Cập nhật nội dung đào tạo cho phù hợp với tình hình
Cũng giống như các chương trình đào tạo khác, nội dung đào tạo nhằm nâng cao nhận thức về ATTT cần theo kịp thực tiễn. Trong tình hình mới, khi các kỹ thuật tấn công mới liên tục xuất hiện, người dùng cần nắm được cách phòng tránh phù hợp, cũng như cách tận dụng những tính năng đảm bảo an toàn mới của hệ thống. Chẳng hạn, trước đây, người dùng được cảnh báo không mở các liên kết trong thư điện tử do người lạ gửi. Nhưng trong các cuộc tấn công có chủ đích hiện nay, tin tặc có thể xâm nhập bằng nhiều cách khác nhau vào địa chỉ hòm thư của đồng nghiệp, từ đó gửi những văn bản có liên quan, gây chú ý như danh sách tăng lương, khen thưởng.... Việc lây lan qua cổng USB cũng là điều không tránh khỏi. Để đảm bảo an toàn, phòng tránh những nguy cơ mới, cán bộ, nhân viên cần có thông tin về những kiểu tấn công mới xuất hiện để đề cao cảnh giác và được hướng dẫn sử dụng những công cụ đảm bảo an toàn mới triển khai.
Một khuyến cáo khác là, người dùng nên cài đặt ứng dụng từ kho ứng dụng Google Play để tránh những nguy cơ an ninh. Tuy nhiên, hiện nay đã có rất nhiều phần mềm chứa mã độc qua mặt được cơ chế kiểm soát của Google Play. Vì vậy, để đảm bảo an toàn, người dùng cần kiểm tra thêm thông tin về nhà phát triển, các quyền đòi hỏi của ứng dụng….
Trước đây, người dùng thường truy cập các trang web được bảo vệ bằng giao thức HTTPS. Nhưng trong nhiều năm qua, các trang web giả mạo đã sử dụng thành công chứng thực giả để đánh lừa người dùng. Google đã từng loại bỏ các chứng thực của Trung tâm thông tin mạng Internet Trung Quốc (China Internet Network Information Center - CNNIC) và sắp tới sẽ loại bỏ cả các chứng thực của Symantec. Những chứng thực xác thực mở rộng (Extended Validation) đã được đưa vào sử dụng nhiều năm, tuy nhiên nhiều người dùng chưa hiểu về ý nghĩa của chúng. Trình duyệt của các thiết bị có màn hình nhỏ như điện thoại di động không thể hiển thị rõ ràng, như trình duyệt trên PC. Những yếu tố đó nhắc nhở rằng, cần hướng dẫn người dùng kiểm tra chứng thực và các cảnh báo của trình duyệt, không nên tin vào việc website có sử dụng giao thức HTTPS.
Nếu trước đây người dùng thường chỉ quan tâm bảo vệ các dịch vụ tài chính, thì ngày nay, họ cần chú ý tới nhiều loại dịch vụ khác. Các dịch vụ như thư điện tử hay SIM điện thoại thường được dùng để khôi phục mật khẩu các dịch vụ tài chính. Các mạng xã hội như Facebook lưu giữ nhiều thông tin cá nhân quan trọng, với một số người thì những thông tin này cần được bảo vệ nghiêm ngặt hơn các dịch vụ tài chính. Không phải tự nhiên mà mạng xã hội chấp nhận mật khẩu phức tạp hơn một số ngân hàng Mỹ.
Tính sẵn sàng của hệ thống cũng là một trong ba yếu tố cấu thành ATTT. Vì thế, dù không tồn tại lỗ hổng hoặc không có vụ tấn công nào xảy ra, nhưng chỉ một hành động của người dùng cũng có thể dẫn đến sự cố trên toàn hệ thống. Chẳng hạn, tháng 11/2016, một lỗi gửi nhầm thư đã khiến toàn bộ hệ thống thư điện tử của Dịch vụ Y tế quốc gia Anh (National Health Service - NHS) tê liệt trong nhiều giờ. Nguyên nhân do một thông điệp trắng với dòng tiêu đề “test” bị gửi nhầm tới toàn bộ 850 nghìn nhân viên của NHS và khoảng 70 - 80 nhân viên nhấn nút “reply all” để báo lỗi đã khiến hệ thống máy chủ bị quá tải. Những thông điệp phục vụ công việc đã không thể được truyền đi trong ít nhất 3 giờ. Có thể không ít người sẽ nhấn Reply all khi nhận được một thông báo lỗi đơn giản. Rõ ràng, khuyến cáo không gửi thư chuỗi trong quy định sử dụng thư điện tử và nội dung đào tạo nâng cao nhận thức ATTT không được chú ý trong sự cố này. Để phòng tránh, người dùng cần biết về nguy cơ “tự tấn công từ chối dịch vụ”, cách thức và địa chỉ gửi báo cáo mỗi khi có sự cố.
Những hướng dẫn chi tiết
Nếu chương trình đào tạo nâng cao nhận thức ATTT chỉ là liệt kê những cảnh báo cơ bản, người dùng sẽ cảm thấy không hữu ích và không có hứng thú tìm hiểu, áp dụng. Do đó, cần đào tạo cho người dùng về quyền riêng tư, về ATTT và cách áp dụng vào thực tế.
Khi xu hướng sử dụng thiết bị cá nhân (điện thoại thông minh, máy tính bảng,…) ngày càng phổ biến, thì việc bảo vệ an toàn cho dữ liệu cá nhân và của tổ chức ngày càng trở nên khó khăn. Người dùng cần được được đào tạo để hiểu rõ nguy cơ lộ lọt thông tin của tổ chức và cách xử lý khi mất thiết bị cá nhân (báo cho quản trị hệ thống hoặc tự kích hoạt chức năng xoá thư điện tử từ xa). Tương tự, người dùng cần biết cách xoá dữ liệu trên điện thoại thông minh trước khi cho, hoặc bán để bảo vệ thông tin cá nhân và tổ chức.
Ví dụ, người dùng có thể bị lộ thông tin khi sử dụng máy tính xách tay trên máy bay (người ngồi cạnh nhìn trộm), khi truy cập mạng wifi công cộng, mượn dây sạc của người khác hoặc để máy tính xách tay trong két của khách sạn.
Tuỳ theo độ quan trọng của thông tin lưu trong máy, người dùng cần áp dụng những biện pháp bảo mật tương ứng. Những người dùng không chuyên về ATTT khó biết được toàn bộ những biện pháp bảo mật mà tổ chức có thể áp dụng và triển khai để bảo vệ. Những vấn đề như kiểm tra chứng thực số trên các trình duyệt/thiết bị khác nhau cũng không đơn giản và cần được hướng dẫn chi tiết. Vì thế, nội dung đào tạo nâng cao nhận thức về ATTT cần đi kèm với những tài liệu kỹ thuật cụ thể, giúp người dùng biết cần tham khảo ở đâu, liên hệ với ai khi cần.
Đào tạo nâng cao theo từng vị trí công việc
Việc đào tạo về ATTT cần được thực hiện định kỳ, ở tất cả các cấp độ của tổ chức và phải cụ thể cho từng vị trí công việc. Những cán bộ, nhân viên công nghệ thông tin cần có hiểu biết sâu sắc về các kỹ thuật tấn công hơn so với những người dùng cuối thông thường.
Để có thể đào tạo về ATTT phù hợp cho từng vị trí, cần xác định rõ những công việc mà mỗi vị trí đó đảm nhận và xác định những rủi ro có thể xảy ra. Chẳng hạn, những cán bộ, nhân viên marketing cần biết cách gửi thư điện tử tới khách hàng mà không bị các hệ thống phân loại thư nhận nhầm là thư rác, để người nhận thư không cho đó là trò lừa đảo của kẻ xấu.
Quan trọng hơn, khi quyền riêng tư của người tiêu dùng được đề cao, các luật bảo vệ thông tin cá nhân ngày càng chặt chẽ (Luật ATTT mạng của Việt Nam có hiệu lực từ ngày 01/7/2016, Quy định Bảo vệ Dữ liệu chung của EU có hiệu lực từ ngày 25/5/2018), thì mỗi cán bộ thiết kế, triển khai các sản phẩm dịch vụ đều phải được đào tạo để hiểu rõ quyền riêng tư của khách hàng và cách đảm bảo quyền đó (cũng chính là bảo vệ tổ chức/doanh nghiệp trước nguy cơ vi phạm pháp luật). Họ phải là những người xác định và kiểm soát các yêu cầu bảo mật của hệ thống chứ không đơn thuần trông chờ vào bộ phận chuyên trách về ATTT.
Nếu mỗi cán bộ nghiệp vụ không hiểu biết, không tham gia vào việc xác định yêu cầu an ninh của từng sản phẩm dịch vụ ngay từ ban đầu, thì toàn bộ hệ thống sẽ phụ thuộc hoàn toàn vào chốt chặn cuối của bộ phận chuyên trách về ATTT. Ngoài việc không có khả năng bảo vệ an toàn theo chiều sâu, sự quá tải là điều dễ xảy ra và các sự cố sẽ có khả năng xuất hiện nhiều hơn. Mặt khác, hiểu được những khó khăn trong việc bảo vệ ATTT và tuân thủ các quy định, các cán bộ nghiệp vụ phải cân nhắc kỹ hơn khi quyết định thu thập thông tin cá nhân của khách hàng, không thu thập quá nhiều thông tin, hay thu thập những thông tin chưa cần sử dụng.
Áp dụng những phương pháp đào tạo bổ sung
Nội dung phù hợp là điều kiện cần, nhưng chưa phải là điều kiện đủ cho đào tạo về ATTT. Các tổ chức cần lựa chọn áp dụng những phương thức đào tạo hợp lý. Đào tạo trực tuyến (e-learning) có thể giúp tổ chức có được hình thức đào tạo linh hoạt, tiết kiệm. Đào tạo thực tế qua những cuộc tấn công giả lập, tự thực hiện hay thuê ngoài sẽ giúp người dùng hiểu rõ phương thức tấn công của kẻ xấu, cũng như ảnh hưởng của các cuộc tấn công đối với tổ chức, cá nhân và cách phòng tránh. Sau mỗi cuộc diễn tập, một số nhân viên sẽ được yêu cầu chia sẻ kinh nghiệm thực tế của họ, giúp đồng nghiệp hiểu rõ hơn. Các cuộc diễn tập cũng giúp bộ phận an ninh nhận biết những phòng ban nào còn yếu trong những mảng nào để có kế hoạch đào tạo bổ sung thích hợp.
Cuối cùng, dù với hình thức và nội dung đầy đủ đến đâu thì việc đào tạo cũng không thể là biện pháp duy nhất để nâng cao nhận thức về ATTT. Chúng ta cần có các phần thưởng, công nhận cho những người dùng có công phát hiện các nguy cơ mất an toàn (thư lừa đảo, dấu hiệu vi phạm quy định trong nội bộ tổ chức, những lỗ hổng/thiếu sót trong quá trình triển khai sản phẩm dịch vụ) và những người góp phần tuyên truyền nâng cao nhận thức về ATTT.
Nguyễn Anh Tuấn
08:00 | 15/12/2016
09:26 | 13/06/2016
16:34 | 06/10/2008
15:00 | 17/01/2022
10:00 | 07/01/2025
Cơ quan chức năng của Bộ Thông tin và Truyền thông đã ghi nhận hơn 7.000 phản ánh của người dân về lừa đảo trực tuyến trong tuần qua, đồng thời cảnh báo nguy cơ gia tăng số thiết bị có thể trở thành nguồn tấn công từ chối dịch vụ….
08:00 | 02/01/2025
Tháng 12/2024, Ban Công nghệ, Hiệp hội An ninh mạng quốc gia đã thực hiện khảo sát tại 4.935 cơ quan, doanh nghiệp tại Việt Nam. Từ đó, đưa ra báo cáo với những số liệu chi tiết, nổi bật là các vấn đề liên quan đến tình hình an ninh mạng mà các cơ quan, doanh nghiệp đang gặp phải trong năm vừa qua, đồng thời đưa ra những khuyến nghị và các giải pháp khắc phục. Dưới đây là các thông tin chi tiết của báo cáo.
10:00 | 12/12/2024
Mới đây, Tòa án Mỹ đã bác bỏ đơn kháng cáo của TikTok, khiến ứng dụng chia sẻ video ngắn này đứng trước nguy cơ bị cấm hoạt động tại quốc gia này.
10:00 | 06/12/2024
Chiều ngày 05/12, tại Hà Nội, Cục Cơ yếu Bộ Tổng Tham mưu Quân đội nhân dân Việt Nam tổ chức Hội nghị Tổng kết công tác năm 2024, triển khai nhiệm vụ năm 2025. Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ tới dự và chỉ đạo Hội nghị.
Vụ bắt cóc các diễn viên Trung Quốc tại biên giới Thái Lan - Myanmar xảy ra gần đây là hồi chuông cảnh tỉnh về mức độ nguy hiểm của các hoạt động lừa đảo trực tuyến, đặc biệt là các hình thức lừa đảo tình cảm, dụ dỗ sang nước ngoài làm việc.
09:00 | 24/01/2025
Ngày 07/01, tại Hà Nội, Cục Viễn thông và Cơ yếu Bộ Công an tổ chức Hội nghị tổng kết công tác năm 2025 và triển khai chương trình công tác viễn thông, cơ yếu năm 2025. Trung tướng Lê Văn Tuyến, Thứ trưởng Bộ Công an và Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo Hội nghị.
09:00 | 08/01/2025
Trân trọng kính mời các chuyên gia, các cán bộ giảng dạy, nhà nghiên cứu tham gia viết bài cho Hội thảo Khoa học quốc gia “Khoa học tự nhiên và Ứng dụng trong thời đại số” do Học viện Công nghệ Bưu chính Viễn thông phối hợp với Trường Đại học Sư phạm kỹ thuật Hưng Yên và Trường Đại học Kinh tế - Kỹ thuật Công nghiệp tổ chức. Hội thảo dự kiến tổ chức vào ngày 06/6/2025 tại Hà Nội.
16:00 | 22/01/2025