Đào tạo an ninh mạng cho nhân viên cần trở thành yêu cầu bắt buộc

An toàn thông tin - Ngày đăng : 22:33, 05/04/2023

Tội phạm mạng luôn tìm kiếm mục tiêu tiếp theo và các hình thức tấn công cũng không ngừng phát triển. Trong đó, con người chính là mắt xích yếu nhất trong hệ thống bảo mật luôn được tin tặc nhắm mục tiêu và khai thác.
An toàn thông tin

Đào tạo an ninh mạng cho nhân viên cần trở thành yêu cầu bắt buộc

Ngọc Diệp {Ngày xuất bản}

Tội phạm mạng luôn tìm kiếm mục tiêu tiếp theo và các hình thức tấn công cũng không ngừng phát triển. Trong đó, con người chính là mắt xích yếu nhất trong hệ thống bảo mật luôn được tin tặc nhắm mục tiêu và khai thác.

shutterstock_1931044913-897x500.jpeg

Tấn công mạng là thách thức vô cùng lớn đối với các tổ chức, doanh nghiệp (DN) hoạt động trên môi trường trực tuyến. Từ các tập đoàn lớn đến các bệnh viện, trường học đều có thể phải đối mặt với các vi phạm dữ liệu cũng như các sự cố tấn công mạng. Trong bối cảnh nguy cơ về các cuộc tấn công mạng ngày càng gia tăng, bên cạnh việc củng cố các hệ thống phòng ngừa, các tổ chức, DN cũng cần ưu tiên đào tạo an ninh mạng cho nhân viên của mình.

Các cuộc tấn công phi kỹ thuật (social engineering), email lừa đảo và tấn công thỏa hiệp email DN vẫn là những mối đe dọa lớn nhất nhắm vào nhân viên trong bất kỳ tổ chức nào. Trên thực tế, Gartner dự đoán rằng vào năm 2025, việc thiếu hụt nhân sự an ninh mạng hay lỗi của con người sẽ là nguyên nhân của hơn một nửa số sự cố mạng nghiêm trọng. Số lượng các cuộc tấn công phi kỹ thuật nhằm con người đang gia tăng đột biến khi các tác nhân đe dọa ngày càng coi con người là mắt xích yếu và dễ bị lợi dụng nhất trong hệ thống bảo mật của tổ chức, DN.

Một cuộc khảo sát của Gartner được thực hiện vào tháng 5 và tháng 6/2022 với 1.310 nhân viên cho thấy 69% nhân viên đã không tuân thủ hướng dẫn về an ninh mạng của tổ chức, DN của mình trong 12 tháng qua. Cũng theo kết quả khảo sát, 74% nhân viên cho biết họ sẵn sàng bỏ qua hướng dẫn về an ninh mạng nếu điều đó giúp họ hoặc nhóm của họ đạt được các mục tiêu kinh doanh.

Nghiên cứu của Gartner còn chỉ ra rằng hơn 90% nhân viên thừa nhận đã thực hiện các hành động không an toàn khi làm việc mặc dù biết rằng chúng có thể làm gia tăng rủi ro cho tổ chức, DN của mình. Thiết kế bảo mật lấy con người làm trung tâm chú trọng vai trò của các cá nhân - không phải công nghệ, mối đe dọa hoặc vị trí - trong trọng tâm của thiết kế và triển khai những biện pháp kiểm soát để giảm thiểu nguy cơ từ con người.

Rõ ràng, không thể phủ nhận rằng con người chính là mắt xích yếu nhất trong hệ thống bảo mật của bất kỳ tổ chức, DN nào. Cho dù DN có đầu tư bao nhiêu vào an ninh mạng để củng cố hệ thống bảo mật hoặc cử nhân viên tham gia các khóa học về an ninh mạng nhưng nếu nhân viên không nhận thức được thì họ vẫn sẽ có thể trở thành mục tiêu của tội phạm mạng.

Thiệt hại từ các mối đe dọa nội bộ

Để giúp cho nhân viên luôn cảnh giác trước các mối đe doạ an ninh mạng, trước tiên các DN cần đảm bảo rằng họ được chuẩn bị tốt để đối phó với mọi sự cố. Điều này bao gồm việc yêu cầu nhóm bảo mật và CNTT đảm bảo các bản vá được cập nhật thường xuyên và kiểm soát quyền truy cập vào dữ liệu của DN.

Báo cáo về Chi phí vi phạm dữ liệu năm 2022 của IBM chỉ ra rằng chi phí trung bình cho một vụ vi phạm dữ liệu đạt mức cao nhất từ trước đến nay là 4,35 triệu USD, tăng 2,6% so với một năm 2021 và 12,7% kể từ năm 2020. Nghiên cứu mới trong báo cáo này cũng lần đầu tiên tiết lộ rằng, 83% tổ chức, DN đều phải trải qua nhiều hơn một lần vi phạm dữ liệu và chỉ có khoảng 17% tổ chức, DN cho biết đây là lần vi phạm dữ liệu đầu tiên của họ.

Còn theo báo cáo Khoảng cách kỹ năng an ninh mạng toàn cầu năm 2023 của Fortinet, các vụ xâm phạm an ninh ngày càng gia tăng, có gần 50% số tổ chức bị xâm phạm trong 12 tháng qua dẫn tới thiệt hại hơn 1 triệu USD để khắc phục, tăng so với tỷ lệ 38% tổ chức trong báo cáo năm ngoái.

Trong đó, thông tin cá nhân bị đánh cắp hoặc bị xâm phạm, chẳng hạn như thông tin đăng nhập, mật khẩu, v.v... không chỉ là nguyên nhân phổ biến nhất dẫn đến vi phạm dữ liệu mà còn mất nhiều thời gian nhất để xác định. Sau 327 ngày, kẻ tấn công mạng có thể sử dụng thông tin đăng nhập bị đánh cắp mà tổ chức không hề nhận ra. IBM cũng tuyên bố rằng thông tin đăng nhập bị đánh cắp có giá cao hơn 150.000 USD so với chi phí trung bình của một vụ vi phạm dữ liệu.

screen-shot-2023-04-05-at-16.15.14(1).png

Ngoài thông tin đăng nhập bị đánh cắp, nhân viên còn sử dụng thiết bị cá nhân cho công việc hoặc sử dụng thiết bị làm việc cho mục đích cá nhân cũng là những vấn đề lớn. Ví dụ, nếu một nhân viên sử dụng máy tính xách tay của công ty để truy cập Internet hoặc mạng xã hội, họ có thể vô tình nhấp vào các liên kết hoặc truy cập các trang web đã bị xâm phạm.

Trong khi một số nhân viên có xu hướng mở email và nhấp vào liên kết đính kèm mà không kiểm tra người gửi. Điều này đã dẫn đến việc nhiều nhân viên, đặc biệt là những người trong bộ phận tài chính của một tổ chức, liên tục trở thành mục tiêu của tội phạm mạng.

Đào tạo an ninh mạng cho nhân viên cần trở thành yêu cầu bắt buộc

Để thay đổi điều này, đào tạo về an ninh mạng không chỉ cần trở thành yêu cầu bắt buộc mà còn phải diễn ra thường xuyên. Các DN nên cân nhắc để nhân viên thực hiện một bài tập huấn luyện cần thiết mỗi quý hoặc hai lần một năm. 

Bên cạnh đó, các DN cũng cần đảm bảo quyền truy cập của nhân viên sẽ bị khoá ngay lập tức khi họ rời khỏi DN và áp dụng tương tự cho người dùng bên thứ ba truy cập hệ thống. Mặc dù áp dụng mô hình bảo mật zero-trust để cung cấp khả năng hiển thị toàn diện nhưng các nhóm bảo mật vẫn cần thường xuyên kiểm tra để phát hiện các dấu hiệu đáng ngờ cũng như những nguy cơ tiềm ẩn.

Tùy thuộc vào ngân sách của từng DN, không phải DN nào cũng sẵn sàng chi trả cho các chương trình như vậy. Tuy nhiên, điều đó không có nghĩa là họ có thể xem nhẹ vấn đề an ninh mạng. Trước tiên, các DN cần đảm bảo các thiết bị của họ được bảo mật cũng như các giám đốc điều hành cấp cao và thành viên hội đồng quản trị biết cách xử lý các tình huống như vậy.

Và đào tạo liên tục về an ninh mạng có lẽ là lựa chọn tốt nhất. Bất kể đầu tư cho hệ thống bảo mật bao nhiêu hay áp dụng các xông nghệ an ninh mạng hiện đại, nếu một nhân viên bị lừa đảo hoặc nhấp vào các liên kết không an toàn bằng các thiết bị  mạng DN thì hậu quả có thể rất nghiêm trọng./.

Ngọc Diệp