An toàn thông tin: Trông người mà nghĩ đến ta

Hiện trạng mất an toàn thông tin đối với các tổ chức nhà nước, chính phủ, doanh nghiệp, cá nhân không còn là nguy cơ rủi ro nữa mà đang là vấn đề nhìn thấy ở  mức độ nghiêm trọng. Ở HiPT thì sao?

Tại sao lại nói như vậy, nghiêm trọng như thế nào, báo chí có nói quá vấn đề không? Mất an toàn cái gì, chắc chỉ là mất thông tin cá nhân, hoặc cùng lắm là danh sách thông tin nhân viên, hoặc cùng lắm nữa là mất tài khoản cá nhân trên facebook? Đó là nhận thức mơ hồ vẫn thường thấy khi nói về mất an toàn thông của đại đa số bộ phận trong chúng ta hiện nay.

Để làm rõ mức độ nghiêm trọng của mất an toàn thông tin chúng ta cần nhìn mấy vụ việc điển hình đã xảy ra gần đây. Điển hình là Hãng hàng không quốc gia Việt Nam vừa bị tin tặc tấn công hệ thống thông tin của hãng và lấy đi dữ liệu của 400.000 tài khoản khách hàng, khiến hệ thống thông tin, quầy thủ tục tại các sân bay tê liệt; ảnh hưởng nghiêm trọng đến an toàn bay, chậm chuyến, thậm chí ảnh hưởng đến tính mạng của hành khách…

anh-san-bay-5009-1469899720

Một việc nữa là khách hàng của ngân hàng VCB, VPB bị mất tiền trong tài khoản không rõ nguyên nhân… Chỉ trong chưa đầy một tháng, nhiều vụ việc liên quan đến vấn đề tiền gửi tài khoản của khách hàng “không cánh mà bay”. Trên thực tế, nhiều người dân gửi tiền vào tài khoản ngân hàng nhưng vì quy trình an toàn thông tin chưa được chú trọng nên nhiều khi bị lộ thông tin, thậm chí mất tiền oan không rõ lý do.

Đấy, đi đâu xa, ngay trong HiPT chúng ta, vấn đề an toàn thông tin cũng đã được các sếp quan tâm rất nhiều, như lấy chứng chỉ ISO 27001 về bảo mật hệ thống thông tin do BSI đánh giá từ 2013, gần nhất là kiểm soát nội bộ về bảo mật hệ thống thông tin do nhóm ISO định ký kiểm soát… Tuy nhiên, về phía nhân viên thì sao? Ý thức về bảo mật hệ thống thông tin trong các CBNV còn mang hình thức đối phó (bao giờ có kiểm soát thì ta làm đại khái, xong đâu lại đóng đấy) bởi thế danh sách nhân viên bao gồm số điện thoại, số CMT, thông tin gia đình… vẫn lọt ra ngoài cho các nhân viên bảo hiểm, nhân viên nhà mạng, nhân viên bất động sản khai thác thường xuyên…

Điển hình nữa là thời gian gân đây, bà con kêu mạng mẽo gì mà chập chờn mất nhiều hơn được, mail thì không gửi không nhận được. Oan cho ông IT thì phải bởi mạng vẫn bình thường, chỉ có firewall bị overload khởi động đi khởi động lại. Lý do loop mạng nguyên nhân là vì ý thức và nhận thức về an toàn hệ thống thông tin còn hạn chế. Không rõ ai vào phòng máy chủ của TTPM lấy 2 dây mạng cắm cả 4 đầu của 2 dây đó vào một con Switch. Con switch đó nối trực tiếp đến Core và thế là như mọi người đã kêu.

Còn nguyên nhân không gửi, không nhận đc mail thì xin đưa ra một nguyên nhân nhỏ như sau, một nhân viên vì lý do công việc được quản lý 2 tài khoản mail của công ty. Tài khoản hay dùng thì không sao, nhưng tài khoản thi thoảng mới dùng thì cứ một phút lại gửi khoảng 8000 cái mail ra ngoài. Bởi thế mà cái địa chỉ IP 152 bị cho vào Blacklist (danh sách đen) của Google, Cisco, Dell, IBM… Việc không gửi nhận được mail công việc bị gián đoạn là bởi thế. Dẫu vậy, một loạt quy định ban ra như hạn chế số lượng gửi mail/1phút, policy đặt pass khó, bắt buộc phải thay đổi pass sau 42 ngày… thì lại bị anh chị em kêu là làm khổ nhân viên, nào là nhớ pass mất thời gian, nào là nghĩ ra pass mới đau đầu.  Đấy là tình trạng vừa xảy ra ở Công ty chúng ta.

Chưa hết, nguy cơ mất an toàn thông tin trong thời gian tới còn có thể đến từ nhiều đối tượng khác nhau như nhân viên đang làm việc, nhân viên đã nghỉ việc ở HiPT, những đối thủ cạnh tranh trực tiếp với công ty, tội phạm máy tính (hacker mũ đen), nhân viên thuê văn phòng của tòa nhà… Mọi thứ để có thể xảy ra và chỉ cần một chút thông tin khai thác được cũng làm ảnh hưởng đến hoạt động của công ty. Đó là nhẹ, còn nặng thì thất thoát tài chính, tổn thất đến kinh doanh, hình ảnh của chúng ta thậm chí sẽ bị ảnh hưởng.

1553053

Trong khi nguy cơ mất an toàn thông tin có thể xảy ra bất cứ lúc nào thì tinh thần của phần lớn anh chị em nhân viên nhà mình lại cho rằng “đó là vấn đề của kỹ thuật, của IT, của ISO…”. Không hẳn, bởi những bộ phận này khó có thể quyết định và thẩm quyền trước những vấn đề như: Nhân viên nào được mang tài sản vào/ra tổ chức, các thủ tục mang vào/ra như thế nào? Chính sách cho phép nhân viên nào khai thác những loại thông tin gì trong tổ chức?… Và không phải ở đâu xa, ngay tại HiPT, chúng ta cũng mới chỉ tập trung vào giải quyết sự de dọa an toàn thông tin từ bên ngoài; còn an toàn thông tin ngay từ bên trong chưa thực sự được quan tâm một cách nghiêm túc.

Để hạn chế việc mất an toàn thông tin như trên, chúng ta cần ý thức rõ hơn về bảo mật thông tin, nâng cao hiểu biết hơn về an toàn thông tin, áp dụng và tuân thủ đầy đủ những quy định của công ty theo tiêu chuẩn ISO 27001. Hơn nữa, trách nhiệm an toàn thông tin phải được giao rõ ràng và chi tiết đến mỗi bộ phận, đến mỗi loại thông tin. Việc truyền thông về an toàn thông tin trong công ty cần được phổ biến, tập huấn đầy đủ đến các cấp quản lý, đến từng nhân viên.Bên cạnh đó, cần thực hiện các khóa đào tạo để nâng cao chuyên môn, kỹ năng và ý thức an toàn thông tin theo định kỳ cũng như cam kết về an toàn thông tin. Song song với đó thì cân sự đầu tư hơn nữa của các cấp lãnh đạo về an toàn thông tin.

                                                                                                                                                ABC