Kẻ thù trong hàng ngũ
Ai là người có khả năng ăn trộm dữ liệu của bạn nhất? Không phải nhân viên
chính phủ, cũng chẳng phải gián điệp của đối thủ cạnh tranh. Những kẻ tình nghi
chính đang ở xung quanh bạn – chính là các nhân viên của bạn.

Trong năm 2000, giám đốc phụ trách phần mềm Jeffrey Chang rời khỏi công ty
thiết kế chip D-Link Corp. của Đài Loan để trở lại công ty là VIA Technologies.
Vào tháng Mười Hai năm ngoái, Chang đã đứng trước vành móng ngựa trong một
phiên toà xét xử tại Đài Bắc, bị buộc tội ăn trộm mật mã phần mềm của D-Link
cho VIA. Bằng chứng quan trọng nhất chống lại Chang là: trong khi làm việc tại
D-Link, anh ta vẫn được VIA trả lương.
Vụ kiện chống lại Chang là vụ xử gián điệp công ty nghiêm trọng nhất cho tới nay
ở Đài
Loan, ít nhất cũng vì nữ chủ tịch hội đồng quản trị của VIA, Cher Wang,
cũng bị buộc tội. Cher Wang là con gái của Wang Yungching, người đứng đầu tập
đoàn Formosa Plastics Group, tập đoàn sản xuất lớn nhất tại Đài Loan.
Vụ kiện này cho thấy rõ một hiện tượng ngày càng phổ biến trong những năm gần
đây, đó là các công ty bị rò rỉ thông tin sang đối thủ thông qua nhân viên của chính
họ. Rất dễ tìm ra nguyên nhân của hiện tượng này: lĩnh vực hoạt động gián điệp
không còn thuộc về các nhân viên có kỹ năng đặc biệt như James Bond nữa, mà
việc do thám thương mại giờ đây có thể được thực hiện bởi một nhân viên tầm
thường nhất có khả năng sử dụng các máy móc rẻ tiền bán trong bất cứ gian hàng
máy vi tính nào ở châu Á.
Samuel Porteus, giám đốc khu vực tại Trung Quốc của hãng Quản lý Rủi ro Kroll,
nói: “Xét về con số tuyệt đối, công việc này luôn được thực hiện bởi nhân viên
trong công ty chứ không phải một gián điệp trong ngành nào cả. Ngày nay, các
nhân viên được phép tiếp cận với những phương tiện công nghệ có thể chuyển rất
nhiều thông tin một cách dễ dàng, từ đó tăng khả năng hại chủ của họ.”
Song thật khó mà đo được mức độ thiệt hại. Rất ít công ty báo cáo các vụ do thám
thông tin vì họ không muốn loan truyền về tình trạng an ninh lỏng lẻo của hãng
mình. Tuy nhiên, theo cuộc điều tra PricewaterhouseCoopers - một trong những

nghiên cứu toàn diện về vấn đề này – thì khoảng 40% công ty trên toàn thế giới
cho biết có những vụ việc biết chắc hoặc nghi ngờ về mất tài liệu thuộc sở hữu của
mình, và thiệt hại trung bình vào khoảng từ 0.000 đến 0.000. Phần lớn các vụ này
xảy ra tại Bắc Mỹ, và châu Á, với 13% số vụ việc, xếp hàng thứ hai.
Theo các chuyên gia thì mức độ thực sự của do thám thương mại ở châu Á còn cao
hơn, vì các điều tra như của PWC thường không tính đến số lớn các vụ trộm phần
mềm hay cơ sở dữ liệu khách hàng ở những công ty nhỏ trong khu vực. Hơn nữa,
các công ty châu Á cũng ít đến thông báo với quan chức hơn. Các công ty châu Á
thường thích giải quyết nội bộ và để “không mất mặt” trước công chúng. Chẳng
hạn như có hơn 900 vụ quấy rối an ninh được báo cáo với Đội Phản ứng Khẩn cấp
Hồng Kông vào năm ngoái, nhưng chỉ có 2% trong số đó được báo cáo với nhà
chức trách.
Porteous thuộc Kroll chỉ ra rằng tỷ lệ vi phạm bản quyền và làm nhái hàng cao nổi
tiếng ở châu Á cho thấy sự phổ biến của do thám thương mại tại đây. Các yếu tố
khác góp phần làm tình hình càng tồi tệ hơn: đó là việc châu Á thiếu một khung
pháp lý hiệu quả về lĩnh vực này, việc thuê công ty nước ngoài làm một số công
đoạn, dẫn đến khó quản lý dữ liệu hơn; và tầm nhận thức về bảo vệ quyền sở hữu
trí tuệ tương đối thấp. Chẳng hạn như ở Singapore, nhiều công ty không lấy bằng
sáng chế cho các sáng chế của mình, làm cho họ khó có thể chứng minh là mình bị
ăn cắp quyền sở hữu trí tuệ.
Con số các vụ do thám thương mại cũng đang tăng lên. Trước đây, hầu hết các vụ
trộm sở hữu trí tuệ bậc cao đều xảy ra ở Bắc Mỹ, nơi tập trung các cơ sở R&D trên
thế giới. Nhưng chi tiêu cho hoạt động R&D của châu Á đã tăng lên nhiều trong
vài năm qua, đặc biệt là ở Trung Quốc. Theo Tổ chức Hợp tác và Phát triển Kinh
tế - một nhóm các nước phát triển có trụ sở tại Paris - thì Trung Quốc đã chi tỷ vào
công tác R&D riêng trong năm 2001, và trở thành nước chi tiêu cho R&D lớn thứ
ba thế giới sau Mỹ và Nhật Bản.
Sau đây là những vấn đề liên quan đến việc bảo vệ thông tin khỏi bị lấy cắp
bởi những “kẻ thù trong hàng ngũ” của công ty:
Thay đổi công nghệ lấy trộm

Hầu hết những người ăn trộm bí mật trong ngành không phải là các thiên tài máy
tính. Theo Phòng Phản gián của Hoa Kỳ, các phương pháp phổ biến nhất được sử
dụng để thu được các thông tin bảo mật là các phương pháp đơn giản nhất –
thường là e-mail, máy fax hay điện thoại.
Ngày mà các nhân viên ở lại cơ quan muộn hơn một chút để phô tô các tài liệu bảo
mật đã qua rồi. Họ chỉ cần vài phút và một thiết bị flash-memory to bằng ngón tay
cái để hoàn thành việc này.
Gần đây, TecBizF RisMan đã điều tra một vụ, trong đó một nhân viên đã
download toàn bộ danh sách khách hàng công ty vào chiếc máy Palm Visor xách
tay trước khi gia nhập vào một hãng cạnh tranh. Và ngày nay có rất nhiều đồ vật
trong cơ quan có thể lưu trữ thông tin - chẳng hạn như iPod và các máy ghi hình
kỹ thuật số. Vào tháng Bảy năm ngoái, hãng chế tạo điện thoại di động Samsung
đã cấm sử dụng điện thoại ghi hình trong một số xí nghiệp của mình vì sợ gián
điệp sẽ chụp ảnh các mô hình điện thoại mới.
Luật pháp về do thám thương mại
Mặc dù nhiều công ty đã có điều khoản trong hợp đồng để không cho nhân viên
chuyển thông tin thuộc sở hữu của công ty cho đối thủ cạnh tranh, nhưng việc
chấp hành các điều khoản này không phải lúc nào cũng được thực hiện. Theo các
chuyên gia an nình thì nguyên nhân không chỉ do khó thu thập bằng chứng, mà
luật pháp về do thám thương mại ở châu Á còn không rõ ràng khiến cho khả năng
kiện thành công rất thấp. Công ty Taylor-Smith có trụ sở ở Đài Loan cho biết theo
kinh nghiệm của riêng ông thì tỷ lệ thành công chỉ là 50%.
Thêm nữa, so với luật pháp về do thám ở Mỹ, luật Đài Loan không coi các giá trị
vô hình như thị phần và sự tín nhiệm của khách hàng là đối tượng bị tổn hại trong
khiếu nại. Ông Porteous nói: “Theo các quy định của Đài Loan, bạn đòi lại được ít
hơn cái bạn bị mất nhiều”.
Giải pháp
Biện pháp đơn giản nhất, song không phải biện pháp rẻ tiền nhất, là ngăn chặn khả
năng xảy ra tình thế không mong muốn này. Các chuyên gia an ninh cho rằng biện
pháp tốt nhất để kiểm soát sự rò rỉ thông tin là kiểm soát và hạn chế việc nhân viên

tiếp xúc với nguồn thông tin bảo mật.
Peter Koo, một chuyên gia tư vấn an ninh thuộc hãng Deloite Touche Tohmatsu
khuyên rằng các công ty nên vạch ra khả năng và cách thức tiếp cận dữ liệu công
ty của mỗi nhân viên theo các mức độ an toàn khác nhau. Động thái này “không
phải là không tốn kém” vì nó làm tăng chi phí quản lý và đòi hỏi phải cập nhật liên
tục. Tuy nhiên, giải pháp này nên được các công ty lớn thực hiện vì suy cho cùng,
nó có thể giúp giảm chi phí thông qua sự tập trung hoá; còn với các công ty nhỏ,
nó có thể làm tăng chi phí điều hành từ 100% đến 200%.
Theo Torston Duwenhorst thuộc phòng phụ trách các vụ liên quan đến máy tính
của Kroll, thì các công ty nên có quy định về việc hạn chế việc nhân viên sử dụng
các thiết bị như flash-memory hay đầu ghi CD cắm ngoài. Chẳng hạn như không
cho phép các nhân viên gắn ổ CD ngoài vào máy tính cá nhân của họ mà chưa xoá
sạch thông tin trên đĩa tại phòng công nghệ thông tin.
Bên cạnh đó, nên sử dụng một quy trình tắt máy đảm bảo sao cho nhân viên không
xoá các dữ liệu quan trọng của công ty. Porteous nói: “Đừng cho phép nhân viên
dùng máy tính khi đã được phép rời sang cơ quan khác.” Điều này giúp ngăn
không cho virus hay phần mềm máy tính được gài vào trong các máy của công ty.
Mặc dù điều này có vẻ như tàn nhẫn với nhân viên, nhưng việc sa thải nhân viên
không làm tròn trách nhiệm là “hành động nên làm để giữ lòng tin của cổ đông”
đối với các công ty niêm yết tại sở giao dịch. Với các nhân viên bất mãn rời khỏi
công ty này, “mối quan hệ với công ty cần phải bị cắt đứt càng nhanh càng tốt”.
Còn một khi thông tin bị rò rỉ ra ngoài, thì tổn thất mà công ty phải hứng chịu còn
đắt hơn nhiều so với các chi phí phòng ngừa trê. Tính trung bình, các công ty phải
chi từ .000 - 0.000 cho một cuộc điều tra toàn diện để biết được ai là kẻ trộm và
cách thức lấy trộm là gì.