Có hai thách thức lớn mà các tổ chức phải đối mặt khi cam kết thiết lập một môi trường an toàn nhằm bảo vệ hệ thống và dữ liệu của họ, cũng như dữ liệu của nhân viên, khách hàng, đó là đảm bảo hệ thống của tổ chức luôn có các lớp bảo mật và công nghệ phù hợp để giữ an toàn cho dữ liệu và ngăn chặn tội phạm mạng, cũng như đảm bảo các hoạt động của nhân viên an toàn và có hiểu biết về việc bảo vệ các hệ thống thông tin và dữ liệu, tránh đặt chúng vào rủi ro.
Nhìn chung, con người là yếu tố lớn nhất gây cản trở nỗ lực của các tổ chức nhằm xây dựng và duy trì một nền văn hóa bảo mật mạnh mẽ. Vì vậy, các tổ chức nên áp dụng các kỹ thuật khoa học và nghiên cứu hành vi đã được thử nghiệm qua thời gian để xây dựng văn hóa bảo mật dựa trên các nguyên tắc thiết kế hành vi.
Thiết kế hành vi, một lĩnh vực khoa học do Tiến sĩ BJ Fogg của Đại học Stanford tiên phong nghiên cứu, là một cách suy nghĩ có hệ thống về hành vi của con người và cách mọi người đưa ra quyết định. Ông mô tả nó là “một cách tiếp cận mới để hiểu hành vi của con người và cách thiết kế để thay đổi hành vi”.
Theo Mô hình Fogg về thiết kế hành vi, hành vi xảy ra là do sự kết hợp của ba yếu tố: Động lực, Khả năng và Lời nhắc. Nói cách khác, để thay đổi hành vi của một con người, cần phải có ba yếu tố:
- Động lực: để thay đổi hành vi của một người, thì chính bản thân họ phải muốn thay đổi vì họ nhận ra được lợi ích khi làm như vậy.
- Khả năng: con người phải có kiến thức và công cụ cần thiết để thay đổi thành công hành vi. Hành vi đó phải đủ dễ dàng thực hiện để hoàn thành tùy theo mức độ động lực hiện tại của người đó.
- Lời nhắc: để thông báo hoặc nhắc nhở mọi người biết về sự cần thiết của hành vi và giúp ghi nhớ sự nhận biết đó.
Chúng ta sẽ cùng xem xét từng thành phần này và cách chúng có thể được áp dụng để xây dựng văn hóa bảo mật.
Nếu muốn con người thay đổi hành vi thì cần cho họ lý do để làm như vậy. Mô hình Fogg về thiết kế hành vi nêu bật ba yếu tố động lực cốt lõi: Cảm giác, Dự đoán và Sự sở hữu. Mỗi yếu tố đều có hai mặt đối lập: niềm vui/đau đớn, hy vọng/sợ hãi, chấp nhận/từ chối. Những động lực cốt lõi này áp dụng cho tất cả mọi người và là trung tâm của trải nghiệm con người, cụ thể:
- Khai thác cảm xúc của mọi người bằng cách sử dụng nội dung trực quan, hấp dẫn với sự hài hước và các kỹ thuật dựa trên câu chuyện, đồng thời kích hoạt cảm giác tích cực.
- Sợ hãi cũng có thể là một động lực mạnh mẽ, quá nhiều sự sợ hãi cũng có thể dẫn đến sự thờ ơ và cần được củng cố bằng quan niệm rằng nó đơn giản để bảo vệ.
- Sử dụng sức mạnh của sự lãnh đạo hoặc người nổi tiếng để kể chuyện và gợi cảm giác thân thuộc.
- Cá nhân hóa bằng cách cung cấp thông tin về cách bảo vệ trẻ em hoặc thành viên gia đình.
Lưu ý: Sự hài hước là một kỹ thuật tốt để thu hút sự chú ý của mọi người, gợi lên những cảm xúc tích cực và giúp ghi nhớ. Tuy nhiên, nó phải được áp dụng cẩn thận và phù hợp với văn hóa của từng khu vực, nếu không có thể bị phản tác dụng. Ngoài ra, nó không nên được sử dụng quá nhiều, vì có thể khiến mọi người không coi trọng thông điệp cốt lõi.
Ngày nay, các cuộc tấn công lừa đảo ngày càng phổ biến khi tội phạm mạng sử dụng các thủ thuật ngày càng tinh vi để khiến mọi người nhấp vào những đường dẫn có chứa mã độc hoặc thông tin độc hại.
Nhân viên của một công ty có thể có động lực để tránh những cuộc tấn công này, bởi vì xét cho cùng, họ không muốn là người phải chịu trách nhiệm khi dữ liệu quan trọng bị rủi ro. Nhưng chỉ có động lực thôi là không đủ, họ cũng phải có khả năng tránh những cuộc tấn công này. Để làm được điều đó phải dựa trên kiến thức, công cụ, thói quen và bản năng cần thiết để thực hiện các hành vi mong muốn.
BJ Fogg chỉ ra rằng đào tạo con người là một công việc khó khăn và hầu hết mọi người đều ngại học hỏi những điều mới. Cung cấp cho họ một công cụ hoặc tài nguyên sẽ giúp thực hiện hành vi dễ dàng hơn. Một ví dụ tuyệt vời là trình quản lý mật khẩu giúp đơn giản hóa sự phức tạp của việc phải nhớ nhiều mật khẩu khác nhau.
Chúng ta đang sống trong một thế giới phức tạp, bận rộn và lộn xộn với quá nhiều mối quan tâm. Chúng ta không thể nào nhớ hết được vô số thứ mà chúng ta cần biết để thực hiện công việc hàng ngày của mình. Khi đó, động lực và khả năng thôi là không đủ để đảm bảo thay đổi hành vi của con người, chúng ta cần thêm lời nhắc.
Lời nhắc có mục đích nhắc nhở và bảo mọi người “thực hiện ngay”. Một ví dụ điển hình là cảnh báo độ mạnh của mật khẩu nhắc nhở mọi người nghĩ ra những mật khẩu tốt hơn khi họ tạo chúng.
Hay như khi một email đáng ngờ vượt qua tường lửa của người dùng, một cửa sổ bật lên có thể hiển thị trong hộp thư đến của nhân viên với nội dung: “Bạn có thực sự muốn nhấp vào đó không?” Lời nhắc đơn giản khiến mọi người tạm dừng và cho họ thời gian để xem xét các lựa chọn cũng như ưu/nhược điểm của việc thực hiện hoặc không thực hiện một số hành động nhất định.
Các nhà lãnh đạo bảo mật ngày càng nhận ra vấn đề con người mới là nguyên nhân gốc rễ quan trọng nhất trong tất cả các cuộc tấn công mạng. Đó là lý do tại sao nhận thức về bảo mật là ưu tiên bảo mật hàng đầu. Tuy nhiên, việc chuyển nhận thức thành hành vi an toàn không phải là một công việc dễ dàng. Các tổ chức nên tìm hiểu và áp dụng các nguyên tắc thiết kế hành vi để tác động tích cực và thay đổi văn hóa bảo mật. Khi có thể kết hợp ba yếu tố động lực, khả năng và lời nhắc, thì việc thay đổi hành vi có nhiều khả năng xảy ra hơn là chỉ truyền bá nội dung nâng cao nhận thức và hy vọng đạt được kết quả.
Hoàng Thu Phương (Viện Khoa học - Công nghệ mật mã, Ban Cơ yếu Chính phủ)
13:00 | 06/12/2022
10:00 | 21/02/2023
10:00 | 21/12/2022
13:00 | 02/12/2024
Trí tuệ nhân tạo (AI) đang ngày càng phát triển và được áp dụng trong nhiều lĩnh vực của đời sống. Thậm chí đối với những lĩnh vực đòi hỏi trình độ cao của con người như lập trình hay bảo mật, AI cũng đang chứng minh khả năng vượt trội của mình. Với sự trợ giúp của AI, Google đã phát hiện một lỗ hổng bảo mật tồn tại hơn 20 năm trong dự án phần mềm mã nguồn mở được sử dụng rộng rãi.
14:00 | 20/11/2024
Davey Winder - một hacker và cũng là nhà phân tích an ninh mạng kỳ cựu cho biết, các cuộc tấn công mạng đang ngày càng phức tạp và Gmail là một trong những mục tiêu hàng đầu của các tin tặc. Tính năng xác thực hai yếu tố đã không còn an toàn khi có những báo cáo cho thấy tin tặc đã vượt qua biện pháp này.
10:00 | 14/11/2024
Một ví dụ điển hình trong việc triển khai mô hình Zero Trust thành công là của Tập đoàn công nghệ Microsoft. Điều này minh chứng cho cách một tổ chức lớn có thể bảo vệ tài nguyên và người dùng bằng các phương pháp kiểm soát nghiêm ngặt, đảm bảo an ninh mạng toàn diện. Đây cũng là bài học kinh nghiệm cho các tổ chức trong quá trình triển khai mô hình bảo mật hiện đại này.
10:00 | 10/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Cách mạng khoa học công nghiệp 4.0 với sự hội tụ của hệ thống không gian mạng thực - ảo, điện toán đám mây, Internet vạn vật (IoT) được đưa vào ứng dụng rộng rãi, ảnh hưởng trực tiếp đời sống, kinh tế, xã hội, quốc phòng, an ninh của các quốc gia. Sự xuất hiện của các thiết bị IoT làm gia tăng sự kết nối của con người, dịch vụ, thúc đẩy mạnh mẽ số hóa, tự động hóa ở tất cả các ngành nghề, lĩnh vực, mang lại những lợi ích to lớn, tạo ra các mô hình kinh doanh mới nhưng đồng thời cũng tiềm ẩn nhiều nguy cơ bị tấn công mạng, gây mất an toàn thông tin, an ninh mạng. Bài viết sẽ thông tin tới độc giả về xu hướng tấn công vào thiết bị IoT và đưa ra một số kiến nghị để ứng phó với các thách thức đang đặt ra.
13:00 | 23/01/2025