Năm mối đe dọa đối với nguồn lưu trữ

Năm mối đe dọa đối với nguồn lưu trữ

Dữ liệu có thể rò rỉ trong văn phòng.

(TBVTSG) – Nhiều doanh nghiệp cứ tưởng rằng dữ liệu lưu trữ của mình đã được bảo vệ rất cẩn thận, nhưng họ đã nhầm. Dưới đây là những lời khuyên giúp bạn tránh được một sai lầm tương tự.  

Nếu bạn nghĩ rằng chỉ có hacker hay thậm chí là những nhân viên xấu trong nội bộ công ty là mối đe dọa lớn nhất đối với sự an toàn của dữ liệu được lưu trữ, thì bạn đã sai lầm. Dù những mối đe dọa như thế vẫn là mối bận tâm lớn, thì nguy cơ cao hơn có thể đến từ chính những nhân viên tốt của bạn – những người có thể vô tình để lộ dữ liệu công ty thông qua mạng chia sẻ tập tin ngang hàng hay máy tính xách tay bị để không đúng chỗ.

Một cuộc nghiên cứu gần đây của Viện Ponemon tại bang Michigan (Mỹ) cho thấy chính những nhân viên bất cẩn mới là mối đe dọa lớn nhất đối với an ninh dữ liệu, chiếm đến 78% tổng số vụ xâm phạm.

Không may là tình trạng xâm phạm dữ liệu đã trở thành chuyện thường ngày ở các công ty Mỹ. Theo Trung tâm tài nguyên và mất cắp danh tính (ITRC) có trụ sở tại thành phố San Diego, số vụ xâm phạm được ghi nhận trong năm 2008 tăng 47% so với năm trước đó.

Tuy nhiên, theo Craig Muller, một chuyên gia về nạn ăn cắp tính danh, thì tỷ lệ gia tăng thật sự có thể cao hơn vì còn có nhiều vụ không được trình báo.  

Công chúng Mỹ rõ ràng là đang chịu không ít khổ sở bởi vấn nạn này. Một cuộc khảo sát năm 2008 của Viện Ponemon cho thấy 55% trong 1.795 người khắp nước Mỹ được hỏi cho biết họ đã được thông báo về ít nhất hai vụ xâm phạm dữ liệu trong 24 tháng trước. 8% người cho biết họ nhận được từ bốn thông báo trở lên.  

Dù vậy, các công ty vẫn không rõ cách thức tự bảo vệ mình. Theo một cuộc khảo sát được Viện Ponemon công bố vào tháng trước, chỉ có 16% trong 577 chuyên gia an ninh tự tin hay rất tự tin rằng những biện pháp bảo vệ dữ liệu hiện tại có thể giúp dữ liệu nhân viên hay khách hàng không bị mất mát hay ăn cắp. Một phương cách để có được sự tự tin ấy là tìm hiểu kỹ về những vụ xâm phạm dữ liệu và học hỏi từ chúng.  

Dưới đây là năm loại xâm phạm dữ liệu phổ biến và cách thức đề phòng.  

1. Thiết bị bị đánh cắp

Tháng 5-2006, dữ liệu cá nhân của 26,5 triệu cựu binh Mỹ bị đe dọa sau khi một máy tính xách tay và một ổ cứng bị mất cắp tại nhà của một nhà thầu phụ của Bộ các vấn đề về cựu binh Mỹ. Cả hai thiết bị đã được thu hồi và các vụ bắt giữ được tiến hành.

Cục Điều tra Liên bang Mỹ (FBI) cho biết không có dữ liệu nào bị đánh cắp, nhưng vụ việc buộc bộ này tiến hành cải tổ. Tuy nhiên, đến tháng 1-2007, một vụ việc tương tự xảy ra sau khi một máy tính xách tay chứa dữ liệu của 535.000 cựu binh và hơn 1,3 triệu bác sĩ bị đánh cắp khỏi một cơ sở y tế tại bang Alabama.  

Thiệt hại: Ở vụ việc tháng 5-2006, Bộ các vấn đề về cựu binh Mỹ sau đó tốn khoảng 200.000 đô-la Mỹ mỗi ngày cho một trung tâm giải đáp các cuộc gọi điện thoại thắc mắc về vụ xâm phạm dữ liệu đầu tiên. Ngoài ra, bộ này cũng chi khoảng 1 triệu đô-la Mỹ để in ấn và gửi thư thông báo vụ việc. Một số đơn kiện dân sự về vụ việc cũng được nộp lên tòa án, trong đó có một đơn kiện đòi bồi thường 1.000 đô-la Mỹ cho mỗi cá nhân bị ảnh hưởng.

Riêng vụ xâm phạm dữ liệu năm 2007, Bộ các vấn đề về cựu binh Mỹ dành ra 20 triệu đô-la Mỹ để trang trải những chi phí liên quan. Ngoài ra, gần đây bộ này cũng đồng ý trả 20 triệu đô-la Mỹ cho các quân nhân và cựu quân nhân để dàn xếp một vụ kiện dân sự có liên quan đến việc mất dữ liệu này.  

Hiện trạng: Theo ITRC, tỷ lệ số vụ xâm phạm dữ liệu xuất phát từ việc để thất lạc thiết bị hoặc bị mất cắp là cao nhất – khoảng 20% trong năm 2008. Trong khi đó, luật sư Bart Lazar tại văn phòng luật Seyfarth Shaw LLP ở thành phố Chicago cho biết máy tính xách tay bị thất lạc hay mất cắp chiếm đa số vụ xâm phạm dữ liệu mà ông xử lý.  

Biện pháp đề phòng: Luật sư Lazar đưa ra ba đề xuất. Trước tiên, cần hạn chế việc đặt thông tin nhận diện cá nhân vào máy tính xách tay. Chẳng hạn như đừng gắn kết tên tuổi khách hàng hoặc nhân viên với những thông tin nhận dạng khác, như số an sinh xã hội hay thẻ tín dụng. Một giải pháp là bạn có thể loại bỏ những con số này. Ngoài ra, bạn có thể tạo ra những dữ liệu nhận dạng độc nhất, như kết hợp những ký tự từ tên một người với bốn con số cuối cùng trong số an sinh xã hội của người này.  

Thứ hai, cần mã hóa thông tin cá nhân lưu trữ trên máy tính xách tay, dù tiến trình này có thể tốn thêm chi phí  (từ 50 đến 100 đô-la Mỹ/máy). Ông Blair Semple, một chuyên gia về bảo mật lưu trữ tại NetApp Inc., nói thêm rằng biện pháp này cần được đi kèm với việc nâng cao ý thức của những người có trách nhiệm. Ông nói: “Tôi từng thấy những tình huống trong đó người ta có khả năng mã hóa nhưng họ không làm thế”.  

Thứ ba, cần có các chính sách yêu cầu việc cài đặt mật khẩu nghiêm ngặt để bảo vệ dữ liệu trên những thiết bị bị mất cắp.  

2. Ăn cắp dữ liệu trong nội bộ

Tháng 11-2007, một nhà quản trị cơ sở dữ liệu cao cấp tại công ty Certegy Check Services đánh cắp hồ sơ của hơn 8,5 triệu khách hàng rồi bán cho một nhà môi giới với giá 500.000 đô-la Mỹ. Nhà môi giới này sau đó bán chúng lại cho các nhà tiếp thị trực tiếp. Nhà quản trị nói trên sau đó lãnh bản án bốn năm tù và bị phạt 3,2 triệu đô-la Mỹ.  

Trong một vụ nổi bật khác, một nhà khoa học kỳ cựu tại công ty hóa chất DuPont tải về những tài liệu có chứa các bí mật thương mại trước khi nghỉ việc vào cuối năm 2005 và gia nhập một công ty đối thủ ở châu Á. Người này sau đó bị kết án 18 tháng tù và phải nộp phạt 30.000 đô-la Mỹ.  

Thiệt hại: Trong vụ DuPont, giá trị ước tính của các bí mật thương mại bị đánh cắp lên đến 400 triệu đô-la Mỹ. Tuy nhiên, các nhà chức trách đánh giá DuPont chỉ thiệt hại khoảng 180.500 đô-la Mỹ. Ngoài ra, không có bằng chứng cho thấy những thông tin mật được chuyển cho đối thủ cạnh tranh.  

Hiện trạng: Theo ITRC, gần 16% vụ xâm phạm dữ liệu được ghi nhận trong năm 2008 là do những người trong nội bộ doanh nghiệp gây ra. Tỷ lệ này cao gấp đôi so với năm trước đó. Một trong những nguyên nhân là các nhân viên bị lôi kéo bởi những người ngoài có liên hệ với tội phạm.

Theo Trung tâm điều phối CERT tại Đại học Carnegie Mellon, xu hướng này chiếm 50% số vụ phạm tội do người trong nội bộ gây ra từ năm 1996 đến 2007. CERT cho biết nhân viên nội bộ phạm tội vì hai nguyên nhân: tiền bạc (vụ Certegy Check Services) và lợi ích công việc (vụ DuPont). Theo CERT, mối đe dọa này rất khó đối phó, nhất là đối với nhân viên có đặc quyền truy cập dữ liệu.  

Biện pháp đề phòng: Theo CERT, một biện pháp đề phòng hữu hiệu là giám sát việc truy cập cơ sở dữ liệu và mạng để phát hiện những hoạt động đáng ngờ, đồng thời thiết lập ngưỡng sử dụng đối với những nhân viên khác nhau. Điều này giúp việc phát hiện một nhân viên làm việc khác với những nhiệm vụ được giao trở nên dễ dàng hơn. Chẳng hạn như hành vi sai trái của nhà khoa học trong vụ DuPont bị phanh phui sau khi công ty phát hiện ông sử dụng máy chủ thư viện dữ liệu điện tử nhiều một cách khác thường.  

Các công ty cũng nên sử dụng những công cụ kiểm soát việc truy cập dựa trên vai trò để có thể biết rõ người nào đang truy cập những thông tin có giá trị. Ngoài ra, theo luật sư Lazar, cần hạn chế truy cập những cơ sở dữ liệu chứa thông tin của nhân viên hay khách hàng.  

Trong khi đó, ông Muller đề nghị sử dụng các công cụ ngăn mất mát dữ liệu để hạn chế việc dữ liệu cá nhân được gửi qua e-mail, in ấn hay sao chép lên máy tính xách tay và thiết bị lưu trữ bên ngoài. Điều quan trọng không kém là phải tăng cường các biện pháp kiểm tra và kiểm tra nội bộ, như kiểm tra thường xuyên mạng và các tập tin nhật ký về hoạt động trên cơ sở dữ liệu.  

3. Sự xâm nhập từ bên ngoài

Tháng 1-2007, nhà bán lẻ The TJX Companies Inc. cho biết các hệ thống giao dịch khách hàng của mình đã bị xâm nhập. Những vụ xâm nhập này diễn ra từ năm 2003 đến tháng 12-2006, tạo điều kiện cho hacker truy cập 94 triệu tài khoản khách hàng. Những thông tin bị đánh cắp này bị phát hiện sử dụng trong một âm mưu làm thẻ tín dụng giả.

Vào mùa hè năm 2008, 11 người bị truy tố về những cáo buộc liên quan đến vụ việc. Đây là vụ xâm nhập máy tính và ăn cắp tính danh lớn nhất mà Bộ Tư pháp Mỹ từng truy tố.  

Thiệt hại: TJX ước tính mức thiệt hại của vụ xâm nhập vào khoảng 256 triệu đô-la Mỹ, bao gồm chi phí sửa hệ thống, trang trải cho kiện tụng và các cuộc điều tra, nộp phạt… Tuy nhiên, có những ước tính rằng con số thiệt hại có thể lên đến 1 tỷ đô-la Mỹ, bao gồm cả khoản tổn thất từ việc mất mát khách hàng. Ngoài ra, Ủy ban Thương mại Liên bang còn buộc TJX phải chịu các cuộc kiểm tra an ninh của bên thứ ba trong 20 năm tới.  

Hiện trạng: Một cuộc nghiên cứu năm 2008 của Ponemon xếp các vụ xâm phạm dữ liệu do hacker gây ra vào vị trí thứ 5 trong các mối đe dọa bảo mật. Thật ra, theo ITRC, khoảng 14% số vụ xâm phạm dữ liệu được ghi nhận trong năm 2008 có liên quan đến hacker.  

Trong vụ của công ty TJX, hacker đã dùng kỹ thuật gọi là “war driving” – tức chạy xe lang thang để tìm kiếm mạng không dây Wi-Fi nào mắc lỗi bảo mật, sử dụng máy tính xách tay hay thiết bị hỗ trợ cá nhân số – để xâm nhập vào mạng không dây của công ty. Điều đáng nói là vào thời điểm bị xâm nhập, TJX đang dùng một phương thức mã hóa dưới chuẩn, không cài đặt bức tường lửa và mã hóa dữ liệu trên máy tính sử dụng mạng không dây. Điều này cho phép hacker cài đặt phần mềm trên mạng để truy cập dữ liệu khách hàng cũ được lưu trữ trên hệ thống, đồng thời chặn dữ liệu được gửi giữa các thiết bị kiểm tra giá cầm tay, máy đếm tiền và máy tính của cửa hàng.  

Biện pháp đề phòng: Theo ông Muller, phương thức mã hóa WEP mà TJX dùng trên mạng không dây của mình là không đủ mạnh, thậm chí còn thua cả những phương thức mà nhiều người có mạng không dây ở nhà sử dụng. Ông nói: “Nếu bạn có thể truy cập dữ liệu ngay từ chỗ đậu xe thì rõ ràng bạn cần có một mức độ bảo mật và mã hóa dữ liệu cao hơn”. Một vấn đề khác là TJX còn cho lưu trữ thông tin tài khoản cũ thay vì xóa hẳn chúng.

4. Nhân viên bất cẩn  

Vợ của một nhân viên làm việc tại nhà của hãng dược Pfizer cài đặt một phần mềm chia sẻ tập tin trái phép trên máy tính xách tay của công ty mà người này đang dùng. Hành động này khiến cho người ngoài có thể truy cập được những tập tin chứa tên tuổi, số an sinh xã hội, địa chỉ và thông tin về tiền thưởng của khoảng 17.000 nhân viên hiện nay và trước kia của công ty. Một cuộc điều tra cho thấy dữ liệu của khoảng 15.700 người đã bị sao chép trên một mạng ngang hàng và khoảng 1.250 người khác có nguy cơ bị lộ dữ liệu.  

Thiệt hại: Pfizer Inc. thuê một công ty báo cáo tín dụng theo dõi thông tin liên quan đến tín dụng của những người bị ảnh hưởng trong vòng một năm và mua bảo hiểm để trang trải những chi phí mà mỗi cá nhân có thể gánh do hậu quả của vụ xâm phạm dữ liệu.  

Hiện trạng: Cuộc nghiên cứu của Ponemon cho thấy những nhân viên bất cẩn là mối đe dọa số một đối với an ninh dữ liệu. Kết hợp những nhân viên này với phần mềm chia sẻ tập tin, mối đe dọa sẽ càng gia tăng. Một cuộc nghiên cứu của Đại học Darthmouth vào năm 2007 cho thấy dù nhiều công ty đã cấm chia sẻ tập tin trên mạng của họ, không ít nhân viên vẫn cài đặt phần mềm này trên máy tính ở xa và ở nhà.  

Biện pháp đề phòng: Các công ty cần hoặc là cấm triệt để phần mềm chia sẻ tập tin ngang hàng hoặc là ban hành những chính sách về việc sử dụng chương trình này và có những công cụ để thi hành những chính sách như thế. Một điều quan trọng không  kém là nói cho nhân viên biết về những nguy hiểm của mạng ngang hàng, làm thế nào để cài đặt một mật khẩu tốt và những biện pháp bảo mật thông thường khác.  

5. Nhà thầu phụ  

Tháng 11- 2008, Cơ quan An ninh kinh tế bang Arizona của Mỹ đã thông báo với gia đình của khoảng 40.000 trẻ em bang này rằng dữ liệu của chúng có thể đã bị xâm phạm sau khi xảy ra một vụ trộm vài ổ cứng tại một cơ sở lưu trữ thương mại. Những ổ cứng này được bảo vệ bằng mật khẩu nhưng không được mã hóa.

Thiệt hại: Theo Ponemon, những thiệt hại từ những vụ xâm phạm dữ liệu tại nhà thầu phụ còn cao hơn so với những vụ xâm phạm dữ liệu trong nội bộ – bình quân 231 đô-la Mỹ/hồ sơ khách hàng so với 171 đô-la Mỹ/hồ sơ.  

Hiện trạng: Theo cuộc nghiên cứu thường niên của Ponemon, số vụ xâm phạm dữ liệu tại những công ty gia công bên ngoài, nhà tư vấn hay đối tác làm ăn chiếm khoảng 44% tổng số vụ mà những công ty tham gia cuộc nghiên cứu báo cáo vào năm ngoái, tăng 4% so với năm 2007. Trong khi đó, cuộc nghiên cứu của ITRC cho biết 10% vụ xâm phạm dữ liệu có liên quan đến nhà thầu phụ.  

Biện pháp đề phòng: Các công ty cần soạn thảo những bản thỏa thuận mức độ dịch vụ kín kẽ và cụ thể, bảo đảm các nhà thầu phụ tuân thủ chúng và trừng phạt họ nếu họ không tuân thủ. Theo ông Semple, các công ty cũng cần yêu cầu nhà thầu phụ dùng biện pháp bảo vệ bằng mật khẩu hay mã hóa trong trường hợp cần dùng băng hay đĩa sao lưu dữ liệu của họ.  

MINH HUY (Computerworld)