Truyền thông nâng cao nhận thức về an toàn thông tin cho người dùng

Xu hướng - Dự báo - Ngày đăng : 20:18, 03/11/2015

Trong những năm gần đây, rất nhiều sự cố mất an toàn thông tin (ATTT) trên mạng, từ việc lan tràn thư rác đến việc phá hoại, đánh cắp thông tin đã và đang xảy ra cả trong và ngoài nước. Trong nhiều trường hợp, nạn nhân đều là những tổ chức đã có sự đầu tư đáng kể cho công nghệ bảo đảm ATTT.

Vì SAO CẦN TRUYỀN THÔNG NÂNG CAO NHẬN THỨC VỀ AN TOÀN THÔNG TIN CHO NGƯỜI DÙNG?

Trong những năm gần đây, rất nhiều sự cố mất an toàn thông tin (ATTT) trên mạng, từ việc lan tràn thư rác đến việc phá hoại, đánh cắp thông tin đã và đang xảy ra cả trong và ngoài nước. Trong nhiều trường hợp, nạn nhân đều là những tổ chức đã có sự đầu tư đáng kể cho công nghệ bảo đảm ATTT. Ví dụ, ngay ở nước Mỹ là nơi có nền công nghệ thông tin phát triển hàng đầu thế giới vẫn xảy ra những vụ tin tặc đánh cắp hàng triệu số thẻ tín dụng và thông tin cá nhân của khách hàng từ những nhà bán lẻ lớn nhất nước Mỹ (Home Depot), xâm nhập cả vào mạng thông tin của Chính phủ... Kết quả điều tra các vụ tấn công mạng cho thấy, nhiều tổ chức, doanh nghiệp đã trang bị đầy đủ các công cụ phòng chống mã độc trong khi thủ đoạn tấn công của tin tặc không quá phức tạp. Nói cách khác, công nghệ đã hoàn thành nhiệm vụ của mình. Thực tế thì nguyên nhân nằm ở hàng loạt những sai lầm của con người mà thường khởi đầu là những vụ tấn công lừa đảo có chủ đích (target phising) vào người dùng (nhân viên trong tổ chức, doanh nghiệp). Những vụ tấn công này diễn ra âm thầm từ lâu mà người dùng vô tình không biết, giúp cho tin tặc thu thập đủ những thông tin nhạy cảm của khách hàng trong các hệ thống thanh toán hay các hệ thống thông tin quan trọng khác.

Đảm bảo ATTT bao giờ cũng gắn liền với 3 yếu tố chủ yếu: Công nghệ, Con người và Quy trình. Ba yếu tố này phải cùng được đầu tư phát triển đồng bộ, gắn kết chặt chẽ với nhau. Phần lớn chuyên gia ATTT toàn cầu nhất trí rằng, những lỗi do con người gây ra là nguyên nhân chính của các vụ lộ lọt thông tin. Nhiều khảo sát cho thấy, khoảng trên 70% các sự cố mất ATTT có yếu tố chính do lỗi của con người. Trong đó, có tới 91-95% các vụ tấn công mạng được bắt đầu bằng email lừa đảo hoặc các cuộc điện thoại cố gắng lừa người dùng cung cấp mã bảo mật hoặc những thông tin khác có thể dùng để vượt qua lớp phòng thủ mạng. Khảo sát ATTT năm 2012 của hãng tư vấn PWC cho thấy, những tổ chức có chương trình tuyên truyền nâng cao nhận thức ATTT có khả năng giảm tới 50% những sự cố lộ lọt thông tin có nguyên nhân do lỗi của người dùng. Doug Steelman, giám đốc ATTT của hãng Dell SecureWorks cho biết, "Trong phần lớn các vụ lộ lọt thông tin và mất dữ liệu, nguyên nhân thông thường nhất chính là từ các nhân viên trong tổ chức. Doanh nghiệp, tổ chức có thể có nhiều công cụ giám sát ATTT và phần mềm luôn cập nhật nhưng chỉ cần một lần nhấp chuột của nhân viên không tuân thủ đúng chính sách ATTT hoặc chỉ đơn giản là muốn cho công việc sớm được hoàn thành, bất chấp nguy cơ mất ATTT là đủ để mắc mưu của tin tặc có chủ tâm xâm nhập, đánh cắp thông tin". Đó là lý do vì sao ngày càng nhiều doanh nghiệp, tổ chức không chỉ đầu tư cho công nghệ bảo đảm ATTT mà còn phải đầu tư vào việc đào tạo nâng cao nhận thức về ATTT cho nhân viên, tạo ra văn hóa ATTT trong doanh nghiệp, tổ chức của mình. Họ cố gắng biến đổi nhân viên từ những người có nghĩa vụ tuân thủ chính sách ATTT thành nguồn lực ATTT, những "chiến binh" bảo vệ doanh nghiệp chống lại những nguy cơ đe dọa mất ATTT đang thay đổi liên tục.

MỘT SỐ LỖI PHỔ BIẾN NHẤT CỦA NGƯỜI DÙNG GÂY MẤT ATTT

Ngày nay, trong thế giới siêu kết nối, dữ liệu được xem như "nguồn máu" nuôi sống cho doanh nghiệp. Nguồn dữ liệu này có thể bao gồm hàng triệu, hàng tỷ thông tin cá nhân định danh khách hàng như địa chỉ liên hệ, số tài khoản, sổ y bạ điện tử, bí mật kinh doanh và nhiều thông tin nhạy cảm khác. Để khuyến khích sự sáng tạo và làm việc linh hoạt, ngày càng nhiều doanh nghiệp, tổ chức chấp nhận các công nghệ mạng xã hội, di động và điện toán đám mây. Những công nghệ này đang truyền đưa dữ liệu và ứng dụng trong tầm kiểm soát của tường lửa (firewall) của công ty và nhiều cơ chế bảo đảm ATTT truyền thống khác.

Đảm bảo an toàn cho thông tin ở mọi nơi lưu trữ, truyền đưa là ưu tiên hàng đầu của các doanh nghiệp, tổ chức. Khi những kỹ thuật của tội phạm mạng ngày càng trở nên tinh vi hơn, các công nghệ đảm bảo ATTT chỉ trở nên hiệu quả nếu có con người biết sử dụng hiệu quả tương ứng. Sau đây là một số ví dụ về những lỗi đơn giản, phổ biến nhất của người dùng gây mất ATTT:

-Nhấp chuột vào đường dẫn chứa mã độc gắn kèm trong email có vẻ vô hại.

-Sử dụng mật khẩu đơn giản hoặc sử dụng chung mật khẩu giữa ứng dụng công việc với các tài khoản cá nhân.

-Để quên smartphone, máy tính xách tay, máy tính bảng trên taxi, sân bay hay những nơi công cộng khác.

-Tải những dữ liệu độc quyền riêng của doanh nghiệp, tổ chức lên các dịch vụ đám mây công cộng.

Những lỗi đơn giản này do bất cẩn, lơ đãng hoặc có chủ ý để hoàn thành công việc nhanh hơn đều có thể gây ra những hậu quả mất ATTT nghiêm trọng. Không có một công nghệ tiên tiến nào có khả năng triệt tiêu hoàn toàn những lỗi con người mắc phải.

9 YẾU TỐ BẢO ĐẢM THÀNH CÔNG CHO HOẠT ĐỘNG TRUYỀN THÔNG NÂNG CAO NHẬN THỨC ATTT

1.Tạo lập thói quen tốt đảm bảo ATTT cho người dùng

Một trong những hiểu lầm phổ biến cho rằng, chương trình đào tạo nâng cao nhận thức ATTT cho người dùng là một phiên bản dựa trên chương trình đào tạo ATTT. Thực ra giữa 2 chương trình đào tạo này có sự khác nhau cơ bản. Đào tạo ATTT là cung cấp kiến thức và sử dụng những bài kiểm tra khả năng nắm vững kiến thức ngắn hạn của người học. Trong khi đó, mục tiêu chính của đào tạo nâng cao nhận thức ATTT là nhằm thay đổi hành vi của người dùng. Bài kiểm tra phù hợp phải cho biết người dùng có hành xử bảo đảm ATTT nhất quán, thường xuyên trong cuộc sống thực hay không. Thông tin cung cấp cho người dùng phải theo cách tác động tới được suy nghĩ và hành vi của người dùng. Thông tin giúp nâng cao nhận thức phải đa dạng, thường xuyên, liên tục để biến những hành vi tốt đảm bảo ATTT dần trở thành thói quen bền vững. Tùy vào đối tượng người dùng mà có kênh truyền thông phù hợp. Panô, áp phích đặt ở những nơi đông người qua lại có tác động tốt nhắc nhở mọi người, đồng thời đặc biệt phù hợp với người lớn tuổi. Nếu nội dung có tính sáng tạo cao thì panô, áp phích có thể phù hợp cho mọi lứa tuổi. Các phương tiện truyền thông hiện đại khác như mạng xã hội lại phù hợp hơn cho giới trẻ. Việc đào tạo thường không thể tổ chức thành nhiều lớp hoặc kéo dài nhưng công tác truyền thông phải thường xuyên, liên tục trong năm, trong đó giai đoạn cao điểm tổ chức nhiều sự kiện.

2.Thông điệp truyền tải phải đơn giản, dễ hiểu, ngắn gọn.

Đây là yếu tố rất quan trọng bảo đảm thành công cho mọi chương trình nâng cao nhận thức toàn dân về mọi lĩnh vực như an toàn giao thông, dịch bệnh, kế hoạch hóa dân số... Nâng cao nhận thức về ATTT cũng không phải ngoại lệ.

Tháng 10 hằng năm ở Mỹ, Bộ An ninh nội địa và Liên minh An toàn mạng Quốc gia tổ chức Tháng Nhận thức An toàn mạng Quốc gia (NCSAM) với mục tiêu bảo đảm mọi công dân Mỹ có đủ nguồn lực cần thiết để sử dụng mạng online một cách an toàn. Năm 2014 là năm thứ 11 NCSAM được tổ chức với quy mô rất lớn, tiếp cận người tiêu dùng, doanh nghiệp nhỏ và vừa, doanh nghiệp lớn, các tổ chức giáo dục và giới trẻ trong cả nước. Đích thân Tổng thống Obama công bố NCSAM [3]. Chương trình nâng cao nhận thức đưa ra những thông điệp ngắn gọn về trách nhiệm của mọi người: "Chúng ta cùng chia sẻ trách nhiệm" (Our Shared Responsibility); quy trình 3 bước đơn giản trong hành vi sử dụng mạng "DỪNG LẠI. SUY NGHĨ. KẾT NỐI" (STOP.THINK. CONNECT); tất cả cùng tham gia (Get Involved) đã có tác dụng lôi kéo sức mạnh đám đông với hàng chục, hàng trăm nghìn người trong cả nước tham gia đăng tải đào tạo những nội dung chỉ dẫn hữu ích (tips) về ATTT trên mạng xã hội, panô, áp phích... [4]

3.Đừng quá tin tưởng vào việc đã đạt tiêu chuẩn về nhận thức ATTT

Nên nhớ rằng, việc tổ chức, doanh nghiệp đạt chuẩn về đảm bảo ATTT mới chỉ là điểm bắt đầu. Như phần trên đề cập, nhận thức ATTT là vấn đề hành vi, thói quen của người dùng chứ không chỉ đơn giản là kiến thức. Do đó, khái niệm đạt tiêu chuẩn về nhận thức ATTT trong hầu hết mọi trường hợp đều rất mơ hồ. Tổ chức đánh giá hợp chuẩn chỉ kiểm tra xem liệu tổ chức, doanh nghiệp có thực hiện các khóa đào tạo nhận thức ATTT hay không. Việc đã hoàn thành khóa học, vượt qua bài kiểm tra không bảo đảm người dùng sẽ thay đổi hành vi một cách ổn định.

4.Giảng viên đào tạo, tuyên truyền nhận thức ATTT có kỹ năng phù hợp

Thực tế trong nhiều tổ chức, doanh nghiệp, giám đốc ATTT thường được giao nhiệm vụ thực hiện chương trình nâng cao nhận thức ATTT. Như đã phân tích, đào tạo nhận thức ATTT chủ yếu là nhằm thay đổi hành vi của người dùng nên giảng viên phải có kỹ năng phù hợp hay còn gọi là kỹ năng mềm.

Tuy nhiên, hầu hết giám đốc ATTT chỉ có sẵn chuyên gia kỹ thuật ATTT nên sẽ phải thuê giảng viên ngoài. Họ là những người phải có hiểu biết cơ bản về ATTT và đặc biệt đã có kinh nghiệm đào tạo các khóa nâng cao nhận thức khác.

5. Học liệu và phương pháp học phù hợp

Hiện nay, nhiều chương trình đào tạo nhận thức ATTT ở nước ngoài sử dụng phương pháp đào tạo với sự trợ giúp của máy tính CBT (Computer-Based Training) thực hiện 1 lần/năm. Chất lượng các chương trình CBT rất đa dạng. Nhiều tổ chức, doanh nghiệp áp dụng thêm các phương pháp khác như xuất bản bản tin nội bộ, đặt panô, áp phích, tổ chức sự kiện, game show ... Thông thường, yếu tố chi phí thấp thường được ưu tiên nên chất lượng đào tạo chưa chắc đảm bảo. Cho dù kinh phí dồi dào thì cần lưu ý rằng học liệu, kênh truyền thông phải phù hợp văn hóa của tổ chức. Ví dụ, học liệu và kênh truyền thông trong một công ty làm việc trên Internet chắc chắn phải khác với ngân hàng. Ngoài ra, cần có nhiều phiên bản đào tạo, tuyên truyền khác nhau cho phù hợp lứa tuổi của người dùng.

6.Đánh giá định lượng kết quả thực hiện

Để đánh giá hiệu quả các chương trình nâng cao nhận thức ATTT, cần đo được kết quả thực hiện để điều chỉnh phù hợp. Kết quả bài kiểm tra, số lượng người đọc bản tin, số lượng người bấm nhầm vào liên kết chứa mã độc. được theo dõi thường xuyên hằng tháng sẽ giúp đánh giá hiệu quả các chương trình nâng cao nhận thức ATTT.

7.Đừng đặt ra kỳ vọng quá cao, bất hợp lý

Mỗi khi một chương trình nâng cao nhận thức ATTT thất bại, mọi người bắt đầu phàn nàn rằng thật lãng phí mà không mang lại giá trị. Nên nhớ rằng, không có bất kỳ biện pháp phòng chống mất ATTT nào có thể đảm bảo chắc chắn sẽ ngăn chặn hoàn toàn mọi cuộc tấn công. Thực tế luôn có thất bại không tránh khỏi. Nhờ đưa ra các chỉ số đánh giá định lượng về hiệu quả chương trình, chúng ta có thể biết được những yếu tố nào giúp cho chương trình được cải thiện và mang lại giá trị, giảm tổn thất do mất ATTT gây ra.

8. Cổng thông tin về ATTT

Các cổng về ATTT (security portal) nội bộ hoặc công cộng có một số chức năng nhất định. Đầu tiên, cổng cung cấp kho kiến thức về ATTT, sinh mật khẩu mạnh. Tiếp đó, cổng cung cấp những chiến lược ATTT cho cá nhân và hộ gia đình như bảo vệ trẻ em sử dụng Internet an toàn, bảo vệ các tài khoản sử dụng mạng xã hội, những thói quen làm việc tốt cho ATTT trong công sở... Một chức năng quan trọng khác của cổng là nơi giải đáp thắc mắc về ATTT và người dùng báo cáo các sự cố khả nghi gây mất ATTT. Hình 1 là ví dụ về cổng thông tin http://www.cybersmart.gov.au. Đây là chương trình giáo dục về ATTT do Cơ quan quản lý Thông tin và Truyền thông, Chính phủ Úc (ACMA - Australian Communications and Media Authority) tài trợ với mục tiêu đáp ứng nhu cầu tìm hiểu kiến thức ATTT cho trẻ em, người trẻ tuổi, các bậc phụ huynh, giáo viên và nhân viên thư viện.

Bên cạnh đó, Bộ Truyền thông (Department of Communications) của Chính phủ Úc vận hành cổng ATTT (Stay Smart Online) với mục đích hướng đến toàn thể công chúng từ nhân viên công sở, hộ gia đình, doanh nghiệp, nhà trường, trẻ em (Hình 2).

Ngoài ra, trang Scamwatch (http://www. scamwatch.gov.au) do Ủy ban bảo vệ người tiêu dùng và cạnh tranh của Úc (ACCC) cung cấp thông tin giúp cho người tiêu dùng và doanh nghiệp nhỏ biết cách nhận dạng, phòng tránh và báo cáo về các vấn đề lừa đảo trên mạng (scam).

9. Có giải thưởng khuyến khích

Trong mỗi tổ chức, doanh nghiệp cũng như trong toàn xã hội, nên xây dựng cơ chế giải thưởng khuyến khích cho những người đã có thói quen tốt hoặc có tiến bộ trong nhận thức về ATTT. Phần thưởng khuyến khích có thể đơn giản, không nhất thiết có giá trị lớn nhưng cần đúng, kịp thời, thường xuyên và phù hợp sở thích của người dùng. Để hình thành thói quen ATTT tốt là một quá trình và trong quá trình đó, nhiều người dùng không tránh khỏi sai sót gây mất ATTT. Trong những trường hợp đó, doanh nghiệp, tổ chức cần tạo cơ chế khuyến khích người dùng báo cáo sai sót của mình để ngăn chặn kịp thời nguy cơ mất ATTT nghiêm trọng hơn, tránh để người dùng che dấu lỗi vì lo sợ bị trừng phạt.

Tài liệu tham khảo

[1].The human side of IT security, Dell Inc 2014.
[2].http://www.csoonline.com.
[3].http://www.whitehouse.gov.
[4].http://www.staysafeonline.org/ncsam.

Hà Phương

(TCTTTT Kỳ 2/11/2014)