Nhiều doanh nghiệp cứ tưởng rằng dữ liệu lưu trữ của mình đã được bảo vệ rất cẩn thận, nhưng họ đã nhầm. Dưới đây là những lời khuyên giúp bạn tránh được một sai lầm tương tự.
Nếu bạn nghĩ rằng chỉ có hacker hay thậm chí là những nhân viên xấu trong nội bộ công ty là mối đe dọa lớn nhất đối với sự an toàn của dữ liệu được lưu trữ, thì bạn đã sai lầm. Dù những mối đe dọa như thế vẫn là mối bận tâm lớn, thì nguy cơ cao hơn có thể đến từ chính những nhân viên tốt của bạn – những người có thể vô tình để lộ dữ liệu công ty thông qua mạng chia sẻ tập tin ngang hàng hay máy tính xách tay bị để không đúng chỗ. Một cuộc nghiên cứu gần đây của Viện Ponemon tại bang Michigan (Mỹ) cho thấy chính những nhân viên bất cẩn mới là mối đe dọa lớn nhất đối với an ninh dữ liệu, chiếm đến 78% tổng số vụ xâm phạm.
Không may là tình trạng xâm phạm dữ liệu đã trở thành chuyện thường ngày ở các công ty Mỹ. Theo Trung tâm tài nguyên và mất cắp danh tính (ITRC) có trụ sở tại thành phố San Diego, số vụ xâm phạm được ghi nhận trong năm 2008 tăng 47% so với năm trước đó. Tuy nhiên, theo Craig Muller, một chuyên gia về nạn ăn cắp tính danh, thì tỷ lệ gia tăng thật sự có thể cao hơn vì còn có nhiều vụ không được trình báo.
Công chúng Mỹ rõ ràng là đang chịu không ít khổ sở bởi vấn nạn này. Một cuộc khảo sát năm 2008 của Viện Ponemon cho thấy 55% trong 1.795 người khắp nước Mỹ được hỏi cho biết họ đã được thông báo về ít nhất hai vụ xâm phạm dữ liệu trong 24 tháng trước. 8% người cho biết họ nhận được từ bốn thông báo trở lên.
Dù vậy, các công ty vẫn không rõ cách thức tự bảo vệ mình. Theo một cuộc khảo sát được Viện Ponemon công bố vào tháng trước, chỉ có 16% trong 577 chuyên gia an ninh tự tin hay rất tự tin rằng những biện pháp bảo vệ dữ liệu hiện tại có thể giúp dữ liệu nhân viên hay khách hàng không bị mất mát hay ăn cắp. Một phương cách để có được sự tự tin ấy là tìm hiểu kỹ về những vụ xâm phạm dữ liệu và học hỏi từ chúng.
Dưới đây là năm loại xâm phạm dữ liệu phổ biến và cách thức đề phòng.
1. Thiết bị bị đánh cắp
_1.jpg)
Tháng 5-2006, dữ liệu cá nhân của 26,5 triệu cựu binh Mỹ bị đe dọa sau khi một máy tính xách tay và một ổ cứng bị mất cắp tại nhà của một nhà thầu phụ của Bộ các vấn đề về cựu binh Mỹ. Cả hai thiết bị đã được thu hồi và các vụ bắt giữ được tiến hành. Cục Điều tra Liên bang Mỹ (FBI) cho biết không có dữ liệu nào bị đánh cắp, nhưng vụ việc buộc bộ này tiến hành cải tổ. Tuy nhiên, đến tháng 1-2007, một vụ việc tương tự xảy ra sau khi một máy tính xách tay chứa dữ liệu của 535.000 cựu binh và hơn 1,3 triệu bác sĩ bị đánh cắp khỏi một cơ sở y tế tại bang Alabama.
Thiệt hại: Ở vụ việc tháng 5-2006, Bộ các vấn đề về cựu binh Mỹ sau đó tốn khoảng 200.000 đô-la Mỹ mỗi ngày cho một trung tâm giải đáp các cuộc gọi điện thoại thắc mắc về vụ xâm phạm dữ liệu đầu tiên. Ngoài ra, bộ này cũng chi khoảng 1 triệu đô-la Mỹ để in ấn và gửi thư thông báo vụ việc. Một số đơn kiện dân sự về vụ việc cũng được nộp lên tòa án, trong đó có một đơn kiện đòi bồi thường 1.000 đô-la Mỹ cho mỗi cá nhân bị ảnh hưởng. Riêng vụ xâm phạm dữ liệu năm 2007, Bộ các vấn đề về cựu binh Mỹ dành ra 20 triệu đô-la Mỹ để trang trải những chi phí liên quan. Ngoài ra, gần đây bộ này cũng đồng ý trả 20 triệu đô-la Mỹ cho các quân nhân và cựu quân nhân để dàn xếp một vụ kiện dân sự có liên quan đến việc mất dữ liệu này.
Hiện trạng: Theo ITRC, tỷ lệ số vụ xâm phạm dữ liệu xuất phát từ việc để thất lạc thiết bị hoặc bị mất cắp là cao nhất – khoảng 20% trong năm 2008. Trong khi đó, luật sư Bart Lazar tại văn phòng luật Seyfarth Shaw LLP ở thành phố Chicago cho biết máy tính xách tay bị thất lạc hay mất cắp chiếm đa số vụ xâm phạm dữ liệu mà ông xử lý.
Biện pháp đề phòng: Luật sư Lazar đưa ra ba đề xuất. Trước tiên, cần hạn chế việc đặt thông tin nhận diện cá nhân vào máy tính xách tay. Chẳng hạn như đừng gắn kết tên tuổi khách hàng hoặc nhân viên với những thông tin nhận dạng khác, như số an sinh xã hội hay thẻ tín dụng. Một giải pháp là bạn có thể loại bỏ những con số này. Ngoài ra, bạn có thể tạo ra những dữ liệu nhận dạng độc nhất, như kết hợp những ký tự từ tên một người với bốn con số cuối cùng trong số an sinh xã hội của người này.
Thứ hai, cần mã hóa thông tin cá nhân lưu trữ trên máy tính xách tay, dù tiến trình này có thể tốn thêm chi phí (từ 50 đến 100 đô-la Mỹ/máy). Ông Blair Semple, một chuyên gia về bảo mật lưu trữ tại NetApp Inc., nói thêm rằng biện pháp này cần được đi kèm với việc nâng cao ý thức của những người có trách nhiệm. Ông nói: “Tôi từng thấy những tình huống trong đó người ta có khả năng mã hóa nhưng họ không làm thế.”
Thứ ba, cần có các chính sách yêu cầu việc cài đặt mật khẩu nghiêm ngặt để bảo vệ dữ liệu trên những thiết bị bị mất cắp.
2. Ăn cắp dữ liệu trong nội bộ
Tháng 11-2007, một nhà quản trị cơ sở dữ liệu cao cấp tại công ty Certegy Check Services đánh cắp hồ sơ của hơn 8,5 triệu khách hàng rồi bán cho một nhà môi giới với giá 500.000 đô-la Mỹ. Nhà môi giới này sau đó bán chúng lại cho các nhà tiếp thị trực tiếp. Nhà quản trị nói trên sau đó lãnh bản án bốn năm tù và bị phạt 3,2 triệu đô-la Mỹ.
Trong một vụ nổi bật khác, một nhà khoa học kỳ cựu tại công ty hóa chất DuPont tải về những tài liệu có chứa các bí mật thương mại trước khi nghỉ việc vào cuối năm 2005 và gia nhập một công ty đối thủ ở châu Á. Người này sau đó bị kết án 18 tháng tù và phải nộp phạt 30.000 đô-la Mỹ.
Thiệt hại: Trong vụ DuPont, giá trị ước tính của các bí mật thương mại bị đánh cắp lên đến 400 triệu đô-la Mỹ. Tuy nhiên, các nhà chức trách đánh giá DuPont chỉ thiệt hại khoảng 180.500 đô-la Mỹ. Ngoài ra, không có bằng chứng cho thấy những thông tin mật được chuyển cho đối thủ cạnh tranh.
Hiện trạng: Theo ITRC, gần 16% vụ xâm phạm dữ liệu được ghi nhận trong năm 2008 là do những người trong nội bộ doanh nghiệp gây ra. Tỷ lệ này cao gấp đôi so với năm trước đó. Một trong những nguyên nhân là các nhân viên bị lôi kéo bởi những người ngoài có liên hệ với tội phạm. Theo Trung tâm điều phối CERT tại Đại học Carnegie Mellon, xu hướng này chiếm 50% số vụ phạm tội do người trong nội bộ gây ra từ năm 1996 đến 2007. CERT cho biết nhân viên nội bộ phạm tội vì hai nguyên nhân: tiền bạc (vụ Certegy Check Services) và lợi ích công việc (vụ DuPont). Theo CERT, mối đe dọa này rất khó đối phó, nhất là đối với nhân viên có đặc quyền truy cập dữ liệu.
Biện pháp đề phòng: Theo CERT, một biện pháp đề phòng hữu hiệu là giám sát việc truy cập cơ sở dữ liệu và mạng để phát hiện những hoạt động đáng ngờ, đồng thời thiết lập ngưỡng sử dụng đối với những nhân viên khác nhau. Điều này giúp việc phát hiện một nhân viên làm việc khác với những nhiệm vụ được giao trở nên dễ dàng hơn. Chẳng hạn như hành vi sai trái của nhà khoa học trong vụ DuPont bị phanh phui sau khi công ty phát hiện ông sử dụng máy chủ thư viện dữ liệu điện tử nhiều một cách khác thường.
Các công ty cũng nên sử dụng những công cụ kiểm soát việc truy cập dựa trên vai trò để có thể biết rõ người nào đang truy cập những thông tin có giá trị. Ngoài ra, theo luật sư Lazar, cần hạn chế truy cập những cơ sở dữ liệu chứa thông tin của nhân viên hay khách hàng.
Trong khi đó, ông Muller đề nghị sử dụng các công cụ ngăn mất mát dữ liệu để hạn chế việc dữ liệu cá nhân được gửi qua e-mail, in ấn hay sao chép lên máy tính xách tay và thiết bị lưu trữ bên ngoài. Điều quan trọng không kém là phải tăng cường các biện pháp kiểm tra và kiểm tra nội bộ, như kiểm tra thường xuyên mạng và các tập tin nhật ký về hoạt động trên cơ sở dữ liệu.
Theo quantrimang.com
