ đảm bảo an toàn mới triển khai.

Một khuyến cáo khác là, người dùng nên cài đặt ứng dụng từ kho ứng dụng Google Play để tránh những nguy cơ an ninh. Tuy nhiên, hiện nay đã có rất nhiều phần mềm chứa mã độc qua mặt được cơ chế kiểm soát của Google Play. Vì vậy, để đảm bảo an toàn, người dùng cần kiểm tra thêm thông tin về nhà phát triển, các quyền đòi hỏi của ứng dụng….

Trước đây, người dùng thường truy cập các trang web được bảo vệ bằng giao thức HTTPS. Nhưng trong nhiều năm qua, các trang web giả mạo đã sử dụng thành công chứng thực giả để đánh lừa người dùng. Google đã từng loại bỏ các chứng thực của Trung tâm thông tin mạng Internet Trung Quốc (China Internet Network Information Center - CNNIC) và sắp tới sẽ loại bỏ cả các chứng thực của Symantec. Những chứng thực xác thực mở rộng (Extended Validation) đã được đưa vào sử dụng nhiều năm, tuy nhiên nhiều người dùng chưa hiểu về ý nghĩa của chúng. Trình duyệt của các thiết bị có màn hình nhỏ như điện thoại di động không thể hiển thị rõ ràng, như trình duyệt trên PC. Những yếu tố đó nhắc nhở rằng, cần hướng dẫn người dùng kiểm tra chứng thực và các cảnh báo của trình duyệt, không nên tin vào việc website có sử dụng giao thức HTTPS.

Nếu trước đây người dùng thường chỉ quan tâm bảo vệ các dịch vụ tài chính, thì ngày nay, họ cần chú ý tới nhiều loại dịch vụ khác. Các dịch vụ như thư điện tử hay SIM điện thoại thường được dùng để khôi phục mật khẩu các dịch vụ tài chính. Các mạng xã hội như Facebook lưu giữ nhiều thông tin cá nhân quan trọng, với một số người thì những thông tin này cần được bảo vệ nghiêm ngặt hơn các dịch vụ tài chính. Không phải tự nhiên mà mạng xã hội chấp nhận mật khẩu phức tạp hơn một số ngân hàng Mỹ.

Tính sẵn sàng của hệ thống cũng là một trong ba yếu tố cấu thành ATTT. Vì thế, dù không tồn tại lỗ hổng hoặc không có vụ tấn công nào xảy ra, nhưng chỉ một hành động của người dùng cũng có thể dẫn đến sự cố trên toàn hệ thống. Chẳng hạn, tháng 11/2016, một lỗi gửi nhầm thư đã khiến toàn bộ hệ thống thư điện tử của Dịch vụ Y tế quốc gia Anh (National Health Service - NHS) tê liệt trong nhiều giờ. Nguyên nhân do một thông điệp trắng với dòng tiêu đề “test” bị gửi nhầm tới toàn bộ 850 nghìn nhân viên của NHS và khoảng 70 - 80 nhân viên nhấn nút “reply all” để báo lỗi đã khiến hệ thống máy chủ bị quá tải. Những thông điệp phục vụ công việc đã không thể được truyền đi trong ít nhất 3 giờ. Có thể không ít người sẽ nhấn Reply all khi nhận được một thông báo lỗi đơn giản. Rõ ràng, khuyến cáo không gửi thư chuỗi trong quy định sử dụng thư điện tử và nội dung đào tạo nâng cao nhận thức ATTT không được chú ý trong sự cố này. Để phòng tránh, người dùng cần biết về nguy cơ “tự tấn công từ chối dịch vụ”, cách thức và địa chỉ gửi báo cáo mỗi khi có sự cố.

Những hướng dẫn chi tiết

Nếu chương trình đào tạo nâng cao nhận thức ATTT chỉ là liệt kê những cảnh báo cơ bản, người dùng sẽ cảm thấy không hữu ích và không có hứng thú tìm hiểu, áp dụng. Do đó, cần đào tạo cho người dùng về quyền riêng tư, về ATTT và cách áp dụng vào thực tế.

Khi xu hướng sử dụng thiết bị cá nhân (điện thoại thông minh, máy tính bảng,…) ngày càng phổ biến, thì việc bảo vệ an toàn cho dữ liệu cá nhân và của tổ chức ngày càng trở nên khó khăn. Người dùng cần được được đào tạo để hiểu rõ nguy cơ lộ lọt thông tin của tổ chức và cách xử lý khi mất thiết bị cá nhân (báo cho quản trị hệ thống hoặc tự kích hoạt chức năng xoá thư điện tử từ xa). Tương tự, người dùng cần biết cách xoá dữ liệu trên điện thoại thông minh trước khi cho, hoặc bán để bảo vệ thông tin cá nhân và tổ chức.

Ví dụ, người dùng có thể bị lộ thông tin khi sử dụng máy tính xách tay trên máy bay (người ngồi cạnh nhìn trộm), khi truy cập mạng wifi công cộng, mượn dây sạc của người khác hoặc để máy tính xách tay trong két của khách sạn.

Tuỳ theo độ quan trọng của thông tin lưu trong máy, người dùng cần áp dụng những biện pháp bảo mật tương ứng. Những người dùng không chuyên về ATTT khó biết được toàn bộ những biện pháp bảo mật mà tổ chức có thể áp dụng và triển khai để bảo vệ. Những vấn đề như kiểm tra chứng thực số trên các trình duyệt/thiết bị khác nhau cũng không đơn giản và cần được hướng dẫn chi tiết. Vì thế, nội dung đào tạo nâng cao nhận thức về ATTT cần đi kèm với những tài liệu kỹ thuật cụ thể, giúp người dùng biết cần tham khảo ở đâu, liên hệ với ai khi cần.

Đào tạo nâng cao theo từng vị trí công việc

Việc đào tạo về ATTT cần được thực hiện định kỳ, ở tất cả các cấp độ của tổ chức và phải cụ thể cho từng vị trí công việc. Những cán bộ, nhân viên công nghệ thông tin cần có hiểu biết sâu sắc về các kỹ thuật tấn công hơn so với những người dùng cuối thông thường.

Để có thể đào tạo về ATTT phù hợp cho từng vị trí, cần xác định rõ những công việc mà mỗi vị trí đó đảm nhận và xác định những rủi ro có thể xảy ra. Chẳng hạn, những cán bộ, nhân viên marketing cần biết cách gửi thư điện tử tới khách hàng mà không bị các hệ thống phân loại thư nhận nhầm là thư rác, để người nhận thư không cho đó là trò lừa đảo của kẻ xấu.

Quan trọng hơn, khi quyền riêng tư của người tiêu dùng được đề cao, các luật bảo vệ thông tin cá nhân ngày càng chặt chẽ (Luật ATTT mạng của Việt Nam có hiệu lực từ ngày 01/7/2016, Quy định Bảo vệ Dữ liệu chung của EU có hiệu lực từ ngày 25/5/2018), thì mỗi cán bộ thiết kế, triển khai các sản phẩm dịch vụ đều phải được đào tạo để hiểu rõ quyền riêng tư của khách hàng và cách đảm bảo quyền đó (cũng chính là bảo vệ tổ chức/doanh nghiệp trước nguy cơ vi phạm pháp luật). Họ phải là những người xác định và kiểm soát các yêu cầu bảo mật của hệ thống chứ không đơn thuần trông chờ vào bộ phận chuyên trách về ATTT.

Nếu mỗi cán bộ nghiệp vụ không hiểu biết, không tham gia vào việc xác định yêu cầu an ninh của từng sản phẩm dịch vụ ngay từ ban đầu, thì toàn bộ hệ thống sẽ phụ thuộc hoàn toàn vào chốt chặn cuối của bộ phận chuyên trách về ATTT. Ngoài việc không có khả năng bảo vệ an toàn theo chiều sâu, sự quá tải là điều dễ xảy ra và các sự cố sẽ có khả năng xuất hiện nhiều hơn. Mặt khác, hiểu được những khó khăn trong việc bảo vệ ATTT và tuân thủ các quy định, các cán bộ nghiệp vụ phải cân nhắc kỹ hơn khi quyết định thu thập thông tin cá nhân của khách hàng, không thu thập quá nhiều thông tin, hay thu thập những thông tin chưa cần sử dụng.

Áp dụng những phương pháp đào tạo bổ sung

Nội dung phù hợp là điều kiện cần, nhưng chưa phải là điều kiện đủ cho đào tạo về ATTT. Các tổ chức cần lựa chọn áp dụng những phương thức đào tạo hợp lý. Đào tạo trực tuyến (e-learning) có thể giúp tổ chức có được hình thức đào tạo linh hoạt, tiết kiệm. Đào tạo thực tế qua những cuộc tấn công giả lập, tự thực hiện hay thuê ngoài sẽ giúp người dùng hiểu rõ phương thức tấn công của kẻ xấu, cũng như ảnh hưởng của các cuộc tấn công đối với tổ chức, cá nhân và cách phòng tránh. Sau mỗi cuộc diễn tập, một số nhân viên sẽ được yêu cầu chia sẻ kinh nghiệm thực tế của họ, giúp đồng nghiệp hiểu rõ hơn. Các cuộc diễn tập cũng giúp bộ phận an ninh nhận biết những phòng ban nào còn yếu trong những mảng nào để có kế hoạch đào tạo bổ sung thích hợp.

Cuối cùng, dù với hình thức và nội dung đầy đủ đến đâu thì việc đào tạo cũng không thể là biện pháp duy nhất để nâng cao nhận thức về ATTT. Chúng ta cần có các phần thưởng, công nhận cho những người dùng có công phát hiện các nguy cơ mất an toàn (thư lừa đảo, dấu hiệu vi phạm quy định trong nội bộ tổ chức, những lỗ hổng/thiếu sót trong quá trình triển khai sản phẩm dịch vụ) và những người góp phần tuyên truyền nâng cao nhận thức về ATTT.