Một nhân viên IT bất lương có thể gây thiệt hại lớn hơn cả một đạo quân tin tặc. Dưới đây là ba câu chuyện tồi tệ đã từng xảy ra cho ba công ty lớn ở Mỹ.
Coi chừng "nuôi ong tay áo"
Những bài học rút ra từ những kinh nghiệm đau thương này phần nào giúp các công ty thấu hiểu cần phải làm gì để tự bảo vệ mình trước nguy cơ “nuôi ong tay áo”.
Một Giám đốc IT (CIO) có thể hình dung một cơn ác mộng tồi tệ nhất: bỗng nhiên, một ngày nào đó nhận được khuyến cáo từ Liên minh Phần mềm Doanh nghiệp (BSA), cho biết một số phần mềm Microsoft đang được sử dụng trong công ty là những phần mềm bất hợp pháp.
Công ty tiến hành điều tra, thật bất ngờ khi không chỉ là vấn đề phần mềm bất hợp pháp, mà chúng còn được bán bởi một công ty mà chủ sở hữu bí mật và điều hành không ai khác chính là người quản trị hệ thống IT của công ty, một nhân viên đáng tin cậy trong nhiều năm trời. Tiếp tục “đào bới” các hoạt động của anh ta, lại lòi ra một trang web khiêu dâm tính phí đang chạy trên một trong các máy chủ của công ty. Chưa dừng lại ở đó, nhóm điều tra còn phát hiện ra vị này đã tải về hàng trăm số thẻ tín dụng của khách hàng từ máy chủ thương mại điện tử (e-commerce) của công ty.
Và đây là phần tồi tệ nhất: Anh ta chính là người duy nhất nắm giữ mật khẩu quản trị mức cao nhất.
Liệu điều đó có thể xảy ra không? Có đấy! Đó là khẳng định của một chuyên gia tư vấn bảo mật từng có kinh nghiệm cứu giúp nạn nhân là một nhà bán lẻ có doanh số 250 triệu USD, tại bang Pennsylvania (Mỹ).
Và tất nhiên bạn sẽ hiếm khi được nghe nói đến những vụ việc như vậy, vì hầu hết các công ty khi bị rơi vào tình trạng này đều tìm mọi cách ém nhẹm thông tin, để sự vụ trôi đi lặng lẽ, càng nhanh càng tốt.
Một cuộc khảo sát hàng năm được tạp chí CSO, Cơ quan mật vụ Mỹ (U.S. Secret Service) và CERT (một chương trình của Viện Công nghệ phần mềm tại ĐH Carnegie Mellon) tiến hành cho thấy rằng 3/4 các công ty là nạn nhân của những cuộc tấn công xuất phát từ nội bộ - Dawn Cappelli, Giám đốc kỹ thuật bộ phận quản trị các mối đe dọa và sự cố của CERT, cho biết. "Vì vậy, chúng ta biết rằng những gì đã được công khai chỉ là phần nổi nhỏ bé của tảng băng chìm", bà nhấn mạnh.
Tuy nhiên việc các công ty bị thiệt hại giữ im lặng lại khiến những công ty khác mất cơ hội rút kinh nghiệm từ họ. CERT đã cố gắng khắc phục điều này bằng cách nghiên cứu các mối đe dọa nội bộ kể từ năm 2001, và đã thu thập thông tin của hơn 400 trường hợp. Trong báo cáo gần đây nhất, có tiêu đề "Hướng dẫn kinh nghiệm phòng chống và phát hiện các mối đe dọa nội bộ", xuất bản năm 2009, qua phân tích hơn 250 trường hợp, CERT xác định một số sai lầm phổ biến nhất các công ty thường mắc phải, đó là: không điều tra kỹ trong quá trình tuyển dụng, không giám sát và kiểm tra các đặc quyền truy cập một cách thích đáng mà chỉ quan tâm tới mặt tiện dụng của hoạt động.
Nhưng các mối đe dọa từ những nhân viên IT nhiều đặc quyền rất khó phát hiện. Bởi, nhìn chung thì các hoạt động bất chính của họ trông giống như nhiệm vụ thường ngày. Nhân viên IT thường xuyên "viết và chỉnh sửa kịch bản, lập trình và chỉnh sửa các đoạn mã, vì vậy nó không giống như hoạt động bất thường", Cappelli cho biết. Và họ biết nơi nào là mắt xích phòng thủ yếu nhất của mạng doanh nghiệp và làm thế nào để che đậy chúng. Bạn không thể dựa vào công nghệ, hoặc chỉ đưa ra biện pháp phòng ngừa để tự vệ trước nhân viên IT bất lương. Bạn phải nhìn rộng ra, mọi người cần phải hiểu rõ cơ chế làm việc, quan sát những gì đang xảy ra tại nơi làm việc, chứ không chỉ nhìn vào những gì nhân viên IT đang làm.
Computerworld đã đi tìm hiểu những câu chuyện đằng sau các sự cố chưa được công bố rộng rãi. Mặc dù mỗi câu chuyện đều có những tình huống riêng, tất cả đều cho thấy chúng có cùng mẫu số chung như CERT đã nhấn mạnh: Sử dụng lao động, hãy cẩn thận.
Ăn cắp phần mềm, và tệ hơn nữa |
Thuê dịch vụ ngoài, “chọc giận” nhân viên |
Vội vã dẫn đến sai lầm lớn |
Ăn cắp phần mềm, và tệ hơn nữa
Trở lại câu chuyện rắc rối của nhà bán lẻ tại Pennsylvania. Đầu năm 2008, công ty nhận được thông báo từ BSA cho biết, Microsoft đã phát hiện công ty này đang có vấn đề về giấy phép sử dụng phần mềm - theo John Linkous, Giám đốc an ninh và thanh tra kinh tế của công ty tư vấn bảo mật eIQ Networks (khi tham gia giải quyết vụ việc của nhà bán lẻ này, ông là Phó chủ tịch điều hành công ty tư vấn bảo mật Sabera).
Khi Linkous và các thành viên khác của nhóm Sabera bí mật thực hiện các cuộc gọi để điều tra, họ phát hiện quản trị hệ thống của công ty (tạm gọi là Ed) đã bán được hơn nửa triệu USD (~10 tỷ đồng) phần mềm ăn cắp của Microsoft, Adobe và SAP cho công ty này.
Các điều tra viên còn nhận thấy việc sử dụng băng thông mạng cao bất thường. "Chúng tôi nghĩ rằng đã có một số kiểu tấn công mạng xảy ra", Linkous nói. Họ đã lần theo dấu vết tới một máy chủ và phát hiện tại đây chứa hơn 50.000 ảnh và hơn 2.500 phim khiêu dâm.
Linkous kể, nhóm điều tra tiếp tục tìm kiếm và phát hiện trên máy trạm của Ed có một bảng tính chứa hàng trăm số thẻ tín dụng hợp lệ từ trang Web thương mại điện tử của công ty. Dù không có dấu hiệu nào cho thấy các con số đã được sử dụng, nhưng những thông tin trên bảng cho thấy Ed đang dự tính, hoặc sẽ sử dụng dữ liệu thẻ hoặc bán cho một bên thứ ba.
Giám đốc tài chính (CFO), người đã nhận cuộc gọi từ BSA, và các quản lý cấp cao lo sợ phản ứng của Ed khi anh ta biết mình bị lộ chân tướng. Ed là người duy nhất có các mật khẩu quyền cao nhất (admin) - bao gồm mật khẩu của các router, firewall, switch, mạng riêng ảo VPN, hệ thống HR, máy chủ e-mail, Windows Active Directory, và Windows trên máy trạm.
Điều đó có nghĩa là Ed có thể kiểm soát gần như mọi quy trình kinh doanh chính của công ty, bao gồm cả các trang web, e-mail, hệ thống báo cáo tài chính và bảng lương của công ty.
Vì vậy, công ty và hãng bảo mật Sabera của Linkous đã đưa ra một quyết định khẩn cấp. Họ điều Ed đi công tác trên một chuyến bay đêm dài 5 tiếng rưỡi đến California. Trong khoảng thời gian đó, dĩ nhiên Ed không thể truy cập hệ thống. Họ nhanh chóng lên sơ đồ mạng và thiết lập lại tất cả các mật khẩu. Ngay khi Ed vừa xuống sân bay California, Giám đốc điều hành (COO) xuất hiện và tuyên bố sa thải anh ta ngay tại chỗ.
Tổn thất công ty phải gánh
Linkous ước tính rằng sự việc khiến công ty tốn tổng cộng 250.000 - 300.000 USD. Các khoản chi phí bao gồm: thuê hãng tư vấn Sabera, chuyến bay ngắn của Ed đến California để nhận thông báo nghỉ việc, kiện Ed ra tòa, thuê một quản trị mạng tạm thời và một CIO mới, và hợp pháp hóa toàn bộ phần mềm đang sử dụng.
Các biện pháp phòng ngừa
Có thể làm gì để ngăn ngừa thảm họa này? Rõ ràng, ít nhất phải có thêm một người nữa biết mật khẩu. Nhưng quan trọng hơn là chia tách nhiệm vụ. Bộ phận IT của nhà bán lẻ nọ nhỏ (chỉ có 6 nhân viên), do đó Ed được giao cả hai trách nhiệm quản trị và bảo mật. Điều đó có nghĩa là Ed giám sát chính mình.
Các công ty có bộ phận IT nhỏ khó có thể phân công tách biệt trách nhiệm cho từng nhân viên, Linkous thừa nhận. Theo ông, các công ty nhỏ phải giám sát mọi thứ, bao gồm các tập tin log (nhật ký), lưu lượng mạng và các thay đổi cấu hình hệ thống, và phải có người nhận và đánh giá kết quả báo cáo của quản trị hệ thống. Điều quan trọng nhất, theo ông, là để bộ phận IT hiểu rằng họ đang bị theo dõi.
Thứ hai, công ty đã sai lầm do không kiểm tra kỹ lai lịch khi thuê Ed. Trong nghiên cứu của CERT, 30% những nhân viên IT mẫn cán phá hoại ngầm đã có tiền sử bị bắt giữ. Trong thực tế, bất kỳ loại thông tin sai sự thật nào cũng đều phải cảnh giác. Ở trường hợp này, mặc dù công ty đã kiểm tra lý lịch tội phạm về Ed (xác nhận là sạch sẽ), nhưng lại không xác minh các thông tin trong lý lịch của Ed - một số về sau đã được phát hiện là gian dối. (Ví dụ bằng MBA được ghi trong bảng tóm tắt lý lích là không có thật).
Thứ ba, tính cách của Ed đáng để công ty đề cao cảnh giác. Từ kinh nghiệm ở cuộc gặp gỡ Ed trước đây, trong vai trò là nhà cung cấp ERP, Linkous nhận xét, Ed là người cực kỳ tự tin, vênh váo và ngạo mạn. Hầu như Ed luôn cho rằng mình thông minh hơn mọi người xung quanh. Một tính cách khiến Linkous liên tưởng đến Ban lãnh đạo đầy bê bối của tập đoàn năng lượng Enron.
CERT chỉ ra rằng những kẻ lừa đảo thường bộc lộ cá tính. Thực tế không có bất kỳ trường hợp tồi tệ nào sau khi xảy ra mà người ta lại nói, "Tôi không thể tin được - anh ta là một chàng trai tốt ", Cappelli cho biết.
Coi chừng "nuôi ong tay áo" |
Thuê dịch vụ ngoài, “chọc giận” nhân viên |
Vội vã dẫn đến sai lầm lớn |
Thuê dịch vụ ngoài, “chọc giận” nhân viên
"Sally" là một quản trị viên hệ thống có nhiệm vụ quản lý cơ sở dữ liệu cho một công ty sản xuất hàng tiêu dùng nằm trong danh sách Fortune 500. Cô đã làm việc được 10 năm, là một trong những người có năng lực về IT và đáng tin cậy nhất của công ty - theo Larry Ponemon, người sáng lập và chủ tịch của Viện Ponemon, một hãng nghiên cứu về an ninh thông tin.
Cô có những kỹ năng đặc biệt, có thể giải quyết hầu như tất cả mọi vấn đề về công nghệ. Vì lý do đó, cô có được nhiều quyền hạn cao cấp về mạng tại công ty vượt xa trách nhiệm của mình. "Xu hướng mở rộng nhiều quyền hạn vượt quá thẩm quyền cho ai đó là bởi vì bạn không bao giờ biết khi nào họ sẽ cần phải giúp đỡ một người khác", Ponemon cho biết.
Sally thỉnh thoảng làm việc từ nhà, dùng MTXT riêng đã được cấu hình với những quyền hạn cao cấp. Văn hóa của công ty cho phép các “sao” IT như Sally được đối xử đặc biệt, Ponemon cho biết. "Giới IT có thể tùy ý sử dụng những công cụ riêng mà họ muốn trên hệ thống doanh nghiệp".
Nhưng khi công ty quyết định thuê ngoài hầu hết các hoạt động IT của mình, sử dụng dịch vụ cung cấp từ Ấn Độ, Sally đã không hài lòng. Mặc dù công ty vẫn chưa chính thức thông báo cho bộ phận IT, nhưng kết quả thấy ngay là nhân viên IT lần lượt ra đi gần hết.
Sally muốn trả thù. Trước khi chính thức ra đi, cô đặt “bom” hẹn giờ đánh sập toàn bộ hệ thống máy chủ một khi cô đã rời khỏi công ty.
Ban đầu, công ty không có chút manh mối nào về việc đang xảy ra. Họ chuyển sang hệ thống máy chủ dự phòng, nhưng chúng cũng đã bị Sally đặt “bom”. Công ty đã gặp rất nhiều khó khăn vì những thiệt hại không rõ nguồn gốc. "Một nhân viên hiểm độc khi nổi giận có thể gây ra rất nhiều thiệt hại mà rất khó bị phát hiện ngay lập tức và khó lần theo dấu vết", Ponemon nhấn mạnh.
Rốt cục, họ đã lần theo dấu vết phá hoại tìm ra Sally và đối chất với cô. Hai bên thỏa thuận Sally sẽ khắc phục toàn bộ hệ thống, và đổi lại công ty sẽ không kiện ra tòa. Ngoài ra, Sally còn phải chấp thuận không bao giờ được công khai vụ việc. "Họ không muốn cô tham gia chương trình của Oprah trên truyền hình và nói chuyện về cách cô đã phá vỡ xương sống của một công ty trong danh sách Fortune 500".
Tổn thất công ty phải gánh
Tổng chi phí ước tính cho công ty lên đến 7 triệu USD (~140 tỷ đồng), trong đó gồm 5 triệu USD chi phí cơ hội (thời gian chết, gián đoạn kinh doanh và khả năng mất khách hàng) và 2 triệu USD chi phí cho tư vấn pháp lý và bảo mật, cùng một số chi phí liên quan khác.
Các biện pháp phòng ngừa
Công ty đã sai ở đâu? Thứ nhất, vụ việc là một ví dụ kinh điển về "leo thang đặc quyền", sẽ dẫn đến những hậu quả khi các đặc quyền được cấp cho một cá nhân để xử lý một công việc cụ thể nhưng không bị thu hồi khi người đó không còn cần đến chúng, Ponemon nói.
Thứ hai, văn hóa “được phép làm” dẫn đến không phân định rõ ràng nhiệm vụ và buông lỏng giám sát về IT. Do đó, việc quản trị bị mất cảnh giác trầm trọng. Sau khi vụ việc xảy ra, công ty phát hiện rằng Sally đã làm "mất" 11 MTXT trong vòng ba năm trước đó. Các nhân viên hỗ trợ kỹ thuật biết về điều này, nhưng không ai báo cáo cho cấp quản lý, một phần vì địa vị của Sally trong tổ chức. Không ai biết cô đã làm gì với những MTXT đó, có thể chỉ là cô ta bất cẩn - nhưng "ngay cả điều đó cũng là một vấn đề khi bạn là một quản trị viên hệ thống", Ponemon nhận xét.
Thứ ba, quyết định thuê ngoài IT tạo nên bầu không khí căng thẳng, công ty cần phải cảnh giác và chủ động hơn trong việc theo dõi các nhân viên có thể nổi giận.
Ngay cả khi công ty chưa công bố bất cứ điều gì với nhân viên, cũng đừng nghĩ họ không biết những gì đang xảy ra, Ponemon nói. "Các nhân viên bình thường sẽ biết ngay khi CEO hạ bút ký hợp đồng (thuê ngoài)", ông nói. Nếu bạn không theo dõi bộ phận IT, bây giờ là lúc để bắt đầu. Để đảm bảo nhất, hãy đặt toàn bộ nhân viên dưới sự giám sát và công khai tuyên bố về điều đó.
Theo CERT, nhiều trường hợp phá hoại là kết quả của việc một nhân viên bất mãn tiến hành các hành động trả thù. Và những hành vi đó có thể xảy ra trong chớp mắt, có ngay hậu quả, như câu chuyện minh họa tiếp theo.
Ăn cắp phần mềm, và tệ hơn nữa |
Coi chừng "nuôi ong tay áo" |
Vội vã dẫn đến sai lầm lớn |
Vội vã dẫn đến sai lầm lớn
Trường hợp của một công ty nằm trong danh sách Fortune 100 lại cho thấy: Việc nâng cấp hệ thống an ninh bảo mật đã dẫn tới bắt được thủ phạm. Nhưng do vội vã dẫn đến khinh suất, khiến thủ phạm kịp thời ra tay gây tai họa “kinh hoàng”.
Khi công ty Fortune 100 này nâng cấp hệ thống bảo mật, họ đã phát hiện ra một điều kinh khủng. Một trong những quản trị viên hệ thống cao cấp có thâm niên công tác trên 8 năm (tạm gọi là Phil), đã bí mật thêm một trang vào website thương mại điện tử của công ty. Nếu gõ vào thêm vào đường liên kết URL của công ty một chuỗi ký tự nhất định, người dùng sẽ được đưa tới trang Phil đã chèn vào, trên đó bán thiết bị truyền hình vệ tinh vi phạm bản quyền, chủ yếu từ Trung Quốc - theo Jon Heimerl, Giám đốc an ninh chiến lược của hãng bảo mật Solutionary.
Là một nhà bán lẻ thiết bị công nghệ cao, công ty muốn loại bỏ Phil và trang Web "ký sinh" nhanh nhất có thể bởi vì sợ các nhà sản xuất thiết bị vệ tinh kiện cáo. Nhưng trong khi “sếp” của Phil và các nhân viên an ninh đang trên đường đến văn phòng của anh ta, một người trong bộ phận nhân sự lại gọi cho anh ta và nói hãy ở nguyên tại chỗ. Khi nhận điện thoại, Heimerl không biết chắc điều gì sẽ xảy ra, nhưng những lời của bên nhân sự đủ để Phil đoán rằng cần “xử lý” gấp.
Phil lập tức đăng nhập vào mạng công ty, xóa ngay tập tin lưu các khóa mã (key ring) của doanh nghiệp. Heimerl kể, "Đúng lúc Phil nhấn phím Delete, nhân viên an ninh và sếp của Phil xuất hiện và nói: dừng ngay lại, và bước ra ngoài". Nhưng đã quá muộn.
Toàn bộ các tập tin tại công ty đã được khóa mã, bao gồm cả khóa dự phòng, một khóa chủ cho phép công ty giải mã mọi tập tin của bất cứ nhân viên nào. Hầu hết các nhân viên giữ các khóa mã riêng trên máy của họ. Tuy nhiên, key ring chỉ giữ các bản sao khoá mã cho khoảng 25 người - hầu hết trong số họ làm việc ở bộ phận pháp chế và hợp đồng - và chỉ sao chép khóa mã của công ty. Điều đó có nghĩa là những gì được các nhân viên này mã hóa trong ba năm kể từ khi họ bắt đầu sử dụng hệ thống mã hóa thì vĩnh viễn không thể giải mã được - và do đó, hầu như bị mất chúng.
Tổn thất công ty phải gánh
Heimerl ước tính thiệt hại do mất tập tin key ring tương đương với khoảng thời gian 18 năm một người phải bỏ ra để tạo lại các tập tin đã bị mã hóa vĩnh viễn (do không giải mã được) cùng các tài liệu từ các bản nháp, e-mail cũ và các tài liệu không được mã hóa khác.
Các biện pháp phòng ngừa
Chỉ tập trung vào những gì xảy ra sau khi phát hiện trang Web giả mạo, công ty đã mắc phải hai sai lầm nghiêm trọng, Heimerl nói. Họ cần phải hủy bỏ quyền truy cập của Phil ngay khi phát hiện ra các hoạt động của anh ta. Nhưng các nhà quản lý cũng tự “gây khó” cho chính mình vì đã không giữ một bản sao lưu an toàn cho những thông tin quan trọng của doanh nghiệp (Oái oăm thay, công ty nghĩ rằng key ring quá nhạy cảm, không nên tạo ra bản sao).
Phòng thủ tốt nhất là áp dụng nhiều biện pháp
Bài học chung từ những câu chuyện “kinh dị” này là không có một điều duy nhất nào có thể bảo vệ bạn khỏi những nhân viên IT bất lương. Bạn có thể đã áp dụng các kỹ thuật bảo mật cao cấp nhất - như hệ thống an ninh bảo mật đa tầng mà rút cục lại phát hiện ra trang Web trái phép của Phil - và một sai lầm sơ đẳng của bộ phận nhân sự có thể dẫn đến thảm họa. Cần phải nêu cao cảnh giác về những hành vi hay nhân cách mà không nhận ra từ trước - như trường hợp Sally “để mất” MTXT.
Kết hợp các biện pháp bảo vệ kỹ thuật và theo dõi con người là biện pháp bảo vệ tốt nhất, Cappelli của CERT khẳng định.
Nhưng để thực hiện điều đó thì không hề dễ. Ban lãnh đạo thường nghĩ các vấn đề như vậy có thể được giải quyết hoàn toàn bằng công nghệ, ít nhất một phần vì bị các nhà cung cấp thuyết phục rằng các công cụ giám sát và các phần mềm bảo mật khác do họ cung cấp đảm bảo cho việc bảo vệ. "Chúng tôi đang cố gắng tìm cách làm thế nào để cho những người lãnh đạo hiểu rằng điều này không chỉ là vấn đề IT", Cappelli nói.
Đó là một thông điệp khó lọt tai. Và là bài học nhiều công ty không chịu tiếp thu trừ khi áp dụng biện pháp cứng rắn. Ngay cả khi nhiều công ty có thể đang sắp gặp những câu chuyện “kinh dị” của chính họ, thì hầu hết các CEO vẫn dửng dưng không nghĩ điều tồi tệ sẽ đến với họ. Khi họ kịp nhận biết thì đã quá muộn.
Ăn cắp phần mềm, và tệ hơn nữa |
Thuê dịch vụ ngoài, “chọc giận” nhân viên |
Coi chừng "nuôi ong tay áo" |