Người dùng máy tính giờ đây đã có thói quen sử dụng các ứng dụng đồng bộ tập tin miễn phí lên mây để bất cứ lúc nào và ở đâu cũng có thể làm việc. Chẳng những thế tính năng chia sẻ tập tin cũng được họ khai thác để tăng năng suất trong làm việc nhóm. Thế nhưng, nhiều người không để ý rằng những ứng dụng này với thiết lập công khai (public) mặc định đã tạo cơ hội cho người ngoài có thể tiếp cận với các dữ liệu quan trọng của doanh nghiệp.
Các dịch vụ đồng bộ và chia sẻ tập tin miễn phí (FSS - file sync and share) như Dropbox thường để các thiết lập bảo mật và sự riêng tư theo mặc định là “public”. Khi một nhân viên chia sẻ một đường link truy cập tới dữ liệu của doanh nghiệp, nhiều khả năng thông tin nhạy cảm của doanh nghiệp có thể bị bất cứ ai khai thác qua đường link này. Một số ứng dụng FSS miễn phí không cung cấp các thiết lập quyền riêng tư. Thậm chí nếu người dùng muốn họ cũng không thể chuyển đổi các thiết lập công khai thành cá nhân (private) để bảo vệ dữ liệu.
Những đường link chia sẻ này rất dễ bị lộ. Khi ai đó chờ và nhận được một đường link chia sẻ bằng email, nhưng lại không thể nhấp vào như một đường link thực sự vì trình quản lí email hay chế độ bảo mật đã được thiết lập để ngăn cản điều đó, họ sẽ sao chép (copy) đường link và dán (past) vào ô địa chỉ URL trên trình duyệt web. Tuy nhiên, nhiều người lại thích dán đường link chia sẻ tài liệu vào ô tìm kiếm (thường là Google - công cụ tìm kiếm thông dụng nhất hiện nay) để hiển thị các kết quả tìm kiếm cho đường link này, theo Hugh Thompson, chủ tọa chương trình Hội nghị bảo mật RSA Conference.
Sai lầm này của người dùng để lộ ra các đường link chia sẻ tài liệu bởi vì Google tự động thu thập các cụm từ tìm kiếm của người dùng cho các công cụ quảng cáo (AdWords) và phân tích (Analytics), rồi chuyển cho các khách hàng doanh nghiệp và các đối tác quảng cáo sử dụng để xác định các từ khóa tối ưu cho các chiến dịch quảng cáo.
Điều này gợi lên một số câu hỏi: Ai chịu trách nhiệm? Doanh nghiệp có thể làm gì để ngăn chặn việc dữ liệu nhạy cảm bị rò rỉ theo cách này?
Trách nhiệm
Tháng 5 vừa qua, Dropbox đưa một bài viết lên blog của công ty, nêu cách khắc phục những lỗ hổng bảo mật web gây ảnh hưởng tới những đường link chia sẻ. Dropbox cũng xác nhận việc công cụ tìm kiếm chuyển đường link chia sẻ tài liệu do người sử dụng nhập vào ô tìm kiếm cho các đối tác quảng cáo, nhưng lại không coi đó là một lỗ hổng bảo mật, chỉ cảnh báo người dùng phải cẩn thận về việc cung cấp các đường link chia sẻ cho bên thứ ba như các công cụ tìm kiếm.
Dù sao thì không thể đổ lỗi hoàn toàn cho những thiết lập public mặc định trong các ứng dụng FSS miễn phí. Nhiều người dùng có thói quen ưu tiên cho tính tiện dụng thường bỏ qua các chính sách bảo mật. Các nhóm nhân viên làm việc cộng tác sử dụng cùng một ứng dụng FSS miễn phí như Dropbox là khá phổ biến, nhưng vấn đề là họ không theo một tiêu chuẩn nào hết với sự giám sát của bộ phận CNTT, Thompson giải thích.
Và những người sử dụng các ứng dụng FSS miễn phí thường đơn giản nghĩ rằng chỉ những ai nhận được đường link chia sẻ họ gửi mới có thể truy cập để xem tài liệu chia sẻ. Nhưng một tin tặc lành nghề hiểu cấu trúc mặc định của một liên kết chia sẻ, thậm chí có thể đoán biết tổ hợp các kí tự mà có thể xuất hiện ở cuối một URL được chia sẻ và sẽ tìm ra đường link chia sẻ để truy cập. Điều đó có thể dẫn chúng đến những dữ liệu nhạy cảm của doanh nghiệp. Kiểu tấn công dựa trên tổ hợp các kí tự ngẫu nhiên này không có gì là mới.
Bịt lỗ hổng
Người dùng thường không nhận thức hết mối nguy hiểm của các lỗ hổng bảo mật. Do vậy, để giảm thiểu rủi ro, doanh nghiệp cần có chính sách phù hợp cho những kiểu dịch vụ như FSS miễn phí và tiến hành đào tạo người dùng thật bài bản, kĩ lưỡng và có hiệu quả. Có cách thức kiểm tra sự hiểu biết và trí nhớ của nhân viên về thông tin chính sách an ninh bảo mật, buộc nhân viên kí cam kết chấp thuận chính sách.
Bên cạnh đó cần áp dụng công nghệ để thực thi chính sách, đảm bảo cho dữ liệu nhạy cảm của doanh nghiệp không bị rò rỉ bởi các loại lỗ hổng bảo mật tồn tại trong một dịch vụ FSS miễn phí. Kết hợp cả giáo dục và công nghệ, doanh nghiệp có thể giảm thiểu sự vi phạm và thi hành kỉ luật thích đáng những người vi phạm.
Nhưng có một thực tế là nhân viên luôn muốn nâng cao hiệu suất làm việc, do đó họ sử dụng phần mềm FSS. Doanh nghiệp cần nhìn nhận tính hữu ích của các công cụ FSS, và phải tìm một giải pháp hợp lí để công cụ FSS được chọn phát huy hiệu quả, dễ sử dụng và nhận được sự hài lòng của nhân viên. Nếu không, dù không được phép, nhân viên vẫn sẽ sử dụng công cụ FSS khác mà họ ưa thích.
Dùng giải pháp quản lí vòng đời thông tin (ILM) để bảo vệ dữ liệu trong các ứng dụng FSS. Xác định dữ liệu nào được đưa lên dịch vụ FSS và tồn tại trong bao lâu. Xác định khi nào ngừng chia sẻ dữ liệu đã được chia sẻ trước đây, chẳng hạn như khi dự án hay quan hệ đối tác kết thúc. Bằng cách thức như vậy sẽ giúp doanh nghiệp thu hẹp phạm vi tác động có thể của những lỗ hổng bảo mật liên quan.
Thỏa hiệp có mức độ
Các doanh nghiệp có thể đề ra chính sách và buộc nhân viên tuân thủ, kèm theo đó áp dụng công nghệ để dựng rào cản kĩ thuật, hạn chế việc sử dụng các ứng dụng FSS miễn phí đối với dữ liệu doanh nghiệp. Nhưng, nhân viên lại muốn hoàn thành công việc nên sẽ tìm cách sử dụng các công nghệ mà giúp họ đạt mục tiêu của mình nhanh hơn. Trong khi đó, tính hữu ích của các dịch vụ FSS là không thể phủ nhận trong môi trường làm việc cộng tác ngày nay buộc bộ phận CNTT không thể bỏ qua các công nghệ này.
Vì vậy, để thỏa hiệp, các doanh nghiệp có thể giải quyết riêng vấn đề FSS hoặc cần có giải pháp chung bao gồm cả những vấn đề tương tự. Doanh nghiệp có thể từ chối các ứng dụng này vì những khiếm khuyết của chúng hoặc phải chấp nhận đó như là một phần tất yếu trong hoạt động kinh doanh ngày nay để rồi tìm cách tăng cường cơ chế bảo mật cho môi trường làm việc cộng tác.
Theo Thompson, thế giới đang chuyển dịch theo xu hướng chuyển từ bảo mật an toàn tuyệt đối sang bảo vệ dữ liệu an toàn nhất có thể. Những cuộc tấn công từ không gian mạng ngày càng gia tăng và tinh vi hơn, và những giải pháp công nghệ đã triển khai sẽ giúp doanh nghiệp xác định những vụ xâm phạm nesu có xảy ra để rồi lại tiếp tục tối ưu hóa chính sách bảo mật cho đơn vị mình.
Theo PC World VN.
Bình luận