Năm mối đe dọa đối với nguồn lưu trữ
Ngu
ồ
n:quantrimang.com
Nhiều doanh nghiệp cứ tưởng rằng dữ liệu lưu trữ của mình đã được bảo
vệ rất cẩn thận, nhưng họ đã nhầm. Dưới đây là những lời khuyên giúp bạn
tránh được một sai lầm tương tự.

Nếu bạn nghĩ rằng chỉ có hacker hay thậm chí là những nhân viên xấu trong nội
bộ công ty là mối đe dọa lớ
n nhất đối với sự an toàn của dữ liệu được lưu trữ, thì
bạn đã sai lầm. Dù những mối đe dọa như thế vẫn là mối bận tâm lớn, thì nguy
cơ cao hơn có thể đến từ chính những nhân viên tốt của bạn – những người có
thể vô tình để lộ dữ liệu công ty thông qua mạng chia sẻ tập tin ngang hàng hay
máy tính xách tay bị để không đúng chỗ. Một cuộc nghiên c
ứu gần đây của Viện
Ponemon tại bang Michigan (Mỹ) cho thấy chính những nhân viên bất cẩn mới là
mối đe dọa lớn nhất đối với an ninh dữ liệu, chiếm đến 78% tổng số vụ xâm
phạm.

Không may là tình trạng xâm phạm dữ liệu
đã trở thành chuyện thường ngày ở các
công ty Mỹ. Theo Trung tâm tài nguyên và
mất cắp danh tính (ITRC) có trụ sở tại
thành phố San Diego, số vụ xâm phạm
đượ
c ghi nhận trong năm 2008 tăng 47%
so với năm trước đó. Tuy nhiên, theo Craig
Muller, một chuyên gia về nạn ăn cắp tính
danh, thì tỷ lệ gia tăng thật sự có thể cao
hơn vì còn có nhiều vụ không được trình

báo.

Công chúng Mỹ rõ ràng là đang chịu không ít khổ sở bởi vấn nạn này. Một cuộc
khảo sát năm 2008 của Viện Ponemon cho thấy 55% trong 1.795 người khắp
nước Mỹ được hỏi cho biết họ đã đượ
c thông báo về ít nhất hai vụ xâm phạm dữ
liệu trong 24 tháng trước. 8% người cho biết họ nhận được từ bốn thông báo trở
lên.

Dù vậy, các công ty vẫn không rõ cách thức tự bảo vệ mình. Theo một cuộc
khảo sát được Viện Ponemon công bố vào tháng trước, chỉ có 16% trong 577
chuyên gia an ninh tự tin hay rất tự tin rằng những biện pháp bảo vệ dữ liệu hiện
tại có thể giúp dữ liệu nhân viên hay khách hàng không bị mất mát hay ăn cắp.
Một phương cách để có được sự tự tin ấy là tìm hiểu kỹ về những vụ xâm phạm
dữ liệu và học hỏi từ chúng.

Dưới đây là năm loại xâm phạm dữ liệu phổ biến và cách thức đề phòng.

1. Thiết bị bị đánh cắp

Tháng 5-2006, dữ liệu cá nhân của 26,5 triệu cựu binh Mỹ bị đe dọa sau khi một
máy tính xách tay và một ổ cứng bị mất cắp tại nhà của một nhà thầu phụ của
Bộ các vấn đề về cựu binh Mỹ. Cả hai thiết bị
đã được thu hồi và các vụ bắt giữ
được tiến hành. Cục Điều tra Liên bang Mỹ (FBI) cho biết không có dữ liệu nào
bị đánh cắp, nhưng vụ việc buộc bộ này tiến hành cải tổ. Tuy nhiên, đến tháng 1-
2007, một vụ việc tương tự xảy ra sau khi một máy tính xách tay chứa dữ liệu
của 535.000 cựu binh và hơn 1,3 triệu bác sĩ bị đánh cắp khỏi một cơ sở y t
ế tại
bang Alabama.


Thiệt hại: Ở vụ việc tháng 5-2006, Bộ các vấn đề về cựu binh Mỹ sau đó tốn
khoảng 200.000 đô-la Mỹ mỗi ngày cho một trung tâm giải đáp các cuộc gọi điện
thoại thắc mắc về vụ xâm phạm dữ liệu đầu tiên. Ngoài ra, bộ này cũng chi
khoảng 1 triệu đô-la Mỹ để in ấn và gửi thư thông báo vụ việc. Mộ
t số đơn kiện
dân sự về vụ việc cũng được nộp lên tòa án, trong đó có một đơn kiện đòi bồi
thường 1.000 đô-la Mỹ cho mỗi cá nhân bị ảnh hưởng. Riêng vụ xâm phạm dữ
liệu năm 2007, Bộ các vấn đề về cựu binh Mỹ dành ra 20 triệu đô-la Mỹ để trang
trải những chi phí liên quan. Ngoài ra, gần đây bộ này cũng đồng ý trả 20 triệu
đô-la M
ỹ cho các quân nhân và cựu quân nhân để dàn xếp một vụ kiện dân sự
có liên quan đến việc mất dữ liệu này.

Hiện trạng: Theo ITRC, tỷ lệ số vụ xâm phạm dữ liệu xuất phát từ việc để thất
lạc thiết bị hoặc bị mất cắp là cao nhất – khoảng 20% trong năm 2008. Trong khi
đó, luật sư Bart Lazar tại văn phòng luật Seyfarth Shaw LLP ở thành phố
Chicago cho biết máy tính xách tay bị thất l
ạc hay mất cắp chiếm đa số vụ xâm
phạm dữ liệu mà ông xử lý.

Biện pháp đề phòng: Luật sư Lazar đưa ra ba đề xuất. Trước tiên, cần hạn chế
việc đặt thông tin nhận diện cá nhân vào máy tính xách tay. Chẳng hạn như
đừng gắn kết tên tuổi khách hàng hoặc nhân viên với những thông tin nhận dạng
khác, như số an sinh xã hội hay thẻ tín dụng. Một giải pháp là bạn có thể loạ
i bỏ
những con số này. Ngoài ra, bạn có thể tạo ra những dữ liệu nhận dạng độc
nhất, như kết hợp những ký tự từ tên một người với bốn con số cuối cùng trong
số an sinh xã hội của người này.


Thứ hai, cần mã hóa thông tin cá nhân lưu trữ trên máy tính xách tay, dù tiến
trình này có thể tốn thêm chi phí (từ 50 đến 100 đô-la Mỹ/máy). Ông Blair
Semple, một chuyên gia về bảo mật lưu trữ tạ
i NetApp Inc., nói thêm rằng biện
pháp này cần được đi kèm với việc nâng cao ý thức của những người có trách
nhiệm. Ông nói: “Tôi từng thấy những tình huống trong đó người ta có khả năng
mã hóa nhưng họ không làm thế.”

Thứ ba, cần có các chính sách yêu cầu việc cài đặt mật khẩu nghiêm ngặt để
bảo vệ dữ liệu trên những thiết bị bị mất cắp.

2. Ăn cắp dữ liệu trong nội bộ

Tháng 11-2007, một nhà quản trị cơ sở dữ liệu cao
cấp tại công ty Certegy Check Services đánh cắp
hồ sơ của hơn 8,5 triệu khách hàng rồi bán cho một
nhà môi gi
ới với giá 500.000 đô-la Mỹ. Nhà môi giới
này sau đó bán chúng lại cho các nhà tiếp thị trực
tiếp. Nhà quản trị nói trên sau đó lãnh bản án bốn
năm tù và bị phạt 3,2 triệu đô-la Mỹ.

Trong một vụ nổi bật khác, một nhà khoa học kỳ
cựu tại công ty hóa chất DuPont tải về những tài
liệu có chứa các bí mật thương mại trước khi nghỉ
việc vào cuối năm 2005 và gia nhập một công ty
đối
thủ ở châu Á. Người này sau đó bị kết án 18 tháng
tù và phải nộp phạt 30.000 đô-la Mỹ.


Thiệt hại: Trong vụ DuPont, giá trị ước tính của các bí mật thương mại bị đánh
cắp lên đến 400 triệu đô-la Mỹ. Tuy nhiên, các nhà chức trách đánh giá DuPont
chỉ thiệt hại khoảng 180.500 đô-la Mỹ. Ngoài ra, không có bằng chứng cho thấy
những thông tin mật được chuyển cho đối thủ cạnh tranh.

Hiệ
n trạng: Theo ITRC, gần 16% vụ xâm phạm dữ liệu được ghi nhận trong
năm 2008 là do những người trong nội bộ doanh nghiệp gây ra. Tỷ lệ này cao
gấp đôi so với năm trước đó. Một trong những nguyên nhân là các nhân viên bị
lôi kéo bởi những người ngoài có liên hệ với tội phạm. Theo Trung tâm điều phối
CERT tại Đại học Carnegie Mellon, xu hướng này chiếm 50% số vụ phạm tội do
người trong nội bộ gây ra t
ừ năm 1996 đến 2007. CERT cho biết nhân viên nội
bộ phạm tội vì hai nguyên nhân: tiền bạc (vụ Certegy Check Services) và lợi ích
công việc (vụ DuPont). Theo CERT, mối đe dọa này rất khó đối phó, nhất là đối
với nhân viên có đặc quyền truy cập dữ liệu.

Biện pháp đề phòng: Theo CERT, một biện pháp đề phòng hữu hiệu là giám
sát việc truy cập cơ sở dữ liệu và mạng để phát hiện những hoạt động đáng
ng
ờ, đồng thời thiết lập ngưỡng sử dụng đối với những nhân viên khác nhau.
Điều này giúp việc phát hiện một nhân viên làm việc khác với những nhiệm vụ
được giao trở nên dễ dàng hơn. Chẳng hạn như hành vi sai trái của nhà khoa
học trong vụ DuPont bị phanh phui sau khi công ty phát hiện ông sử dụng máy
chủ thư viện dữ liệu điện tử nhiều một cách khác thường.

Các công ty cũng nên sử dụng những công cụ kiểm soát việc truy cập dựa trên
vai trò để có thể biết rõ người nào đang truy cập những thông tin có giá trị. Ngoài
ra, theo luật sư Lazar, cần hạn chế truy cập những cơ sở dữ liệu chứa thông tin
của nhân viên hay khách hàng.


Trong khi đó, ông Muller đề nghị sử dụng các công cụ ngă
n mất mát dữ liệu để
hạn chế việc dữ liệu cá nhân được gửi qua e-mail, in ấn hay sao chép lên máy
tính xách tay và thiết bị lưu trữ bên ngoài. Điều quan trọng không kém là phải
tăng cường các biện pháp kiểm tra và kiểm tra nội bộ, như kiểm tra thường
xuyên mạng và các tập tin nhật ký về hoạt động trên cơ sở dữ liệu.

3. Sự xâm nhập từ bên ngoài

Tháng 1-2007, nhà bán lẻ The TJX Companies Inc. cho biết các hệ th
ống giao
dịch khách hàng của mình đã bị xâm nhập. Những vụ xâm nhập này diễn ra từ
năm 2003 đến tháng 12-2006, tạo điều kiện cho hacker truy cập 94 triệu tài
khoản khách hàng. Những thông tin bị đánh cắp này bị phát hiện sử dụng trong
một âm mưu làm thẻ tín dụng giả. Vào mùa hè năm 2008, 11 người bị truy tố về
những cáo buộc liên quan đến vụ việc. Đây là vụ xâm nhập máy tính và ăn cắp
tính danh lớn nhất mà Bộ Tư pháp Mỹ từng truy tố.

Thiệt hại: TJX ước tính mức thiệt hại của vụ xâm nhập vào khoảng 256 triệu đô-
la Mỹ, bao gồm chi phí sửa hệ thống, trang trải cho kiện tụng và các cuộc điều
tra, nộp phạt… Tuy nhiên, có những ước tính rằng con số thiệt hại có thể lên đến
1 tỷ đô-la Mỹ, bao gồm cả khoản tổn thấ
t từ việc mất mát khách hàng. Ngoài ra,
Ủy ban Thương mại Liên bang còn buộc TJX phải chịu các cuộc kiểm tra an ninh
của bên thứ ba trong 20 năm tới.

Hiện trạng: Một cuộc nghiên cứu năm 2008 của Ponemon xếp các vụ xâm phạm
dữ liệu do hacker gây ra vào vị trí thứ 5 trong các mối đe dọa bảo mật. Thật ra,
theo ITRC, khoảng 14% số vụ xâm phạm dữ liệu được ghi nhận trong năm 2008

có liên quan đến hacker.

Trong vụ của công ty TJX, hacker
đã dùng kỹ thuật gọi là “war driving” – tức
chạy xe lang thang để tìm kiếm mạng không dây Wi-Fi nào mắc lỗi bảo mật, sử
dụng máy tính xách tay hay thiết bị hỗ trợ cá nhân số – để xâm nhập vào mạng
không dây của công ty. Điều đáng nói là vào thời điểm bị xâm nhập, TJX đang
dùng một phương thức mã hóa dưới chuẩn, không cài đặt bức tường lửa và mã
hóa dữ liệu trên máy tính sử dụng mạng không dây. Đi
ều này cho phép hacker
cài đặt phần mềm trên mạng để truy cập dữ liệu khách hàng cũ được lưu trữ
trên hệ thống, đồng thời chặn dữ liệu được gửi giữa các thiết bị kiểm tra giá cầm
tay, máy đếm tiền và máy tính của cửa hàng.

Biện pháp đề phòng: Theo ông Muller, phương thức mã hóa WEP mà TJX
dùng trên mạng không dây của mình là không đủ mạnh, thậm chí còn thua cả
những phương thức mà nhiều người có mạng không dây ở nhà sử dụng. Ông
nói: “Nếu bạn có thể truy cập dữ liệu ngay từ chỗ đậu xe thì rõ ràng bạn cần có
một mức độ bảo mật và mã hóa dữ liệu cao hơn.” Một vấn đề khác là TJX còn
cho lư
u trữ thông tin tài khoản cũ thay vì xóa hẳn chúng.

4. Nhân viên bất cẩn

Vợ của một nhân viên làm việc tại nhà của hãng dược Pfizer cài đặt một phần
mềm chia sẻ tập tin trái phép trên máy tính xách tay của công ty mà người này
đang dùng. Hành động này khiến cho người ngoài có thể truy cập được những
tập tin chứa tên tuổi, số an sinh xã hội, địa chỉ và thông tin về tiền thưởng của
khoảng 17.000 nhân viên hiện nay và trước kia của công ty. Một cuộc đ
iều tra

cho thấy dữ liệu của khoảng 15.700 người đã bị sao chép trên một mạng ngang
hàng và khoảng 1.250 người khác có nguy cơ bị lộ dữ liệu.

Thiệt hại: Pfizer Inc. thuê một công ty báo cáo tín dụng theo dõi thông tin liên
quan đến tín dụng của những người bị ảnh hưởng trong vòng một năm và mua
bảo hiểm để trang trải những chi phí mà mỗi cá nhân có thể gánh do hậu quả
của vụ xâm phạm dữ liệu.

Hiện trạng: Cuộc nghiên cứu của Ponemon cho thấy những nhân viên bất cẩn
là mối đe dọa số một đối với an ninh dữ liệu. Kết hợp những nhân viên này với
phần mềm chia sẻ tập tin, mối đe dọa sẽ càng gia tăng. Một cuộc nghiên cứu
của Đại học Darthmouth vào năm 2007 cho thấy dù nhiều công ty đã cấm chia
sẻ tập tin trên mạng của họ, không ít nhân viên v
ẫn cài đặt phần mềm này trên
máy tính ở xa và ở nhà.

Biện pháp đề phòng: Các công ty cần hoặc là cấm triệt để phần mềm chia sẻ
tập tin ngang hàng hoặc là ban hành những chính sách về việc sử dụng chương
trình này và có những công cụ để thi hành những chính sách như thế. Một điều
quan trọng không kém là nói cho nhân viên biết về những nguy hiểm của mạng
ngang hàng, làm thế nào để cài đặt một mật khẩu tố
t và những biện pháp bảo
mật thông thường khác.

5. Nhà thầu phụ

Tháng 11- 2008, Cơ quan An ninh kinh tế bang Arizona của Mỹ đã thông báo với
gia đình của khoảng 40.000 trẻ em bang này rằng dữ liệu của chúng có thể đã bị
xâm phạm sau khi xảy ra một vụ trộm vài ổ cứng tại một cơ sở lưu trữ thương
mại. Những ổ cứng này được bảo vệ bằng mật khẩu nhưng không được mã

hóa.

Thiệt hại: Theo Ponemon, những thiệt hại từ những vụ xâm phạm dữ liệu tại
nhà thầu phụ còn cao hơn so với những vụ xâm phạm dữ liệu trong nội bộ –
bình quân 231 đô-la Mỹ/hồ sơ khách hàng so với 171 đô-la Mỹ/hồ sơ.

Hiện trạng: Theo cuộc nghiên c
ứu thường niên của Ponemon, số vụ xâm phạm
dữ liệu tại những công ty gia công bên ngoài, nhà tư vấn hay đối tác làm ăn
chiếm khoảng 44% tổng số vụ mà những công ty tham gia cuộc nghiên cứu báo
cáo vào năm ngoái, tăng 4% so với năm 2007. Trong khi đó, cuộc nghiên cứu
của ITRC cho biết 10% vụ xâm phạm dữ liệu có liên quan đến nhà thầu phụ.

Biện pháp đề phòng: Các công ty cần soạn thảo những bản thỏa thuận mứ
c độ
dịch vụ kín kẽ và cụ thể, bảo đảm các nhà thầu phụ tuân thủ chúng và trừng phạt
họ nếu họ không tuân thủ. Theo ông Semple, các công ty cũng cần yêu cầu nhà
thầu phụ dùng biện pháp bảo vệ bằng mật khẩu hay mã hóa trong trường hợp
cần dùng băng hay đĩa sao lưu dữ liệu của họ.
