14:07 13/12/2007

Đối phó với 8 công nghệ nguy hiểm

8 công nghệ tiêu dùng đang được ứng dụng mạnh trong môi trường doanh nghiệp, nhưng lại khiến giới chủ phải "đau đầu"

Phần lớn các doanh nghiệp đều cho rằng công cụ này đang bị lạm dụng đến mức nảy sinh tiêu cực.
Phần lớn các doanh nghiệp đều cho rằng công cụ này đang bị lạm dụng đến mức nảy sinh tiêu cực.
Bản chất của công nghệ là phục vụ nhân sinh. Tuy nhiên, nếu bị lạm dụng hoặc khai thác sai mục đích, chúng có thể trở thành thảm họa, không chỉ đối với người dùng cá nhân mà còn ảnh hưởng đến cả tập thể. Công nghệ thông tin-viễn thông cũng không phải là một ngoại lệ.

Dưới đây là 8 công nghệ tiêu dùng (consumer technology) đang được ứng dụng mạnh trong môi trường doanh nghiệp. Và theo Computerworld, tất cả chúng đều có thể khiến cho các giám đốc an ning doanh nghiệp (Chief Security Officer - CSO) phải sống trong âu lo !

Có đến 90% trong tổng số 500 nhân viên tham gia cuộc khảo sát của Tập đoàn nghiên cứu Yankee Group (Boston, Mỹ) cho biết họ đã sử dụng ít nhất là một công nghệ tiêu dùng tại cơ quan cho mục đích cá nhân. Xu hướng này đang làm đau đầu giới chủ và nhà quản trị mạng. Và họ đã làm gì để giành lại thế chủ động ?

Trình nhắn tin tức thời

Trình nhắn tin tức thời (Instant Messenger - IM) là một công cụ giao tiếp rất hữu hiệu. Nó giúp người dùng thông báo cho nhau những sự kiện quan trọng, khẩn cấp (cảnh báo thiên tai, biến cố chính trị, khủng hoảng kinh tế...). Một số công ty còn khuyến khích nhân viên sử dụng IM để cắt giảm chi phí liên lạc. Nhưng phần lớn các doanh nghiệp đều cho rằng công cụ này đang bị lạm dụng đến mức nảy sinh tiêu cực.

Nhân viên đang cố khai thác tối đa IM, từ việc trò chuyện với con trẻ đang học ở trường, giao tiếp với đồng nghiệp ở khác phòng cho đến việc tư vấn khách hàng qua mạng. Kết quả từ cuộc thăm dò mới nhất của Yankee Group – nhóm khoa học gia hàng đầu thế giới với hơn 40 năm kinh nghiệm, chuyên nghiên cứu tốc độ thay đổi của công nghệ và sự tác động của nó đối với các mạng giao tiếp, người tiêu dùng và doanh nghiệp – thì gần 40% số người tham gia phỏng vấn thừa nhận họ đã sử dụng IM sai mục đích nơi công sở.

Đứng ở góc độ nhà quản trị mạng, IM đã đặt họ trước nhiều thách thức. Đáng lo nhất vẫn là nguy cơ mạng máy tính bị tấn công bởi các phần mềm độc hại (malware). Những “sát thủ” thầm lặng này sẽ đột kích vào “tử huyệt” của trình nhắn tin tức thời. Chưa hết, nhân viên có thể sẽ để lộ thông tin nhạy cảm ra bên ngoài trong lúc “vui miệng” với một ai đó trong phòng chat.

Nhằm hạn chế tối đa hiểm họa này, nhà cung cấp dịch vụ viễn thông hàng đầu thế giới Global Crossing (Mỹ) đã trang bị giải pháp Live Communications Server của Microsoft. Theo đó, nhân viên của hãng vẫn được quyền khai thác trình nhắn tin tức thời để tác nghiệp, nhưng chỉ là IM nội bộ. Tất cả những dịch vụ IM bên ngoài, chẳng hạn như AOL, MSN hay Yahoo! Messenger, đều bị chặn lại. Ngoài ra, để tránh rò rỉ bí mật kinh doanh, Global Crossing còn tiến hành mã hóa mọi thông điệp IM. Mô hình LCS còn cho phép nhà quản trị mạng ngăn chặn việc truyền tập tin, hạn chế khả năng dữ liệu mật bị “đánh hơi” và kiểm soát chặt chẽ mọi địa chỉ URL ra vào hệ thống. Điều này cũng khiến cho malware phải “hiện hình” và dễ dàng bị khống chế trước khi chúng mở đợt tấn công và phát tán mã độc trên toàn mạng.

Hầu hết các cơ quan nhà nước đều kiên quyết nói không với IM. Trung tâm Y tế DeKalb (Georgia, Mỹ) là một điển hình. Trung tâm này nghiêm cấm tất cả mọi nhân viên sử dụng IM. Nếu vi phạm sẽ bị kỷ luật rất nặng. Bà Sharon Finney - nhà quản trị mạng của DeKalb - bức xúc : “Nhân viên đã dùng IM để tán gẫu trên mạng (chat), thay vì thảo luận nên làm gì để nâng cao chất lượng phục vụ bệnh nhân.” Nhằm chấm dứt tình trạng này, bà đã đề xuất và được lãnh đạo trung tâm cho phép áp dụng chính sách an ninh mạng nghiêm khắc hơn. Giờ đây, bà cũng đỡ vất vả hơn trước kia rất nhiều vì được toàn quyền kiểm soát IM (đọc nội dung tin).

Thư điện tử

Trong số những người tham gia cuộc điều nghiên của Yankee Group, có đến phân nửa nói rằng họ đã sử dụng các dịch vụ thư điện tử miễn phí (web mail) để giao tiếp thương mại. Vấn đề đặt ra ở đây chính là độ bảo mật thông tin. Người dùng Gmail, MSN Hotmail, AOL hay Yahoo! Mail đã không hề biết rằng họ đang “ký gửi” tài sản của công ty mình (dữ liệu mật) trên các máy chủ của ISP. Và liệu rằng Google, Microsoft, AOL hay Yahoo! không hề đọc qua chúng ?

Để giúp nhân viên sử dụng web mail được an toàn, nhà quản trị mạng nên cài đặt công cụ giám sát nội dung thư bằng các bộ lọc dựa vào từ khóa hoặc những kỹ thuật dò tìm khác. Nó sẽ phát đi cảnh báo đến nhân viên hoặc ngăn chặn việc gửi e-mail có chứa bí mật kinh doanh. Tập đoàn Viễn thông WebEx (Mỹ) đang triển khai khá hữu hiệu công cụ chống thất thoát dữ liệu do Tập đoàn Reconnex cung cấp. Giải pháp này đã giúp WebEx theo dõi toàn bộ e-mail ra vào công ty. Nó còn chụp được ảnh màn hình máy tính của nhân viên trong lúc họ soạn thư, kể cả các tập tin đính kèm. Nếu phát hiện có sự rò rỉ dữ liệu nhạy cảm, phần mềm sẽ phát đi cảnh báo đến nhà quản trị mạng để họ kịp thời ngăn chặn.

Thiết bị lưu trữ bỏ túi

Theo Josh Holbrook, chuyên gia phân tích của Yankee Group, những thiết bị lưu trữ bỏ túi (portable storage devices), chẳng hạn như ổ đĩa USB, chính là một trong những nỗi lo lớn nhất. Ông nói : “Nhân viên của bạn có thể sử dụng chúng để chạy các ứng dụng độc lập (không cần cài đặt lên ổ đĩa cứng máy tính – standalone applications), tải và lưu trữ vào đấy những tập tin đa phương tiện (ảnh, nhạc, phim) hoặc để tàng trữ những dữ liệu mật mà họ vừa đánh cắp.”

Trái với quan điểm của Holbrook, Mark Rhodes-Ousley – một kiến trúc sư nổi tiếng về an toàn thông tin và cũng là tác giả của quyển sách Bảo an mạng toàn tập – cho rằng : “Thật không khó nếu muốn khóa cổng USB (port) trên máy tính của nhân viên. Tuy nhiên, đã có nhiều công ty không lựa chọn giải pháp này. Đơn giản chỉ vì càng cấm sử dụng USB, nhân viên càng cố tìm mọi cách để ‘vượt rào’ ! Chặn cổng lưu trữ dữ liệu (data storage ports), họ sẽ dùng cổng hồng ngoại (infrared ports). Thế là bạn sẽ phải khóa tiếp ổ ghi đĩa CD. Danh sách các thiết bị mà bạn phải kiểm soát, theo đó, mỗi lúc một dài thêm.”

Mark Rhodes-Ousley khuyên chủ doanh nghiệp nên giải quyết vấn đề này bằng con đường giáo dục nhận thức. Ông nói tiếp : “Hãy dạy cho nhân viên bạn phương thức xử lý các loại thông tin nhạy cảm. Bởi thiếu kiến thức và kỹ năng tin học, nên họ mới gây ra rắc rối cho công ty. Nếu vẫn chưa an tâm, doanh nghiệp có thể trang bị các công cụ cho phép cảnh báo nhân viên ngay khi họ sao chép nhầm dữ liệu mật.”

Sharon Finney thì lại đánh giá chính sách bảo an mạng của Mark Rhodes-Ousley còn “thiên về cảm tính” và “ngại va chạm”. Bà dường như rất thích thú với những công nghệ khóa/chặn và thường triển khai ngay mỗi khi phát hiện được một phần mềm ưng ý, nhất là các giải pháp có thể lưu trữ bằng chứng vi phạm của nhân viên rồi gửi ngay thông báo đến bà qua e-mail.

PDA và Smart phone

Thiết bị hỗ trợ cá nhân kỹ thuật số (Personal Digital Assistant - PDA) và điện thoại thông minh (smart phone) ngày càng phổ dụng nhờ giá thành giảm. Vì vậy, chẳng có gì là bất ngờ nếu nhân viên của bạn tậu được BlackBerry, Treo và thậm chí cả iPhone. Tuy nhiên, không phải họ muốn sử dụng thế nào cũng được, dù rằng đó là vật tư hữu. Bởi lẽ, trong lúc kết nối thiết bị cá nhân với máy tính cơ quan để trao đổi dữ liệu, họ có thể sẽ làm hỏng máy tính do thao tác sai quy trình, thực thi nhầm lệnh hoặc tạo điều kiện thuận lợi cho virus lây lan.

Holbrook bộc bạch : “Chúng tôi không cường điệu vấn đề. Thực tế đã chứng minh rằng những chuyện phiền toái như vậy thường xuyên xảy ra. Rất nhiều nhân viên không ý thức được vấn đề này, bởi chỉ cần một thoáng khinh suất của họ, toàn bộ hệ thống máy tính của doanh nghiệp có thể sẽ bị tê liệt đồng loạt trước sự tấn công và phát tán cực nhanh của các phần mềm độc hại.”

Việc cho phép nhân viên tùy nghi sử dụng hai công cụ nói trên còn đặt công ty bạn trước nguy cơ bị “bòn rút” bí mật kinh doanh, nhất là sau khi có nhân viên nào đó thôi việc. Thời gian qua, đã có không ít vụ khiếu kiện giữa doanh nghiệp với nhân viên cũ vì cho rằng sau khi bị sa thải, nhân viên đã bán tất cả những thông tin nhạy cảm cho đối thủ của doanh nghiệp. Khổ nỗi, nguyên đơn thường thua kiện vì không thể cung cấp đầy đủ các chứng cứ cho thấy bí mật kinh doanh ấy là thuộc quyền sở hữu trí tuệ tập thể.

Bởi thế, nhiều công ty, chẳng hạn như WebEx, đã tăng cường quản lý việc sử dụng PDA của nhân viên. Sau khi bàn bạc với nhà quản trị mạng, chủ doanh nghiệp sẽ chỉ định duy nhất một thương hiệu và một mẫu PDA được phép khai thác trong công ty. Điều này sẽ giúp doanh nghiệp dễ dàng kiểm soát mọi dữ liệu nhạy cảm. WebEx cũng áp dụng chính sách nói trên đối với máy tính xách tay, vì suy cho cùng, thiết bị này còn “nguy hiểm” hơn cả PDA do nó lưu trữ được nhiều tập tin hơn và có tốc độ ghi/đọc dữ liệu nhanh hơn gấp nhiều lần.

Điện thoại máy ảnh

Thế hệ điện thoại di động hiện hành dường như loại nào cũng tích hợp tính năng chụp ảnh. Dĩ nhiên, điều này có lợi hơn cho người dùng. Song, đứng trên bình diện an toàn thông tin doanh nghiệp, thì thiết bị kỹ thuật số này có thể sẽ tiết lộ ra bên ngoài những hình ảnh mà công ty bạn không hề mong đợi. Nhiều nhân viên còn lơ là trong lúc giao tiếp với khách hàng lạ mặt. Lẽ ra, trước khi tiếp khách, họ cần đóng lại mọi cửa sổ làm việc trên máy tính. Chỉ cần sử dụng điện thoại máy ảnh (camera phone), “khách hàng” (mà thực chất là những gián điệp công nghệ cao – hi-tech spy – do đối thủ gửi đến để theo dõi “động tĩnh”) có thể lén ghi lại những hoạt động gây bất lợi cho việc xây dựng thương hiệu và hình ảnh của công ty bạn về sau này. Chẳng hạn như cảnh nhân viên đùa giỡn quá mức hoặc to tiếng với nhau, vị trí lắp đặt các thiết bị báo động, các báo cáo tài chính mà bạn đang nhập liệu...

Để xem nhân viên có luôn đề cao tinh thần cảnh giác hay không, Sharon Finney đã thực hiện một cuộc “thí nghiệm” với kết quả vô cùng thất vọng. Bà đã nhờ người bạn của mình giả làm nhân viên bảo trì hệ thống chiếu sáng đến trung tâm để thực hiện công việc kiểm tra định kỳ. Cô y tá được cử tiếp khách dường như chẳng buồn nhìn anh “nhân viên bảo trì”, chỉ bảo anh ra về vì trung tâm đâu có gặp trục trặc gì. Rồi cô vội quay lưng và tiếp tục... chat. Anh bạn của Finney cố tình nán lại, nhân lúc cô y tá không chú ý, anh đã dùng chiếc điện thoại máy ảnh của mình để chụp cô này đang mải mê tán gẫu trên mạng. Cuối cùng, Sharon Finney cảnh báo : “Quý vị hãy để mắt nhiều hơn đến ‘vệ tinh do thám’ thầm lặng này”.

Điện thoại Internet

Phần mềm gọi điện thoại Internet (VoIP) Skype đang được đông đảo người dùng toàn cầu sử dụng do nó miễn phí 100% các cuộc gọi giữa các máy tính với nhau (PC-to-PC). Theo khảo sát của Yankee Group, trên 20% người được phỏng vấn cho biết họ đang khai thác công nghệ này trong giao tiếp kinh doanh. Nếu được dùng đúng nghĩa, Skype sẽ cắt giảm đáng kể gánh nặng hóa đơn điện thoại hằng tháng cho doanh nghiệp. Trái lại, nó và kể cả những dịch vụ tương tự sẽ gây ra không ít khó khăn đối với yêu cầu bảo đảm tính ổn định trong vận hành của máy tính.

Holbrook phân tích : “Vì là những ứng dụng dành cho người dùng cá nhân và lại miễn phí 100%, cho nên Skype tỏ ra khá ‘dễ dãi’ ở khâu mã hóa dữ liệu thoại. Ngoài ra, nỗ lực tích hợp ứng dụng của nó chẳng những không phát huy hiệu quả, mà đôi lúc còn gây ảnh hưởng tiêu cực đến các chương trình khác trên máy tính.” Dĩ nhiên, Skype luôn cố gắng thông báo và yêu cầu người dùng thường xuyên theo dõi bản tin bảo mật, đồng thời cài đặt ngay các miếng vá mới nhất cho phần mềm máy khách (client). Tuy vậy, có bao nhiêu nhân viên ghi nhớ điều này ? Ngay cả khi được khuyến cáo, người dùng vẫn thường không cập nhật phiên bản do lười biếng hoặc chỉ muốn dùng nhanh phiên bản hiện hành, dù rằng nó đã bị “rách bươm”.

Để gia tăng độ bảo mật thông tin nội bộ, công ty nghiên cứu thị trường Gartner (Mỹ) kiến nghị doanh nghiệp nên chặn (block) mọi dữ liệu thoại qua giao thức IP. Nếu phải cho phép nhân viên sử dụng Skype, cần triển khai các công cụ giám sát có thể điều tiết dịch vụ này đến đúng đối tượng được quyền thụ hưởng.

Web mini

Lo ngại trước nguy cơ bị “sập” mạng nếu để nhân viên tự do download, các nhà quản trị mạng đã khóa chặt tính năng này, đồng thời ngăn chặn việc cài đặt các ứng dụng nằm ngoài danh mục phần mềm mà nhân viên được phép sử dụng trên máy tính cơ quan. Tuy nhiên, một số người đã cố “vượt rào” bằng cách khai thác các ứng dụng web mini (web gadgets hay widgets). Ưu điểm của chúng là không cần cài đặt và rất khó bị phát hiện. Nguy hiểm hơn khi tiện ích thuộc diện này hiện có rất nhiều trên Internet. Máy tính có thể bị nhiễm virus ngay khi người dùng chạy thử widget, đặc biệt là trên những máy không có tường lửa hay trình diệt malware.

Để giảm thiểu tác hại của việc làm nói trên, WebEx đã triển khai chính sách bảo vệ ba lớp. Lớp đầu tiên chính là nâng cao nhận thức của người dùng về những hậu quả từ việc download các nội dung không được công ty cho phép. Kế đến, WebEx sử dụng giải pháp Reconnex (http://www.reconnex.net) để giám sát mọi chương trình đã được cài đặt trên máy tính. Cuối cùng, nhà quản trị mạng sẽ tắt kích hoạt một số quyền download.

Thế giới ảo

Những thế giới ảo (virtual worlds) như trong Second Life không chỉ mê hoặc các con nghiện trò chơi điện tử, mà còn len lỏi vào tận các máy tính nơi công sở. Vấn đề bảo mật theo đó đã xuất hiện. Second Life là một ứng dụng giải trí đòi hỏi người chơi phải tải về máy tính một lượng lớn các đoạn mã thực thi và phải chấp nhận cho phép chúng được “miễn khai, miễn khám” khi đối mặt với hệ thống phòng thủ (tường lửa nội bộ). Điều này chẳng khác gì chuyện phải “chung sống” với “quả bom nổ chậm”. Gartner khuyên doanh nghiệp không nên can thiệp vào sở thích của nhân viên nhưng buộc họ phải làm điều đó với máy tính của họ, chứ không phải tại cơ quan. Cũng có công ty ủng hộ việc sử dụng Second Life để cải thiện kỹ năng giao tiếp cho nhân viên. Tuy nhiên, môi trường thực tại ảo này phải do chính họ tổ chức và làm chủ được mọi hoạt động.

Dường như không có chuyện đúng-sai khi bàn về việc cho phép hay cấm đoán nhân viên sử dụng thiết bị nhạy cảm nơi công sở. Vì vậy, hãy lựa chọn một giải pháp thấu tình, đạt lý phù hợp với đặc điểm của doanh nghiệp và vì lợi ích chung của cả tập thể.