Có hai thách thức lớn mà các tổ chức phải đối mặt khi cam kết thiết lập một môi trường an toàn nhằm bảo vệ hệ thống và dữ liệu của họ, cũng như dữ liệu của nhân viên, khách hàng, đó là đảm bảo hệ thống của tổ chức luôn có các lớp bảo mật và công nghệ phù hợp để giữ an toàn cho dữ liệu và ngăn chặn tội phạm mạng, cũng như đảm bảo các hoạt động của nhân viên an toàn và có hiểu biết về việc bảo vệ các hệ thống thông tin và dữ liệu, tránh đặt chúng vào rủi ro.
Nhìn chung, con người là yếu tố lớn nhất gây cản trở nỗ lực của các tổ chức nhằm xây dựng và duy trì một nền văn hóa bảo mật mạnh mẽ. Vì vậy, các tổ chức nên áp dụng các kỹ thuật khoa học và nghiên cứu hành vi đã được thử nghiệm qua thời gian để xây dựng văn hóa bảo mật dựa trên các nguyên tắc thiết kế hành vi.
Thiết kế hành vi, một lĩnh vực khoa học do Tiến sĩ BJ Fogg của Đại học Stanford tiên phong nghiên cứu, là một cách suy nghĩ có hệ thống về hành vi của con người và cách mọi người đưa ra quyết định. Ông mô tả nó là “một cách tiếp cận mới để hiểu hành vi của con người và cách thiết kế để thay đổi hành vi”.
Theo Mô hình Fogg về thiết kế hành vi, hành vi xảy ra là do sự kết hợp của ba yếu tố: Động lực, Khả năng và Lời nhắc. Nói cách khác, để thay đổi hành vi của một con người, cần phải có ba yếu tố:
- Động lực: để thay đổi hành vi của một người, thì chính bản thân họ phải muốn thay đổi vì họ nhận ra được lợi ích khi làm như vậy.
- Khả năng: con người phải có kiến thức và công cụ cần thiết để thay đổi thành công hành vi. Hành vi đó phải đủ dễ dàng thực hiện để hoàn thành tùy theo mức độ động lực hiện tại của người đó.
- Lời nhắc: để thông báo hoặc nhắc nhở mọi người biết về sự cần thiết của hành vi và giúp ghi nhớ sự nhận biết đó.
Chúng ta sẽ cùng xem xét từng thành phần này và cách chúng có thể được áp dụng để xây dựng văn hóa bảo mật.
Nếu muốn con người thay đổi hành vi thì cần cho họ lý do để làm như vậy. Mô hình Fogg về thiết kế hành vi nêu bật ba yếu tố động lực cốt lõi: Cảm giác, Dự đoán và Sự sở hữu. Mỗi yếu tố đều có hai mặt đối lập: niềm vui/đau đớn, hy vọng/sợ hãi, chấp nhận/từ chối. Những động lực cốt lõi này áp dụng cho tất cả mọi người và là trung tâm của trải nghiệm con người, cụ thể:
- Khai thác cảm xúc của mọi người bằng cách sử dụng nội dung trực quan, hấp dẫn với sự hài hước và các kỹ thuật dựa trên câu chuyện, đồng thời kích hoạt cảm giác tích cực.
- Sợ hãi cũng có thể là một động lực mạnh mẽ, quá nhiều sự sợ hãi cũng có thể dẫn đến sự thờ ơ và cần được củng cố bằng quan niệm rằng nó đơn giản để bảo vệ.
- Sử dụng sức mạnh của sự lãnh đạo hoặc người nổi tiếng để kể chuyện và gợi cảm giác thân thuộc.
- Cá nhân hóa bằng cách cung cấp thông tin về cách bảo vệ trẻ em hoặc thành viên gia đình.
Lưu ý: Sự hài hước là một kỹ thuật tốt để thu hút sự chú ý của mọi người, gợi lên những cảm xúc tích cực và giúp ghi nhớ. Tuy nhiên, nó phải được áp dụng cẩn thận và phù hợp với văn hóa của từng khu vực, nếu không có thể bị phản tác dụng. Ngoài ra, nó không nên được sử dụng quá nhiều, vì có thể khiến mọi người không coi trọng thông điệp cốt lõi.
Ngày nay, các cuộc tấn công lừa đảo ngày càng phổ biến khi tội phạm mạng sử dụng các thủ thuật ngày càng tinh vi để khiến mọi người nhấp vào những đường dẫn có chứa mã độc hoặc thông tin độc hại.
Nhân viên của một công ty có thể có động lực để tránh những cuộc tấn công này, bởi vì xét cho cùng, họ không muốn là người phải chịu trách nhiệm khi dữ liệu quan trọng bị rủi ro. Nhưng chỉ có động lực thôi là không đủ, họ cũng phải có khả năng tránh những cuộc tấn công này. Để làm được điều đó phải dựa trên kiến thức, công cụ, thói quen và bản năng cần thiết để thực hiện các hành vi mong muốn.
BJ Fogg chỉ ra rằng đào tạo con người là một công việc khó khăn và hầu hết mọi người đều ngại học hỏi những điều mới. Cung cấp cho họ một công cụ hoặc tài nguyên sẽ giúp thực hiện hành vi dễ dàng hơn. Một ví dụ tuyệt vời là trình quản lý mật khẩu giúp đơn giản hóa sự phức tạp của việc phải nhớ nhiều mật khẩu khác nhau.
Chúng ta đang sống trong một thế giới phức tạp, bận rộn và lộn xộn với quá nhiều mối quan tâm. Chúng ta không thể nào nhớ hết được vô số thứ mà chúng ta cần biết để thực hiện công việc hàng ngày của mình. Khi đó, động lực và khả năng thôi là không đủ để đảm bảo thay đổi hành vi của con người, chúng ta cần thêm lời nhắc.
Lời nhắc có mục đích nhắc nhở và bảo mọi người “thực hiện ngay”. Một ví dụ điển hình là cảnh báo độ mạnh của mật khẩu nhắc nhở mọi người nghĩ ra những mật khẩu tốt hơn khi họ tạo chúng.
Hay như khi một email đáng ngờ vượt qua tường lửa của người dùng, một cửa sổ bật lên có thể hiển thị trong hộp thư đến của nhân viên với nội dung: “Bạn có thực sự muốn nhấp vào đó không?” Lời nhắc đơn giản khiến mọi người tạm dừng và cho họ thời gian để xem xét các lựa chọn cũng như ưu/nhược điểm của việc thực hiện hoặc không thực hiện một số hành động nhất định.
Các nhà lãnh đạo bảo mật ngày càng nhận ra vấn đề con người mới là nguyên nhân gốc rễ quan trọng nhất trong tất cả các cuộc tấn công mạng. Đó là lý do tại sao nhận thức về bảo mật là ưu tiên bảo mật hàng đầu. Tuy nhiên, việc chuyển nhận thức thành hành vi an toàn không phải là một công việc dễ dàng. Các tổ chức nên tìm hiểu và áp dụng các nguyên tắc thiết kế hành vi để tác động tích cực và thay đổi văn hóa bảo mật. Khi có thể kết hợp ba yếu tố động lực, khả năng và lời nhắc, thì việc thay đổi hành vi có nhiều khả năng xảy ra hơn là chỉ truyền bá nội dung nâng cao nhận thức và hy vọng đạt được kết quả.
Hoàng Thu Phương (Viện Khoa học - Công nghệ mật mã, Ban Cơ yếu Chính phủ)
13:00 | 06/12/2022
10:00 | 21/02/2023
10:00 | 21/12/2022
16:00 | 06/12/2024
Trước thực trạng thiếu hụt nguồn nhân lực ATTT chất lượng cao hiện nay, cần thiết đề ra các giải pháp để giải quyết bài toán nguồn nhân lực, hướng tới phát triển bền vững.
07:00 | 17/10/2024
Vào tháng 3/2024, các nhà nghiên cứu tại hãng bảo mật Kaspersky đã phát hiện ra một chiến dịch tấn công mạng tinh vi nhắm vào những cá nhân ở Nga bằng phần mềm gián điệp Android có tên gọi là LianSpy, phần mềm này có khả năng ghi lại các bản ghi màn hình, trích xuất tệp của người dùng, thu thập nhật ký cuộc gọi và danh sách ứng dụng. Các tin tặc đã sử dụng nhiều chiến thuật trốn tránh, chẳng hạn như tận dụng dịch vụ đám mây của Nga là Yandex Disk, để liên lạc với máy chủ điều khiển và ra lệnh (C2). Một số tính năng này cho thấy LianSpy rất có thể được triển khai thông qua lỗ hổng bảo mật chưa được vá hoặc truy cập vật lý trực tiếp vào điện thoại mục tiêu. Bài viết này sẽ cùng khám phá và phân tích phần mềm gián điệp LianSpy dựa trên báo cáo của Kaspersky.
14:00 | 01/03/2024
Giấu tin (steganography) là một kỹ thuật nhúng thông tin vào một nguồn đa phương tiện nào đó, ví dụ như tệp âm thanh, tệp hình ảnh,... Việc này giúp thông tin được giấu trở nên khó phát hiện và gây ra nhiều thách thức trong lĩnh vực bảo mật và an toàn thông tin, đặc biệt là quá trình điều tra số. Thời gian gần đây, số lượng các cuộc tấn công mạng có sử dụng kỹ thuật giấu tin đang tăng lên, tin tặc lợi dụng việc giấu các câu lệnh vào trong bức ảnh và khi xâm nhập được vào máy tính nạn nhân, các câu lệnh chứa mã độc sẽ được trích xuất từ ảnh và thực thi. Nhằm mục đích cung cấp cái nhìn tổng quan về phương thức ẩn giấu mã độc nguy hiểm, bài báo sẽ giới thiệu về kỹ thuật giấu tin trong ảnh và phân tích một cuộc tấn công cụ thể để làm rõ về kỹ thuật này.
14:00 | 23/02/2024
SSH (Secure Socket Shell) là giao thức mạng để đăng nhập vào một máy tính từ xa trên một kênh truyền an toàn. Trong đó, OpenSSH là một chuẩn SSH được sử dụng ở hầu hết các bản phân phối của Linux/BSD như Ubuntu, Debian, Centos, FreeBSD, mã hóa tất cả các thông tin trên đường truyền để chống lại các mối đe dọa như nghe lén, dò mật khẩu và các hình thức tấn công mạng khác. Trong bài viết này sẽ hướng dẫn độc giả cách thức tăng cường bảo mật cho OpenSSH với một số thiết lập bảo mật và cấu hình tùy chọn cần thiết nhằm đảm bảo truy cập từ xa vào máy chủ Linux được an toàn.
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Trong bối cảnh Chính phủ đang đẩy mạnh hoạt động của Chính phủ Điện tử và chuyển đổi số trên phạm vi cả nước, an ninh mạng đã trở thành một trong những thách thức lớn nhất đối với các cơ quan Đảng và Chính phủ. Tình hình mất an ninh, an toàn thông tin đang ngày càng phức tạp và nghiêm trọng, với sự gia tăng không ngừng của các cuộc tấn công mạng tinh vi và các biến thể mã độc mới. Với bối cảnh như vậy, việc bảo vệ hệ thống thông tin và các sản phẩm phần cứng, phần mềm quan trọng trong các cơ quan Đảng, Chính phủ trước các mối đe dọa từ mã độc trở thành nhiệm vụ hết sức cấp thiết.
15:00 | 10/01/2025