Có hai thách thức lớn mà các tổ chức phải đối mặt khi cam kết thiết lập một môi trường an toàn nhằm bảo vệ hệ thống và dữ liệu của họ, cũng như dữ liệu của nhân viên, khách hàng, đó là đảm bảo hệ thống của tổ chức luôn có các lớp bảo mật và công nghệ phù hợp để giữ an toàn cho dữ liệu và ngăn chặn tội phạm mạng, cũng như đảm bảo các hoạt động của nhân viên an toàn và có hiểu biết về việc bảo vệ các hệ thống thông tin và dữ liệu, tránh đặt chúng vào rủi ro.
Nhìn chung, con người là yếu tố lớn nhất gây cản trở nỗ lực của các tổ chức nhằm xây dựng và duy trì một nền văn hóa bảo mật mạnh mẽ. Vì vậy, các tổ chức nên áp dụng các kỹ thuật khoa học và nghiên cứu hành vi đã được thử nghiệm qua thời gian để xây dựng văn hóa bảo mật dựa trên các nguyên tắc thiết kế hành vi.
Thiết kế hành vi, một lĩnh vực khoa học do Tiến sĩ BJ Fogg của Đại học Stanford tiên phong nghiên cứu, là một cách suy nghĩ có hệ thống về hành vi của con người và cách mọi người đưa ra quyết định. Ông mô tả nó là “một cách tiếp cận mới để hiểu hành vi của con người và cách thiết kế để thay đổi hành vi”.
Theo Mô hình Fogg về thiết kế hành vi, hành vi xảy ra là do sự kết hợp của ba yếu tố: Động lực, Khả năng và Lời nhắc. Nói cách khác, để thay đổi hành vi của một con người, cần phải có ba yếu tố:
- Động lực: để thay đổi hành vi của một người, thì chính bản thân họ phải muốn thay đổi vì họ nhận ra được lợi ích khi làm như vậy.
- Khả năng: con người phải có kiến thức và công cụ cần thiết để thay đổi thành công hành vi. Hành vi đó phải đủ dễ dàng thực hiện để hoàn thành tùy theo mức độ động lực hiện tại của người đó.
- Lời nhắc: để thông báo hoặc nhắc nhở mọi người biết về sự cần thiết của hành vi và giúp ghi nhớ sự nhận biết đó.
Chúng ta sẽ cùng xem xét từng thành phần này và cách chúng có thể được áp dụng để xây dựng văn hóa bảo mật.
Nếu muốn con người thay đổi hành vi thì cần cho họ lý do để làm như vậy. Mô hình Fogg về thiết kế hành vi nêu bật ba yếu tố động lực cốt lõi: Cảm giác, Dự đoán và Sự sở hữu. Mỗi yếu tố đều có hai mặt đối lập: niềm vui/đau đớn, hy vọng/sợ hãi, chấp nhận/từ chối. Những động lực cốt lõi này áp dụng cho tất cả mọi người và là trung tâm của trải nghiệm con người, cụ thể:
- Khai thác cảm xúc của mọi người bằng cách sử dụng nội dung trực quan, hấp dẫn với sự hài hước và các kỹ thuật dựa trên câu chuyện, đồng thời kích hoạt cảm giác tích cực.
- Sợ hãi cũng có thể là một động lực mạnh mẽ, quá nhiều sự sợ hãi cũng có thể dẫn đến sự thờ ơ và cần được củng cố bằng quan niệm rằng nó đơn giản để bảo vệ.
- Sử dụng sức mạnh của sự lãnh đạo hoặc người nổi tiếng để kể chuyện và gợi cảm giác thân thuộc.
- Cá nhân hóa bằng cách cung cấp thông tin về cách bảo vệ trẻ em hoặc thành viên gia đình.
Lưu ý: Sự hài hước là một kỹ thuật tốt để thu hút sự chú ý của mọi người, gợi lên những cảm xúc tích cực và giúp ghi nhớ. Tuy nhiên, nó phải được áp dụng cẩn thận và phù hợp với văn hóa của từng khu vực, nếu không có thể bị phản tác dụng. Ngoài ra, nó không nên được sử dụng quá nhiều, vì có thể khiến mọi người không coi trọng thông điệp cốt lõi.
Ngày nay, các cuộc tấn công lừa đảo ngày càng phổ biến khi tội phạm mạng sử dụng các thủ thuật ngày càng tinh vi để khiến mọi người nhấp vào những đường dẫn có chứa mã độc hoặc thông tin độc hại.
Nhân viên của một công ty có thể có động lực để tránh những cuộc tấn công này, bởi vì xét cho cùng, họ không muốn là người phải chịu trách nhiệm khi dữ liệu quan trọng bị rủi ro. Nhưng chỉ có động lực thôi là không đủ, họ cũng phải có khả năng tránh những cuộc tấn công này. Để làm được điều đó phải dựa trên kiến thức, công cụ, thói quen và bản năng cần thiết để thực hiện các hành vi mong muốn.
BJ Fogg chỉ ra rằng đào tạo con người là một công việc khó khăn và hầu hết mọi người đều ngại học hỏi những điều mới. Cung cấp cho họ một công cụ hoặc tài nguyên sẽ giúp thực hiện hành vi dễ dàng hơn. Một ví dụ tuyệt vời là trình quản lý mật khẩu giúp đơn giản hóa sự phức tạp của việc phải nhớ nhiều mật khẩu khác nhau.
Chúng ta đang sống trong một thế giới phức tạp, bận rộn và lộn xộn với quá nhiều mối quan tâm. Chúng ta không thể nào nhớ hết được vô số thứ mà chúng ta cần biết để thực hiện công việc hàng ngày của mình. Khi đó, động lực và khả năng thôi là không đủ để đảm bảo thay đổi hành vi của con người, chúng ta cần thêm lời nhắc.
Lời nhắc có mục đích nhắc nhở và bảo mọi người “thực hiện ngay”. Một ví dụ điển hình là cảnh báo độ mạnh của mật khẩu nhắc nhở mọi người nghĩ ra những mật khẩu tốt hơn khi họ tạo chúng.
Hay như khi một email đáng ngờ vượt qua tường lửa của người dùng, một cửa sổ bật lên có thể hiển thị trong hộp thư đến của nhân viên với nội dung: “Bạn có thực sự muốn nhấp vào đó không?” Lời nhắc đơn giản khiến mọi người tạm dừng và cho họ thời gian để xem xét các lựa chọn cũng như ưu/nhược điểm của việc thực hiện hoặc không thực hiện một số hành động nhất định.
Các nhà lãnh đạo bảo mật ngày càng nhận ra vấn đề con người mới là nguyên nhân gốc rễ quan trọng nhất trong tất cả các cuộc tấn công mạng. Đó là lý do tại sao nhận thức về bảo mật là ưu tiên bảo mật hàng đầu. Tuy nhiên, việc chuyển nhận thức thành hành vi an toàn không phải là một công việc dễ dàng. Các tổ chức nên tìm hiểu và áp dụng các nguyên tắc thiết kế hành vi để tác động tích cực và thay đổi văn hóa bảo mật. Khi có thể kết hợp ba yếu tố động lực, khả năng và lời nhắc, thì việc thay đổi hành vi có nhiều khả năng xảy ra hơn là chỉ truyền bá nội dung nâng cao nhận thức và hy vọng đạt được kết quả.
Hoàng Thu Phương (Viện Khoa học - Công nghệ mật mã, Ban Cơ yếu Chính phủ)
13:00 | 06/12/2022
10:00 | 21/02/2023
10:00 | 21/12/2022
10:00 | 10/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
15:00 | 19/02/2024
SoftEther là phần mềm xây dựng mạng riêng ảo (Virtual Private Network - VPN ) cho phép hoạt động ở lớp 2 trong mô hình OSI (lớp liên kết dữ liệu). SoftEther tích hợp nhiều giao thức VPN mà có thể hoạt động ở các lớp khác nhau, trong đó có giao thức SE-VPN hoạt động ở lớp 2. Bài viết này giới thiệu về giải pháp máy chủ VPN tích hợp SoftEther, cũng như trình bày về cách xử lý, đóng gói gói tin của giao thức SE-VPN được sử dụng trong máy chủ SoftEther.
15:00 | 26/05/2023
Ngày nay, trong quy trình xem xét, đánh giá và phân bổ nguồn lực của các tổ chức/doanh nghiệp, bảo mật dữ liệu vẫn được coi là ưu tiên hàng đầu. Tuy nhiên, nhiều tổ chức/doanh nghiệp vẫn phải đối mặt với nhiều hơn những mối đe dọa từ các sự cố an ninh mạng mà họ lường trước.
09:00 | 23/05/2023
Cookie của trình duyệt đôi khi bị hỏng và không hoạt động như mong đợi, khiến các trang web tải không chính xác và thậm chí có thể bị lỗi. Khi điều này xảy ra, người dùng có thể khắc phục sự cố bằng cách xóa tất cả cookie ở mọi nơi, tất cả cùng một lúc hoặc có thể xóa cookie được liên kết với một trang web cụ thể. Đối với Microsoft Edge, việc xóa các cookie cụ thể yêu cầu phải đi sâu vào menu cài đặt (Settings).
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024