Làm gì để phát hiện và ngăn chặn gián điệp

Ngày nay, các gián điệp kinh tế thường quan tâm đến dữ liệu tài chính,
sở hữu trí tuệ và dữ liệu khách hàng. Chúng có thể đánh cắp thông tin
nhằm mục đích tống tiền, nhưng “động lực xâm nhập thông thường nhất
là do thám công nghiệp”.

Dưới đây là một số mánh khóe thông thường và các biện pháp phòng chống
có thể sử dụng để phát hiện và ngăn chặn những hành vi bất minh trên.

Bám đuôi

Một trong những cách dễ thành công nhất cho người ngoài thâm nhập vào
một tổ chức lại không hề có kỹ thuật cao gì cả: theo chân một nhân viên có
thẩm quyền vào cửa trước. Để làm được điều này, tên gián điệp chỉ cần mặc
đồng phục hay mang huy hiệu giả.

Một khi đã vào được bên trong, gián điệp có nhiều cách để xâm nhập những
thông tin nhạy cảm. Chúng có thể giả dạng nhân viên CNTT để photocopy
các giấy tờ tìm thấy ở các bàn trống. Hoặc chúng có thể vào một phòng họp
trống, mở laptop và lấy cắp dữ liệu từ hệ thống. Theo kịch bản này, gián điệp
thường đi thành cặp để dễ thuyết phục, một giả làm nhân viên tư vấn và một
làm nhân viên.

Làm thế nào để ngăn chặn? Phải tăng cường các quy định nhằm cấm nhân
viên bảo vệ, tiếp tân và những nhân viên khác cho phép người không phải là

nhân viên vào công ty.

Giả dạng nhân viên

Bọn gián điệp thường giả dạng nhân viên trợ giúp CNTT vì điều này giúp
chúng có vẻ hợp pháp lúc ngồi vào máy tính. Chiến thuật thường được sử
dụng là tìm các văn phòng trống hoặc yêu cầu nhân viên rời khỏi bàn làm
việc để chúng nâng cấp phần mềm chống virus chẳng hạn. Chúng cũng có thể
giả dạng nhân viên vệ sinh để xâm nhập sau giờ làm việc.

Làm thế nào để ngăn chặn? Tăng cường ý thức cảnh giác của nhân viên.
“Hầu hết các tổ chức ít quan tâm đến việc trang bị ý thức cho nhân viên. Con
người có khuynh hướng cho rằng một khi ai đó đã vào trong công ty thì hẳn
đó là người hợp lệ, và bọn tội phạm đã lợi dụng triệt để giả định này. Cần có
tiêu chuẩn cho những gì hợp và không hợp rồi củng cố bằng cách nghi ngờ
những ai không tuân thủ những giới hạn này,” Ira Winkler, tác giả của Spies
Among Us (Wiley, 2005) và là Chủ tịch của Internet Security Advisors
Group, nhóm tạo các mô phỏng gián điệp và cung cấp các dịch vụ khác, nói.

Tuyến phòng thủ thứ hai là sử dụng các công cụ bảo vệ như chương trình bảo
vệ màn hình với mật khẩu, mã hóa dữ liệu và yêu cầu các mật khẩu khó đối
với những nhân viên có quyền truy cập, như nhân viên quản trị mạng chẳng
hạn.

Cuối cùng, theo Peter Wood của Công ty First Base Technologies, một công
ty tư vấn Anh chuyên thi hành các dịch vụ về hacking, phải phân loại thông
tin và lưu trữ chúng theo giá trị. Việc áp dụng mã hóa và mật khẩu đối với
nhân viên quản trị mạng và các thành viên cao cấp cũng có thể giải quyết
được 70% vấn đề.


Giả dạng khách

Một cách khác để thâm nhập một công ty là giả làm khách như nhân viên bảo
trì điện hoặc điện thoại, giám sát máy báo trộm hoặc người từ sở cứu hỏa đến
kiểm tra thiết bị báo cháy.

Làm thế nào để ngăn chặn? Theo Wood, người ngoài muốn vào công ty phải
được kiểm tra đầy đủ các loại giấy tờ. Nhân viên nên hỏi khách về chủ nhân
và nên kiểm tra thông tin trên Internet, kèm theo một cuộc gọi đến công ty
của khách để xác nhận tính hợp pháp.

Các ứng dụng web

Dĩ nhiên không phải mọi gián điệp đều áp dụng tiếp cận kỹ thuật thấp. Ngày
càng nhiều tên lợi dụng tính không an toàn của các ứng dụng web, theo báo
cáo của Viện SANS (SysAdmin, Audit, Networking, and Security) về Top 20
nguy cơ an ninh Internet trong năm 2007. Báo cáo nêu tên các ứng dụng web
không được trang bị các đầy đủ công cụ bảo mật là những nguy cơ hàng đầu,
khiến dữ liệu dễ bị đánh cắp và các máy tính bị điều khiển. Báo cáo cũng cho
rằng các cuộc tấn công vào các ứng dụng web sẽ tăng nhiều trong năm 2008.

Làm thế nào để ngăn chặn? Các công cụ quét web có thể giúp tìm các ứng
dụng dễ bị xâm nhập, đặc biệt là khi kết hợp với những công cụ xem mã
nguồn và các thử nghiệm xâm nhập ứng dụng. Viện SANS cũng đề nghị
kiểm tra cấu hình của khung ứng dụng web và củng cố nó.

Tên trộm nội ứng

Một cách gián điệp hiệu quả là chi tiền cho nhân viên nội bộ để đánh cắp
thông tin. Theo Winkler, thủ đoạn này không cần công nghệ cao, nhân viên

chỉ cần sử dụng quyền truy cập để tải lượng dữ liệu nhiều hơn mức bình
thường.

Làm thế nào để ngăn chặn? Theo Winkler sử dụng kết hợp giữa kiểm soát
truy cập và kiểm toán trước. Ví dụ: đại diện dịch vụ khách hàng thường truy
cập 30 hồ sơ mỗi ngày, bỗng nhiên một ngày nào đó truy cập đến 100 lần,
vậy là đáng báo động. Ken van Wyck, chuyên viên tư vấn về an ninh, thêm
rằng cũng đáng báo động khi đột nhiên một nhân viên bắt đầu truy cập dữ
liệu từ nhà riêng.

Theo báo cáo của Viện SANS, một cách ngăn chặn khác là vô hiệu hóa các
cổng USB thông qua BIOS được bảo vệ bằng mật khẩu hoặc sử dụng các
công cụ để hạn chế sử dụng các cổng và thiết bị ngoại vi để lấy cắp dữ liệu.

Công cụ đánh cắp thông tin gõ phím

Bọn gián điệp một khi đã vào bên trong có thể gây nguy hại bằng cách sử
dụng công cụ đánh cắp thông tin gõ phím (keystroke logger). Một số các thiết
bị này gửi e-mail về thông tin gõ phím của người sử dụng máy tính đến một
địa chỉ e-mail đã định trước trong khi các thiết bị khác lưu trữ các thông tin
này vào bộ nhớ. Các thiết bị này hầu như không thể bị phát hiện. Wood biết
một trường hợp bọn gián điệp giả làm nhân viên vệ sinh đã sử dụng kỹ thuật
này để đánh cắp gần 300 triệu bảng Anh từ một ngân hàng.

Làm thế nào để ngăn chặn? Theo Wood, phải tăng cường kiểm tra cơ học
máy tính là cách duy nhất để phát hiện công cụ đánh cắp thông tin bàn phím.

Phishing

Wikipedia định nghĩa phishing là một hình thức ứng dụng mà bọn gián điệp

sử dụng một loạt các kỹ thuật để làm người ta tiết lộ thông tin (như mật khẩu)
hoặc tiết lộ các dữ liệu mật bằng cách nhấp vào các đường dẫn cho phép
người khác có thể kiểm soát máy tính từ xa. Thật vậy, Viện SANS xem
phishing là một trong những nguy cơ an ninh Internet lớn nhất.

Ví dụ: một gián điệp có thể gọi từ điện thoại di động trả trước đến văn phòng,
tuyên bố rằng mình đang làm việc ở nhà và yêu cầu gửi một tên đăng nhập và
mật khẩu dưới dạng tin nhắn đến điện thoại của mình. Một số khác sử dụng
cách mà Viện SANS gọi là “spear phishing” trong đó chúng gửi những tin
nhắn e-mail được mong đợi nhất cho nhân viên, bao gồm cả thông tin cụ thể
nhằm làm cho các tin nhắn có vẻ thật (yêu cầu tên đăng nhập và mật khẩu
được gửi từ trưởng phòng nhân sự chẳng hạn).

Làm thế nào để ngăn chặn? Wood đề nghị huấn luyện cho nhân viên tính thận
trọng và cách để phát hiện các ứng dụng phishing này. Họ phải từ chối không
cung cấp thông tin khi người gọi tỏ ra vội vã, không xưng tên, đe dọa, hỏi
những câu kỳ cục hay yêu cầu các thông tin bị cấm. Cũng nên có chính sách
rõ ràng để báo cáo về sự cố cho người có trách nhiệm giải quyết.

Viện SANS cho rằng cần phải liên tục nâng cao ý thức của nhân viên, có thể
bằng cách tập luyện với các kỹ thuật phishing. Ngoài ra, các công ty cần
tránh tiết lộ nhiều thông tin như logo và địa chỉ e-mail của nhân viên trên các
trang web công cộng.