An toàn thông tin là một yếu tố bắt buộc, không phải là một lựa chọn. Đây không chỉ là một năng lực cạnh tranh mà chính là năng lực sinh tồn của các doanh nghiệp. Điều quan trọng là cần nhận thức rõ vai trò của con người trong việc đảm bảo an toàn thông tin cho hệ thống.
CON NGƯỜI ĐÓNG GÓP ĐẾN 95% CÁC VỤ VI PHẠM AN NINH MẠNG
Đây là kết luận của một nghiên cứu do hãng IBM thực hiện trên 140 quốc gia toàn cầu. IBM đã đưa ra một con số trung bình về lỗi của con người trong các sự cố an toàn thông tin là 95%, bao gồm cả vô tình lẫn cố ý, tuy nhiên, theo ông Ngô Việt Khôi, chuyên gia an toàn thông tin cao cấp của Hiệp hội An toàn thông tin Việt Nam (VNISA), thì con số này ở Việt Nam có thể phải đến 99%.
Theo ông Ngô Việt Khôi, nghiên cứu của IBM, cho thấy “hacker chỉ cần khai thác nốt một vài phần trăm còn lại là có thể hoàn thành một cuộc tấn công”, ông Ngô Việt Khôi nói. “Có thể nói rằng chúng ta đang tự tạo cơ hội cho hacker bằng những lỗ hổng đến từ yếu tố con người. Con người không chỉ là nạn nhân tiềm năng mà còn là yếu tố rủi ro hàng đầu trong vấn đề an ninh thông tin”, ông Khôi cho biết.
Trong khi đó, hiện nay xu hướng tấn công của hacker đang có sự thay đổi rõ rệt. Theo báo cáo uy tín hàng năm của hãng Verizon (Hoa Kỳ) về thất thoát dữ liệu, thay vì tập trung vào các hệ thống lớn, hacker ngày càng nhắm đến yếu tố con người nhiều hơn. Cụ thể, có đến 83% các vụ thất thoát dữ liệu liên quan đến con người, 74% trong số đó liên quan trực tiếp đến lỗi từ yếu tố con người, và 49% các vụ này bắt nguồn từ việc khai thác tài khoản như username và password.
Xem xét sâu hơn, 82% các vụ rò rỉ dữ liệu là do yếu tố con người bên ngoài hệ thống, trong khi các yếu tố bên trong hệ thống chiếm khoảng 20%. Điều này cho thấy hệ sinh thái an ninh mạng phụ thuộc rất lớn vào những người mà tổ chức kết nối và tương tác. Đặc biệt ở Việt Nam, thói quen sử dụng phần mềm bẻ khóa, phần mềm miễn phí không được cập nhật thường xuyên càng làm tăng nguy cơ bị tấn công. “Đây thực sự là cơ hội lớn cho hacker”, ông Ngô Việt Khôi nói.
“Điều mà các chuyên gia bảo mật nhận ra là hacker không tấn công vào chính những thiết bị như máy chủ hay máy tính mà chúng ta cố gắng bảo vệ”, ông Khôi nói. “Thay vào đó, chúng nhắm vào những người đang quản lý tài khoản của các thiết bị đó. Bởi vì, con người có những đặc điểm mà hacker có thể lợi dụng như sự tin tưởng, cả tin, thói quen và đôi khi là sự chủ quan. Hacker hiểu rõ điều này và khai thác yếu tố con người thay vì cố gắng xâm nhập trực tiếp vào lớp vỏ bảo vệ của thiết bị”.
PHẦN LỚN KHOẢN CHI AN TOÀN THÔNG TIN LÀ MUA “ÁO GIÁP”, TRONG KHI CON NGƯỜI MỚI LÀ ĐIỂM YẾU CHÍNH
"Tôi từng đến dạy tại một doanh nghiệp quản lý quảng cáo cho năm kênh truyền hình lớn, với doanh thu lên đến ngàn tỷ đồng, nhưng họ không sẵn sàng chi 2 triệu đồng để trả cho giảng viên về an toàn thông tin”, ông Khôi chia sẻ khi đề cập đến câu chuyện nhận thức của doanh nghiệp đối với an toàn thông tin. “Bởi vì, họ thấy rằng 2 triệu đồng đó là một khoản đầu tư không cần thiết, dù nguồn thu của họ mỗi ngày đều có nguy cơ bị hacker tấn công”.
Ông Ngô Việt Khôi cũng đưa ra bức tranh tổng quát về an toàn thông tin, dựa trên ba chữ P, chính là Product (giải pháp an toàn thông tin), Policy (chính sách an toàn thông tin) và People (con người).
“Thực tế hiện nay, ba chữ "P" tại Việt Nam đang được quan tâm theo cách chưa cân bằng. Có đến 99% khoản chi an toàn thông tin đều dành để mua "áo giáp", tức là mua các giải pháp phần mềm, trong khi phần lớn chính sách lại chưa có hoặc có nhưng không được thực hiện đúng đắn. Chính sách an toàn thông tin giống như các tiêu lệnh chữa cháy treo trên tường, và khi xảy ra sự cố thì chẳng ai làm theo các tiêu lệnh đó”.
Doanh nghiệp dành phần lớn khoản chi vào chữ P giải pháp, trong khi đó, phần lớn các vấn đề sự cố, đến 97-98%, lại bắt nguồn từ chính yếu tố con người. Thách thức lớn nhất cho những chuyên gia đào tạo nhận thức về an toàn thông tin là lãnh đạo doanh nghiệp thường cảm thấy điều đó “không cần thiết”.
Để tấn công qua cửa ngõ con người, hacker có rất nhiều cách tiếp cận, bởi lẽ không ai làm việc hoàn toàn một mình, hiếm ai chỉ sử dụng một thiết bị riêng biệt cho công việc, một thiết bị riêng cho trò chuyện với bạn bè, hay một thiết bị riêng cho gia đình. Vì vậy, bất kỳ ai trong hệ thống đều có thể trở thành nạn nhân bị tấn công thông qua các kết nối và mối liên hệ với những người khác.
Và điểm yếu trong an toàn thông tin của các doanh nghiệp không phải là thiếu tiền mua giải pháp, mà điểm yếu chính là con người, thói quen của con người. Do đó, văn hóa an toàn cần phải được xây dựng và hình thành. An toàn thông tin là trách nhiệm của tất cả mọi người và khởi đầu từ người lãnh đạo. Ở đâu người lãnh đạo đứng ngoài câu chuyện an toàn thông tin, thì ở đó việc đào tạo nhận thức an toàn thông tin thất bại và văn hóa an toàn thông tin không có.
Theo chuyên gia, để đảm bảo an toàn thông tin, điều quan trọng là doanh nghiệp hãy xây dựng một văn hóa an toàn thông tin, thay vì chỉ áp dụng những nghị quyết, quy định, nội quy hay KPI để bắt buộc mọi người phải đảm bảo an toàn.