Đối phó với tám công nghệ nguy hiểm
Ngu
ồn : quantrimang.com 
Bản chất của công nghệ là phục vụ nhân sinh. Tuy nhiên, nếu bị lạm dụng
hoặc khai thác sai mục đích, chúng có thể trở thành thảm họa, không chỉ
đối với người dùng cá nhân mà còn ảnh hưởng đến cả tập thể. CNTT-viễn
thông cũng không phải là một ngoại lệ. Dưới đây là tám công nghệ tiêu
dùng (consumer technology) đang được ứng dụng mạnh trong môi trường
doanh nghiệp. Và theo Computerworld, tấ
t cả chúng đều có thể khiến cho
các nhân viên an toàn thông tin (Chief Security Officer - CSO) phải sống
trong âu lo!

Có đến 90% trong tổng số 500 nhân viên tham gia cuộc khảo sát của Tập đoàn
nghiên cứu Yankee Group (Boston, Mỹ) cho biết họ đã sử dụng ít nhất là một
công nghệ tiêu dùng tại cơ quan cho mục đích cá nhân. Xu hướng này đang làm
đau đầu giới chủ và nhà quản trị mạng. Và họ đã làm gì để giành lại thế chủ
động?

Trình nhắ
n tin tức thời

Trình nhắn tin tức thời (Instant Messenger - IM)
là một công cụ giao tiếp rất hữu hiệu. Nó giúp
người dùng thông báo cho nhau những sự kiện
quan trọng, khẩn cấp (cảnh báo thiên tai, biến
cố chính trị, khủng hoảng kinh tế...). Một số
công ty còn khuyến khích nhân viên sử dụng IM
để cắt giảm chi phí liên lạc. Nhưng phần lớn các
doanh nghiệp đều cho rằng công cụ này đang bị
lạm dụng đế

n mức nảy sinh tiêu cực.

Nhân viên đang cố khai thác tối đa IM, từ việc trò chuyện với con trẻ đang học ở
trường, giao tiếp với đồng nghiệp ở khác phòng cho đến việc tư vấn khách hàng
qua mạng. Kết quả từ cuộc thăm dò mới nhất của Yankee Group – nhóm khoa
học gia hàng đầu thế giới với hơn 40 năm kinh nghiệm, chuyên nghiên cứu tốc
độ thay đổi của công ngh
ệ và sự tác động của nó đối với các mạng giao tiếp,
người tiêu dùng và doanh nghiệp – thì gần 40% số người tham gia phỏng vấn
thừa nhận họ đã sử dụng IM sai mục đích nơi công sở.

Đứng ở góc độ nhà quản trị mạng, IM đã đặt họ trước nhiều thách thức. Đáng lo
nhất vẫn là nguy cơ mạng máy tính bị tấn công bởi các phần mềm độc hạ
i
(malware). Những “sát thủ” thầm lặng này sẽ đột kích vào “tử huyệt” của trình
nhắn tin tức thời. Chưa hết, nhân viên có thể sẽ để lộ thông tin nhạy cảm ra bên
ngoài trong lúc “vui miệng” với một ai đó trong phòng chat.

Nhằm hạn chế tối đa hiểm họa này, nhà cung cấp dịch vụ viễn thông hàng đầu
thế giới Global Crossing (Mỹ) đã trang bị giải pháp Live Communications Server
của Microsoft. Theo đó, nhân viên của hãng vẫn được quyền khai thác trình
nhắn tin tức thời để tác nghiệp, nhưng chỉ là IM nội bộ. Tất cả những dịch vụ IM
bên ngoài, chẳng hạn như AOL, MSN hay Yahoo! Messenger, đều bị chặ
n lại.
Ngoài ra, để tránh rò rỉ bí mật kinh doanh, Global Crossing còn tiến hành mã hóa
mọi thông điệp IM. Mô hình LCS còn cho phép nhà quản trị mạng ngăn chặn việc
truyền tập tin, hạn chế khả năng dữ liệu mật bị “đánh hơi” và kiểm soát chặt chẽ
mọi địa chỉ URL ra vào hệ thống. Điều này cũng khiến cho malware phải “hiện
hình” và dễ dàng bị khống chế trước khi chúng mở đợt t
ấn công và phát tán mã

độc trên toàn mạng.

Hầu hết các cơ quan nhà nước đều kiên quyết nói không với IM. Trung tâm Y tế
DeKalb (Georgia, Mỹ) là một điển hình. Trung tâm này nghiêm cấm tất cả mọi
nhân viên sử dụng IM. Nếu vi phạm sẽ bị kỷ luật rất nặng. Bà Sharon Finney -
nhà quản trị mạng của DeKalb - bức xúc: “Nhân viên đã dùng IM để tán gẫu trên
mạng (chat), thay vì thảo luận nên làm gì để nâng cao chất lượng phục vụ bệnh
nhân.” Nhằ
m chấm dứt tình trạng này, bà đã đề xuất và được lãnh đạo trung tâm
cho phép áp dụng chính sách an ninh mạng nghiêm khắc hơn. Giờ đây, bà cũng
đỡ vất vả hơn trước kia rất nhiều vì được toàn quyền kiểm soát IM (đọc nội dung
tin).

Thư điện tử

Trong số những người tham gia cuộc điều
nghiên của Yankee Group, có đến phân
nửa nói rằng họ đã sử dụng các dịch vụ
thư điện tử miễn phí (web mail) để giao tiếp
thương mại. Vấn đề đặt ra ở đây chính là
độ bảo mật thông tin. Người dùng Gmail,
MSN Hotmail, AOL hay Yahoo! Mail đã không hề biết rằng họ đang “ký gửi” tài
sản của công ty mình (dữ liệu mật) trên các máy chủ của ISP. Và liệu rằng
Google, Microsoft, AOL hay Yahoo! không hề đọc qua chúng ?

Để giúp nhân viên sử dụng web mail được an toàn, nhà quản trị mạng nên cài
đặt công cụ giám sát nội dung thư bằng các b
ộ lọc dựa vào từ khóa hoặc những
kỹ thuật dò tìm khác. Nó sẽ phát đi cảnh báo đến nhân viên hoặc ngăn chặn việc
gửi e-mail có chứa bí mật kinh doanh. Tập đoàn Viễn thông WebEx (Mỹ) đang

triển khai khá hữu hiệu công cụ chống thất thoát dữ liệu do Tập đoàn Reconnex
cung cấp. Giải pháp này đã giúp WebEx theo dõi toàn bộ e-mail ra vào công ty.
Nó còn chụp được ảnh màn hình máy tính của nhân viên trong lúc họ soạn thư,
kể cả các tập tin đính kèm. Nếu phát hiện có sự rò rỉ dữ liệu nhạy cảm, phần
mềm sẽ phát đi cảnh báo đến nhà quản trị mạng để họ kịp thời ngăn chặn.

Thiết bị lưu trữ bỏ túi

Theo Josh Holbrook, chuyên gia phân tích của Yankee Group, những thiết bị lưu
trữ bỏ túi (portable storage devices), chẳng hạn như ổ đĩa USB, chính là một
trong những n
ỗi lo lớn nhất. Ông nói: “Nhân viên của bạn có thể sử dụng chúng
để chạy các ứng dụng độc lập (không cần cài đặt lên ổ đĩa cứng máy tính –
standalone applications), tải và lưu trữ vào đấy những tập tin đa phương tiện
(ảnh, nhạc, phim) hoặc để tàng trữ những dữ liệu mật mà họ vừa đánh cắp.”

Trái với quan điểm của Holbrook, Mark Rhodes-Ousley – một kiến trúc sư
nổi
tiếng về an toàn thông tin và cũng là tác giả của quyển sách Bảo an mạng toàn
tập – cho rằng: “Thật không khó nếu muốn khóa cổng USB (port) trên máy tính
của nhân viên. Tuy nhiên, đã có nhiều công ty không lựa chọn giải pháp này.
Đơn giản chỉ vì càng cấm sử dụng USB, nhân viên càng cố tìm mọi cách để
‘vượt rào’ ! Chặn cổng lưu trữ dữ liệu (data storage ports), họ sẽ dùng c
ổng hồng
ngoại (infrared ports). Thế là bạn sẽ phải khóa tiếp ổ ghi đĩa CD. Danh sách các
thiết bị mà bạn phải kiểm soát, theo đó, mỗi lúc một dài thêm.” Mark Rhodes-
Ousley khuyên chủ doanh nghiệp nên giải quyết vấn đề này bằng con đường
giáo dục nhận thức. Ông nói tiếp: “Hãy dạy cho nhân viên bạn phương thức xử lý
các loại thông tin nhạy cảm. Bởi thiếu kiến thức và kỹ năng tin học, nên họ mới
gây ra r

ắc rối cho công ty. Nếu vẫn chưa an tâm, doanh nghiệp có thể trang bị
các công cụ cho phép cảnh báo nhân viên ngay khi họ sao chép nhầm dữ liệu
mật.”

Sharon Finney thì lại đánh giá chính sách bảo an mạng của Mark Rhodes-
Ousley còn “thiên về cảm tính” và “ngại va chạm”. Bà dường như rất thích thú
với những công nghệ khóa/chặn và thường triển khai ngay mỗi khi phát hiện
được một phần mềm ưng ý, nhất là các giải pháp có thể lưu trữ bằng chứng vi
ph
ạm của nhân viên rồi gửi ngay thông báo đến bà qua e-mail.

PDA và Smart phone

Thiết bị hỗ trợ cá nhân kỹ thuật số (Personal Digital Assistant - PDA) và điện
thoại thông minh (smart phone) ngày càng phổ dụng nhờ giá thành giảm. Vì vậy,
chẳng có gì là bất ngờ nếu nhân viên của bạn tậu được BlackBerry, Treo và
thậm chí cả iPhone. Tuy nhiên, không phải họ muốn sử dụng thế nào cũng
được, dù rằng đó là vật tư hữu. Bởi lẽ, trong lúc kết nối thi
ết bị cá nhân với máy
tính cơ quan để trao đổi dữ liệu, họ có thể sẽ làm hỏng máy tính do thao tác sai
quy trình, thực thi nhầm lệnh hoặc tạo điều kiện thuận lợi cho virus lây lan.

Holbrook bộc bạch: “Chúng tôi không cường điệu vấn đề. Thực tế đã chứng minh
rằng những chuyện phiền toái như vậy thường xuyên xảy ra. Rất nhiều nhân viên
không ý thức được vấn đề này, bởi chỉ cần một thoáng khinh suất của họ, toàn
bộ hệ thống máy tính của doanh nghiệp có thể sẽ bị tê liệt đồng loạt trước sự tấn
công và phát tán cực nhanh củ
a các phần mềm độc hại.”

Việc cho phép nhân viên tùy nghi sử dụng hai công cụ nói trên còn đặt công ty

bạn trước nguy cơ bị “bòn rút” bí mật kinh doanh, nhất là sau khi có nhân viên
nào đó thôi việc. Thời gian qua, đã có không ít vụ khiếu kiện giữa doanh nghiệp
với nhân viên cũ vì cho rằng sau khi bị sa thải, nhân viên đã bán tất cả những
thông tin nhạy cảm cho đối thủ của doanh nghiệp. Khổ nỗi, nguyên đơn thường
thua kiện vì không thể cung cấp đầ
y đủ các chứng cứ cho thấy bí mật kinh
doanh ấy là thuộc quyền sở hữu trí tuệ tập thể.

Bởi thế, nhiều công ty, chẳng hạn như WebEx, đã tăng cường quản lý việc sử
dụng PDA của nhân viên. Sau khi bàn bạc với nhà quản trị mạng, chủ doanh
nghiệp sẽ chỉ định duy nhất một thương hiệu và một mẫu PDA được phép khai
thác trong công ty. Điều này sẽ giúp doanh nghiệ
p dễ dàng kiểm soát mọi dữ liệu
nhạy cảm. WebEx cũng áp dụng chính sách nói trên đối với máy tính xách tay, vì
suy cho cùng, thiết bị này còn “nguy hiểm” hơn cả PDA do nó lưu trữ được nhiều
tập tin hơn và có tốc độ ghi/đọc dữ liệu nhanh hơn gấp nhiều lần.

Điện thoại máy ảnh

Thế hệ điện thoại di động hiện hành dường như loại nào cũng tích hợ
p tính năng
chụp ảnh. Dĩ nhiên, điều này có lợi hơn cho người dùng. Song, đứng trên bình
diện an toàn thông tin doanh nghiệp, thì thiết bị kỹ thuật số này có thể sẽ tiết lộ
ra bên ngoài những hình ảnh mà công ty bạn không hề mong đợi. Nhiều nhân
viên còn lơ là trong lúc giao tiếp với khách hàng lạ mặt. Lẽ ra, trước khi tiếp
khách, họ cần đóng lại mọi cửa sổ làm việc trên máy tính. Chỉ cần sử dụng
điện
thoại máy ảnh (camera phone), “khách hàng” (mà thực chất là những gián điệp
công nghệ cao – hi-tech spy – do đối thủ gửi đến để theo dõi “động tĩnh”) có thể
lén ghi lại những hoạt động gây bất lợi cho việc xây dựng thương hiệu và hình

ảnh của công ty bạn về sau này. Chẳng hạn như cảnh nhân viên đùa giỡn quá
mức hoặc to tiếng với nhau, vị trí lắp đặt các thiết bị báo động, các báo cáo tài
chính mà b
ạn đang nhập liệu...

Để xem nhân viên có luôn đề cao tinh thần cảnh giác hay không, Sharon Finney
đã thực hiện một cuộc “thí nghiệm” với kết quả vô cùng thất vọng. Bà đã nhờ
người bạn của mình giả làm nhân viên bảo trì hệ thống chiếu sáng đến trung tâm
để thực hiện công việc kiểm tra định kỳ. Cô y tá được cử tiếp khách dường như
chẳng buồn nhìn anh “nhân viên bảo trì”, chỉ bảo anh ra về vì trung tâm đâu có
g
ặp trục trặc gì. Rồi cô vội quay lưng và tiếp tục... chat. Anh bạn của Finney cố
tình nán lại, nhân lúc cô y tá không chú ý, anh đã dùng chiếc điện thoại máy ảnh
của mình để chụp cô này đang mải mê tán gẫu trên mạng. Cuối cùng, Sharon
Finney cảnh báo: “Quý vị hãy để mắt nhiều hơn đến ‘vệ tinh do thám’ thầm lặng
này”.

Điện thoại Internet

Phần mềm gọi điện thoại Internet (VoIP) Skype đang được đông đảo người dùng
toàn cầu sử dụng do nó miễn phí 100% các cuộc gọi giữa các máy tính v
ới nhau
(PC-to-PC). Theo khảo sát của Yankee Group, trên 20% người được phỏng vấn
cho biết họ đang khai thác công nghệ này trong giao tiếp kinh doanh. Nếu được
dùng đúng nghĩa, Skype sẽ cắt giảm đáng kể gánh nặng hóa đơn điện thoại
hằng tháng cho doanh nghiệp. Trái lại, nó và kể cả những dịch vụ tương tự sẽ
gây ra không ít khó khăn đối với yêu cầu bảo đảm tính ổn định trong vận hành
của máy tính.

Holbrook phân tích: “Vì là những ứng dụng dành cho người dùng cá nhân và lại

miễn phí 100%, cho nên Skype tỏ ra khá ‘dễ dãi’ ở khâu mã hóa dữ liệu thoại.
Ngoài ra, nỗ lực tích hợp ứng dụng của nó chẳng những không phát huy hiệu
quả, mà đôi lúc còn gây ảnh hưởng tiêu cực đến các chương trình khác trên máy
tính.” Dĩ nhiên, Skype luôn cố gắng thông báo và yêu cầu người dùng thường
xuyên theo dõi bản tin bảo mật, đồng thời cài đặt ngay các miếng vá mới nhất
cho phần mềm máy khách (client). Tuy vậy, có bao nhiêu nhân viên ghi nh
ớ điều
này? Ngay cả khi được khuyến cáo, người dùng vẫn thường không cập nhật
phiên bản do lười biếng hoặc chỉ muốn dùng nhanh phiên bản hiện hành, dù
rằng nó đã bị “rách bươm”.

Để gia tăng độ bảo mật thông tin nội bộ, công ty nghiên cứu thị trường Gartner
(Mỹ) kiến nghị doanh nghiệp nên chặn (block) mọi dữ liệu thoại qua giao thức IP.
Nếu phải cho phép nhân viên sử dụng Skype, cần tri
ển khai các công cụ giám
sát có thể điều tiết dịch vụ này đến đúng đối tượng được quyền thụ hưởng.

Web mini

Lo ngại trước nguy cơ bị “sập” mạng nếu để
nhân viên tự do download, các nhà quản trị
mạng đã khóa chặt tính năng này, đồng thời
ngăn chặn việc cài đặt các ứng dụng nằm
ngoài danh mục phần mềm mà nhân viên
được phép sử dụng trên máy tính c
ơ quan.
Tuy nhiên, một số người đã cố “vượt rào”
bằng cách khai thác các ứng dụng web mini
(web gadgets hay widgets). Ưu điểm của