WikiLeaks và bài học an toàn thông tin trong doanh nghiệp

12:19, 16/02/2011

Từ câu chuyện rò rỉ điện tín ngoại giao của Mỹ, bài học bảo vệ thông tin mật và thông tin nhạy cảm trong doanh nghiệp vẫn còn đó khi thông tin dữ liệu ngày càng được coi là tài sản quý giá của doanh nghiệp.

Bản thân sự tồn tại của WikiLeaks từ năm 2006 đã gây ra nhiều tranh cãi. Công ty truyền thông phi lợi nhuận này thường công bố các thông tin mật rò rỉ trên toàn thế giới và lấy đó làm tiêu chí hoạt động. WikiLeaks đã nhận được không ít những lời tán dương nhưng nó cũng bị nhiều tổ chức nhân quyền và chính phủ ghét bỏ. Nhưng nói gì thì nói vụ rò rỉ hàng trăm nghìn tệp hồ sơ mật của Mỹ thông qua WikiLeaks đã, đang và luôn là bài học bảo mật thông tin cho tất cả mọi người, đặc biệt là các doanh nghiệp.

Tháng 4/2010, WikiLeaks công bố đoạn video tuyệt mật của giới quân đội Mỹ quay cảnh một máy bay trực thăng Mỹ bắn chết 12 người tại Baghdad năm 2007, trong đó có 2 người của hãng thông tấn Reuters. Đoạn video này đã dẫn tới việc bắt giữ chuyên gia phân tích tình báo PFC Bradley Manning của quân đội Mỹ, người được cho là đã cung cấp đoạn video gây sốc cùng với nhiều tài liệu mật khác. Manning cũng chính là người chuyển 260.000 tài liệu ngoại giao mật của Mỹ cho WikiLeaks. Người ta cho rằng Manning đã dùng quyền của mình để truy cập vào hai mạng lưới mật của chính phủ để lấy thông tin rồi ghi vào đĩa CD.
 

Vấn đề ở đây là Manning đã lấy được một khối lượng thông tin khổng lồ mà không bị phát hiện mặc dù chính phủ Mỹ đang vận hành một hệ thống bảo vệ thông tin tinh vi và phức tạp. Điều này đã làm nảy sinh nhiều câu hỏi, đó là tại sao Manning chỉ ngồi một chỗ mà cũng lấy được nhiều thông tin đến như vậy, và liệu rằng việc quản lý quyền tiếp cận thông tin mật nội bộ của chính phủ Mỹ đã hiệu quả hay chưa, và  một người như Manning liệu có nhiều quyền tới mức tiếp cận được từng đó thông tin hay không. Lầu Năm góc từng tiến hành vô hiệu hóa các ổ cứng để nhân viên không thể ghi và di chuyển dữ liệu. Thế nhưng theo phát ngôn viên của Lầu Năm góc, những người chịu trách nhiệm triển khai và theo dõi chương trình ngăn chặn này lại không thể xác định được ai được phép truy cập các dữ liệu đó.

Từ bài học WikiLeaks, chúng ta có thể rút ra một số bài học sau cho công tác bảo vệ thông trong doanh nghiệp:

* Doanh nghiệp dễ bị tổn thương trước mất mát thông tin

Trong thế giới kết nối hiện nay, những gì mà người ta coi là riêng tư thì ngày càng bị soi mói và dễ bị đánh cắp. Chính Facebook, Twitter và các phương thức mạng xã hội khác đang định nghĩa lại cách thức chúng ta giao tiếp với nhau và mức độ sẵn sàng chia sẻ thông tin của tất cả mọi người. Dưới danh nghĩa an ninh quốc gia, các chính phủ cũng đang yêu cầu người dân phải hy sinh sự riêng tư. Đổi lại, người dân hay nhân viên cũng hy vọng và đòi hỏi mức độ cởi mở hơn từ phía chính phủ và doanh nghiệp. Thế nhưng, các doanh nghiệp và chính phủ không phải lúc nào cũng sẵn lòng đáp ứng, bởi ngoài việc họ quan ngại về bí mật kinh doanh hay thông tin bí mật, họ còn phải đảm bảo rằng mọi thứ cần diễn ra trong một khuôn phép có thể kiểm soát được. Dĩ nhiên, hầu hết nhân viên đều không quan tâm tới điều này. Chính vì thế, các doanh nghiệp cần phải có chính sách và quy định cụ thể để bảo vệ sự tồn tại của chính công ty họ.

* Không thể quản lý thông tin bằng các công cụ truyền thống

Hàng ngày, nhân viên phải tiếp xúc với các hệ thống thiếu cởi mở tại công ty, nơi họ có thể bị ngăn cấm trao đổi thông tin, hay đơn giản bị ngăn không cho tiếp xúc với thế giới bên ngoài. Thực tế đó càng khiến cho các nhân viên tìm cách liên lạc, trao đổi và chia sẻ thông tin với bên ngoài. Các doanh nghiệp cũng nhận thấy rằng nhu cầu sử dụng các công cụ web 2.0 và mạng xã hội của nhân viên đang tăng lên rất nhanh. Và nếu họ không đáp ứng được thì nhân viên của họ sẽ tìm cách sử dụng bằng được. Chẳng hạn như nhân viên có thể đưa thông tin công việc lên Twitter, FaceBook, hay LinkedIn. Hoặc họ cũng có thể tìm cách cài đặt e-mail doanh nghiệp lên chiếc iPhone cá nhân. Đơn giản là họ sẽ vượt ra khỏi mạng doanh nghiệp để lập mạng xã hội riêng để trao đổi và chia sẻ thông tin với người khác. Các nhân viên sẽ sử dụng những dịch vụ Web thông dụng như e-mail, IM, chia sẻ file, tài liệu, dung lượng… Các dịch vụ này phần nhiều miễn phí, dễ tiếp cận, khó ngăn chặn và khó kiểm soát.

* Cần cải tiến và nâng cao quy trình nghiệp vụ bằng CNTT

Mặc dù tiềm ẩn nhiều rủi ro không lường trước nhưng công nghệ thông tin vẫn là yếu tố then chốt mang lại thành công cũng như cơ hội phát triển và kinh doanh mới cho doanh nghiệp. Nó sẽ mang lại những khoản hoàn vốn đầu tư hiệu quả nếu doanh nghiệp chi mạnh tay, đúng hướng và hợp lý. Lấy McAfee, một hãng bảo mật hàng đầu, ra làm ví dụ. Nhờ những khoản đầu tư hào phóng cho hạ tầng CNTT mà hãng này đã giảm được 25% các cuộc gọi hỗ trợ kỹ thuật hàng tháng.

* Thận trọng trong mỗi quyết định liên quan tới CNTT

Yếu tố làm nên sự thành công của một giải pháp không chỉ là sự hợp tác và chia sẻ dễ dàng, mà còn là những đòi hỏi về tính riêng tư, định danh, pháp chế, lưu giữ hồ sơ, khôi phục và phát hiện sự cố. Một quyết định đúng về CNTT sẽ mang lại những lợi ích hợp tác và xã hội đúng đắn. Xu hướng hiện nay là mạng xã hội và các công cụ giao tiếp kiểu xã hội. Việc ngăn cấm những công cụ này không phải là điều sáng suốt, mà thay vào đó các doanh nghiệp cần có chính sách cụ thể và hiệu quả, nhằm tận dụng sức mạnh của chúng để mang lại lợi ích cho công ty.  

* Quản lý truy cập thông tin

Nói một cách ngắn gọn là thông tin phải được truy cập đúng người, đúng chỗ. Doanh nghiệp cần phải nắm được ai được quyền tiếp cận thông tin ở mức cao, và những thông tin càng quan trọng thì càng cần bảo vệ chặt chẽ hơn. Ngoài các nguy cơ bên ngoài, đội ngũ quản trị CNTT cần phải để mắt tới các nguy cơ xuất phát từ nội bộ. Thực tế cho thấy, nhân viên bất mãn có thể gây ra những thiệt hại không kém phần nghiêm trọng so với các đe dọa từ bên ngoài. Các doanh nghiệp cũng cần bảo vệ thông tin theo cách thức chúng được lưu trữ và sử dụng. Cần phải sử dụng các giải pháp ngăn chặn mất mát dữ liệu hiệu quả cho thiết bị đầu cuối, hệ thống mạng và hệ thống lưu trữ.  

Nguyễn Văn