Tóm Tắt
a. Hãy tự hỏi mình, một người lạ mặt có thể dễ dàng chiếm đoạt được quyền vào văn phòng và nơi làm việc của bạn hay không?
b. Hãy ý thức được rằng việc sử dụng máy điện toán trong một quán café công cộng không an toàn bằng việc sử dụng máy tại nhà.
c. Dữ kiện được lưu giữ trong máy điện toán của bạn cần được bảo mật bằng nhiều tầng lớp tiếp cận khác nhau : sự an toàn của chính chiếc máy điện toán, nơi bạn đặt máy điện toán như căn phòng của bạn hoặc tòa nhà nơi bạn làm việc.
d. Biết rõ vị trí trong máy những dữ kiện đang có và mọi bản sao chép để lưu trữ.
e. Không sử dung mật mã trống không hoặc để lộ cho người khác biết.
f. Hãy thật cảnh giác khi mở email và đồng thời tắt chức năng duyệt trước (preview) được gài sẵn trong chương trình email.
g. Hạn chế tối đa cơ hội cho những người khác có thể vào máy điện toán của bạn sau khi bạn rời máy.
Nội dung của chương này sẽ đề cập tới những phương pháp không kỹ thuật nhằm gia tăng mức an toàn cho những thông tin liên lạc của bạn. Hãy cảnh giác đến môi trường chung quanh và như vậy có thể giúp bạn nhận diện ra các đe dọa tiềm tàng, đó là bước đầu trong kế hoạch an ninh thông tin của bạn. Bạn cần nắm vững môi trường hoạt động và có sẵn một phương pháp hợp lý nhằm giải quyết những sự cố ngoài ý muốn liên quan tới an toàn thông tin.
Đa số những sự cố có liên quan đến việc làm và đời sống của các nhà đấu tranh cho nhân quyền đều liên hệ đến bạo lực va sự xâm nhập vào môi trường làm hoạt động của họ. Bất luận là bạn đang làm việc tại văn phòng hay đem máy điện toán xách tay ra khỏi nhà, hay truy cập Internet tại quán café Internet, bạn nên luôn luôn ý thức được khả năng và giới hạn của mình. Sau đây là danh sách những câu hỏi mà bạn cần có câu trả lời. Cho mỗi một câu hỏi, hãy tưởng tượng đến tình huống tệ nhất có thể xảy đến và hãy suy nghĩ cách thức ứng phó.
Môi trường văn phòng
a. Người lạ có thể đột nhập một cách dễ dàng vào văn phòng của bạn mà không cần xin phép bạn hay không?
b. Cửa sổ và cửa ra vào có thể bị cậy mở hay không?
c. Bạn có một hệ thống báo động hay không? Nếu có, bạn có tin tưởng vào giới chức sẽ đáp ứng lời kêu gọi báo động của bạn không?
d. Bạn có sẵn một căn phòng dùng để tiếp khách hoặc để thăm hỏi khách trước khi cho phép họ đi vào văn phòng chính?
e. Bạn có một kho trữ an toàn dành cho những dữ liệu cơ mật, chẳng hạn như tủ hoặc két sắt?
f. Bạn có một cách hủy diệt an toàn (máy xé thành vụn) những dữ kiện mật hay không?
g. Mức độ tin tưởng của bạn như thế nào đối với các thành phần quét dọn văn phòng và khả năng của họ lấy hay đọc được những tài liệu của bạn là như thế nào?
h. Cách thức bạn dùng để vứt bỏ những tài liệu vô giá trị có loại trừ hẳn xác xuất người ngoài tìm được và thu lượm nó không? Về điểm này, bạn có biết là bạn có bao nhiêu tài liệu mật hay không?
i. Bạn có đóng bảo hiểm và đồng thời có dự trù biện pháp đối phó với những sự cố thiên tai hay bị mất trộm hay không?
j. Người đứng từ cửa sổ bên ngoài văn phòng bạn có dễ dàng nhìn thấy được nhân viên cũng như những gì được hiển thị trên màn hình máy điện toán của bạn không?
k. Bạn có trong tay tất cả là bao nhiêu bản sao chìa khóa cho văn phòng và ngoài bạn ra còn ai có trong tay những chìa khoá này?
Không gian làm việc cá nhân
a. Ai có thể nhìn thấy được màn hình điện toán của bạn trong lúc bạn đang làm việc trên bàn làm việc của bạn?
b. Ai trong văn phòng biết được mật mã của bạn?
c. Bạn có lưu giữ thông tin mật trong một nơi mà mọi người có thể dễ dàng vào được tại chỗ làm việc hay không?
d. Bạn có khóa máy điện toán của bạn sau khi bạn rời bàn làm việc hay văn phòng hay không?
e. Tại chỗ làm việc, máy điện toán để bàn (desktop computer) hoặc máy xách tay của bạn có được gắn vào ổ một khoá an toàn và không bị tháo gỡ dễ dàng hay không?
Môi trường công cộng (quán café Internet)
a. Người chủ quán có biết tên và những chi tiết cá nhân của bạn không?
b. Người chủ quán có giám sát lưu lượng những trao đổi trên Internet của khách hàng hay không?
c. Bạn có tự tin rằng máy mà bạn đang sử dụng hoàn toàn không chứa virus và những phần mềm gián điệp (spyware) không?
d. Những người trong quán có thể nhìn thấy những gì bạn đang đọc và đánh trên màn hình điện toán không?
e. Khi bạn tải về những tài liệu trên mạng Internet, những tài liệu đó có được lưu lại vào trong máy bạn xử dụng sau khi bạn rời khỏi quán? Làm cách nào để có thể chắc chắn điều này?
f. Hoạt động truy cập trên mạng Internet của bạn có được ghi vào trong máy điện toán không?
Bạn nên biết rằng sự an toàn trong môi trường hoạt động cũng như về những thông tin mà bạn truyền tải đòi hỏi một sự cẩn trọng toàn diện. Có những vấn đề có thể được giải quyết một cách dễ dàng —bằng cách mua về một dây cáp sắt để xích một cách an toàn máy laptop của bạn vào bàn làm việc. Những vấn đề khác đòi hỏi sự hợp tác của toàn thể nhân viên, như việc tiếp khách và chất vấn mục đích của họ khi đến đây, cũng như sự đầu tư về mặt tài chính, chẳng hạn như việc đóng bảo hiểm hoặc mua về một tủ sắt. Đa số những tổ chức nhân quyền hoạt động một cách công khai, không bí mật, mặc dù vậy họ vẫn phải chịu trách nhiệm về sự bảo đảm an toàn cho những đồng nghiệp và những người có liên quan tới những trường hợp mà họ can thiệp (nhân chứng, nạn nhân, nguời đứng tên tố cáo, vv.)
Khả năng nhìn lại tình hình của chính bạn từ nhiều góc độ khác nhau và ước lượng mức độ thiếu an ninh qua kinh nghiệm của riêng bạn sẽ giúp bạn có khả năng đánh giá và đề ra những việc cần làm nhằm bù đắp lại những điểm không an toàn.
Sự lượng giá mức đe doạ về an ninh của bạn và sự an toàn của máy điện toán cần phải được tiến hành trong môi trường thật ngoài đời. Đây là một lãnh vực mà bạn đã có sẵn kinh nghiệm và trình độ chuyên môn. Việc bạn thành công trong việc loại bỏ các đe doạ nêu ra trong các câu hỏi ở bên trên, sẽ là một bước đầu rất quan trọng nhằm bảo đảm mức an toàn của môi trường điện tử của bạn.
Hãy xem xét đồ hình dưới đây, trình bày các tầng khác nhau về an ninh chung quanh thông tin của máy điện toán mà bạn sử dụng.
An ninh đuợc xây dựng qua tất cả các tầng nhằm bảo đảm khả năng bảo vệ về chiều sâu (layer defense) cho đến việc thiết kế các hàng rào kiểm soát. Bạn cần phải xây dựng nhiều tầng bảo vệ chung quanh những thiết bị và thông tin quan trọng.
- Tòa nhà hoặc căn hộ nơi bạn đặt những thiết bị và/hoặc tài liệu.
- Căn phòng nơi bạn lưu trữ thiết bị và/hoặc tài liệu.
- Nơi làm việc và vị trí đặt máy điện toán.
- Những tài liệu và dữ liệu của bạn (kể cả tài liệu trên giấy).
Bạn sẽ không bao giờ có được một sự an toàn tuyệt đối. Là con người, chúng ta khó tránh khỏi những sai lầm, chẳng hạn như quên các thông tin quan trọng và thi hành một cách tắc trách những biện pháp bảo toàn do sự lười biếng hoặc thiếu thời giờ. Chúng ta cần có một số nhận thức thông thường khi nghĩ tới an toàn của mình. Mục đích của tài liệu này không phải là để dạy cho người khác những nhận thức thông thường, mà là để liệt kê một danh sách những câu hỏi mà chính tác giả phải trả lời nhằm bảo đảm công việc làm trên và ngoài máy điện toán sẽ được hoàn tất với một cách ít tổn hại nhất. Những chương kế tiếp sẽ giúp bạn thực hành một số những biện pháp dưới đây, và do đó nên bạn không nên quá lo lắng nếu cảm thấy những đề nghị ban đầu của tác giả có vẻ quá cao siêu.
Những câu hỏi cho chính mình
Dữ liệu của tôi nằm ở đâu?
Trước hết, lúc nào bạn cũng cần nhớ nơi bạn lưu trữ những tài liệu cực kỳ quan trọng đối với công việc của bạn. Tài liệu có thể nằm trên máy điện toán tại văn phòng hoặc nằm trên máy điện toán cầm tay hay nằm trong thẻ nhớ USB, thậm chí là trên đống CD nằm trong tủ búp phê ở một nơi nào đó. Việc làm một bản sao phòng bị cho những dữ liệu này trong trường hợp bị mất hay bị hư hao do cố ý gây ra sẽ khiến cho bạn mất nhiều năm công việc, là một điều vô cùng thiết yếu. Đồng thời việc đảm bảo an toàn cho bản copy này cũng không kém phần cần thiết. Trong hoàn cảnh mà những chiếc đĩa cứng nằm tứ tung nơi văn phòng hoặc căn nhà của bạn, bạn sẽ không thể nào đảm bảo an toàn cho những dữ liệu được lưu trữ trong đó.
Ai biết được mật mã của tôi?
Không bao giờ đưa mật mã cho bất kỳ một ai, cho dù có những trường hợp mà bạn mong ước mình có thể làm như vậy (như những lúc khẩn cấp, cận kề thời hạn giao nộp—chúng ta ai nấy cũng đều đã từng trải qua những lúc như vậy). Áp lực công việc thường đòi hỏi ta phải hoàn tất trước hết một số việc và do đó phải để qua một bên tất cả những việc làm khác. Trên phương diện an toàn thông tin, đây là một cách hành xử mang tính chất mạo hiểm. Trong trường hợp mật mã của bạn lọt vào tai của một kẻ lạ, được viết xuống và bị đánh mất, hoặc gặp sự cố ngoài ý muốn, bạn sẽ mất vĩnh viễn khả năng truy cập vào trương mục email và tài liệu của mình.
Việc sử dụng mật mã rỗng (mật mã dễ bị đoán ra) tương tự với việc không khóa lại cửa nhà suốt đêm trong một khu xóm nguy hiểm. Có thể sẽ không ai xâm nhập nhà bạn, hoặc nếu có thì kẻ đột nhập sẽ lấy cắp được mọi vật dụng. Trên mạng Internet có những chương trình tự động dò tìm ra những cánh cửa mở sẵn và có khả năng sẽ tìm được khe hỡ để xâm nhập vào nơi làm việc của bạn một cách rất nhanh chóng. Vài năm về trước, một tin tặc người Anh là Garry McKinnon đã thành công đột nhập nhiều lần vào hệ thống điện toán của chính phủ và Bộ Quốc Phòng Hoa Kỳ bằng cách đánh thử các mật mã trống rỗng hoặc thông thường như “admin” hoặc “password”. Trong giả thuyết anh ta đã lấy được những thông tin về người ngoài hành tinh và bằng chứng cho thấy sự bưng bít của chính phủ Hoa Kỳ về những thông tin này. Anh có thể bị bắt và bị dẫn độ ra trước tòa án ở Mỹ.
Máy này là máy của ai?
Nhiều lúc chúng ta cần phải làm việc trên máy công cộng trong một quán cà phê Internet hoặc một thư viện nào đó. Đồng thời có những lúc đó chúng ta không thể nào bảo đảm được là chiếc máy đang sử dụng không chứa virus, phần mềm gián điệp, Trojan, hoặc những nhu liệu độc hại khác. Bạn cần phải thận trọng khi chọn lựa những loại dữ kiện thông tin mà bạn muốn mở ra trên những loại máy điện toán này. Nên cố gắng hạn chế tối đa làm việc với những thông tin mật nhất là khi bạn biết được hậu quả nếu những thông tin này bị lấy cắp hay bị hủy hoại. Nên nhớ rằng bất cứ một tài liệu nào đã được mở và đọc trên máy điện toán nơi công cộng sẽ được lưu trữ lại một cách dễ dàng cho sự kiểm tra sau đó; nếu máy điện toán được thiết trí cho khả năng này.
Mỗi chiếc máy điện toán trên mạng Internet đều có một chi tiết nhận diện duy nhất (Xem thêm chi tiết). Nếu người chủ quán café Internet có thể ghi lại tên bạn và giờ giấc bạn truy cập, hoạt động trên mạng của bạn chưa chắc đã được bảo mật. Họ có thể trực tiếp truy ra gốc tích của bạn.
Ai đây?
Mỗi khi bạn nhận được một email lạ hoặc một đường nối vào mạng không rõ gốc tích, luôn luôn tự hỏi mình—ai có thể là người gửi thông tin này? Nếu có những nghi ngờ về nguồn gốc chính đáng của tin nhắn, đừng bao giờ bấm vào để thỏa mãn tính tò mò. Ngược lại, bạn nên xóa tin nhắn ngay lập tức. Đáng tiếc thay, thế giới công nghệ điện toán đã tinh vi đến mức không nhất thiết phải bấm chuột hai lần vào một đường link mới để có thể bị nhiễm virus. Những kỹ thuật công nghệ thông tin tân tiến cho phép những chương trình hủy hoại tối tân nhất đột nhập vào máy của bạn qua một email. Vì thế cẩn thận tối đa là tốt nhất.
Ai có thể vào máy của bạn?
Mỗi khi bạn rời bàn làm việc để về nhà hay đi ra ngoài ăn trưa, hãy tắt máy điện toán. Vô số sự cố có thể xảy ra khi máy của bạn tiếp tục chạy trong lúc không có bạn ở đó. Khi tắt máy, bạn cắt đi nguồn điện lực và bảo vệ máy khỏi những nỗ lực tấn công qua mạng. Mật mã an toàn dành cho BIOS (hệ thống xuất nhập cơ bản) hoặc Windows sẽ không có hiệu lực khi máy điện toán đang chạy. Có những virus không hoạt động cho đến nửa đêm, sau đó kích hoạt modem và quay số viễn liên (long distance). Chỉ cần vài phút là có thể mở lại đa số các máy điện toán cho nên, bạn chỉ cần tốn vài phút là có thể đảm bảo sự an toàn trên nhiều phương diện. An toàn là chính!
Bạn biết như thế nào về môi trường của mình?
Sự hiểu biết về môi trường chung quanh rất quan trọng cho sự an toàn cho bạn. Bạn nên ý thức được những nguy cơ xảy ra trong từng tình huống, cũng như những phương tiện nhằm đối phó với những nguy cơ đó. Làm việc về lãnh vực an toàn điện tử đòi hỏi bạn phải có nhiều kiến thức về luật pháp địa phương liên hệ, sự an toàn tại nơi làm việc, và một mạng lưới giao tế gồm những bạn bè và đồng nghiệp tín cẩn, sau cùng là kiến thức công nghệ thông tin và ý thức về những ưu khuyết điểm của chính bạn và của máy điện toán bạn đang sử dụng. Nhằm đề ra một chính sách an ninh thông tin cho cá nhân bạn và tổ chức của bạn, bạn cần phải xây dựng một mô hình đe dọa (giải trình và lượng giá những khả năng tấn công khác nhau) nhằm tìm cách ứng phó trước.
No comments:
Post a Comment