(PCWorldVN) Vụ bà Hillary Clinton bị phát hiện sử dụng email cá nhân trong công việc khi còn lãnh đạo Bộ Ngoại giao Mỹ có thể là một bài học điển hình cho những doanh nghiệp còn xem nhẹ an toàn, an ninh thông tin. Bà Hillary Clinton biện bạch dùng email cá nhân trong công việc cho tiện Gửi email số lượng lớn với Microsoft Outlook 2013 Google và Microsoft: Cuộc chiến Email 9 mối đe dọa an ninh thông tin lớn nhất trong 24 tháng tới Báo động thực trạng mất an toàn, an ninh thông tin Đầu tháng 3 vừa qua, truyền thông Mỹ bắt đầu rộ lên thông tin cựu Ngoại trưởng Mỹ Hillary Clinton đã sử dụng email cá nhân để trao đổi công việc trong suốt nhiệm kỳ 4 năm tại vị. Ngay lập tức có những lời cáo buộc từ phía đảng Cộng hòa, cho rằng bà Clinton đã vi phạm nghiêm trọng luật liên bang của Mỹ. Điều này cũng dễ hiểu trong bối cảnh cựu đệ nhất phu nhân Mỹ đang được xem là ứng cử viên tiềm năng của đảng đối thủ Dân chủ trong cuộc đua vào Nhà Trắng vào năm 2016. Bỏ qua vấn đề đảng phái chính trị, chỉ nhìn dưới góc độ an ninh thông tin doanh nghiệp, việc sử dụng email cá nhân để giao tiếp trong quá trình giải quyết công việc là một ý tưởng tệ hại. Tài khoản email cá nhân nằm ngoài sự giám sát của bộ phận IT, cũng có nghĩa nguy cơ rò rỉ thông tin rất lớn, bên cạnh đó việc quản lý thông tin dữ liệu của doanh nghiệp cũng xem như ngoài tầm kiểm soát của những người có trách nhiệm. Câu chuyện này có thể xem như là lời cảnh báo cho các doanh nghiệp nào còn xem nhẹ vấn đề an ninh thông tin. Rủi ro có thể đến từ thói quen xấu của nhân viên trong khi tìm cách giao tiếp sao cho thuận lợi. Email cá nhân ngoài tầm kiểm soát Email cá nhân rất dễ bị tấn công. Điển hình như vụ Thống đốc bang Alaska và là ứng cử viên Phó Tổng thống Sarah Palin mất tài khoản email Yahoo hồi tháng 9/2008. Tài khoản email Yahoo cá nhân này được bà Palin sử dụng thường xuyên trong công việc. Biết được địa chỉ email của bà Thống đốc ([email protected]), hacker truy cập vào Yahoo Mail, rồi chọn mục “Forgot My Password” để xin cấp lại mật khẩu. Các câu hỏi tự động sau đó của Yahoo được hacker trả lời dễ dàng từ những thông tin tìm kiếm trên mạng như mã bưu chính, ngày sinh (từ Wikipedia). Câu hỏi bí mật cuối cùng, nơi Palin gặp người bạn đời của mình, hacker cho biết đã tìm thấy trong cuốn tự truyện của bà, đó là trường trung học “Wasilla High”. Chỉ mất 45 phút, hacker đã đổi xong mật khẩu và sở hữu tài khoản email của bà Palin. Trở lại vụ bà Clinton, cựu Ngoại trưởng Mỹ giải thích bà dùng email cá nhân trong công việc là để “cho tiện”, khỏi phải đem theo 2 thiết bị di động, vì chiếc điện thoại do chính phủ cấp không thể dùng email cá nhân. Tương tự, người dùng doanh nghiệp là chủ nhân chiếc iPhone cũng sẽ không muốn mang theo một chiếc BlackBerry được công ty cấp để dùng cho công việc. Trên nguyên tắc thì bộ phận IT (hoặc nhân viên chuyên trách IT, nếu có) của doanh nghiệp có trách nhiệm thực thi các biện pháp an ninh thông tin xung quanh tài khoản email của nhân viên cũng như các thiết bị IT cấp cho nhân viên. Truy cập có thể bị giới hạn, chỉ được phép với những thiết bị này. Những email lưu trữ trên các thiết bị doanh nghiệp cấp cho nhân viên thường được mã hóa, vì vậy nếu chẳng may thiết bị của họ rơi vào tay kẻ xấu thì chúng cũng khó đọc được nội dung email. Nhưng vì chữ “tiện”, nhiều nhân viên đã có thói quen phớt lờ bộ phận IT, chẳng những dùng email cá nhân mà còn truy cập dữ liệu doanh nghiệp để xử lý công việc bằng thiết bị tiêu dùng cá nhân với các ứng dụng và dịch vụ chưa được doanh nghiệp chấp thuận. Rõ ràng việc xâm nhập trái phép vào các thiết bị tiêu dùng bị mất (hoặc bị đánh cắp) và các dịch vụ đám mây cá nhân dễ dàng hơn đối với hệ thống của doanh nghiệp được trang bị giải pháp bảo mật đắt tiền. Tệ hơn nữa, với các thiết bị hay ứng dụng “ngoài luồng”, một nhân viên bất lương có thể dễ dàng ăn cắp tài sản trí tuệ của công ty và cung cấp cho đối thủ kinh doanh. Hành vi ăn cắp dữ liệu từ nội bộ là khá phổ biến. Việc dùng email cá nhân cho công việc còn có thể gây thiệt hại nặng cho doanh nghiệp khi nhân viên ra đi. Nội dung email cá nhân được lưu trữ tại máy chủ ngoài và trên thiết bị riêng của nhân viên, công ty sẽ không kiểm soát được dữ liệu khi nhân viên nghỉ việc. Những thông tin quan trọng trong quá trình nhân viên xử lý công việc bằng email cá nhân có thể được đối thủ kinh doanh khai thác, gây bất lợi cho doanh nghiệp. Để tránh điều này nhiều công ty đã áp dụng qui định cấm hoàn toàn việc sử dụng email cá nhân trên thiết bị của công ty. Thậm chí thiết lập cấu hình tường lửa chặn những tên miền như mail.yahoo.com và gmail.com. Cựu Ngoại trưởng Mỹ Hillary Clinton bị chỉ trích vì đã dùng email cá nhân trong công việc khi còn tại vị. Chính sách “cây gậy và củ cà rốt” Không khó để đặt ra những qui định về bảo mật, theo đó nhân viên chỉ được sử dụng những gì “trong luồng”, và phạt nặng những ai bị phát hiện vi phạm. Tuy nhiên, chỉ bằng biện pháp hành chính thường không đem lại kết quả như ý, vì nhân viên thường có xu hướng phản ứng lại chính sách hà khắc. Nhân viên quyết định sử dụng thiết bị cá nhân và ứng dụng “ngoài luồng” không phải có dụng ý xấu mà thường là do họ không hài lòng với những thứ “trong luồng”: thiết bị do công ty cấp không đủ tốt; ứng dụng trong danh sách còn có những bất tiện; biện pháp an ninh thông tin doanh nghiệp khiến trải nghiệm của người dùng trở nên phiền phức; bộ phận IT chậm đáp ứng yêu cầu. Đây là một thực tế không mấy dễ chịu mà các doanh nghiệp đang phải đối mặt, đòi hỏi phải có sự thỏa hiệp giữa việc bảo vệ dữ liệu quan trọng với những truy cập “ngoài luồng” của nhân viên. Cách tốt để thuyết phục nhân viên là cung cấp thiết bị tốt hơn, nâng cao chất lượng của những ứng dụng và dịch vụ “trong luồng”, thay vì đối kháng với nhân viên. Chính sách khôn ngoan là kết hợp “cây gậy” và “củ cà rốt”. Tóm lại, chúng ta không bàn tới những lời chỉ trích và tranh cãi diễn ra xung quanh câu chuyện bà Clinton dùng email cá nhân cho công việc. Dù vậy, những câu chuyện như thế này luôn là cơ hội để tìm hiểu và rút ra bài học giá trị cho doanh nghiệp. Doanh nghiệp để nhân viên thoải mái sử dụng tài khoản email cá nhân tại nơi làm việc, không có biện pháp ngăn cản nhân viên sử dụng email cá nhân cho công việc, đồng nghĩa đang đối mặt với rủi ro. Báo cáo của Hiệp hội An toàn Thông tin Việt Nam (VNISA) tại Ngày ATTT 2014 vừa qua cho thấy, bùng nổ số lượng thiết bị cá nhân như smartphone, máy tính bảng trong mạng tổ chức, nhưng có tới 74% đơn vị không có bất kỳ biện pháp bảo mật nào. Mới chỉ có một số ít tỉnh/thành như Hà Tĩnh, Hà Nội, Đà Nẵng nghiêm cấm cán bộ, công chức, viên chức trong các cơ quan nhà nước trên địa bàn sử dụng tài khoản email cá nhân như Gmail, Yahoo mail trong công việc để tránh rủi ro về an ninh thông tin. PC World VN, 04/2015 Nguồn PC World VN
