Có hai thách thức lớn mà các tổ chức phải đối mặt khi cam kết thiết lập một môi trường an toàn nhằm bảo vệ hệ thống và dữ liệu của họ, cũng như dữ liệu của nhân viên, khách hàng, đó là đảm bảo hệ thống của tổ chức luôn có các lớp bảo mật và công nghệ phù hợp để giữ an toàn cho dữ liệu và ngăn chặn tội phạm mạng, cũng như đảm bảo các hoạt động của nhân viên an toàn và có hiểu biết về việc bảo vệ các hệ thống thông tin và dữ liệu, tránh đặt chúng vào rủi ro.
Nhìn chung, con người là yếu tố lớn nhất gây cản trở nỗ lực của các tổ chức nhằm xây dựng và duy trì một nền văn hóa bảo mật mạnh mẽ. Vì vậy, các tổ chức nên áp dụng các kỹ thuật khoa học và nghiên cứu hành vi đã được thử nghiệm qua thời gian để xây dựng văn hóa bảo mật dựa trên các nguyên tắc thiết kế hành vi.
Thiết kế hành vi, một lĩnh vực khoa học do Tiến sĩ BJ Fogg của Đại học Stanford tiên phong nghiên cứu, là một cách suy nghĩ có hệ thống về hành vi của con người và cách mọi người đưa ra quyết định. Ông mô tả nó là “một cách tiếp cận mới để hiểu hành vi của con người và cách thiết kế để thay đổi hành vi”.
Theo Mô hình Fogg về thiết kế hành vi, hành vi xảy ra là do sự kết hợp của ba yếu tố: Động lực, Khả năng và Lời nhắc. Nói cách khác, để thay đổi hành vi của một con người, cần phải có ba yếu tố:
- Động lực: để thay đổi hành vi của một người, thì chính bản thân họ phải muốn thay đổi vì họ nhận ra được lợi ích khi làm như vậy.
- Khả năng: con người phải có kiến thức và công cụ cần thiết để thay đổi thành công hành vi. Hành vi đó phải đủ dễ dàng thực hiện để hoàn thành tùy theo mức độ động lực hiện tại của người đó.
- Lời nhắc: để thông báo hoặc nhắc nhở mọi người biết về sự cần thiết của hành vi và giúp ghi nhớ sự nhận biết đó.
Chúng ta sẽ cùng xem xét từng thành phần này và cách chúng có thể được áp dụng để xây dựng văn hóa bảo mật.
Nếu muốn con người thay đổi hành vi thì cần cho họ lý do để làm như vậy. Mô hình Fogg về thiết kế hành vi nêu bật ba yếu tố động lực cốt lõi: Cảm giác, Dự đoán và Sự sở hữu. Mỗi yếu tố đều có hai mặt đối lập: niềm vui/đau đớn, hy vọng/sợ hãi, chấp nhận/từ chối. Những động lực cốt lõi này áp dụng cho tất cả mọi người và là trung tâm của trải nghiệm con người, cụ thể:
- Khai thác cảm xúc của mọi người bằng cách sử dụng nội dung trực quan, hấp dẫn với sự hài hước và các kỹ thuật dựa trên câu chuyện, đồng thời kích hoạt cảm giác tích cực.
- Sợ hãi cũng có thể là một động lực mạnh mẽ, quá nhiều sự sợ hãi cũng có thể dẫn đến sự thờ ơ và cần được củng cố bằng quan niệm rằng nó đơn giản để bảo vệ.
- Sử dụng sức mạnh của sự lãnh đạo hoặc người nổi tiếng để kể chuyện và gợi cảm giác thân thuộc.
- Cá nhân hóa bằng cách cung cấp thông tin về cách bảo vệ trẻ em hoặc thành viên gia đình.
Lưu ý: Sự hài hước là một kỹ thuật tốt để thu hút sự chú ý của mọi người, gợi lên những cảm xúc tích cực và giúp ghi nhớ. Tuy nhiên, nó phải được áp dụng cẩn thận và phù hợp với văn hóa của từng khu vực, nếu không có thể bị phản tác dụng. Ngoài ra, nó không nên được sử dụng quá nhiều, vì có thể khiến mọi người không coi trọng thông điệp cốt lõi.
Ngày nay, các cuộc tấn công lừa đảo ngày càng phổ biến khi tội phạm mạng sử dụng các thủ thuật ngày càng tinh vi để khiến mọi người nhấp vào những đường dẫn có chứa mã độc hoặc thông tin độc hại.
Nhân viên của một công ty có thể có động lực để tránh những cuộc tấn công này, bởi vì xét cho cùng, họ không muốn là người phải chịu trách nhiệm khi dữ liệu quan trọng bị rủi ro. Nhưng chỉ có động lực thôi là không đủ, họ cũng phải có khả năng tránh những cuộc tấn công này. Để làm được điều đó phải dựa trên kiến thức, công cụ, thói quen và bản năng cần thiết để thực hiện các hành vi mong muốn.
BJ Fogg chỉ ra rằng đào tạo con người là một công việc khó khăn và hầu hết mọi người đều ngại học hỏi những điều mới. Cung cấp cho họ một công cụ hoặc tài nguyên sẽ giúp thực hiện hành vi dễ dàng hơn. Một ví dụ tuyệt vời là trình quản lý mật khẩu giúp đơn giản hóa sự phức tạp của việc phải nhớ nhiều mật khẩu khác nhau.
Chúng ta đang sống trong một thế giới phức tạp, bận rộn và lộn xộn với quá nhiều mối quan tâm. Chúng ta không thể nào nhớ hết được vô số thứ mà chúng ta cần biết để thực hiện công việc hàng ngày của mình. Khi đó, động lực và khả năng thôi là không đủ để đảm bảo thay đổi hành vi của con người, chúng ta cần thêm lời nhắc.
Lời nhắc có mục đích nhắc nhở và bảo mọi người “thực hiện ngay”. Một ví dụ điển hình là cảnh báo độ mạnh của mật khẩu nhắc nhở mọi người nghĩ ra những mật khẩu tốt hơn khi họ tạo chúng.
Hay như khi một email đáng ngờ vượt qua tường lửa của người dùng, một cửa sổ bật lên có thể hiển thị trong hộp thư đến của nhân viên với nội dung: “Bạn có thực sự muốn nhấp vào đó không?” Lời nhắc đơn giản khiến mọi người tạm dừng và cho họ thời gian để xem xét các lựa chọn cũng như ưu/nhược điểm của việc thực hiện hoặc không thực hiện một số hành động nhất định.
Các nhà lãnh đạo bảo mật ngày càng nhận ra vấn đề con người mới là nguyên nhân gốc rễ quan trọng nhất trong tất cả các cuộc tấn công mạng. Đó là lý do tại sao nhận thức về bảo mật là ưu tiên bảo mật hàng đầu. Tuy nhiên, việc chuyển nhận thức thành hành vi an toàn không phải là một công việc dễ dàng. Các tổ chức nên tìm hiểu và áp dụng các nguyên tắc thiết kế hành vi để tác động tích cực và thay đổi văn hóa bảo mật. Khi có thể kết hợp ba yếu tố động lực, khả năng và lời nhắc, thì việc thay đổi hành vi có nhiều khả năng xảy ra hơn là chỉ truyền bá nội dung nâng cao nhận thức và hy vọng đạt được kết quả.
Hoàng Thu Phương (Viện Khoa học - Công nghệ mật mã, Ban Cơ yếu Chính phủ)
13:00 | 06/12/2022
10:00 | 21/02/2023
10:00 | 21/12/2022
08:00 | 25/01/2024
Tháng 12/2023, các nhà nghiên cứu của hãng bảo mật Fortinet xác định được ba gói độc hại mới trong kho lưu trữ nguồn mở Python Package Index (PyPI) có khả năng triển khai tệp thực thi CoinMiner để khai thác tiền điện tử trên các thiết bị Linux bị ảnh hưởng. Các nhà nghiên cứu cho rằng các chỉ số xâm phạm (IoC) của các gói này có điểm tương đồng với gói PyPI Culturestreak được phát hiện vào đầu tháng 9/2023. Bài viết này sẽ phân tích các giai đoạn tấn công của ba gói PyPI độc hại này, trong đó tập trung vào những điểm tương đồng và sự phát triển của chúng so với gói Culturestreak.
09:00 | 10/01/2024
Ngày nay, công nghệ trí tuệ nhân tạo (AI) có vai trò hết sức quan trọng trong mọi lĩnh vực của đời sống. Trong đó, lĩnh vực an toàn thông tin, giám sát an ninh thông minh có tiềm năng ứng dụng rất lớn. Bên cạnh các giải pháp như phát hiện mạng Botnet [1], phát hiện tấn công trinh sát mạng [2], việc ứng dụng AI trong giám sát an ninh, hỗ trợ điều tra tội phạm cũng đang được nghiên cứu, phát triển và ứng dụng rộng rãi. Trong bài báo này, nhóm tác giả đề xuất giải pháp sử dụng mô hình mạng nơ-ron tinh gọn phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc. Kết quả nghiên cứu có vai trò quan trọng làm cơ sở xây dựng và phát triển các mô hình phân loại hành động bất thường, phát hiện xâm nhập.
09:00 | 06/12/2023
Các cuộc chiến tranh giành lãnh địa trên không gian mạng trong tương lai sẽ xuất hiện và gia tăng giữa các nhóm tội phạm mạng khi nhiều đối thủ tập trung vào cùng một mục tiêu. Vừa qua Fortinet đã công bố Báo cáo Dự báo về các mối đe dọa an ninh mạng năm 2024 từ đội ngũ nghiên cứu FortiGuard Labs đưa ra những tác động của AI tới mô hình chiến tranh mạng, đồng thời nhấn mạnh xu hướng các mối đe dọa mới nổi có thể định hình bối cảnh chuyển đổi số trong năm tới và những năm sau.
16:00 | 27/07/2023
Trong phần I của bài báo, nhóm tác giả đã trình bày về các phương pháp mã hóa dữ liệu lưu trữ, trong đó tập trung về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi. Với những ưu điểm của việc thiết kế module dưới dạng tách rời, trong phần II này, nhóm tác giả sẽ trình bày cách xây dựng module Kuznyechik trong chuẩn mật mã GOST R34.12-2015 trên Raspberry Pi, từ đó xây dựng một phần mềm mã hóa phân vùng lưu trữ video từ camera sử dụng thuật toán mật mã mới tích hợp.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024