13.5 Protecting Computers and Information
Những cách tốt nhất để bảo vệ máy tính và thông tin chứa trong đó là gì?
Bạn đã bao giờ làm mất bài viết học kỳ mà bạn đã làm trong nhiều tuần vì ổ cứng bị hỏng hoặc bạn xóa nhầm file chưa? Bạn buồn bã, tức giận và thất vọng. Nhân tờ giấy đó và cảm xúc của bạn lên hàng trăm lần, bạn có thể hiểu tại sao các công ty phải bảo vệ máy tính, mạng và thông tin họ lưu trữ và truyền tải khỏi nhiều mối đe dọa tiềm ẩn. Ví dụ: các vi phạm an ninh đối với hệ thống thông tin của công ty—từ tin tặc của con người hoặc các phiên bản điện tử như vi-rút và sâu—đang gia tăng ở mức đáng báo động. Sự phụ thuộc ngày càng tăng vào máy tính đòi hỏi các kế hoạch bao gồm lỗi của con người, mất điện, hỏng thiết bị, hack và tấn công khủng bố. Để chống chọi với các thảm họa thiên nhiên như hỏa hoạn lớn, động đất và lũ lụt, nhiều công ty lắp đặt các hệ thống máy tính chuyên dụng có khả năng chịu lỗi.
Thảm họa không phải là mối đe dọa duy nhất đối với dữ liệu. Rất nhiều dữ liệu, phần lớn là bí mật, có thể dễ dàng bị khai thác hoặc phá hủy bởi bất kỳ ai biết về máy tính. Việc giữ an toàn cho mạng của bạn không bị truy cập trái phép—từ các nguồn nội bộ cũng như bên ngoài—yêu cầu các chính sách bảo mật chính thức và quy trình thực thi. Sự phổ biến ngày càng tăng của các thiết bị di động—máy tính xách tay, máy tính bảng và điện thoại di động—và mạng không dây đòi hỏi các loại quy định bảo mật mới.
Để đối phó với những lo ngại về bảo mật ngày càng tăng, các công ty đã tăng chi tiêu cho công nghệ để bảo vệ cơ sở hạ tầng và dữ liệu CNTT của họ. Cùng với phần cứng và phần mềm chuyên dụng, các công ty cần phát triển các chiến lược bảo mật cụ thể có cách tiếp cận chủ động để ngăn chặn các vấn đề về bảo mật và kỹ thuật trước khi chúng bắt đầu. Tuy nhiên, một bài báo gần đây của CIO đã than thở về việc thiếu các chính sách bảo mật cơ bản mà các công ty chỉ thực hiện sau khi bị hack hoặc khủng hoảng dữ liệu.
Vấn đề bảo mật dữ liệu (Data Security Issues)
Việc truy cập trái phép vào hệ thống máy tính của công ty có thể tốn kém và không chỉ về mặt tiền tệ. Juniper Networks ước tính rằng tội phạm mạng sẽ khiến các doanh nghiệp thiệt hại hơn 2 nghìn tỷ USD vào năm 2019, so với chỉ 450 triệu USD vào năm 2001. Các loại mối đe dọa tốn kém nhất bao gồm sâu, vi rút và ngựa Trojan (được định nghĩa ở phần sau trong phần này); trộm cắp máy tính; gian lận tài chính; và truy cập mạng trái phép. Báo cáo cũng cho biết hầu hết các doanh nghiệp Hoa Kỳ đều báo cáo ít nhất một vấn đề bảo mật và gần 20% đã gặp phải nhiều sự cố bảo mật.
Những kẻ lừa đảo máy tính ngày càng trở nên tinh vi hơn, tìm ra những cách mới để truy cập vào các trang web cực kỳ an toàn. Chris Christiansen, phó chủ tịch chương trình tại công ty nghiên cứu công nghệ IDC, cho biết: “Khi các công ty và người tiêu dùng tiếp tục hướng tới nền kinh tế thông tin và kết nối mạng, sẽ có nhiều cơ hội hơn cho tội phạm mạng tận dụng các lỗ hổng trên mạng và máy tính”. Những hacker nghiệp dư làm việc một mình, những kẻ mới chuyên nghiệp hơn và thường hợp tác theo băng nhóm để thực hiện tội phạm mạng quy mô lớn nhằm thu được phần thưởng tài chính lớn. Internet, nơi bọn tội phạm có thể ẩn náu sau những cái tên ẩn danh, đã làm tăng nguy cơ và mở rộng phạm vi cơ hội để thực hiện hành vi trộm cắp danh tính và các tội phạm tương tự. Việc bắt những tội phạm mạng như vậy rất khó và chỉ có chưa đến 5% bị bắt.
Các công ty đang thực hiện các bước để ngăn chặn các vấn đề và tội phạm máy tính tốn kém này, thuộc một số loại chính:
- Truy cập trái phép và vi phạm an ninh. Dù từ nguồn nội bộ hay bên ngoài, truy cập trái phép và vi phạm bảo mật là mối quan tâm hàng đầu của các nhà quản lý CNTT. Những điều này có thể tạo ra sự tàn phá đối với hệ thống của công ty và làm tổn hại đến mối quan hệ với khách hàng. Truy cập trái phép cũng bao gồm nhân viên, những người có thể sao chép thông tin bí mật về sản phẩm mới và cung cấp thông tin đó cho đối thủ cạnh tranh hoặc sử dụng hệ thống của công ty cho hoạt động kinh doanh cá nhân có thể cản trở hoạt động của hệ thống. Các liên kết mạng cũng giúp người nào đó bên ngoài tổ chức truy cập vào máy tính của công ty dễ dàng hơn.
- Một trong những hình thức tội phạm mạng mới nhất liên quan đến việc bí mật cài đặt phần mềm ghi nhật ký bàn phím thông qua tải xuống phần mềm, tệp đính kèm e-mail hoặc tệp được chia sẻ. Sau đó, phần mềm này sao chép và truyền các thao tác gõ phím của người dùng—mật khẩu, mã PIN và thông tin cá nhân khác—từ các trang web được chọn, chẳng hạn như trang web ngân hàng và thẻ tín dụng, tới kẻ trộm.
- Virus máy tính, sâu máy tính và ngựa Trojan. Virus máy tính và các vấn đề bảo mật liên quan như sâu và ngựa Trojan là một trong những mối đe dọa hàng đầu đối với bảo mật máy tính cá nhân và doanh nghiệp. Là một chương trình máy tính tự sao chép vào phần mềm khác và có thể lây lan sang các hệ thống máy tính khác, vi-rút máy tính có thể phá hủy nội dung của ổ cứng máy tính hoặc làm hỏng các tập tin. Một dạng khác được gọi là sâu vì nó tự lây lan tự động từ máy tính này sang máy tính khác. Không giống như virus, sâu không cần e-mail để sao chép và tự truyền sang các hệ thống khác. Nó có thể nhập thông qua các điểm truy cập hợp lệ.
- Ngựa Trojan là các chương trình có vẻ vô hại và đến từ các nguồn hợp pháp nhưng lại lừa người dùng cài đặt chúng. Khi chạy, chúng làm hỏng máy tính của người dùng. Ví dụ: một con ngựa Trojan có thể tuyên bố loại bỏ vi-rút nhưng thay vào đó lại lây nhiễm vào máy tính. Các dạng ngựa Trojan khác cung cấp một “cửa sập” cho phép truy cập trái phép vào máy tính mà người dùng không hề biết. Tuy nhiên, ngựa Trojan không lây nhiễm sang các tập tin khác hoặc tự sao chép.19
- Virus có thể ẩn náu trong nhiều tuần, nhiều tháng hoặc thậm chí nhiều năm trước khi bắt đầu làm hỏng thông tin. Một vi-rút “lây nhiễm” vào một máy tính hoặc mạng có thể lây lan sang một máy tính khác bằng cách chia sẻ đĩa hoặc tải xuống các tệp bị nhiễm qua internet. Để bảo vệ dữ liệu khỏi bị virus phá hủy, phần mềm chống virus sẽ tự động giám sát máy tính để phát hiện và loại bỏ virus. Các nhà phát triển chương trình cung cấp các bản cập nhật thường xuyên để bảo vệ chống lại các loại vi-rút mới được tạo ra. Ngoài ra, các chuyên gia đang trở nên thành thạo hơn trong việc truy tìm tác nhân tạo ra virus, những người có thể bị buộc tội hình sự.
- Cố ý làm hư hỏng thiết bị hoặc thông tin. Ví dụ: một nhân viên không hài lòng ở bộ phận mua hàng có thể truy cập vào hệ thống máy tính của công ty và xóa thông tin về các đơn đặt hàng trước đây cũng như nhu cầu tồn kho trong tương lai. Việc phá hoại có thể làm gián đoạn nghiêm trọng hoạt động sản xuất và hệ thống tài khoản phải trả. Những hành vi cố ý phá hủy hoặc thay đổi dữ liệu trong máy tính là điều khó ngăn chặn. Để giảm bớt thiệt hại, các công ty nên sao lưu thông tin quan trọng.
- Thư rác. Mặc dù bạn có thể nghĩ rằng thư rác hoặc e-mail không được yêu cầu và không mong muốn chỉ là mối phiền toái nhưng nó cũng gây ra mối đe dọa bảo mật cho các công ty. Virus lây lan qua các tệp đính kèm e-mail có thể đi kèm với các e-mail spam. Thư rác hiện đang làm tắc nghẽn các blog, tin nhắn tức thời, tin nhắn văn bản trên điện thoại di động cũng như hộp thư đến e-mail. Thư rác gây ra các mối đe dọa khác cho công ty: mất năng suất và chi phí do xử lý thư rác, chẳng hạn như mở thư và tìm kiếm thư hợp pháp mà các bộ lọc thư rác đặc biệt loại bỏ.
- Vi phạm bản quyền phần mềm và phương tiện truyền thông. Việc sao chép các chương trình phần mềm, trò chơi và phim có bản quyền của những người chưa trả tiền cho chúng là một hình thức sử dụng trái phép khác. Vi phạm bản quyền, được định nghĩa là sử dụng phần mềm không có giấy phép, lấy đi doanh thu của công ty phát triển chương trình—thường với chi phí rất lớn. Nó bao gồm việc làm đĩa CD giả để bán cũng như sao chép phần mềm cá nhân để chia sẻ với bạn bè.
Ngăn ngừa sự cố (Preventing Problems)
Tạo các chính sách bảo mật thông tin chính thức bằng văn bản để đặt ra các tiêu chuẩn và làm cơ sở cho việc thực thi là bước đầu tiên trong chiến lược bảo mật của công ty. Thật không may, một cuộc khảo sát gần đây với các giám đốc điều hành CNTT trên toàn thế giới đã tiết lộ rằng hơn 2/3 mong đợi một cuộc tấn công mạng trong tương lai gần. Stephanie Ewing, một chuyên gia bảo mật dữ liệu, cho biết: “Việc có một quy trình được kiểm tra và ghi lại sẽ mang lại trật tự cho các tình huống hỗn loạn và giúp mọi người tập trung vào việc giải quyết các vấn đề cấp bách nhất”. Nếu không có chiến lược bảo mật thông tin, các công ty sẽ dành quá nhiều thời gian ở trạng thái phản ứng—đối phó với khủng hoảng—và không tập trung đủ vào việc phòng ngừa.20
Các kế hoạch bảo mật cần có sự hỗ trợ của lãnh đạo cấp cao và sau đó tuân theo các thủ tục để thực hiện các chính sách bảo mật. Vì CNTT là một lĩnh vực năng động với những thay đổi liên tục về thiết bị và quy trình nên điều quan trọng là phải thường xuyên xem xét các chính sách bảo mật. Một số chính sách bảo mật có thể được xử lý tự động bằng các biện pháp kỹ thuật, trong khi các chính sách khác liên quan đến các chính sách hành chính dựa vào con người để thực hiện chúng. Ví dụ về chính sách quản trị là “Người dùng phải thay đổi mật khẩu 90 ngày một lần” và “Người dùng cuối sẽ cập nhật chữ ký vi-rút của họ ít nhất một lần một tuần”. Bảng 13.4 cho thấy các loại biện pháp bảo mật mà các công ty sử dụng để bảo vệ dữ liệu.
Năm lĩnh vực quan tâm liên quan đến việc bảo vệ dữ liệu | |
---|---|
Phần trăm | Mối quan tâm về việc bảo vệ dữ liệu |
52 | Không chắc chắn về cách bảo mật các thiết bị và ứng dụng được kết nối |
40 | Đừng thay đổi mật khẩu mặc định ngay lập tức |
33 | Đừng nghĩ rằng họ có thể kiểm soát cách các công ty thu thập thông tin cá nhân |
33 | Cha mẹ thừa nhận họ không hiểu rõ về rủi ro để giải thích cho con |
37 | Sử dụng dịch vụ giám sát tín dụng |
Bảng 13.4 Nguồn: Chuyển thể từ Tony Bradley, “5 mối quan tâm hàng đầu cần tập trung vào Ngày Quyền riêng tư,” Forbes, https://forbes.com, ngày 27 tháng 1 năm 2017.
Ngăn chặn các sự cố tốn kém có thể đơn giản như thường xuyên sao lưu ứng dụng và dữ liệu. Các công ty nên có sẵn hệ thống tự động sao lưu dữ liệu của công ty hàng ngày và lưu trữ các bản sao của bản sao lưu bên ngoài cơ sở. Ngoài ra, nhân viên nên sao lưu công việc của mình thường xuyên. Một chính sách tốt khác là duy trì cơ sở dữ liệu đầy đủ và cập nhật về tất cả thông tin chi tiết về phần cứng, phần mềm và người dùng CNTT để giúp quản lý giấy phép và cập nhật phần mềm cũng như chẩn đoán sự cố dễ dàng hơn. Trong nhiều trường hợp, nhân viên CNTT có thể sử dụng công nghệ truy cập từ xa để tự động theo dõi và khắc phục sự cố cũng như cập nhật ứng dụng và dịch vụ.
Các công ty không bao giờ nên bỏ qua yếu tố con người trong phương trình bảo mật. Một trong những cách phổ biến nhất mà người ngoài xâm nhập vào hệ thống của công ty là đóng giả làm nhân viên, trước tiên lấy tên đầy đủ và tên người dùng của nhân viên đó từ email, sau đó gọi đến bộ phận trợ giúp để yêu cầu quên mật khẩu. Kẻ gian cũng có thể lấy mật khẩu bằng cách xem chúng trên các ghi chú gắn trên bàn hoặc màn hình máy tính, sử dụng các máy mà nhân viên đăng nhập khi họ rời khỏi bàn làm việc và để máy tính xách tay có thông tin nhạy cảm không được bảo mật ở những nơi công cộng.
Các thiết bị di động, từ máy tính cầm tay đến ổ đĩa flash cắm và chạy nhỏ cũng như các thiết bị lưu trữ khác (bao gồm cả điện thoại di động), cũng gây ra rủi ro về bảo mật. Chúng thường được sử dụng để lưu trữ dữ liệu nhạy cảm như mật khẩu, chi tiết ngân hàng và lịch. Thiết bị di động có thể lây lan virus khi người dùng tải các tài liệu bị nhiễm virus về máy tính của công ty họ.
Hãy tưởng tượng những vấn đề có thể nảy sinh nếu một nhân viên nhìn thấy mục lịch trên thiết bị di động như “cuộc họp lại: sa thải”, một người ngoài nhìn thấy “cuộc họp về việc sáp nhập với Công ty ABC” hoặc một nhân viên bị mất ổ đĩa flash chứa các tệp về kế hoạch tiếp thị cho công ty. một sản phẩm mới. Các nhà sản xuất đang đáp lại những lo ngại của các nhà quản lý CNTT về bảo mật bằng cách thêm tính năng bảo vệ bằng mật khẩu và mã hóa vào ổ đĩa flash. Các công ty cũng có thể sử dụng phần mềm giám sát ổ đĩa flash để ngăn chặn truy cập trái phép trên PC và máy tính xách tay.
Các công ty có nhiều cách để tránh khủng hoảng CNTT, như Bảng 13.5 mô tả.
Quy trình bảo vệ tài sản CNTT |
---|
|
Bảng 13.5
Giữ bí mật CNTT: Mối lo ngại về quyền riêng tư (Keep IT Confidential: Privacy Concerns)
Sự tồn tại của những tủ hồ sơ điện tử khổng lồ chứa đầy thông tin cá nhân là mối đe dọa đối với quyền riêng tư cá nhân của chúng ta. Cho đến gần đây, các hồ sơ tài chính, y tế, thuế và các hồ sơ khác của chúng ta được lưu trữ trong các hệ thống máy tính riêng biệt. Mạng máy tính giúp dễ dàng gộp các dữ liệu này vào kho dữ liệu. Các công ty cũng bán thông tin họ thu thập về bạn từ các nguồn như thẻ đăng ký bảo hành, hồ sơ thẻ tín dụng, đăng ký tại các trang web, biểu mẫu dữ liệu cá nhân cần thiết để mua hàng trực tuyến và thẻ câu lạc bộ giảm giá của cửa hàng tạp hóa. Các nhà tiếp thị qua điện thoại có thể kết hợp dữ liệu từ nhiều nguồn khác nhau để tạo ra hồ sơ khá chi tiết về người tiêu dùng.
Thảm kịch ngày 11 tháng 9 năm 2001 và các vi phạm an ninh lớn khác đã làm tăng thêm những lo ngại về quyền riêng tư. Kết quả là chính phủ bắt đầu tìm cách cải thiện việc thu thập thông tin tình báo trong nước và phân tích các mối đe dọa khủng bố ở Hoa Kỳ. Các ứng dụng cơ sở dữ liệu phức tạp tìm kiếm các mẫu ẩn trong một nhóm dữ liệu, một quy trình được gọi là khai thác dữ liệu, sẽ tăng khả năng theo dõi và dự đoán các hoạt động hàng ngày của mọi người. Các nhà lập pháp và các nhà hoạt động vì quyền riêng tư lo ngại rằng các chương trình như thế này và các chương trình nghe lén điện tử có thể dẫn đến sự giám sát quá mức của chính phủ, xâm phạm quyền riêng tư cá nhân. Rủi ro cũng cao hơn nhiều: lỗi khai thác dữ liệu của các công ty trong doanh nghiệp có thể khiến người tiêu dùng trở thành mục tiêu của quảng cáo không phù hợp, trong khi sai lầm của chính phủ trong việc theo dõi những kẻ bị nghi ngờ là khủng bố có thể gây ra thiệt hại không thể kể xiết cho một người bị nhắm mục tiêu bất công.
Ngày càng có nhiều người tiêu dùng đấu tranh để giành lại quyền kiểm soát dữ liệu cá nhân và cách sử dụng thông tin đó. Những người ủng hộ quyền riêng tư đang nỗ lực ngăn chặn việc bán thông tin được thu thập bởi các chính phủ và tập đoàn. Ví dụ: họ muốn ngăn chính quyền tiểu bang bán thông tin giấy phép lái xe và ngăn chặn các siêu thị thu thập và bán thông tin thu thập được khi người mua hàng sử dụng thẻ giảm giá bằng nhựa có mã vạch. Với thông tin về thói quen mua hàng của họ, nhà quảng cáo có thể nhắm mục tiêu người tiêu dùng cho các chương trình tiếp thị cụ thể.
Thách thức đối với các công ty là tìm ra sự cân bằng giữa việc thu thập thông tin họ cần đồng thời bảo vệ quyền lợi của người tiêu dùng cá nhân. Hầu hết các mẫu đăng ký và bảo hành đặt câu hỏi về thu nhập, lợi ích đều có ô để người tiêu dùng đánh dấu nhằm ngăn chặn công ty bán tên của họ. Nhiều công ty hiện tuyên bố trong chính sách bảo mật của họ rằng họ sẽ không lạm dụng thông tin họ thu thập. Các cơ quan quản lý đang có hành động chống lại các công ty không tôn trọng quyền riêng tư của người tiêu dùng.
Nguồn:
https://openstax.org/books/introduction-business/pages/13-5-protecting-computers-and-information