Chưa bao giờ mà cả thế giới phải ứng dụng phương thức làm việc tại nhà (Work From Home – WFH) rộng khắp như hiện nay. Do yêu cầu phòng chống dịch Covid-19 cần mọi người tự cách ly và giãn cách xã hội, các cơ quan, tổ chức và doanh nghiệp (DN) phải WFH. Một trong những nguy cơ phát sinh rủi ro là lộ thông tin dẫn đến mất dữ liệu gây thiệt hại lớn.

Nguy cơ cao từ người dùng chưa từng WFH

WFH với nhiều người kết nối, hệ thống mạng càng thêm nguy cơ về an ninh và an toàn. Nhà mạng AT&T của Mỹ cho biết lưu lượng mạng lõi của họ (bao gồm các DN, băng thông rộng tại nhà và không dây) trong ngày 30-3 đã tăng 24% so với ngày 29-2. Riêng về hội họp, WFH, AT&T ghi nhận lưu lượng cho các giải pháp hội họp audio toàn cầu tăng 200%; các công cụ hội họp audio, web và video tăng 400%; các sự kiện webcast quy mô lớn tăng 200%.

Chú ý khi dùng ứng dụng làm việc tại nhà - Ảnh 1.

Nhân viên Công ty Mắt Bão họp từ xa trên ứng dụng Microsoft Teams được kiểm soát bởi hệ thống bảo mật Microsoft Anti Virus Ảnh: NGHĨA NHÂN

Việc có đông người truy cập sẽ khiến hệ thống mạng quá tải, hoạt động không ổn định dễ trở thành mồi ngon của các tội phạm tin học luôn rình rập. Nhưng nguy hiểm hơn cả là có rất nhiều người trước nay chưa từng làm việc trên mạng nên lỗ hổng an ninh bảo mật càng cao. Chuyên gia Võ Đỗ Thắng, Giám đốc Trung tâm An ninh Mạng Athena, chia sẻ rằng từ thực tế các khách hàng của mình khi áp dụng WFH từ tháng 2 tới nay, nhiều DN bị bất ngờ, không hề có sự chuẩn bị sẵn, nên giờ đành “chữa cháy”. Các hệ thống mạng dễ bị quá tải trước lưu lượng và kết nối tăng vọt, chưa có được những quy trình làm việc thích ứng ăn khớp giữa lãnh đạo DN và bộ phận công nghệ thông tin (IT), quản trị mạng. Làm việc online trước đây thực chất chỉ là liên lạc từ xa như hội họp qua mạng, chia sẻ dữ liệu, báo cáo… và cũng chỉ giới hạn người dùng. Nhưng thông tin liên lạc online phức tạp hơn và hoàn toàn khác với xử lý công việc online. Với WFH hiện nay, toàn bộ nhân sự của DN, trong đó có người lớn tuổi, không rành công nghệ và không ít người chủ quan về bảo mật…, phải cùng làm việc với nhau trong môi trường công ty ảo.

Theo ông Thắng, trước đây hệ thống an ninh bảo mật chỉ được chuẩn bị cho một số ít nhân sự trong công ty, nay phải bung ra cho mọi người tham gia nên không có sự chuẩn bị về con người lẫn cơ sở hạ tầng. Hơn nữa, khi làm việc tại nhà, nhân viên sử dụng thiết bị riêng và dùng mạng kết nối của gia đình không có các công cụ bảo vệ an toàn. Do đó, nguy cơ mất dữ liệu và mất an toàn mạng mới là điều đáng lo cho các doanh nghiệp bất ngờ triển khai WFH đại trà.

Đầu tư để tránh thiệt hại

Để tiết kiệm chi phí và giảm phức tạp khi ứng dụng, rất nhiều DN chọn ứng dụng miễn phí Zoom thay cho ứng dụng của các hãng công nghệ lớn như Skype, Google Hangouts, Microsoft Teams, GoToMeeting…

Ông Eric Yuan, Giám đốc điều hành Zoom, cho biết tính đến cuối năm 2019, lượng người dùng miễn phí và trả phí của Zoom tối đa khoảng 10 triệu nhưng tháng 3 năm nay, số người dùng Zoom tăng lên 200 triệu. Và điều đáng lo, người ta đã phát hiện một lỗ hổng bảo mật trong Zoom để tin tặc tấn công đánh cắp thông tin đăng nhập máy tính Windows từ những người dùng. Trong lời xin lỗi trên blog ngày 1-4, ông Yuan giãi bày khi thiết kế phần mềm này, công ty không nghĩ có lúc mọi người trên thế giới bất ngờ chuyển sang học tập, làm việc và giao tiếp xã hội ở nhà một cách nhanh chóng và đại trà như thế. Nhiều chuyên gia khuyên rằng DN nên chấp nhận đầu tư những công cụ, ứng dụng và dịch vụ có tính an toàn cao nhất có thể được. Tốt nhất là sử dụng các ứng dụng và dịch vụ từ những thương hiệu có uy tín. Điều nguy hiểm nhất là phó thác sự sinh tồn của DN mình cho những dịch vụ, ứng dụng đại trà, giá rẻ hay miễn phí. Sự cố bảo mật vừa xảy ra với ứng dụng họp trực tuyến Zoom là một minh chứng đáng quan tâm về an ninh an toàn dữ liệu trong WFH. Ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng, Tập đoàn công nghệ Bkav, cảnh báo: “Với WFH, người dùng kết nối vào hệ thống làm việc nội bộ nên tiềm ẩn nguy cơ an ninh mạng nếu quản lý bảo mật không tốt, tài khoản và mật khẩu của nhân viên có thể bị lộ, kẻ xấu sẽ dễ dàng xâm nhập hệ thống. Việc lộ tài khoản, mật khẩu này có thể đến từ việc tài khoản mật khẩu “yếu” có thể dò đoán được, máy tính/điện thoại bị nhiễm virus dẫn tới lộ mật khẩu, bị nghe lén nếu kênh kết nối vào hệ thống mạng nội bộ không có mã hóa…”.

Năm 2018, một công ty là khách hàng Athena làm trong lĩnh vực tư vấn tài chính đã triển khai làm việc từ xa cho các nhân viên kinh doanh nhưng chưa chú trọng đến an ninh mạng. Việc này dẫn đến 50.000 thông tin khách hàng và thông tin các dự án (30 dự án tiềm năng để đầu tư) bị rò rỉ gây khủng hoảng trầm trọng cho công ty, bị các đơn vị có liên quan kiện vì để dữ liệu bị đưa ra giao dịch ngoài thị trường. Thiệt hại việc mất dữ liệu này lên đến hàng tỉ đồng. Qua quá trình tìm hiểu, Athena phát hiện nhân viên công ty này truy cập và trao đổi dữ liệu khách hàng với nhau trên môi trường không an toàn, không có biện pháp bảo mật dữ liệu, đường truyền, không có chính sách kiểm soát và ghi dấu truy cập dữ liệu của nhân viên, không có hệ thống cảnh báo rủi ro và phòng ngừa khủng hoảng. Đây chính là nguyên nhân gây mất dữ liệu mà không thể quy kết trách nhiệm cho ai được. Tham gia xử lý sự cố này, Athena đề xuất được tham gia vào ban điều hành công ty, được quyền lên kế hoạch và xây dựng các quy trình bảo đảm an ninh, an toàn, phòng chống rủi ro có thể xảy ra. Đồng thời, bố trí thêm nguồn nhân lực an ninh mạng để kiểm soát hệ thống, triển khai các phần mềm chuyên dụng giúp ban lãnh đạo giám sát theo thời gian thực.

Buộc dùng thiết bị cá nhân để truy cập mạng nội bộ

Để bảo đảm công việc được liên tục và an toàn khi WFH, ông Ngô Tuấn Anh đưa ra những khuyến nghị:

Với cơ quan, tổ chức, DN:

1. Thiết lập cơ chế WFH an toàn: tạo kênh kết nối mạng riêng ảo (VPN) với các hệ thống quan trọng, các dịch vụ đều phải triển khai trên nền tảng mã hóa.

2. Đặt mật khẩu mạnh khi cấp tài khoản cho nhân viên, yêu cầu đổi mật khẩu trong lần truy cập đầu tiên, triển khai biện pháp xác thực mạnh (OTP – mật khẩu dùng một lần, chữ ký số…).

Với nhân viên:

1. Tuân thủ đúng yêu cầu của cơ quan, tổ chức mình quy định. Kết nối VPN với các dịch vụ quan trọng, hạn chế sử dụng internet công cộng để truy cập vào hệ thống nội bộ.

2. Không sử dụng thiết bị công cộng hay không phải của mình để truy cập vào mạng nội bộ.