Sai lầm từ con người: Một trong những nguyên nhân chính làm suy yếu mọi hệ thống an ninh mạng

43% nhân viên tại các doanh nghiệp của Hoa Kỳ và Vương quốc Anh đã từng ít nhất một lần phạm sai lầm dẫn đến hậu quả thiệt hại về an ninh mạng cho chính họ hoặc công ty của họ. Đây là kết quả trích dẫn từ báo cáo mới nhất của tổ chức bảo mật Tessian - những con số khiến nhiều nhà quản lý doanh nghiệp có lẽ phải giật mình, và tất cả đều bắt nguồn từ yếu tố cốt lõi là con người.

Các doanh nghiệp trên thế giới đang ngày càng đầu tư nhiều hơn cho những công cụ, hệ thống bảo mật thụ động, mà quên mất rằng việc đào tạo chuyên môn, nhận thức bảo mật cho đội ngũ nhân viên mới là nhiệm vụ đóng vai trò quyết định. Vậy chúng ta thường mắc lỗi gì trong nhận thức bảo mật nói chung, và điều này có thể bị hacker tận dụng ra sao?

Sai lầm từ con người có thể làm suy yếu mọi hệ thống bảo mật
Sai lầm từ con người có thể làm suy yếu mọi hệ thống bảo mật

Những sai lầm bảo mật mọi người hay mắc

Khi được hỏi về những loại sai lầm mà mọi người thường mắc phải dẫn đến sự cố bảo mật, 25% số nhân viên thú nhận rằng họ đã vô tính nhấp vào liên kết (link) không xác định được đính kèm trong các email lừa đảo tại nơi làm việc. Đặc biệt, các nhân viên trong độ tuổi từ 31 đến 40 có khả năng cao gấp 5 lần so với những nhân viên trên 51 tuổi trong lỗi nhấp vào email lừa đảo. Ngoài ra, khả năng này ở nam giới cũng cao gấp đôi so với nữ giới.

47% nhân viên cho rằng sự mất tập trung là lý do hàng đầu khiến họ tự biến mình trở thành nạn nhân của một vụ lừa đảo. Trong đó, đa phần là phương thức lừa đảo bằng email giả mạo (43%). 41% nạn nhân nói rằng các email giả mạo này được thiết kế cực kỳ giống thật, trông giống như đến từ một giám đốc điều hành cấp cao hoặc thương hiệu nổi tiếng.

Ngoài việc nhấp vào một liên kết độc hại, 58% nhân viên thừa nhận đã từng gửi email công việc đến nhầm người, với 17% trong số đó gửi nhầm đến một đối tượng nằm ngoài hệ thống mạng công ty. Lỗi tưởng chừng như đơn giản này trên thực tế có thể dẫn đến hậu quả nghiêm trọng cho cả cá nhân lẫn doanh nghiệp, những người phải báo cáo sự cố cho cơ quan quản lý cũng như khách hàng của họ. Trên thực tế,1/5 số người được hỏi cho biết công ty của họ đã mất khách hàng do gửi email sai, trong khi 12% trong số này mất việc.

Lý do chính được đưa ra cho việc gửi sai email là sự mệt mỏi (43%), theo sau là sự mất tập trung (41%). Với 57% số người được hỏi nói rằng họ bị phân tâm nhiều hơn khi làm việc tại nhà, việc chuyển đổi đột ngột sang làm việc từ xa có thể khiến doanh nghiệp dễ bị tổn thương hơn trước các sự cố an ninh do lỗi của con người.

Stress ảnh hưởng thế nào đến an ninh mạng

Các doanh nghiệp nên có nhận thức rõ hơn về sự tác động của stress (căng thẳng) và văn hóa làm việc đối với sai lầm của nhân viên và an ninh mạng. Những người được hỏi tiết lộ họ mắc nhiều sai lầm hơn khi bị căng thẳng (52%), mệt mỏi (43%), mất tập trung (41%) và sức ép phải nhanh chóng hoàn thành công việc (36%).

Điều đáng lo ngại là sau đó, 61% số người được hỏi cho biết công ty của họ có văn hóa buộc họ làm việc nhiều giờ hơn mức bình thường, trong khi 46% nói rằng họ đã thực sự kiệt sức.

Tác động của tuổi tác đến an ninh mạng

Báo cáo của Tessian cũng cho thấy tuổi tác, giới tính và đặc thù công việc có tác động lớn đến sai lầm của con người trong lĩnh vực bảo mật/an ninh mạng nói chung:

  • Một nửa số nhân viên trong độ tuổi 18-30 nói rằng họ đã phạm sai lầm liên quan tới bảo mật làm tổn hại đến công ty của họ, so với 10% số người 51 trở lên nói như vậy.
  • 65% nhân viên trong số 18-30 tuổi nói rằng họ đã gửi email đến nhầm người, so với 34% của những người trên 51 tuổi.
  • 70% nhân viên có độ tuổi từ 18 đến 40 thừa nhận đã từng nhấp vào email lừa đảo. Trong khi chỉ 8% những người trên 51 mắc phải lỗi này.
  • Nhân viên trong ngành công nghệ có nhiều khả năng nhấp vào liên kết trong email lừa đảo hơn những người làm việc trong các lĩnh vực khác, với 47% số người được hỏi đã từng trải qua sự cố này. Xếp ngay phía sau là những người làm trong lĩnh vực Tài chính Ngân hàng (45%).

Một số giải pháp hạn chế nguy cơ bảo mật cơ bản

Đối với tổ chức, doanh nghiệp:

1. Đẩy mạnh đào tạo, cập nhật kiến thức bảo mật mới nhất cho mỗi nhân viên. Kết hợp hướng dẫn và trau dồi cách thức sử dụng cũng như tận dụng lợi thế từ những hệ thống bảo mật hiện đại.

2. Xây dựng một chính sách bảo mật xuyên suốt với các điều khoản rõ ràng, minh bạch.

3. Tích cực cập nhật hệ thống bảo mật mới, hiện đại, và phù hợp với đặc điểm hệ thống của mình. Đồng thời việc lựa chọn phần mềm bảo mật để triển khai cũng phải được xem xét một cách kỹ càng. Ưu tiên sử dụng sản phẩm của những bên có cam kết bảo mật và cập nhật bảo mật thường xuyên.

4. Nói không với bất kỳ loại phần mềm crack nào. Nghiêm cấm việc sử dụng phần mềm crack trong nội bộ công ty.

5. Tăng cường tận dụng các dịch vụ đám mây doanh nghiệp cho mục đích lưu trữ.

6. Thấu hiểu nhân viên của mình và sử dụng sự hiểu biết sâu sắc đó để đào tạo và chính sách phù hợp

Đối với mỗi cá nhân:

1. Có ý thức nâng cao hiểu biết, nhận thức bản thân về an toàn thông tin. Tự trau dồi kinh nghiệm ứng phó sự cố bảo mật cũng như vận hành các quy trình bảo mật mới.

2. Thường xuyên cập nhật phần mềm, hệ điều hành máy tính cá nhân lên phiên bản mới nhất. Không sử dụng phần mềm crack.

3. Đề cao cảnh giác khi duyệt email, kiểm tra kỹ tên người gửi để phòng tránh email lừa đảo. Tuyệt đối không tải các file đính kèm hoặc nhấp vào đường link không rõ nguồn gốc. Làm sao để nhận biết 1 link có an toàn hay không?

4. Hạn chế kết nối các thiết bị ngoại vi (USB, ổ cứng) với máy tính cá nhân ở công ty.

5. Lưu ý đặt mật khẩu phức tạp, không lặp lại (sử dụng thêm các công cụ hỗ trợ quản lý mật khẩu nếu cần thiết). Tận dụng các tính năng bảo mật bổ sung nếu có, chẳng hạn như xác thực 2 yếu tố, bảo mật sinh trắc học…

Thứ Hai, 27/07/2020 12:29
31 👨 412
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng