Khi doanh nghiệp truy tìm nội gián

24/04/2015 04:57

Khi doanh nghiệp truy tìm nội gián


“Tin tặc trở thành nhân viên khi họ thâm nhập được vào hệ thống. Vì thế, cần giám sát liên tục”


Dù bạn gọi Edward Snowden là kẻ phản bội hay người tố giác sai phạm thì anh ta cũng cho thấy một sự thật mà không ai có thể phủ nhận được: mối đe dọa từ trong nội bộ (Edward Snowden là một cựu nhân viên kỹ thuật hợp đồng của Cơ quan An ninh Quốc gia Mỹ (NSA) và cựu nhân viên chính thức của Cơ quan Tình báo Trung ương Mỹ (CIA), người đã làm rò rỉ những bí mật hàng đầu của chính phủ Mỹ và Anh cho giới báo chí về những chương trình theo dõi người dân).

Phòng vệ trước những rủi ro như vậy đang là một thị trường ngách “ăn nên làm ra” trong ngành an ninh khi có ít nhất 20 công ty tiếp thị đến giới doanh nghiệp các công cụ phần mềm giúp theo dõi và phân tích hành vi nhân viên. “Những kẻ xấu đã giúp chúng tôi thấy rõ vấn đề. Từ sau sự kiện Snowden, mọi người đã phải giựt mình và nói rằng: ‘Trời ạ, nếu điều đó xảy ra với NSA thì hoàn toàn cũng có thể xảy ra với chúng ta’”, Idan Tendler, nhà sáng lập kiêm Tổng Giám đốc Fortscale Security tại Mỹ, cho biết.

Các vụ xâm nhập an ninh được công bố trên mặt báo thường là những tin tặc tấn công vào mạng lưới doanh nghiệp để cài đặt phần mềm ác ý, lấy thông tin về thẻ tín dụng hoặc lấy thông tin quan trọng từ các email hoặc những hồ sơ doanh nghiệp có tính tuyệt mật. Các vụ xâm nhập an ninh ít được công bố hơn là các trường hợp xâm nhập do chính nhân viên trong công ty thực hiện. Tại Mỹ, kể từ năm 2005, số vụ xâm nhập nội bộ được báo cáo là 329 vụ với số hồ sơ bị xâm nhập lên tới 40,6 triệu hồ sơ.

Số vụ xâm nhập an ninh đã gia tăng mạnh kể từ 2009, đặc biệt là trong năm 2014.

 

Thực ra, câu chuyện “ngựa thành Troy” đã có từ trước khi có Internet: nhân viên kinh doanh mang theo toàn bộ danh sách khách hàng cùng với anh ta khi nghỉ việc, hoặc một kỹ sư ăn cắp các mẫu thiết kế sản phẩm quan trọng bán ra cho đối thủ. Công nghệ mạng hiện nay chỉ là làm cho việc ăn cắp đó trở nên dễ dàng hơn. Cụ thể, nhân viên kinh doanh đó chỉ cần email toàn bộ dữ liệu vào tài khoản Gmail của anh ta hoặc người kỹ sư kia có thể chép toàn bộ mẫu mã thiết kế sản phẩm vào ổ USB.

Morgan Stanley là một ví dụ. Ngân hàng này đã sa thải một nhân viên vào đầu năm nay vì đã lấy đi thông tin về khoảng 35.000 khách hàng thuộc bộ phận quản lý tài sản cá nhân.

Với mối đe dọa từ nội bộ tăng lên, các doanh nghiệp càng tăng cường công tác theo dõi nội gián. Một phần là họ cũng ngày càng nhận ra rằng theo dõi nội gián có thể tăng khả năng “bắt thóp” được tin tặc từ bên ngoài. Một thực tế là tin tặc có thể xâm nhập mật mã và đăng nhập của nhân viên, sau đó dùng chúng để truy cập vào hệ thống máy tính của doanh nghiệp nhằm tìm kiếm và đánh cắp dữ liệu.

Theo FireEye, công ty về an ninh mạng, cách làm như vậy đang khiến cho một doanh nghiệp phải mất hơn 200 ngày (tính trung bình) mới dò được các vụ đột nhập. “Tin tặc trở thành nhân viên khi họ thâm nhập được vào hệ thống của công ty. Vì thế, cần phải giám sát liên tục”, Avivah Litan, chuyên gia phân tích tại hãng nghiên cứu Gartner, nhận xét.

Fortscale và các đối thủ như Securonix bán các phần mềm chuyên lấy dữ liệu từ hệ thống máy tính của doanh nghiệp và “bỏ” chúng vào các thuật toán để tạo ra hồ sơ của từng nhân viên. Phần mềm xây dựng “chuẩn” về những hành vi nào là thói quen thường xuyên của người sử dụng. Cụ thể như người sử dụng hay đăng nhập vào thời điểm nào, chương trình nào hay sử dụng, cơ sở dữ liệu doanh nghiệp nào mà người đó thường hay vào và trang web bên ngoài nào thường ghé thăm. Một khi đã lập được chuẩn về hành vi (tức xác định đâu là hành vi được xem là bình thường của nhân viên) thì khi có hành vi khác lạ nào đáng ngờ thì công ty cũng sẽ dễ dàng nhận ra.

Chẳng hạn, một nhân viên đang tải xuống hàng ngàn tài liệu từ cơ sở dữ liệu mà anh ta được cấp quyền truy cập. Thế nhưng, hành động tải xuống hàng ngàn tài liệu như vậy là hành động mà nhân viên này chưa từng làm trước đó. Hành vi khác lạ này sẽ được doanh nghiệp nhanh chóng xác định có thể là bị một tin tặc tấn công. “Điều mà chúng tôi đang cố gắng làm là nâng cao độ nhận biết về một tình huống xảy ra. Bước tiếp theo là phân tích tiên lượng: Làm thế nào có thể dò ra những thay đổi nhỏ và kịp thời ngăn các hành vi xấu xảy ra”, Igor Baikalov, cựu nhà điều hành về an ninh tại Ngân hàng Bank of America và là nhà khoa học trưởng tại Securonix, cho biết.

Trong khi đó, công ty an ninh Dtex Systems theo dõi các mối đe dọa từ nội bộ bằng cách cài đặt phần mềm trên máy tính để bàn cũng như máy tính laptop mà công ty phát cho nhân viên. Tổng Giám đốc Mohan Koo của Dtex Systems, cho biết trong 30 ngày đầu tiên thực hiện giám sát tại một sàn giao dịch tài chính, hệ thống của Công ty đã nhận diện ra được 6 người chuẩn bị rời đi mang theo những dữ liệu cực kỳ nhạy cảm.

Các cách tiếp cận khác thì nghiêng nhiều hơn về tâm lý học. Stroz Friedberg, một hãng tư vấn có trụ sở tại New York (Mỹ) chuyên về biện luận kỹ thuật số, đang tung ra một phần mềm gọi là Scout. Phần mềm này đánh giá người sử dụng thông qua nội dung các email của họ và các hình thức liên lạc khác bằng cách sử dụng các kỹ thuật phân tích hành vi và ngôn ngữ do FBI phát triển. Phần mềm này thiết lập một chuẩn chung về hành vi thói quen thường ngày của nhân viên, rồi sau đó “quét” để tìm kiếm những biểu hiện khác lạ cho thấy một nhân viên đang trở thành mối đe dọa cho công ty.

Edward Stroz, nhà sáng lập Stroz Friedberg, từng là đặc vụ FBI, cho biết mặc dù trong quá khứ, các doanh nghiệp có thể cho rằng ý tưởng này có tính can thiệp quá sâu, nhưng trong năm vừa qua, ông đã thấy một sự thay đổi trong quan điểm của các nhà sử dụng lao động. Ông vẫn rất cẩn trọng khi đề cập đến phần mềm này, mô tả nó như một cách để giúp nhà sử dụng lao động xây dựng một “nơi làm việc chu đáo”.

Ông Stroz đưa ra một trường hợp có thể xảy ra: một chuyên viên giao dịch “ngôi sao” tại một ngân hàng cảm thấy thất vọng về mức thưởng hằng năm của mình. Thay vì không biết gì khi nhân viên này bỏ sang làm cho đối thủ, ngân hàng đó, nhờ sử dụng Scout, có thể sớm nhận thấy được sự bất mãn nơi chuyên viên giao dịch trên. Từ đó, ngân hàng có biện pháp để đảm bảo rằng khi ra đi, anh ta không mang theo các thông tin nhạy cảm hoặc lôi kéo các nhân viên khác đi theo anh ta.

Tuy nhiên, vẫn còn đó câu hỏi về việc làm sao để cân bằng giữa tính riêng tư của nhân viên với việc theo dõi giám sát để ngăn chặn một vụ xâm nhập an nình có thể xảy ra. Dtex cho biết Công ty làm cho thông tin dữ liệu người sử dụng trở nên nặc danh, thay tên tuổi của người đó bằng các mã số và kết hợp tên tuổi với các hành vi chỉ khi nào cần phải tiến hành một cuộc điều tra. Theo Koo, thuộc Dtex, điều đó giúp cho doanh nghiệp theo dõi một cách hiệu quả mà vẫn tuân thủ được các luật lệ về tính riêng tư cá nhân ở những quốc gia như ở Đức và Thụy Sĩ.

Dẫu vậy, nhiều người vẫn hoài nghi về mức độ theo dõi, giám sát thế nào được xem là “không quá đáng” và vừa phải, để đảm bảo tính riêng tư của nhân viên. “Tôi thực sự lấy làm hiếu kỳ giám sát thế nào mới là đủ?”, ông Baikalov của Securonix nhận xét.

 

Theo NCĐT/Bloomberg