43% nhân viên tại các doanh nghiệp (DN) của Hoa Kỳ và Vương quốc Anh đã từng ít nhất một lần phạm sai lầm dẫn đến hậu quả thiệt hại về an ninh mạng cho chính họ hoặc công ty của họ. Đây là kết quả trích dẫn từ báo cáo mới nhất của công ty bảo mật Tessian - những con số khiến nhiều nhà quản lý DN có lẽ phải giật mình, và tất cả đều bắt nguồn từ yếu tố cốt lõi là con người.
Lỗi của con người: Điểm yếu trong hệ thống an ninh mạng
Thứ bảy, 26/09/2020 15:02
Nguy cơ mất an toàn thông tin (ATTT) vẫn hiện hữu khắp mọi nơi, tạo điều kiện cho tin tặc sử dụng tài khoản đăng nhập vào hệ thống thông tin, đánh cắp dữ liệu, thậm chí còn phá huỷ hệ thống thông tin. Theo nghiên cứu mới đây của Tessian, sai lầm từ con người là một trong những nguyên nhân chính làm suy yếu mọi hệ thống an ninh mạng.
Theo Tim Sadler, CEO và đồng sáng lập của Tessian, các DN đã nhanh chóng thích nghi với việc chuyển đổi đột ngột sang hình thức làm việc từ xa. Thách thức mà họ phải đối mặt là bảo vệ dữ liệu khỏi các hành vi rủi ro của nhân viên khi làm việc tại nhà. Lỗi của con người chính là một trong những mối đe dọa lớn nhất đối với việc bảo mật dữ liệu của DN.
Nhiều DN trên thế giới đang tăng cường đầu tư vào các công cụ, hệ thống bảo mật thụ động, mà quên mất rằng việc đào tạo chuyên môn, nhận thức bảo mật cho đội ngũ nhân viên mới là nhiệm vụ đóng vai trò quyết định. Vậy chúng ta thường mắc lỗi gì trong nhận thức bảo mật nói chung, và điều này có thể bị tin tặc tận dụng ra sao?
Lỗi của con người: Những tác động tới an ninh mạng
Khi được hỏi về loại sai lầm mà mọi người thường mắc phải dẫn đến sự cố bảo mật, 25% số nhân viên thú nhận rằng họ đã vô tình nhấp vào các liên kết (link) được đính kèm trong các email lừa đảo tại nơi làm việc. Đặc biệt, các nhân viên trong độ tuổi từ 31 - 40 có khả năng cao gấp 4 lần so với những nhân viên trên 51 tuổi trong lỗi nhấp vào email lừa đảo. Ngoài ra, khả năng này ở nam giới cũng cao gấp đôi so với nữ giới.
47% nhân viên cho rằng sự mất tập trung là lý do hàng đầu khiến họ trở thành nạn nhân của một vụ lừa đảo. Trong đó, đa phần là phương thức lừa đảo bằng email giả mạo (43%). 41% nạn nhân cho biết các email giả mạo này trông giống như đến từ một giám đốc điều hành cấp cao hoặc thương hiệu nổi tiếng.
Bên cạnh việc việc nhấp vào một liên kết độc hại, 58% nhân viên thừa nhận đã từng gửi email công việc đến nhầm người, với 17% trong số đó gửi nhầm đến một đối tượng nằm ngoài mạng công ty.
Lỗi tưởng chừng như đơn giản này có thể dẫn đến hậu quả nghiêm trọng cho cả cá nhân lẫn DN, những người phải báo cáo sự cố cho cơ quan quản lý cũng như khách hàng của họ. Trên thực tế, 1/5 số người được hỏi cho biết công ty của họ đã mất khách hàng do gửi email sai, trong khi 12% trong số này mất việc.
Nguyên nhân chính được đưa ra cho việc gửi sai email là sự mệt mỏi (43%), sau đó là sự mất tập trung (41%). Với 57% số người được hỏi nói rằng họ bị phân tâm nhiều hơn khi làm việc tại nhà, việc chuyển đổi đột ngột sang làm việc từ xa có thể khiến DN dễ bị tổn thương hơn trước các sự cố an ninh do lỗi của con người.
Stress ảnh hưởng thế nào đến an ninh mạng
Những phát hiện của báo cáo cũng kêu gọi các DN cần nhận thức rõ hơn tác động của stress (căng thẳng) và văn hóa làm việc đối với sai lầm của nhân viên và an ninh mạng, đặc biệt trong bối cảnh dịch bệnh bùng phát năm 2020. Những người được hỏi tiết lộ họ mắc nhiều sai lầm hơn khi bị căng thẳng (52%), mệt mỏi (43%), mất tập trung (41%) và sức ép phải nhanh chóng hoàn thành công việc (36%).
Điều đáng lo ngại là 61% số người được hỏi cho biết công ty của họ có văn hóa buộc họ làm việc nhiều giờ hơn mức bình thường, trong khi 46% nói rằng họ đã thực sự kiệt sức.
Jeff Hancock, giáo sư tại Đại học Stanford và là chuyên gia về động lực xã hội, cho biết: "Hiểu về cách stress tác động đến hành vi là rất quan trọng để cải thiện an ninh mạng".
Tình hình dịch bệnh diễn biến phức tạp trong năm 2020 có nghĩa là mọi người phải đối mặt với những tình huống cực kỳ căng thẳng và có rất nhiều thay đổi. Và khi mọi người bị căng thẳng, họ có xu hướng phạm sai lầm hoặc đưa ra các quyết định mà sau đó họ hối hận. Tin tặc đã nhanh chóng lợi dụng thực tế này. Do đó, các DN cần phải nâng cao nhận thức cho nhân viên về cách tin tặc có thể tận dụng sự căng thẳng của họ trong thời gian này, cũng như các sự cố bảo mật do lỗi của con người gây ra.
Tác động của tuổi tác đến an ninh mạng
Báo cáo của Tessian cũng cho thấy tuổi tác, giới tính và đặc thù công việc có tác động lớn đến hành vi an ninh mạng của con người.
Theo đó, một nửa số nhân viên trong độ tuổi 18-30 nói rằng họ đã phạm sai lầm liên quan tới bảo mật làm tổn hại đến công ty của họ, so với 10% số người 51 trở lên nói như vậy. 65% nhân viên trong số 18-30 tuổi nói rằng họ đã gửi email đến nhầm người, so với 34% của những người trên 51 tuổi. 70% nhân viên có độ tuổi từ 18 - 40 thừa nhận đã từng nhấp vào email lừa đảo. Trong khi chỉ 8% những người trên 51 mắc phải lỗi này.
Báo cáo cũng cho thấy nhân viên trong ngành công nghệ có nhiều khả năng nhấp vào liên kết trong các email lừa đảo hơn những người làm việc trong các lĩnh vực khác, với 47% số người được hỏi đã từng trải qua sự cố này. Sau đó là những người làm trong lĩnh vực tài chính Ngân hàng (45%).
Tim Sadler, Giám đốc điều hành của Tessian cho biết: "Để ngăn chặn những sai lầm đơn giản biến thành sự cố an ninh nghiêm trọng, các DN phải tăng cường an ninh mạng ở mức con người. Điều này đòi hỏi phải hiểu từng hành vi của nhân viên để đào tạo và đưa ra các chính sách phù hợp nhằm đảm bảo an ninh mạng".
Một số đề xuất
Nếu không được bảo vệ, không gian mạng có thể tạo ra những nguy cơ lớn về an ninh, chủ quyền quốc gia, cũng như các mối nguy hại khác. Vì vậy, nâng cao ý thức làm chủ và bảo vệ không gian mạng của mỗi tổ chức, DN và cá nhân là rất quan trọng và cấp thiết. Để chủ động ứng phó các thách thức này, đồng thời nâng cao hiệu quả công tác bảo đảm an ninh thông tin, an ninh mạng, cần làm tốt một số mặt công tác sau:
Nâng cao nhận thức của tổ chức, DN và cá nhân về những nguy hại đến từ không gian mạng.
Nâng cao nhận thức về các nguy cơ đến từ không gian mạng như: tấn công mạng, gián điệp mạng, khủng bố mạng, tội phạm mạng,… có vai trò quan trọng. Các tổ chức, DN cần đẩy mạnh đào tạo, cập nhật kiến thức bảo mật mới nhất cho mỗi nhân viên, kết hợp hướng dẫn và trau dồi cách thức sử dụng cũng như tận dụng lợi thế từ những hệ thống bảo mật hiện đại.
Các hình thức đào tạo cần được vận dụng đa dạng, phong phú và linh hoạt như: phối hợp giữa cơ quan chức năng với các cơ quan, địa phương, đơn vị, DN, cơ sở giáo dục tổ chức nói chuyện chuyên đề, phổ biến pháp luật; các cuộc thi tìm hiểu về ATTT; góp ý xây dựng chương trình giáo dục ATTT mạng của các cơ sở giáo dục hoặc tham gia biên soạn các tài liệu liên quan đến ATTT mạng.
Bồi dưỡng kỹ năng nhận diện các âm mưu, thủ đoạn tấn công mạng và các hình thái phát sinh trên không gian mạng.
Hoạt động tấn công không gian mạng rất đa dạng và tinh vi như: làm mất kết nối Internet, đánh sập các website của chính phủ, cơ quan, đơn vị, nhà trường, DN; giả mạo các website nhằm lừa đảo; cài cắm vào máy tính cá nhân hoặc lấy tài khoản và mật khẩu; đánh cắp dữ liệu cá nhân (hình ảnh, file, video); tấn công bằng mã độc (theo tệp đính kèm trong email hoặc ẩn trong quảng cáo Skype); tấn công ẩn danh bằng những phần mềm độc hại (phần mềm diệt virus, các trình duyệt); tấn công qua usb, đĩa CD, địa chỉ IP, server…
Nâng cao ý thức phòng tránh, tự vệ và sử biện pháp kỹ thuật để khắc phục hậu quả trong trường hợp bị tấn công trên không gian mạng.
Ý thức chính trị, trách nhiệm, nghĩa vụ của các tổ chức, DN và cá nhân đối với nhiệm vụ bảo vệ không gian mạng quốc gia cần được nâng cao.
Quy định của pháp luật về bảo vệ an ninh mạng cần được tuân thủ; kịp thời cung cấp thông tin liên quan đến an ninh mạng, nguy cơ đe dọa an ninh mạng và các hành vi xâm phạm khác, thực hiện yêu cầu và hướng dẫn của cơ quan quản lý nhà nước có thẩm quyền; giúp đỡ, tạo điều kiện cho người có trách nhiệm tiến hành các biện pháp bảo vệ an ninh mạng.
Các tổ chức, DN cần xây dựng một chính sách bảo mật xuyên suốt với các điều khoản rõ ràng, minh bạch. Đồng thời, các tổ chức, DN cần thường xuyên cập nhật hệ thống bảo mật mới, hiện đại, và phù hợp với đặc điểm hệ thống của mình, ưu tiên sử dụng sản phẩm của những bên có cam kết bảo mật và cập nhật bảo mật thường xuyên.
Trong khi đó, mỗi người dùng cần nghiên cứu và sử dụng tốt các biện pháp kỹ thuật bảo đảm ATTT như thường xuyên cập nhật phần mềm, hệ điều hành máy tính cá nhân lên phiên bản mới nhất; bảo vệ tài khoản cá nhân bằng xác thực mật khẩu 2 lớp; tạo thói quen quét virus trước khi mở file; thực hiện sao lưu dự phòng trên ổ cứng ngoài, mạng nội bộ hoặc trên các dịch vụ lưu trữ đám mây (Google Drive, OneDrive).
Mỗi người cũng cần tuyệt đối không tải các file đính kèm hoặc nhấp vào đường link không rõ nguồn gốc; Hạn chế kết nối các thiết bị ngoại vi (USB, ổ cứng) với máy tính cá nhân ở công ty…