Vì sao an ninh mạng là vấn đề quan trọng với doanh nghiệp vừa và nhỏ?

Reading Time: 9 minutes

“Có hai loại công ty trên thế giới, những công ty biết rằng họ đã bị hack và những công ty không biết họ đã bị hack.” Câu trích dẫn trên đã minh họa một sự thật trong an ninh mạng: Không có ngành nào, lĩnh vực hoặc quốc gia nào là an toàn khi có một cuộc tấn công mạng. Mỗi công ty, dù là một gã khổng lồ công nghệ hay một doanh nghiệp nhỏ, đều có những lỗ hổng có thể bị khai thác bởi tin tặc. Có một sự thật rằng các tin tặc trình độ ngang bằng với các chuyên gia bảo mật. Vì vậy, mối đe dọa là có thật.

Tuy vậy, lý do chính đằng sau việc một công ty bị tấn công không phải là sự tồn tại của mối nguy hiểm, các hackers, mà là lỗ hổng gây ra bởi sự thờ ơ của các lãnh đạo công ty đối với vấn đề bảo mật an ninh. Các doanh nghiệp vừa và nhỏ (SME) cũng đang có nhận thức sai lầm trên. Khi họ bị tấn công, họ đều có thắc mắc rằng: “Tại sao lại là tôi? Chúng tôi không phải là một công ty dịch vụ tài chính, và chúng tôi quá nhỏ để trở thành mục tiêu của các hackers.”

Nếu điều đó là đúng, các công ty mới khởi nghiệp như Ola và Zomato sẽ không bị hack ngay từ đầu. Hacker khi đã có quyền truy cập trái phép vào mạng Ola đã rất bối rối khi thấy rất nhiều lỗ hổng. Hacker có thể dễ dàng xem, theo dõi, kết nối tất cả các lệnh gọi API và đồng thời, đã khai thác lỗ hổng này và nạp lại tài khoản Ola của mình miễn phí. 

Sự thờ ơ đối với vấn đề an ninh mạng chưa dừng lại ở đây. Các doanh nghiệp nhỏ và các start-up đang rất chủ quan khi họ không đặt việc an ninh là ưu tiên hàng đầu. Với việc Ấn Độ đang nổi lên như một điểm nóng kinh tế trên bản đồ toàn cầu và chính phủ đang hướng tới việc hủy bỏ tiền tệ, dòng tiền trực tuyến dự kiến ​​sẽ tăng lên. Một nền kinh tế dựa trên tiền mặt đang chuyển đổi thành một nền kinh tế không tiền mặt. Khi ngày càng nhiều giao dịch được thông qua ngân hàng trực tuyến, ví điện tử, thẻ ghi nợ và thẻ tín dụng, các hackers chắc chắn sẽ bị thu hút về phía Ấn Độ. Theo báo cáo Internet Security Threat năm 2016 do Symantec công bố, 43% các cuộc tấn công spear-phishing(*) được nhắm vào các doanh nghiệp nhỏ. Có những lý do thực tế vì sao các doanh nghiệp nhỏ và các start-up tại Ấn Độ sắp phải đối mặt với mối đe dọa an ninh mạng.

(*) spear-phishing: là một phương pháp mà tội phạm mạng sử dụng kỹ thuật nhắm mục tiêu để lừa người dùng tin rằng, họ đã nhận được một email hợp pháp từ một đối tượng đã biết, yêu cầu cung cấp thông tin của mình. Email có thể là từ một người hoặc bất kỳ tổ chức nào mà người dùng biết.

Bối cảnh các mối đe dọa đối với các doanh nghiệp nhỏ và các start-up

Đầu tiên, các start-up có một kho thông tin quý giá mà các hackers rất muốn khai thác. Một vài công ty trong giai đoạn đầu có bộ nhớ cache về thông tin khách hàng bao gồm chi tiết thẻ tín dụng và thẻ ghi nợ. Những thông tin như vậy là một mỏ vàng cho các hackers muốn tiến hành lừa đảo tài chính. Thêm vào đó, các hackers cũng quan tâm đến việc đánh cắp ý tưởng sáng tạo và tài sản trí tuệ mà các công ty start-up đang có. Tin tặc cũng sử dụng nền tảng công nghệ của các start-up để truy cập vào mạng lưới của tập đoàn. Điều này là do nhiều start-up và các doanh nghiệp nhỏ đóng vai trò là bên thứ ba cung cấp dịch vụ phụ trợ cho các công ty lớn.

Vụ vi phạm thẻ tín dụng xảy ra tại Target (Hoa Kỳ) năm 2013 là do có quá nhiều lỗ hổng trong mạng lưới của bên cung cấp thứ ba. Các hackers đã truy cập vào các mạng lưới nội bộ của Target bằng cách đánh cắp thông tin đăng nhập mạng từ bên cung cấp bên thứ ba Fazio Mechanical – công ty đã được giao hợp đồng cho các dịch vụ HVAC. Một khi các hackers xâm nhập vào mạng lưới của Target, chúng sẽ tải phần mềm độc hại lên máy tính tiền của các cửa hàng Target. Theo đó, phần mềm độc hại dần dần lan rộng ra hầu hết các thiết bị bán hàng của Target mà cuối cùng dẫn đến việc 40 triệu thông tin chi tiết của thẻ tín dụng đã bị đánh cắp.

Thứ hai, tin tặc đang không ngừng làm việc. Điều này vô tình sẽ khiến cho một trang web khởi nghiệp, một mạng lưới, một server (máy chủ), vv có thể bị hack bất cứ lúc nào. Theo một nghiên cứu được thực hiện bởi Trend Micro, cứ mỗi 3,5 giây là sẽ có một mối đe dọa mạng mới xảy ra. Điều này tạo ra rủi ro ngày càng tăng cho các start-up. Bởi lẽ, các công ty lớn đã cải thiện hệ thống bảo mật của họ trong khi các doanh nghiệp nhỏ với độ bảo mật kém đang là mục tiêu dễ dàng của các hackers.

Thứ ba, sự tăng trưởng trong việc sử dụng các ứng dụng di động, ứng dụng web và big data đã làm gia tăng số lượng các bề mặt tấn công. Tức là bạn càng dùng nhiều tài khoản thì càng dễ bị tấn công. Hầu hết các doanh nghiệp nhỏ và các start-up trong lĩnh vực dịch vụ sẽ cung cấp sản phẩm và dịch vụ của họ thông qua các ứng dụng di động và nền tảng web. Do đó, việc bảo vệ thông tin của khách hàng nên được đặt lên ưu tiên hàng đầu nhưng những doanh nhân không hề chú ý đến vấn đề này.

Thứ tư, các doanh nghiệp nhỏ và các start-up hiện đang chuyển sang hoạt động dựa trên nền tảng điện toán đám mây vì các dịch vụ đám mây ít tốn kém hơn. Tuy nhiên, các hackers biết điều này và đó là lý do vì sao các mối đe dọa nhắm vào điện toán đám mây hiện lại ngày một gia tăng. Báo cáo Dự đoán Nguy cơ An ninh mạng do McAfee lab thực hiện năm 2017 đã nhấn mạnh rằng trong năm 2017 tới, các mối đe dọa đối với điện toán đám mây sẽ tăng đáng kể do đó làm tăng rủi ro cho các start-up và các doanh nghiệp nhỏ.

>> Tham khảo: Toàn cảnh bảo mật trong kỷ nguyên dịch vụ đám mây – chia sẻ của chuyên gia Nguyễn Hữu Trung tại Vietnam Web Summit 2019

Cuối cùng nhưng không kém phần quan trọng, nhân viên trong các công ty, đặc biệt là những người ở ban lãnh đạo cấp cao đang ở trong tầm ngắm của các hackers. Một trường hợp thú vị lý giải rõ nhất về vấn đề này là vụ hack tài khoản Twitter của CEO Hootsuite gây ra bởi nhóm hacker OurMine. Các hackers đã truy cập vào tài khoản Twitter của anh ta bằng cách sử dụng cửa phụ (side-door). Nạn nhân đã kích hoạt ứng dụng Foursquare để truy cập vào tài khoản Twitter của mình. Quá trình đó được gọi là “App Authing”. Mạng xã hội Fourthsquare bị hack và một số tài khoản đã bị xâm phạm bao gồm cả thông tin đăng nhập của nạn nhân. Các hackers đã sử dụng các thông tin đăng nhập này để vào tài khoản Twitter của anh ta và bắt đầu đăng tải các dòng tweet. Các hackers đạt được rất nhiều mục đích khi hack tài khoản cá nhân của CEOs. Nó không chỉ cung cấp cho họ quyền truy cập vào thông tin quý giá mà chỉ quản lý cấp cao mới được biết mà còn cho họ sự chú ý mà họ không ngừng tìm kiếm.

Giải pháp cho các doanh nghiệp

Bây giờ chúng ta đều nhận ra rằng nhân viên đang là mối đe dọa lớn nhất trong vấn đề an ninh mạng. Họ là điểm cuối cùng và hầu hết các cuộc tấn công hiện nay không nhằm vào các lỗ hổng trong hệ thống mà nhằm vào sự thiếu nhận thức của các nhân viên. Do đó, các doanh nghiệp nhỏ và các start-up cần thực thi các chính sách và hướng dẫn bảo mật nội bộ nghiêm ngặt để đảm bảo thông tin của họ được bảo vệ.

• Phát triển văn hóa an ninh mạng thích hợp: Các nhân viên cần được đào tạo về các nguyên tắc bảo mật. Họ cần phân biệt được các email lừa đảo với các email thực. Mỗi công ty nên xây dựng văn hóa bảo mật dựa trên việc thực hành và các chính sách phù hợp như mật khẩu mạnh và hướng dẫn sử dụng internet. Các nhân viên không nên sử dụng các mạng không được bảo vệ để đăng nhập vào máy chủ của công ty. Họ cũng không nên cài đặt vào điện thoại bất kỳ ứng dụng nào của bên thứ ba mà chưa được kiểm duyệt và sử dụng ứng dụng đó cho công việc chính thức.
• Xác định các quy tắc xử lý dữ liệu của khách hàng: Các quy tắc xử lý dữ liệu của khách hàng cần được soạn thảo và đưa vào thực hành nghiêm ngặt. Hình phạt thích hợp nên được đưa ra cho bất kỳ ai vi phạm quy tắc.
• Thực hiện quy trình báo cáo sự cố: Một quy trình báo cáo sự cố thích hợp cần được thông qua và tích hợp vào các doanh nghiệp nhỏ. Điều này sẽ đảm bảo rằng tất cả các cuộc tấn công và các sự cố được báo cáo cho bộ phận bảo mật và các biện pháp bảo mật cần thiết được chủ động thực hiện để ngăn chặn mọi vi phạm.
• Xây dựng việc bảo mật thành một thói quen: Các biện pháp bảo mật như xác thực 2 yếu tố, nâng cấp phần mềm thường xuyên, bảo vệ tường lửa nên được tạo thành một thói quen chứ không phải một nhiệm vụ.
• Hạn chế quyền truy cập của nhân viên vào dữ liệu: Việc nhân viên truy cập dữ liệu và thông tin cần được hạn chế. Quyền hạn của họ để cài đặt và gỡ cài đặt phần mềm mà không có sự cho phép cũng nên được hạn chế.
• Tạo kế hoạch hành động cho thiết bị di động: Việc sử dụng điện thoại thông minh đã thâm nhập vào mọi khía cạnh trong cuộc sống của chúng ta. Hầu hết các nhân viên sử dụng điện thoại của họ cho công việc và các thiết bị này có thể tạo ra những thách thức bảo mật lớn bởi lẽ chúng chứa những thông tin quan trọng của công ty. Một kế hoạch hành động cho thiết bị di động bao gồm việc yêu cầu nhân viên phải mã hóa dữ liệu, sử dụng mật khẩu mạnh cho thiết bị của họ, cài đặt ứng dụng bảo mật, hạn chế sử dụng Wi-Fi công cộng cần phải được thực thi.
• Giữ bản sao lưu dữ liệu quan trọng: Biện pháp bảo mật này là điều kiện tiên quyết đối với bất kỳ doanh nghiệp nào nghiêm túc trong việc bảo vệ dữ liệu của mình khỏi các tác nhân đe dọa. Sao lưu dữ liệu cũng sẽ giúp ích nếu ransomware ảnh hưởng đến máy chủ và hệ thống của công ty.
• Tạo “Threat Intelligence Platform”: Threat Intelligence Platform là một trong những biện pháp bảo mật tốt nhất mà các doanh nghiệp nhỏ có thể thực hiện. Đây là điều cần thiết không chỉ từ góc độ bảo mật mà còn ở góc độ chi phí. “Threat Intelligence Platform” cho nhiều công ty sẽ hưởng lợi từ mô hình một nền kinh tế quy mô và từ đó có thể giảm chi phí.

• Chỉ đạo bằng cách tự thực hành: Vấn đề an ninh mạng cần tới được hộp thư của người sáng lập và không bị bỏ lại phía sau cùng với đội kỹ thuật. Trừ khi những người sáng lập đưa ra chỉ dẫn,nhân viên sẽ rất khó để làm theo.

Tạm kết

Không còn nghi ngờ gì nữa khi mà các doanh nghiệp nhỏ và các start-up ở Ấn Độ cần cải thiện hệ thống an ninh mạng của họ. Trên thực tế, các start-up và an ninh mạng có sự tương hỗ lẫn nhau. Một hệ thống an ninh mạng tốt có nghĩa là hệ thống có ít lỗ hổng và đồng thời, duy trì được niềm tin của khách hàng, cải thiện uy tín và giá trị thương hiệu. Tuy nhiên, nếu những điều tương tự bị bỏ qua, mối quan hệ đó cũng có thể trở thành một vòng luẩn quẩn mà trong đó một cuộc tấn công mạng có thể dẫn đến việc lộ thông tin bảo mật của khách hàng và từ đó gây ra sự suy giảm thương hiệu, uy tín và niềm tin của khách hàng.