Cập nhật nội dung đào tạo cho phù hợp với tình hình
Cũng giống như các chương trình đào tạo khác, nội dung đào tạo nhằm nâng cao nhận thức về ATTT cần theo kịp thực tiễn. Trong tình hình mới, khi các kỹ thuật tấn công mới liên tục xuất hiện, người dùng cần nắm được cách phòng tránh phù hợp, cũng như cách tận dụng những tính năng đảm bảo an toàn mới của hệ thống. Chẳng hạn, trước đây, người dùng được cảnh báo không mở các liên kết trong thư điện tử do người lạ gửi. Nhưng trong các cuộc tấn công có chủ đích hiện nay, tin tặc có thể xâm nhập bằng nhiều cách khác nhau vào địa chỉ hòm thư của đồng nghiệp, từ đó gửi những văn bản có liên quan, gây chú ý như danh sách tăng lương, khen thưởng.... Việc lây lan qua cổng USB cũng là điều không tránh khỏi. Để đảm bảo an toàn, phòng tránh những nguy cơ mới, cán bộ, nhân viên cần có thông tin về những kiểu tấn công mới xuất hiện để đề cao cảnh giác và được hướng dẫn sử dụng những công cụ đảm bảo an toàn mới triển khai.
Một khuyến cáo khác là, người dùng nên cài đặt ứng dụng từ kho ứng dụng Google Play để tránh những nguy cơ an ninh. Tuy nhiên, hiện nay đã có rất nhiều phần mềm chứa mã độc qua mặt được cơ chế kiểm soát của Google Play. Vì vậy, để đảm bảo an toàn, người dùng cần kiểm tra thêm thông tin về nhà phát triển, các quyền đòi hỏi của ứng dụng….
Trước đây, người dùng thường truy cập các trang web được bảo vệ bằng giao thức HTTPS. Nhưng trong nhiều năm qua, các trang web giả mạo đã sử dụng thành công chứng thực giả để đánh lừa người dùng. Google đã từng loại bỏ các chứng thực của Trung tâm thông tin mạng Internet Trung Quốc (China Internet Network Information Center - CNNIC) và sắp tới sẽ loại bỏ cả các chứng thực của Symantec. Những chứng thực xác thực mở rộng (Extended Validation) đã được đưa vào sử dụng nhiều năm, tuy nhiên nhiều người dùng chưa hiểu về ý nghĩa của chúng. Trình duyệt của các thiết bị có màn hình nhỏ như điện thoại di động không thể hiển thị rõ ràng, như trình duyệt trên PC. Những yếu tố đó nhắc nhở rằng, cần hướng dẫn người dùng kiểm tra chứng thực và các cảnh báo của trình duyệt, không nên tin vào việc website có sử dụng giao thức HTTPS.
Nếu trước đây người dùng thường chỉ quan tâm bảo vệ các dịch vụ tài chính, thì ngày nay, họ cần chú ý tới nhiều loại dịch vụ khác. Các dịch vụ như thư điện tử hay SIM điện thoại thường được dùng để khôi phục mật khẩu các dịch vụ tài chính. Các mạng xã hội như Facebook lưu giữ nhiều thông tin cá nhân quan trọng, với một số người thì những thông tin này cần được bảo vệ nghiêm ngặt hơn các dịch vụ tài chính. Không phải tự nhiên mà mạng xã hội chấp nhận mật khẩu phức tạp hơn một số ngân hàng Mỹ.
Tính sẵn sàng của hệ thống cũng là một trong ba yếu tố cấu thành ATTT. Vì thế, dù không tồn tại lỗ hổng hoặc không có vụ tấn công nào xảy ra, nhưng chỉ một hành động của người dùng cũng có thể dẫn đến sự cố trên toàn hệ thống. Chẳng hạn, tháng 11/2016, một lỗi gửi nhầm thư đã khiến toàn bộ hệ thống thư điện tử của Dịch vụ Y tế quốc gia Anh (National Health Service - NHS) tê liệt trong nhiều giờ. Nguyên nhân do một thông điệp trắng với dòng tiêu đề “test” bị gửi nhầm tới toàn bộ 850 nghìn nhân viên của NHS và khoảng 70 - 80 nhân viên nhấn nút “reply all” để báo lỗi đã khiến hệ thống máy chủ bị quá tải. Những thông điệp phục vụ công việc đã không thể được truyền đi trong ít nhất 3 giờ. Có thể không ít người sẽ nhấn Reply all khi nhận được một thông báo lỗi đơn giản. Rõ ràng, khuyến cáo không gửi thư chuỗi trong quy định sử dụng thư điện tử và nội dung đào tạo nâng cao nhận thức ATTT không được chú ý trong sự cố này. Để phòng tránh, người dùng cần biết về nguy cơ “tự tấn công từ chối dịch vụ”, cách thức và địa chỉ gửi báo cáo mỗi khi có sự cố.
Những hướng dẫn chi tiết
Nếu chương trình đào tạo nâng cao nhận thức ATTT chỉ là liệt kê những cảnh báo cơ bản, người dùng sẽ cảm thấy không hữu ích và không có hứng thú tìm hiểu, áp dụng. Do đó, cần đào tạo cho người dùng về quyền riêng tư, về ATTT và cách áp dụng vào thực tế.
Khi xu hướng sử dụng thiết bị cá nhân (điện thoại thông minh, máy tính bảng,…) ngày càng phổ biến, thì việc bảo vệ an toàn cho dữ liệu cá nhân và của tổ chức ngày càng trở nên khó khăn. Người dùng cần được được đào tạo để hiểu rõ nguy cơ lộ lọt thông tin của tổ chức và cách xử lý khi mất thiết bị cá nhân (báo cho quản trị hệ thống hoặc tự kích hoạt chức năng xoá thư điện tử từ xa). Tương tự, người dùng cần biết cách xoá dữ liệu trên điện thoại thông minh trước khi cho, hoặc bán để bảo vệ thông tin cá nhân và tổ chức.
Ví dụ, người dùng có thể bị lộ thông tin khi sử dụng máy tính xách tay trên máy bay (người ngồi cạnh nhìn trộm), khi truy cập mạng wifi công cộng, mượn dây sạc của người khác hoặc để máy tính xách tay trong két của khách sạn.
Tuỳ theo độ quan trọng của thông tin lưu trong máy, người dùng cần áp dụng những biện pháp bảo mật tương ứng. Những người dùng không chuyên về ATTT khó biết được toàn bộ những biện pháp bảo mật mà tổ chức có thể áp dụng và triển khai để bảo vệ. Những vấn đề như kiểm tra chứng thực số trên các trình duyệt/thiết bị khác nhau cũng không đơn giản và cần được hướng dẫn chi tiết. Vì thế, nội dung đào tạo nâng cao nhận thức về ATTT cần đi kèm với những tài liệu kỹ thuật cụ thể, giúp người dùng biết cần tham khảo ở đâu, liên hệ với ai khi cần.
Đào tạo nâng cao theo từng vị trí công việc
Việc đào tạo về ATTT cần được thực hiện định kỳ, ở tất cả các cấp độ của tổ chức và phải cụ thể cho từng vị trí công việc. Những cán bộ, nhân viên công nghệ thông tin cần có hiểu biết sâu sắc về các kỹ thuật tấn công hơn so với những người dùng cuối thông thường.
Để có thể đào tạo về ATTT phù hợp cho từng vị trí, cần xác định rõ những công việc mà mỗi vị trí đó đảm nhận và xác định những rủi ro có thể xảy ra. Chẳng hạn, những cán bộ, nhân viên marketing cần biết cách gửi thư điện tử tới khách hàng mà không bị các hệ thống phân loại thư nhận nhầm là thư rác, để người nhận thư không cho đó là trò lừa đảo của kẻ xấu.
Quan trọng hơn, khi quyền riêng tư của người tiêu dùng được đề cao, các luật bảo vệ thông tin cá nhân ngày càng chặt chẽ (Luật ATTT mạng của Việt Nam có hiệu lực từ ngày 01/7/2016, Quy định Bảo vệ Dữ liệu chung của EU có hiệu lực từ ngày 25/5/2018), thì mỗi cán bộ thiết kế, triển khai các sản phẩm dịch vụ đều phải được đào tạo để hiểu rõ quyền riêng tư của khách hàng và cách đảm bảo quyền đó (cũng chính là bảo vệ tổ chức/doanh nghiệp trước nguy cơ vi phạm pháp luật). Họ phải là những người xác định và kiểm soát các yêu cầu bảo mật của hệ thống chứ không đơn thuần trông chờ vào bộ phận chuyên trách về ATTT.
Nếu mỗi cán bộ nghiệp vụ không hiểu biết, không tham gia vào việc xác định yêu cầu an ninh của từng sản phẩm dịch vụ ngay từ ban đầu, thì toàn bộ hệ thống sẽ phụ thuộc hoàn toàn vào chốt chặn cuối của bộ phận chuyên trách về ATTT. Ngoài việc không có khả năng bảo vệ an toàn theo chiều sâu, sự quá tải là điều dễ xảy ra và các sự cố sẽ có khả năng xuất hiện nhiều hơn. Mặt khác, hiểu được những khó khăn trong việc bảo vệ ATTT và tuân thủ các quy định, các cán bộ nghiệp vụ phải cân nhắc kỹ hơn khi quyết định thu thập thông tin cá nhân của khách hàng, không thu thập quá nhiều thông tin, hay thu thập những thông tin chưa cần sử dụng.
Áp dụng những phương pháp đào tạo bổ sung
Nội dung phù hợp là điều kiện cần, nhưng chưa phải là điều kiện đủ cho đào tạo về ATTT. Các tổ chức cần lựa chọn áp dụng những phương thức đào tạo hợp lý. Đào tạo trực tuyến (e-learning) có thể giúp tổ chức có được hình thức đào tạo linh hoạt, tiết kiệm. Đào tạo thực tế qua những cuộc tấn công giả lập, tự thực hiện hay thuê ngoài sẽ giúp người dùng hiểu rõ phương thức tấn công của kẻ xấu, cũng như ảnh hưởng của các cuộc tấn công đối với tổ chức, cá nhân và cách phòng tránh. Sau mỗi cuộc diễn tập, một số nhân viên sẽ được yêu cầu chia sẻ kinh nghiệm thực tế của họ, giúp đồng nghiệp hiểu rõ hơn. Các cuộc diễn tập cũng giúp bộ phận an ninh nhận biết những phòng ban nào còn yếu trong những mảng nào để có kế hoạch đào tạo bổ sung thích hợp.
Cuối cùng, dù với hình thức và nội dung đầy đủ đến đâu thì việc đào tạo cũng không thể là biện pháp duy nhất để nâng cao nhận thức về ATTT. Chúng ta cần có các phần thưởng, công nhận cho những người dùng có công phát hiện các nguy cơ mất an toàn (thư lừa đảo, dấu hiệu vi phạm quy định trong nội bộ tổ chức, những lỗ hổng/thiếu sót trong quá trình triển khai sản phẩm dịch vụ) và những người góp phần tuyên truyền nâng cao nhận thức về ATTT.
Nguyễn Anh Tuấn
08:00 | 15/12/2016
09:26 | 13/06/2016
16:34 | 06/10/2008
15:00 | 17/01/2022
17:00 | 30/11/2023
Đó là chủ đề của Hội thảo - Triển lãm quốc tế Ngày An toàn thông tin Việt Nam 2023 diễn ra ngày 30/11 tại Hà Nội. Đây là một diễn đàn quan trọng cấp quốc gia và là một trong những sự kiện nổi bật nhất về an toàn, an ninh mạng tại Việt Nam trong năm nay.
16:00 | 23/11/2023
Sáng ngày 23/11, tại Hà Nội đã diễn ra Hội nghị tuyên truyền chuyển đổi số và ra mắt Website thông tin chuyển đổi số của Ban Cơ yếu Chính phủ. Hội nghị nhằm mục tiêu tăng cường hiểu biết về lợi ích, vai trò và tầm quan trọng của chuyển đổi số ở phạm vi quốc gia và tại Ban Cơ yếu Chính phủ.
15:00 | 16/11/2023
Sáng ngày 16/11/2023, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ đã tổ chức Hội thảo Sơ kết công tác giám sát an toàn thông tin năm 2023 nhằm đánh giá kết quả công tác giám sát an toàn thông tin trong năm 2023 và phương hướng nhiệm vụ năm 2024.
14:00 | 01/11/2023
Trong báo cáo mới đây của hãng bảo mật Kaspersky đã trình bày chi tiết về khoảng thời gian mà các tin tặc thực hiện chiến dịch Triangulation, đã ẩn giấu và che đậy dấu vết của chúng trong khi bí mật thu thập thông tin nhạy cảm từ các thiết bị bị xâm nhập.
Lệnh cấm điện thoại di động trong trường học tại Hà Lan có hiệu lực từ tháng 1/2024. Bên cạnh điện thoại di động, chính quyền Hà Lan sẽ cấm cả iPad, đồng hồ thông minh và các thiết bị tương tự tại trường học.
17:00 | 22/12/2023
Ngày 14/12, trong khuôn khổ Giao lưu hữu nghị Quốc phòng biên giới Việt Nam - Lào - Campuchia lần thứ nhất, tại khu vực biên giới chung ba nước Việt Nam - Lào - Campuchia đã diễn ra cuộc gặp thường niên Bộ trưởng Bộ Quốc phòng ba nước Việt Nam - Lào- Campuchia. Đại tướng Phan Văn Giang, Uỷ viên Bộ Chính trị, Bộ trưởng Bộ Quốc phòng Việt Nam; Đại tướng Chansamone Chanyalath, Ủy viên Bộ Chính trị Ban Chấp hành Trung ương Đảng Nhân dân Cách mạng Lào, Phó Thủ tướng Chính phủ, Bộ trưởng Bộ Quốc phòng Lào; Đại tướng Tea Seiha, Phó Thủ tướng Chính phủ, Bộ trưởng Bộ Quốc phòng Campuchia đồng chủ trì giao lưu.
15:00 | 18/12/2023
Ngày 8/12 vừa qua, các nước thành viên Liên minh châu Âu (EU) đã đạt được thỏa thuận về một bộ quy tắc đối với việc quản lý trí tuệ nhân tạo (AI). Đây được coi là văn bản mang tính bước ngoặt, là nền tảng để xây dựng bộ quy tắc đầy đủ về trí tuệ nhân tạo, cũng là khuôn khổ pháp lý đầu tiên trong lĩnh vực này.
14:00 | 14/12/2023