Con người - lỗ hổng bảo mật lớn!

ICTnews - Công ty bảo mật BitDefender vừa công bố kết quả một cuộc thử nghiệm thú vị do họ tiến hành tại Việt Nam. Cuộc thử nghiệm thú vị này đã cho những kết quả khá “sốc”.

Cụ thể, trong 4 tháng (từ tháng 5/2010 đến hết tháng 8/2010), công ty này đã cử các cô gái xinh đẹp của mình đến làm quen với các nhân viên CNTT của 200 công ty lớn tại Việt Nam (các công ty này nằm trong danh sách Top 500 doanh nghiệp lớn nhất Việt Nam). Các nhân viên CNTT này gồm có các giám đốc CNTT (CIO), nhân viên bảo mật và nhân viên đảm bảo hệ thống.

Kết quả là có đến 86% số nhân viên nam giới trong diện khảo sát khi tiếp cận với các mỹ nhân đã khá vô tư và dễ dàng chia sẻ thông tin cá nhân – những thông tin rất quan trọng trong những câu hỏi yêu cầu khôi phục mật khẩu, và cả các thông tin liên quan đến bí mật kinh doanh của doanh nghiệp. Có 31% số nhân viên này phụ trách bảo mật hệ thống của các doanh nghiệp lớn với những thông tin kinh tế, tài chính, bí mật kinh doanh… cực kỳ quan trọng.

Kết quả này càng khẳng định rõ rằng: Con người, chứ không phải là các giải pháp kỹ thuật và công nghệ, mới là yếu tố quan trọng nhất trong bảo mật các hệ thống thông tin. Nhưng dường như nguyên tắc này chưa bao giờ được các tổ chức, doanh nghiệp Việt Nam thực sự đề cao và áp dụng triệt để.

Tại nhiều doanh nghiệp Việt Nam, khi nói đến việc xây dựng hệ thống an toàn thông tin của doanh nghiệp, phần đa đều nghĩ đến việc mua sắm các giải pháp bảo mật, an toàn thông tin, trang bị hệ thống phần mềm diệt virus, hệ thống dò tìm, phát hiện và ngăn chặn xâm nhập. Trong khi đó, các chuyên gia cho biết, tỷ lệ chi phí đầu tư bảo mật hợp lý nhất ở các doanh nghiệp phát triển hiện nay trên thế giới là chỉ dành 20% chi phí đầu tư cho các giải pháp, thiết bị công nghệ, 80% chi phí sẽ được dành cho việc xây dựng hệ thống chính sách bảo mật với nhân viên, tức là chi phí cho bảo mật từ nhận thức, từ con người.

Ở các doanh nghiệp nước ngoài, bên cạnh nhận thức về bảo mật thông tin của nhân viên luôn được đề cao thì những chính sách quản lý các luồng thông tin vào, ra của doanh nghiệp được thực thi rất chặt chẽ, như các nhân viên không được phép sử dụng các thiết bị lưu trữ dữ liệu cầm tay (như các ổ lưu trữ USB, đĩa CD-ROM…) trong văn phòng, luồng dữ liệu gửi qua hệ thống email được kiểm soát chặt chẽ, theo các tiêu chuẩn bảo mật dữ liệu. Còn ở Việt Nam, ngoài một số ít các doanh nghiệp buộc phải xây dựng những chính sách bảo mật thông tin, như các doanh nghiệp gia công phần mềm chẳng hạn, thì đa số các doanh nghiệp không có chính sách quản lý các thiết bị lưu trữ dữ liệu của nhân viên, hay kiểm duyệt luồng dữ liệu được trung chuyển qua hệ thống email, chat… Vì thế, có những trường hợp nhân viên xin nghỉ việc đã thoải mái mang theo rất nhiều dữ liệu, thông tin kinh doanh quan trọng của doanh nghiệp. Điều này lại càng đặc biệt nguy hiểm nếu như các nhân viên đó chuyển sang làm việc tại các công ty là đối thủ cạnh tranh của doanh nghiệp này.

Việc không coi trọng xây dựng chính sách bảo mật thông tin trong doanh nghiệp đối với các nhân viên của nhiều doanh nghiệp tại Việt Nam cũng đồng nghĩa với việc tạo ra nhiều mục tiêu “béo bở” dành cho giới hacker (tin tặc). Bởi các chuyên gia bảo mật nhận định rằng, các hacker tập sự thì tìm ra các lỗ hổng bảo mật của hệ thống, nhưng những hacker lão luyện hơn sẽ đánh mạnh vào yếu tố con người, bởi đây chính là yếu tố sơ hở và ít tốn kém nhất để các hacker có thể dễ dàng xâm nhập và chiếm quyền kiểm soát hệ thống thông tin của doanh nghiệp.

Không thể muộn hơn nữa, các doanh nghiệp Việt Nam cần thay đổi tư duy và cách tiếp cận trong việc xây dựng hệ thống bảo mật – an toàn thông tin của doanh nghiệp mình. Cần tiếp thu những kinh nghiệm và các nguyên tắc bảo mật thông tin mà các doanh nghiệp trên thế giới đang áp dụng, trong đó quan trọng hơn cả là nâng cao nhận thức về an toàn thông tin từ chính các nhân viên của mình và thực thi các chính sách quản lý, bảo vệ thông tin nghiêm khắc trong hoạt động kinh doanh của doanh nghiệp.

Lê Minh

Đọc toàn bộ bài viết trên báo Bưu điện Việt Nam số 111 ra ngày 15/9/2010.