Hầu hết các cuộc tấn công mạng nhắm vào con người, không phải hệ thống. Trên thực tế, phần lớn các cuộc tấn công có thể bắt nguồn từ những thất bại của con người và văn hóa công ty.
Theo FBI, tội phạm mạng đã lừa đảo 26 tỷ đô la trong khoảng thời gian từ tháng 10 năm 2013 đến tháng 7 năm 2019 với trò “Thỏa hiệp email doanh nghiệp”. Chúng sử dụng các kỹ thuật lừa đảo và thao túng xã hội, dụ các nhân viên và cá nhân tiết lộ thông tin đăng nhập của họ và cuối cùng thực hiện chuyển khoản hoặc chuyển tiền trái phép.
Vào năm 2017, Đại học MacEwan ở Canada đã bị lừa khoảng 11,8 triệu đô la khi một tội phạm mạng mạo danh một trong những nhân viên của trường và yêu cầu thay đổi thông tin tài khoản ngân hàng của một trong những nhà cung cấp của trường. Một báo cáo khác bao gồm 31 quốc gia, tương ứng với 60% dân số thế giới và 85% GDP toàn cầu đã ước tính thiệt hại tài chính do lừa đảo trực tuyến vào năm 2019 là 36 tỷ euro.
Ngoài những tổn thất trực tiếp về tài chính, các hành vi vi phạm dựa trên bảo mật còn làm gián đoạn năng suất và danh tiếng của công ty. Ví dụ: khi 130 tài khoản Twitter nổi tiếng bị tấn công vào năm 2020, đó là một điều đáng xấu hổ đối với công ty: một điểm yếu đáng kinh ngạc trong bảo mật của công ty đã bị khai thác bởi một cuộc tấn công công nghệ thấp của cậu bé 17 tuổi. Lỗ hổng bảo mật khiến công ty trông thật ngớ ngẩn và khiến giá cổ phiếu giảm mạnh. Nó có thể còn tồi tệ hơn nhiều: Vi phạm an ninh cũng có thể gây ra hậu quả pháp lý và trách nhiệm pháp lý đối với các giám đốc và quản lý cấp cao.
Điểm yếu nằm ở cá nhân
Các lỗi hành vi cá nhân đóng một vai trò quan trọng trong tất cả các vụ rò rỉ thông tin này. Những kẻ tấn công lợi dụng việc mọi người sẵn lòng tin tưởng các yêu cầu nhất định và vô ý nhấp vào các liên kết hoặc mở các tệp đính kèm chứa đầy vi-rút. Yếu tố con người được cho là mục tiêu tấn công hàng đầu trong 99% các vụ xâm phạm. Trong một nghiên cứu kéo dài 5 năm, các nhà nghiên cứu đã thâm nhập thành công 96% hệ thống bảo mật trên 1.000 ngân hàng chỉ bằng các biện pháp tác động tâm lý con người.
Vậy, làm thế nào để các nhà lãnh đạo doanh nghiệp giảm thiểu trách nhiệm dựa trên con người này? Các nhà lãnh đạo dựa vào bộ phận bảo mật của họ một cách hợp lý khi nói đến việc bảo mật thông tin của tổ chức và các quyết định đầu tư để chọn ra các công cụ chính xác phục vụ cho vấn đề này. Nhưng cách tiếp cận này quá hạn hẹp.
Để có một nền văn hóa nhận thức sâu sắc về bảo mật, tất cả các thành viên của cộng đồng phải cam kết một cách chân thành và hết lòng. Chỉ thực hiện khóa đào tạo bảo mật kéo dài một đến hai ngày mà hầu hết các công ty yêu cầu chưa giải quyết được vấn đề. Khi nhà lãnh đạo có thể tác động đến các thành viên trong nhóm của họ để áp dụng một số tư duy và hành vi nhất định thì sẽ tạo ra được một nền văn hóa nhận thức về an ninh.
Nghiên cứu của Cialdini về các nguyên tắc ảnh hưởng đã chỉ ra rằng nếu khai thác sáu nguyên tắc sau thì sẽ khuyến khích được mọi người tuân thủ các yêu cầu hoặc thay đổi theo hướng mong muốn.
- Mọi người hành động nhất quán với hành vi mà họ đã thể hiện trong quá khứ. Các cam kết chính thức và không chính thức dẫn đến hành vi tương tự trong tương lai.
- Con người bị ảnh hưởng bởi ý kiến và hành vi của số đông trong xã hội. Khi không chắc chắn về cách suy nghĩ hoặc hành động, mọi người nhìn ra thế giới bên ngoài để tìm các tín hiệu.
- Có đi có lại là một trong những cách tốt nhất để gợi ý sự đáp lại.
- Mọi người muốn những gì hiếm hoặc dường như khan hiếm và sẽ nỗ lực hơn nữa để có được những thứ này.
- Mọi người bị ảnh hưởng bởi những người giống họ hoặc những người họ thấy thích – nghĩa là, loài chim thường đổ xô đến những con chim có bộ lông giống chúng hoặc có bộ lông mà chúng thấy hấp dẫn.
- Mọi người có nhiều khả năng tuân thủ các yêu cầu hơn khi những yêu cầu này được đưa ra bởi một người nào đó có thẩm quyền (hoặc thậm chí bởi một người nào đó mặc trang phục thể hiện quyền hạn – phù hiệu, áo khoác trắng, trang phục công sở, v.v..).
Dựa trên các nguyên tắc của Cialdini, chúng tôi đề xuất sáu chiến lược sau để củng cố bức tường lửa được dựng lên bởi chính nhân viên của công ty nhằm chống lại các kỹ thuật lừa đảo của tội phạm và thúc đẩy nền văn hóa nhận thức cao về sự bảo mật.
Yêu cầu nhân viên ký một chính sách bảo mật
Việc thể hiện cam kết, chẳng hạn như ký vào bản quy tắc đạo đức, làm cho mọi người có nhiều khả năng tuân theo hơn và dẫn đến việc tuân thủ các quy tắc ứng xử và nhận thức tốt hơn. Các chính sách này là các cam kết bằng văn bản nêu rõ một nhân viên sẽ bảo mật các thông tin nhạy cảm của công ty (ví dụ: dữ liệu khách hàng và hợp đồng), tiến hành vì lợi ích tốt nhất của tổ chức trong các hoạt động trực tuyến và ngoại tuyến, đồng thời báo cáo các sự cố đáng ngờ ngay lập tức cho người phụ trách nội bộ. Nhân viên cũng hiểu rằng họ sẽ được không tiết lộ bất kỳ thông tin nhạy cảm nào của công ty cho bất kỳ bên ngoài nào.
Trong chính sách nên nêu rõ loại thông tin nào nhạy cảm hoặc không nhạy cảm. (Ví dụ: bạn không thể yêu cầu nhân viên không phàn nàn về thức ăn trong bếp ăn công ty trên mạng xã hội nhưng bạn có thể yêu cầu họ không tiết lộ danh sách khách hàng).
Ví dụ, CISCO yêu cầu nhân viên của mình hàng năm phải ký một quy tắc ứng xử kinh doanh nhắc nhở họ cách bảo vệ tài sản trí tuệ của công ty, cũng như các tài sản thông tin bí mật. Công ty yêu cầu nhân viên của mình không chia sẻ thông tin bí mật hoặc thông tin độc quyền với những người không có nhu cầu kinh doanh hợp pháp và cam kết báo cáo mọi vi phạm mà họ quan sát được đối với yêu cầu đó. Văn hóa đổ lỗi của doanh nghiệp có thể không khuyến khích nhân viên báo cáo các hoạt động đáng ngờ, nhưng việc đảm bảo họ hiểu cơ sở lý luận và yêu cầu họ ký một chính sách cho thấy trách nhiệm của họ trong việc báo cáo cá c hoạt động đáng ngờ có thể tránh được vấn đề này.
Điều quan trọng là việc ký một cam kết như thế này dựa trên tinh thần tự nguyện – nếu nó bị ép buộc thì động lực để cam kết sau đó sẽ yếu hơn. Nhưng hành động ký cam kết tạo áp lực để nhân viên hành động một cách nhất quán, khiến họ có nhiều khả năng tuân thủ các tiêu chuẩn của công ty hơn. Và tốt nhất là nhân viên nên ký tên trước sự chứng kiến của đồng nghiệp; một khi cam kết được công khai, nhân viên cảm thấy có nghĩa vụ phải hành động nhất quán với cam kết để không mất mặt trước các đồng nghiệp đáng kính của họ.
Lãnh đạo làm gương
Trong các tình huống không chắc chắn, mọi người nhìn xung quanh họ để tìm chỉ dẫn về cách suy nghĩ và hành động. Một mặt, hành vi này có thể xem là tuân thủ, nhưng mặt khác, nó có thể được coi là một cách giúp mọi người biết thế nào là hành vi đúng đắn hoặc chuẩn mực. Quan sát người khác giúp giảm bớt sự mông lung – đặc biệt là khi những người khác ở vị trí xã hội được tôn trọng.
Ví dụ: họ nên nhấn mạnh tầm quan trọng của các hành vi bảo mật như không để máy tính trong tình trạng mở khóa, không mở cửa tại văn phòng công ty cho những người chưa được xác minh danh tính và không để lộ tài liệu của công ty, dù là bản mềm hay bản cứng trong không gian công cộng. Chúng tôi khuyến nghị rằng các nhà lãnh đạo cũng nên đưa ra các ví dụ tương phản về các sự cố vi phạm an ninh mà bản thân họ đã bất cẩn gây ra hoặc hành vi bất cẩn được báo cáo lại. Làm như vậy sẽ giúp giảm bớt suy nghĩ “điều đó sẽ không xảy ra với tôi” của các nhân viên.
Khơi gợi sự “có đi có lại”
Có một quy tắc xã hội phổ biến quy định rằng nếu ai đó cho chúng ta một thứ gì đó chúng ta cảm thấy có nghĩa vụ phải báo đáp lại sự ưu ái đấy. Sự thôi thúc này có xu hướng đúng ngay cả khi món quà ban đầu không được yêu cầu hoặc ngay cả khi món quà được yêu cầu đổi lại có giá trị hơn nhiều so với món quà ban đầu. Tiêu chuẩn có đi có lại rất quan trọng vì thường sự đáp lại được thực hiện một cách vô thức.
Các nhà lãnh đạo cấp cao nên biết về kỹ thuật có ảnh hưởng mạnh mẽ này và sử dụng nó để củng cố văn hóa an ninh trong tổ chức. Thực hiện các động thái để bảo mật dữ liệu hoặc danh tính riêng của nhân viên, chẳng hạn như cung cấp cho họ ổ đĩa flash an toàn và được mã hóa hoặc với khung ảnh kỹ thuật số có thể tùy chỉnh hiển thị lời nhắc bảo mật có thể là bước đầu tiên có ý nghĩa để khơi gợi sự có đi có lại.
Dùng sự khan hiếm làm đòn bẩy
Mọi người nhận thấy các đối tượng và cơ hội trông có vẻ hấp dẫn hơn nếu chúng hiếm, khan hiếm hoặc khó có được. Các nhà lãnh đạo cấp cao có thể tận dụng xu hướng tâm lý này khi thúc đẩy chứng nhận bảo mật hiếm hoi và mẫu mực của tổ chức, chẳng hạn như các quy trình bảo mật thông tin được công nhận (ví dụ: ISO 27001), có thể bị đe dọa bởi vi phạm bảo mật.
Bằng cách làm như vậy và truyền đạt rõ ràng cho đội ngũ nhân viên sức hấp dẫn của tổ chức như một nơi tuyệt vời để làm việc do văn hóa bảo mật, cũng như điều gì sẽ bị đe dọa nếu tính bảo mật của họ bị xâm phạm (tức là, những gì họ có thể mất đi), các nhà lãnh đạo cấp cao sẽ củng cố cam kết của nhân viên đối với một nền văn hóa an ninh. Hơn nữa, các nhà lãnh đạo cấp cao nên thúc đẩy việc cài đặt một hệ thống phân loại thông tin nhạy cảm và thông tin vô hại. Nhân viên sẽ có cảm giác thông tin khan hiếm phải được bảo vệ, điều này khiến họ luôn chú ý đến việc bảo vệ thành thạo “báu vật” của công ty, thay vì đưa cho họ một nhiệm vụ viển vông là bảo vệ mọi thông tin bất kể mức độ nghiêm trọng của nó.
Hãy giống như những người mà bạn dẫn dắt
Các chuyên gia bảo mật nhấn mạnh tầm quan trọng của tư duy thấu cảm để đạt được sự tuân thủ trong các tình huống giữa các cá nhân với nhau. Mọi người bị ảnh hưởng nhiều nhất bởi những người khác mà họ thích và cảm thấy giống họ, và các nhà lãnh đạo có thể xây dựng lòng tin với đội ngũ nhân viên khi họ hành động với sự khiêm tốn và đồng cảm.
Những nhà lãnh đạo thể hiện mình cũng dễ bị tổn thương có khả năng nhận được sự đồng cảm và cảm thông. Sự trao đổi qua lại này có thể gián tiếp thúc đẩy sự tuân thủ các chỉ thị của lãnh đạo cấp cao về hành vi bảo mật lý tưởng. Chia sẻ những khó khăn của bản thân hoặc kể chuyện về những sai lầm của chính họ liên quan đến văn hóa bảo mật và cách họ học được từ những sai lầm này có thể giúp họ dễ tiếp cận và dễ nhận diện hơn, do đó tăng cơ hội để những người khác đi theo hướng dẫn của họ.
Tận dụng giá trị của quyền hành
Thông thường, các tổ chức bắt buộc nhân viên của họ phải tham gia một khóa đào tạo hàng năm về bảo mật kỹ thuật số. Có nguy cơ thực sự là nhân viên tham gia nhưng không áp dụng nội dung đào tạo vào hành vi hàng ngày của họ. Khi các nhà lãnh đạo cấp cao, những người được nhân viên coi là cơ quan quyền lực tổ chức tối cao, đích thân hướng dẫn nhân viên của họ tuân thủ bảo mật thông tin doanh nghiệp, họ sẽ có nhiều khả năng đạt được kết quả mong muốn. Nhưng có một điểm lưu ý: Các nhà lãnh đạo cần phải được xem như một nguồn đáng tin cậy bên cạnh vai trò là ông chủ. Đó là sự khác biệt giữa việc chỉ đơn thuần là “cậy quyền”, ra lệnh cho nhân viên phải làm gì và được coi là “có thẩm quyền thực sự” đồng thời am hiểu về chủ đề này. Có cả hai là sự kết hợp hiệu quả nhất.
Các nhà lãnh đạo cấp cao cần chứng minh kiến thức chuyên môn và hiểu biết về các vấn đề an toàn thông tin để thực thi hiệu quả các chỉ thị và nhiệm vụ của họ. Họ có thể đạt được điều này bằng cách duy trì mối quan hệ chặt chẽ với nhóm bảo mật thông tin và thường xuyên cập nhật cho bản thân và nhân viên về những tiến bộ bảo mật mới nhất. Đăng ký nhận bản tin, chẳng hạn như bản tin từ SANS, là một điểm khởi đầu tốt. Đề xuất này có vẻ trái ngược với đề xuất ngay bên trên (Hãy giống như những người mà bạn dẫn dắt.). Nhưng các nhà lãnh đạo có thể thực hiện quyền hạn của mình vẫn thể hiện được sự khiêm tốn và thấu cảm.
Những kẻ lừa đảo và kỹ sư xã hội thường xuyên sử dụng các chiến thuật gây ảnh hưởng để đánh lừa nhân viên, đe dọa giá trị và danh tiếng của tổ chức của bạn. Sáu khuyến nghị trên là một cách dễ dàng và tiết kiệm chi phí cho các nhà lãnh đạo để chống lại rủi ro an toàn thông tin với các nguyên tắc dựa trên tâm lý con người đã được chứng minh.
Nguồn: “Your Employees Are Your Best Defense Against Cyberattacks”, Fabian Muhly, Jennifer Jordan, Robert B. Cialdini, HBR ngày 30/8/2021
Tham khảo thêm:
Bài viết liên quan