Theo một báo cáo An ninh mạng của Microsoft vào năm 2013 thì email là công cụ phổ biến thứ tư được các tin tặc sử dụng để tấn công các thiết bị dùng hệ điều hành của hãng này, bao gồm email bị nhiễm malware và phishing (email lừa đảo).

Tác hại của phishing

Phishing là một hình thức tấn công mạng trong đó tin tặc gửi đi các email có nội dung được cá nhân hóa dựa theo đối tượng người nhận. Mục đích là nhằm thuyết phục người nhận thực hiện những hành vi cụ thể như điền thông tin vào mẫu form, bấm vào một đường dẫn hay tải một file đính kèm.

Dựa trên kết quả khảo sát 377 chuyên gia IT của các công ty tại Mỹ vào năm 2015, Ponemon Institute đã và ước tính rằng tổn thất mà phishing gây ra cho một doanh nghiệp có quy mô trung bình tại nước này là vào khoảng 3,77 triệu USD một năm. Con số này bao gồm phí tổn để xử lý các malware, phí tổn do năng suất làm việc suy giảm, phí tổn để xử lý các tài khoản bị đánh cắp…

Nhưng điều này thì có liên quan gì đến loạt phim đình đám của đạo diễn Michael Bay?

Công thức thành công của Phishing: mồi câu thích hợp

Vào năm 2010, những binh sĩ Mỹ đồn trú tại căn cứ không quân Andersen trên đảo Guam, Thái Bình Dương, nhận được một email mời đóng vai quần chúng trong bộ phim “Transformers 3: Vùng tối của mặt trăng”, được dự kiến sẽ quay tại hòn đảo này. Họ chỉ cần điền đầy đủ thông tin vào một mẫu đăng ký online.

Vấn đề là “Transformers 3” không hề có lịch quay ở Guam. Email trên là giả mạo. Và mặc dù mẫu đơn đăng ký yêu cầu nhiều thông tin nhạy cảm, có thể được tin tặc sử dụng để xâm nhập vào hệ thống mạng của căn cứ, vẫn có nhiều binh sĩ trở thành nạn nhân của trò lừa bịp này.

May mắn đây chỉ là một cuộc tấn công giả định của chính Không quân Mỹ thực hiện nhằm kiểm tra mức độ cảnh giác của các binh sĩ trước các cuộc tấn công mạng. Kết quả rõ ràng là tệ hơn mức kì vọng.

Email giả mạo này có nội dung thuyết phục và đáng tin đến mức một số binh sĩ không chỉ trả lời email mà còn kể lại cho bạn bè của mình. Tin tức về việc Transformers được quay tại Guam nhanh chóng lan ra và được báo chí địa phương đăng tải, khiến cho Không quân Mỹ phải ra thông báo chính thức để đính chính.

Đọc thêm: Bảo mật thông tin doanh nghiệp: tránh mối đe dọa từ thế giới ảo

So với người dùng doanh nghiệp thông thường, những quân nhân này đáng ra đã được trang bị nhiều kiến thức hơn về cách nhận biết và phòng ngừa những kiểu tấn công mạng phishing như vậy. Tuy nhiên, các tin tặc chỉ cần nghĩ ra “mồi câu” thích hợp. Trong trường hợp này, cơ hội được xuất hiện cùng người đẹp Megan Fox là đủ để khiến nhiều quân nhân trẻ trở nên mất cảnh giác. Đối với các tin tặc, phishing đòi hỏi nhiều kỹ năng thao túng tâm lý con người hơn là kỹ năng công nghệ.

Câu chuyện này một lần nữa làm nổi bật một khía cạnh thường bị bỏ quên của an ninh mạng doanh nghiệp: thay đổi hành vi người dùng.

Đọc thêm: Làm thế nào để bảo vệ dữ liệu của bạn khi nhân viên thôi việc

Tầm quan trọng của đào tạo người dùng trong an ninh mạng doanh nghiệp

Nghiên cứu được đề cập bên trên của Ponemon Institute cũng so sánh tỷ lệ click vào các email phishing của nhân viên thuộc 6 tổ chức khác nhau trước và sau khi họ hoàn thành một chương trình huấn luyện người dùng.

Chương trình này bao gồm các cuộc tấn công giả định, tương tự như trường hợp tại căn cứ Andersen, và sau đó là những buổi đào tạo chuyên sâu. Dựa trên kết quả nghiên cứu thì khả năng nhận biết email giả mạo của nhân viên tăng trung bình 64%.  

Một nghiên cứu tổng hợp năm 2012 của hãng tư vấn Aberdeen Group cũng cho thấy nếu một doanh nghiệp ưu tiên đầu tư vào công tác đào tạo người dùng thì nhiều khả năng doanh nghiệp này nằm trong nhóm dẫn đầu về năng lực đảm bảo an ninh mạng.

Nghiên cứu này, với tiêu đề “Successful IT Security Projects Invest Not Only in Technologies but Also in People”, phân tích và tổng hợp kết quả từ 29 nghiên cứu khác trước đó với sự tham gia của tổng cộng 3.500 doanh nghiệp. Theo đó, tỷ lệ những doanh nghiệp thuộc nhóm dẫn đầu về an ninh mạng đầu tư cho đào tạo người dùng cao hơn nhóm cuối đến 70%.

Vậy tại sao các doanh nghiệp tiếp tục thờ ơ với công tác đào tạo và nâng cao ý thức người dùng? Trong tổng số 3.500 doanh nghiệp trong nghiên cứu trên thì hơn một nửa chỉ đầu tư cho công nghệ mà bỏ qua yếu tố con người.

Câu trả lời có thể nằm ở thách thức trong việc lượng hóa hiệu quả của những chương trình huấn luyện này.

Để giải quyết vấn đề này, Aberdeen đã thực hiện một phân tích rủi ro dựa trên mô hình Monte Carlo. Kết quả chính cho thấy, đối với một doanh nghiệp giả định với quy mô 1.000 người dùng và doanh thu hàng năm 200 triệu USD, thì huấn luyện người dùng giúp giảm 8 lần nguy cơ xảy ra thiệt hại do lây nhiễm phần mềm độc hại.

Đọc thêm: Vai trò của mật khẩu trong bảo mật thông tin đã lỗi thời?

Kết luận

An ninh mạng doanh nghiệp nên được xây dựng như một hệ thống phòng thủ có chiều sâu, trong đó các biện pháp kỹ thuật được triển khai song song với công tác đào tạo và nâng cao ý thức người dùng. Ngay cả công nghệ hiện đại nhất vẫn có thể bị vô hiệu hóa bởi hành động của một số ít người dùng. Khi mà các mối đe dọa trên không gian mạng ngày càng tinh vi và biến hóa khôn lường thì ý thức cảnh giác và kiến thức của nhân viên có thể trở thành chốt chặn đầu tiên đáng tin cậy cho an ninh mạng doanh nghiệp.