Năm mối đe dọa đối với nguồn lưu trữ
Ngu
ồ
n:quantrimang.com
Nhiều doanh nghiệp cứ tưởng rằng dữ liệu lưu trữ của mình đã được bảo
vệ rất cẩn thận, nhưng họ đã nhầm. Dưới đây là những lời khuyên giúp bạn
tránh được một sai lầm tương tự.

Nếu bạn nghĩ rằng chỉ có hacker hay thậm chí là những nhân viên xấu trong nội
bộ công ty là mối đe dọa lớ
n nhất đối với sự an toàn của dữ liệu được lưu trữ, thì
bạn đã sai lầm. Dù những mối đe dọa như thế vẫn là mối bận tâm lớn, thì nguy
cơ cao hơn có thể đến từ chính những nhân viên tốt của bạn – những người có
thể vô tình để lộ dữ liệu công ty thông qua mạng chia sẻ tập tin ngang hàng hay
máy tính xách tay bị để không đúng chỗ. Một cuộc nghiên c
ứu gần đây của Viện
Ponemon tại bang Michigan (Mỹ) cho thấy chính những nhân viên bất cẩn mới là
mối đe dọa lớn nhất đối với an ninh dữ liệu, chiếm đến 78% tổng số vụ xâm
phạm.

Không may là tình trạng xâm phạm dữ liệu
đã trở thành chuyện thường ngày ở các
công ty Mỹ. Theo Trung tâm tài nguyên và
mất cắp danh tính (ITRC) có trụ sở tại
thành phố San Diego, số vụ xâm phạm
đượ
c ghi nhận trong năm 2008 tăng 47%
so với năm trước đó. Tuy nhiên, theo Craig
Muller, một chuyên gia về nạn ăn cắp tính
danh, thì tỷ lệ gia tăng thật sự có thể cao
hơn vì còn có nhiều vụ không được trình


Thiệt hại: Ở vụ việc tháng 5-2006, Bộ các vấn đề về cựu binh Mỹ sau đó tốn
khoảng 200.000 đô-la Mỹ mỗi ngày cho một trung tâm giải đáp các cuộc gọi điện
thoại thắc mắc về vụ xâm phạm dữ liệu đầu tiên. Ngoài ra, bộ này cũng chi
khoảng 1 triệu đô-la Mỹ để in ấn và gửi thư thông báo vụ việc. Mộ
t số đơn kiện
dân sự về vụ việc cũng được nộp lên tòa án, trong đó có một đơn kiện đòi bồi
thường 1.000 đô-la Mỹ cho mỗi cá nhân bị ảnh hưởng. Riêng vụ xâm phạm dữ
liệu năm 2007, Bộ các vấn đề về cựu binh Mỹ dành ra 20 triệu đô-la Mỹ để trang
trải những chi phí liên quan. Ngoài ra, gần đây bộ này cũng đồng ý trả 20 triệu
đô-la M
ỹ cho các quân nhân và cựu quân nhân để dàn xếp một vụ kiện dân sự
có liên quan đến việc mất dữ liệu này.

Hiện trạng: Theo ITRC, tỷ lệ số vụ xâm phạm dữ liệu xuất phát từ việc để thất
lạc thiết bị hoặc bị mất cắp là cao nhất – khoảng 20% trong năm 2008. Trong khi
đó, luật sư Bart Lazar tại văn phòng luật Seyfarth Shaw LLP ở thành phố
Chicago cho biết máy tính xách tay bị thất l
ạc hay mất cắp chiếm đa số vụ xâm
phạm dữ liệu mà ông xử lý.

Biện pháp đề phòng: Luật sư Lazar đưa ra ba đề xuất. Trước tiên, cần hạn chế
việc đặt thông tin nhận diện cá nhân vào máy tính xách tay. Chẳng hạn như
đừng gắn kết tên tuổi khách hàng hoặc nhân viên với những thông tin nhận dạng
khác, như số an sinh xã hội hay thẻ tín dụng. Một giải pháp là bạn có thể loạ
i bỏ
những con số này. Ngoài ra, bạn có thể tạo ra những dữ liệu nhận dạng độc
nhất, như kết hợp những ký tự từ tên một người với bốn con số cuối cùng trong
số an sinh xã hội của người này.


Thiệt hại: Trong vụ DuPont, giá trị ước tính của các bí mật thương mại bị đánh
cắp lên đến 400 triệu đô-la Mỹ. Tuy nhiên, các nhà chức trách đánh giá DuPont
chỉ thiệt hại khoảng 180.500 đô-la Mỹ. Ngoài ra, không có bằng chứng cho thấy
những thông tin mật được chuyển cho đối thủ cạnh tranh.

Hiệ
n trạng: Theo ITRC, gần 16% vụ xâm phạm dữ liệu được ghi nhận trong
năm 2008 là do những người trong nội bộ doanh nghiệp gây ra. Tỷ lệ này cao
gấp đôi so với năm trước đó. Một trong những nguyên nhân là các nhân viên bị
lôi kéo bởi những người ngoài có liên hệ với tội phạm. Theo Trung tâm điều phối
CERT tại Đại học Carnegie Mellon, xu hướng này chiếm 50% số vụ phạm tội do
người trong nội bộ gây ra t
ừ năm 1996 đến 2007. CERT cho biết nhân viên nội
bộ phạm tội vì hai nguyên nhân: tiền bạc (vụ Certegy Check Services) và lợi ích
công việc (vụ DuPont). Theo CERT, mối đe dọa này rất khó đối phó, nhất là đối
với nhân viên có đặc quyền truy cập dữ liệu.

Biện pháp đề phòng: Theo CERT, một biện pháp đề phòng hữu hiệu là giám
sát việc truy cập cơ sở dữ liệu và mạng để phát hiện những hoạt động đáng
ng
ờ, đồng thời thiết lập ngưỡng sử dụng đối với những nhân viên khác nhau.
Điều này giúp việc phát hiện một nhân viên làm việc khác với những nhiệm vụ
được giao trở nên dễ dàng hơn. Chẳng hạn như hành vi sai trái của nhà khoa
học trong vụ DuPont bị phanh phui sau khi công ty phát hiện ông sử dụng máy
chủ thư viện dữ liệu điện tử nhiều một cách khác thường.

Các công ty cũng nên sử dụng những công cụ kiểm soát việc truy cập dựa trên
vai trò để có thể biết rõ người nào đang truy cập những thông tin có giá trị. Ngoài
ra, theo luật sư Lazar, cần hạn chế truy cập những cơ sở dữ liệu chứa thông tin
của nhân viên hay khách hàng.

có liên quan đến hacker.

Trong vụ của công ty TJX, hacker
đã dùng kỹ thuật gọi là “war driving” – tức
chạy xe lang thang để tìm kiếm mạng không dây Wi-Fi nào mắc lỗi bảo mật, sử
dụng máy tính xách tay hay thiết bị hỗ trợ cá nhân số – để xâm nhập vào mạng
không dây của công ty. Điều đáng nói là vào thời điểm bị xâm nhập, TJX đang
dùng một phương thức mã hóa dưới chuẩn, không cài đặt bức tường lửa và mã
hóa dữ liệu trên máy tính sử dụng mạng không dây. Đi
ều này cho phép hacker
cài đặt phần mềm trên mạng để truy cập dữ liệu khách hàng cũ được lưu trữ
trên hệ thống, đồng thời chặn dữ liệu được gửi giữa các thiết bị kiểm tra giá cầm
tay, máy đếm tiền và máy tính của cửa hàng.

Biện pháp đề phòng: Theo ông Muller, phương thức mã hóa WEP mà TJX
dùng trên mạng không dây của mình là không đủ mạnh, thậm chí còn thua cả
những phương thức mà nhiều người có mạng không dây ở nhà sử dụng. Ông
nói: “Nếu bạn có thể truy cập dữ liệu ngay từ chỗ đậu xe thì rõ ràng bạn cần có
một mức độ bảo mật và mã hóa dữ liệu cao hơn.” Một vấn đề khác là TJX còn
cho lư
u trữ thông tin tài khoản cũ thay vì xóa hẳn chúng.

4. Nhân viên bất cẩn

Vợ của một nhân viên làm việc tại nhà của hãng dược Pfizer cài đặt một phần
mềm chia sẻ tập tin trái phép trên máy tính xách tay của công ty mà người này
đang dùng. Hành động này khiến cho người ngoài có thể truy cập được những
tập tin chứa tên tuổi, số an sinh xã hội, địa chỉ và thông tin về tiền thưởng của
khoảng 17.000 nhân viên hiện nay và trước kia của công ty. Một cuộc đ
iều tra

hóa.

Thiệt hại: Theo Ponemon, những thiệt hại từ những vụ xâm phạm dữ liệu tại
nhà thầu phụ còn cao hơn so với những vụ xâm phạm dữ liệu trong nội bộ –
bình quân 231 đô-la Mỹ/hồ sơ khách hàng so với 171 đô-la Mỹ/hồ sơ.

Hiện trạng: Theo cuộc nghiên c
ứu thường niên của Ponemon, số vụ xâm phạm
dữ liệu tại những công ty gia công bên ngoài, nhà tư vấn hay đối tác làm ăn
chiếm khoảng 44% tổng số vụ mà những công ty tham gia cuộc nghiên cứu báo
cáo vào năm ngoái, tăng 4% so với năm 2007. Trong khi đó, cuộc nghiên cứu
của ITRC cho biết 10% vụ xâm phạm dữ liệu có liên quan đến nhà thầu phụ.

Biện pháp đề phòng: Các công ty cần soạn thảo những bản thỏa thuận mứ
c độ
dịch vụ kín kẽ và cụ thể, bảo đảm các nhà thầu phụ tuân thủ chúng và trừng phạt
họ nếu họ không tuân thủ. Theo ông Semple, các công ty cũng cần yêu cầu nhà
thầu phụ dùng biện pháp bảo vệ bằng mật khẩu hay mã hóa trong trường hợp
cần dùng băng hay đĩa sao lưu dữ liệu của họ.
