Một kết quả đưa ra tại hội thảo Security World 2008 làm giật mình nhiều nhà quản lý: nhân viên (NV) là đối tượng có nhiều khả năng đe dọa ATTT nhất.
Kết quả khảo sát do công ty PricewaterhouseCoopers (PwC) và tạp chí CIO (Mỹ) kết hợp thực hiện trong nhiều năm qua cho thấy mối đe dọa từ con người bên trong các tổ chức đang tăng lên. Năm 2007, 48% các câu trả lời quy cho NV so với 41% quy cho các tin tặc. Năm 2005, chỉ 33% câu trả lời xem các NV là nguồn có khả năng đe dọa nhất so với 63% quy cho tin tặc. Trong khi hầu hết các tổ chức, doanh nghiệp (TC/DN), đặc biệt là các ngân hàng (NH) tập trung phân bổ nhiều nguồn lực hơn để phòng chống xâm nhập từ bên ngoài thì các hệ thống nội bộ lại đang đầy rẫy những sơ hở.
TGVT - PCWVN đã trao đổi với bà Vilaiporn Taweelappongtong, chuyên gia an ninh mạng về các định chế tài chính của PwC, để làm rõ hơn nguyên do của các kẽ hở này và cách phòng ngừa.
Bảo vệ thông tin bằng phép thử
Bà có thể chỉ ra đâu là những rủi ro được cho là từ các NV?
Bà Vilaiporn Taweelappongtong |
Vậy có cách nào làm giảm các nguy cơ rủi ro đó không, thưa bà?
,, Hầu hết các tổ chức đều dành phần lớn nguồn lực để chống xâm nhập từ người bên ngoài nhiều hơn từ người bên trong ,, |
Các NH và các định chế tài chính cần thực hiện nhiều cách thử khác nhau về kỹ thuật xâm nhập nhằm xác định và phòng bị tích cực các khả năng bị nguy hiểm trong môi trường CNTT. Mục đích của các cuộc thử là mô phỏng các cuộc tấn công thực tế để phát hiện ra các yếu kém trong hệ thống và xác định xem TC/DN của bạn dễ bị nguy hiểm ra sao đối với các xâm nhập của tin tặc cũng như để đánh giá các chính sách an ninh được thực hiện tốt hay không. Việc thử xâm nhập còn là một yêu cầu để đánh giá chuyên sâu chức năng CNTT trong các dàn xếp về sáp nhập hoặc mua lại, triển khai các hệ thống mới và cơ sở hạ tầng mới, đánh giá đơn vị có hoạt động kinh doanh quốc tế và các mối quan tâm đối với tính riêng tư và tính bảo mật của các loại tài liệu mang tính nhạy cảm.
Mạng không dây, giao dịch điện tử: Tiềm ẩn nhiều rủi ro
Như bà đã nói ở trên, các NV là đối tượng mang đến nguy cơ cao. Vậy, những đối tượng này có thể thực hiện các phép thử được không?
“Thử xâm nhập từ trong” hay nói cách khác là các cuộc thử an ninh đối với các hệ thống nội bộ, các ứng dụng, các cơ sở dữ liệu, cơ sở mạng lưới hạ tầng chính là một phương pháp mà chúng tôi đang cung cấp nhằm kiểm soát mạng lưới nội bộ. Kiểm tra thâm nhập thử từ bên trong mô phỏng một kịch bản xâm nhập do những người bị giới hạn tiếp cận với tài sản của cơ quan và những người sử dụng máy tính hợp pháp thực hiện dù không được phép. Tấn công từ các hệ thống nội bộ nghiêm trọng hơn nhiều so với tấn công vào cổng Internet. Khi thực hiện bài kiểm định thử thâm nhập từ trong, đội kiểm định có thể phát hiện ra những dữ liệu nhạy cảm được lưu trữ trên mạng mà không được bảo vệ. Chúng tôi áp dụng các quy định rất nghiêm ngặt để bảo vệ các dữ liệu và các kết quả tìm thấy.
Nhiều công ty ngày nay sử dụng cơ sở hạ tầng không dây và các cuộc tấn công có thể thực hiện thông qua các tiếp điểm yếu kém hay qua các KH sử dụng không dây. Một khi cơ sở hạ tầng không dây bị bẻ gãy, những tên tấn công có thể phát động nhiều cuộc tấn công hơn nữa lên mạng lưới nội bộ. Vì vậy, cần có các cuộc thử đặc biệt tập trung vào cơ sở hạ tầng không dây, như các tiếp điểm và các KH kết nối từ xa. Ngoài ra, nên thử kiểm tra ý thức về an ninh của NV như: thử xâm nhập vào một số khu vực hạn chế mà không xin phép, lấy thông tin mật khẩu từ NV hay bới thùng rác để tìm kiếm thông tin nhạy cảm.
Đối với các tổ chức tài chính, NH, các giao dịch điện tử mang lại nhiều tiện lợi cho KH nhưng cũng tiềm ẩn rủi ro và các lỗ hổng an ninh tồn tại trong các ứng dụng web. Các chuyên gia an ninh sẽ kiểm tra độ an toàn của các ứng dụng NH điện tử theo quan điểm của người sử dụng hợp pháp và bất hợp pháp. Họ cố gắng truy cập các ứng dụng và tiếp cận dữ liệu của KH hay thử giao dịch trái phép trong các ứng dụng NH điện tử...
Kiểm tra thâm nhập thử thực chất là bài thực tập có rủi ro cao và có thể gây ra những hậu quả nghiêm trọng cho các hệ thống và mạng lưới. PwC nhận thức được điều này và đã kết hợp chặt chẽ mô thức quản trị rủi ro vào phương pháp kiểm định. Các mẫu rủi ro bao gồm việc sử dụng các công cụ scan mà đôi khi tạo ra rủi ro cho các hệ thống đang vận hành; các dữ liệu nhạy cảm được bảo vệ không đúng cách có thể được phát hiện ra trong lúc kiểm định; bất cập trong việc bảo vệ các kết quả phát hiện, bài kiểm định không đủ chiều sâu và chi tiết...
Như vậy việc thử thâm nhập quan hệ như thế nào tới việc quản trị rủi ro, thưa bà?
Việc thử thâm nhập có thể được dùng liên tục trong quá trình đánh giá rủi ro. Ví dụ: việc KH mất niềm tin có thể phát sinh từ sự thực hiện yếu kém hay từ việc các dữ liệu KH không được bảo vệ đúng cách. Việc thâm nhập thử có thể được dùng để phát hiện những yếu kém này và các phát hiện đó được dùng làm dữ liệu đầu vào khi thiết kế các quy trình quản trị rủi ro cũng như phát triển kế hoạch khắc phục tốt hơn.
Thu Nga (thực hiện)