• Sau đó là “cyber-mercenaries” lính đánh thuê không gian mạng, những ngườibảo vệ chuyên nghiệp làm việc với bọn tội phạm.• Có những người trong các tổ chức thực thi pháp luật và quân sự
Trang 11 Định nghĩa bảo mật thông tin
1.1 Tại sao bảo mật thông tin ngày càng quan trọng?
Ngày nay, chúng ta biết rằng nhiều điều không mong muốn có thể xảy ra trongkhông gian mạng Danh sách sau đây là một vài minh chứng cho thấy con ngườivẫn đang dùng trí thông minh để tiếp tục phát triển những cách thức mới để khaithác sự nguy hiểm từ không gian mạng:
• Thua lỗ tài chính: năm 1995, một ngân hàng Anh quốc đã dừng kinh doanh saumột thời gian dài hoạt động, sau đó vào năm 2008 một ngân hang Pháp đánhmất hơn 6 tỉ Năm 2011 một ngân hàng Thụy Sĩ tại London mất đi 2 tỉ đô Cả batrường hợp này xảy ra đều do sự lừa dối hoặc lạm dụng nội gián Đây cũngkhông phải là tình huống duy nhất
• Tấn công từ chối dịch vụ (Dos): gồm có sự phối hợp, sự cố gắng ác ý của mộtngười hay nhiều người để một trang web, hay hệ thống mạng không thể sửdụng, làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng kể vớingười dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống Cáccuộc tấn công như vậy đủ dễ để thực hiện và thường thành công
• Phá hoại mạng hoặc hệ thống máy tính để can thiệp vào hoạt động của tổ chức
• Sử dụng phần mềm độc hại để kiểm soát máy tính hoặc hệ thống máy tính vìbất kỳ lý do nào
• Trộm cắp tài sản trí tuệ - bao gồm gián điệp công nghiệp
• Trộm cắp thông tin nhận dạng cá nhân - vi phạm quyền riêng tư dẫn đến mạodanh
• Tham nhũng hoặc phá hủy dữ liệu, phần mềm của công ty - thường xuyên sửdụng phần mềm độc hại
Ngày càng nhiều những lo ngại về mối đe dọa của các cuộc tấn công mạng trêncác vấn đề quan trọng như điện, nước, thông tin liên lạc, giao thông, bệnh viện, v.v.cũng như việc thực thi pháp luật và các dịch vụ khẩn cấp Các chính trị gia trênkhắp thế giới cũng chấp nhận rằng có một mối đe dọa rằng những tổ chức đóng vai
1
Trang 2trò quan trọng trong an ninh quốc gia, các cơ sở quân sự và các tổ chức hoạt độngtrong lĩnh vực này, có thể là mục tiêu của một cuộc tấn công mạng Các cá nhâncũng có thể là mục tiêu, ví dụ:
• Truyền nhiễm một thiết bị cá nhân bằng phần mềm độc hại ( virus, worm,Trojan Horse, Rootkit, v.v.)
• Mất quyền kiểm soát thiết bị cá nhân tức là ai đó được sử dụng thiết bị màkhông có sự đồng ý của chủ nhân để phát tán thư rác hoặc thực hiện tấn công từchối dịch vụ (zombie, botnet)
• Mạo danh - các giám đốc điều hành cấp cao tại Interpol và NATO đã từng bịnhư vậy Các trang Facebook về họ được tạo ra và tương tác để có được “bạnbè”, sau đó, họ được yêu cầu cung cấp thông tin Các cá nhân liên quan không
hề biết và cho phép điều này
• Lạm dụng lòng tin - một nhà nghiên cứu học thuật đã tạo ra các tài khoảnFacebook, Twitter, Linkedin và các phương tiện truyền thông xã hội khác chomột phụ nữ trẻ sáng giá (Robyn Sage) với các thông tin đầy ấn tượng Ấn tượngđến mức nhiều người không chỉ muốn liên kết với cô ấy mà còn cung cấp việclàm cho cô (không gặp mặt) hoặc chia sẻ những tài liệu nhạy cảm để tìm kiếm ýkiến của cô Trong thực tế Robyn không tồn tại - danh tính của cô là một phầncủa nghiên cứu về cách lòng tin được sử dụng và bị lạm dụng trong các trangmạng xã hội
• Hành vi trộm cắp danh tính – bao gồm dữ liệu về tài khoản ngân hàng, thẻ tíndụng, v.v., gây ra các tổn thất tài chính cá nhân nhưng lại rất khó để điều tra làm
Trang 31.2 Các ngữ nghĩa của bảo mật thông tin
Từ vựng về bảo mật thông tin tiếp tục phát triển Một phần quan trọng của nó baogồm thuật ngữ kỹ thuật, ví dụ: botnet, rootkit, khóa công khai, v.v Những điều nàykhá có ý nghĩa đối với những người mới tìm hiểu và còn chưa hiểu rõ những kháiniệm sâu hơn Các phương tiện truyền thông đã thông qua từ "cyber" (không gian)
và sử dụng nó thường xuyên Các chính trị gia cũng đã áp dụng nó mặc dù có nhiềuđịnh nghĩa không phù hợp
Không có định nghĩa thích hợp cho “cyberspace” (không gian mạng) Nó chắcchắn bao gồm cả thế giới dữ liệu và phần mềm Một số người cho rằng nó cũng baogồm cơ sở hạ tầng mạng và máy tính Hầu hết đều đồng ý rằng Internet là một phầncủa không gian mạng và Internet chỉ là một thành phần của nó
Tương tự như vậy, có sự thỏa thuận về sự hạn chế của các định nghĩa như war” (chiến tranh không gian mạng) và “cyberterrorism” (khủng bố mạng) vàkhông có thỏa thuận về cách đánh vần chúng: như hai từ “cyber-war”, được gạchnối như trên hoặc là gộp lại thành một từ ghép “cyberwar” Những thứ như thế nàyrất quan trọng đối với các nhà lập pháp, các nhà ngoại giao và luật sư
“cyber-Sự mơ hồ và sự nhầm lẫn ngôn ngữ không kết thúc ở đây vì các từ khác cũngđược sử dụng một cách tự do mà không có các định nghĩa được chấp nhận và đồng
ý rộng rãi Một từ khác là “hacker”, có thể là bất cứ ai, ở bất cứ đâu:
• Một hacker có thể là một lập trình viên máy tính có tính tò mò, có kiến thức,sáng tạo và sự thông minh để đạt được một mục tiêu nhất định Đây là ý nghĩaban đầu của “hacker”
• Hacker cũng có thể là người bỏ qua hoặc can thiệp vào bảo mật, phần mềm và
dữ liệu của máy tính
• Hacker có phạm vi từ những cá nhân trẻ tuổi với một số kiến thức về thuật toán(Script Kiddies), sử dụng các công cụ có sẵn trực tuyến
• Những người khác làm việc theo nhóm được gọi là Hacktivists (một nhóm nhưvậy tự gọi mình là “Anonymous” - ẩn danh)
3
Trang 4• Sau đó là “cyber-mercenaries” (lính đánh thuê không gian mạng), những ngườibảo vệ chuyên nghiệp làm việc với bọn tội phạm.
• Có những người trong các tổ chức thực thi pháp luật và quân sự - các phươngtiện truyền thông thường đề cập đến họ là “cyber-armies” (quân đội mạng)
• Ngoài ra còn có những người làm việc cho các tổ chức ngoài nhà nước
“terrorists” (khủng bố)
1.3 Những biện pháp củng cố an ninh tuy có được biết đến nhưng chưa đủ tốt
Quản lý bảo mật thông tin yêu cầu tập trung vào nhiều hoạt động khác nhau, cụthể:
• Lựa chọn và áp dụng các tiêu chuẩn, hướng dẫn, thực hành tốt và đảm bảo cáctiêu chuẩn này được tuân thủ
• Nâng cao nhận thức về vấn đề an ninh thông tin giữa lực lượng lao động và cácnhà cung cấp dịch vụ
• Xác định hệ thống thông tin và dữ liệu quan trọng nhất, những lỗ hổng, khảnăng xảy ra rủi ro và mức độ nguy hiểm của hậu quả khi rủi ro xảy ra từ đó đòihỏi những hành động nhằm giảm thiểu điều này
• Xác định tác động của các sự kiện bảo mật đối với các quy trình nghiệp vụ vàtoàn thể tổ chức
• Xác định những gì tổ chức coi là một rủi ro chấp nhận được và có thể kiểm soátđược
• Xem xét tất cả các điều trên cho phù hợp với tình hình và điều kiện của mỗi tổchức
1.4 Chứng chỉ
An ninh thông tin không phải là một ngành nghề được quy định và do đó không
có yêu cầu đối với bất kỳ hình thức chứng nhận nào Khi an ninh thông tin trở nênquan trọng , đây có thể là lý do để yêu cầu chứng nhận này Chúng được chia làm baloại: tổ chức, chuyên ngành và cá nhân
4
Trang 5Các chứng nhận của tổ chức bao gồm, ví dụ, chứng nhận ISO 27001
“Information Security Management System” (Hệ thống quản lý an ninh thôngtin) và Đạo luật quản lý an ninh thông tin liên bang Hoa Kỳ (FISMA) Một số
có thể là tùy chọn (ISO 27001) trong khi một số khác có thể là bắt buộc trongcác lĩnh vực hoạt động cụ thể như Tiêu chuẩn bảo mật dữ liệu thẻ thanh toán(PCI-DSS)
• Chứng nhận chuyên môn là tùy chọn cho cá nhân nhưng người sử dụng laođộng có thể chọn để yêu cầu các ứng viên Có một số chứng nhận, chẳng hạnnhư chứng nhận của Hiệp hội Kiểm toán và Kiểm soát Hệ thống Thông tin(ISACA): CISA: Chứng nhận Kiểm toán viên An ninh thông tin, CISM: Chứngnhận Quản lý An ninh thông tin và CRISC: Chứng nhận Kiểm soát Hệ thốngthông tin và rủi ro
• Ngoài ra còn có những người thuộc Hiệp hội Chứng nhận Bảo mật hệ thốngthông tin quốc tế (ISC2), bao gồm CISSP: Chứng chỉ Bảo mật hệ thống thôngtin chuyên nghiệp và CSSLP: Chứng nhận Vòng đời phần mềm bảo mật chuyênnghiệp Bên cạnh đó, các nhà cung cấp và các công ty đào tạo cũng sẽ cung cấpcác chứng chỉ khác nhau
Hình 1: Ví dụ về chứng nhận cá nhân
• Loại thứ ba tương đương với giấy phép lái xe và yêu cầu các cá nhân hoànthành chương trình đào tạo hoặc nhận thức và vượt qua một bài kiểm tra
5
Trang 61.5 Bất đối xứng và hậu quả
Dễ thấy rằng, khi nói đến sự mất an toàn thông tin, kẻ tấn công có những lợi thế
rõ ràng và nhất định:
• Không cần phải hiện diện tại địa điểm thực hiện cuộc tấn công:
• Có những ngoại lệ – ví dụ, khi mục tiêu không được kết nối với mạng toàn cầunhư Internet Đây là trường hợp ở Natanz, Iran, nơi hệ thống kiểm soát các máytuyển quặng ly tâm được phân lập từ Internet và nơi phần mềm độc hại đượcgiới thiệu bằng thiết bị bộ nhớ flash
• Không bị phạt cho thất bại: mọi tương tác với hệ thống phòng thủ của mạngmáy tính hoặc hệ thống cung cấp cho kẻ tấn công những thông tin chi tiết giúpchuẩn bị các cuộc tấn công tiếp theo
• Không có trở ngại tài chính để vượt qua: Tài nguyên của những kẻ tấn công làkiến thức và yêu cầu của họ đối với công cụ và công nghệ rất khiêm tốn Quátrình thâu tóm của họ chắc chắn sẽ đơn giản hơn cho việc duy trì sự an toàn củatài sản thông tin thường bị tật nguyền bởi các yếu tố khác, đặc biệt là:
-Áp lực kiểm soát hoặc giảm chi phí
-Không có khả năng phát triển các trường hợp kinh doanh mạnh mẽ cho chitiêu và nguồn lực
1.6 Duy trì an ninh là công việc của mọi người
Tiến bộ kỹ thuật đã tạo ra một môi trường cho phép truy cập vào tài nguyênthông tin
• Đối với nhiều cá nhân (nội bộ doanh nghiệp hoặc không)
• Từ nhiều địa điểm (văn phòng, nhà, khi đang di chuyển)
• Sử dụng nhiều mạng (công ty, Internet, nhà, không dây thương mại, điện thoại)
• Với nhiều thiết bị (máy tính doanh nghiệp và máy tính ở nhà, máy tính bảng,điện thoại thông minh)
6
Trang 7Trong môi trường này, nhiều yếu tố không thuộc quyền kiểm soát của công ty
và do đó không thể mong đợi người khác chịu trách nhiệm toàn bộ về bảo mật tàisản thông tin Mọi người đều phải sẵn sàng để thực hiện một sự đóng góp có hiệuquả
1.6.1 Nhận thức về sự liên quan của bảo mật thông tin đối với mỗi tổ chức cụ thể
Một số hợp đồng lao động bao gồm các điều khoản cụ thể đối với an ninh thôngtin như không tiết lộ thông tin độc quyền, vấn đề nhạy cảm hoặc bí mật khác
Cơ quan chính phủ có thể yêu cầu chữ ký của một thứ gì đó tương đương
Tiêu chí tương tự có thể áp dụng cho thông tin khách hàng, từ tên, địa chỉ vàthông tin liên hệ đến trạng thái khách hàng, ví dụ: xếp hạng tín dụng, số dư ngânhàng, v.v Đây có thể là điều luật quốc gia được ban hành để bảo vệ dữ liệu và sựriêng tư
1.6.2 Lỗi của con người
Không ai là hoàn hảo và những hành động không mong muốn có thể ảnh hưởngđến an ninh thông tin Làm việc để đáp ứng một dealine, bị phân tâm, thiếu tậptrung do làm nhiều việc cùng lúc, sự gián đoạn, cảm thấy không khỏe, v.v., là tất cảcác yếu tố minh họa cho lỗi của con người Thiếu hiểu biết về thủ tục hoặc các hệthống cũng như sự phụ thuộc vào nhân viên tạm thời cũng có thể gây ra lỗi của conngười
Có kiểm soát/kiểm tra để giảm khả năng do lỗi của con người Phân chia nhiệm
vụ có lẽ là giải pháp phổ biến nhất được áp dụng– cho đến khi xu hướng “LeanEnterprise” (Doanh nghiệp tinh gọn) cắt giảm nhân viên đến một điểm mà ngàycàng có nhiều những cá nhân có trách nhiệm mà không cần trông cậy vào một bàikiểm tra về tính chính xác và sự phù hợp cho hành động của họ
7
Trang 81.6.3 Kỹ thuật xã hội
Kỹ thuật xã hội có trước “social networking” (mạng xã hội) trong nhiều năm vàđược mô tả tốt nhất là “the art of human hacking” (nghệ thuật hacking của conngười) Sự lừa dối và thao túng ăn sâu vào vào bản chất con người và các học viêngiỏi không cần kỹ năng kỹ thuật để phá vỡ các rào cản bảo vệ tài sản thông tin – họchỉ đơn giản yêu cầu thông tin hoặc các yếu tố cần thiết để truy cập vào nó Nghiêncứu được thực hiện ở Anh trong những năm gần đây cho thấy nhiều người sẽ tiết lộ
mã nhận dạng và mật khẩu truy cập của họ để đổi lấy một thanh sô cô la
2 Định nghĩa bảo mật thông tin
Trong những năm 1990, các tiêu chuẩn bảo mật thông tin mới nổi đã định nghĩabảo mật thông tin bao gồm ba phần tử:
• Bảo mật: đảm bảo rằng thông tin chỉ có thể được truy cập bởi những ngườiđược ủy quyền quyền truy cập
• Tính toàn vẹn: bảo vệ tính chính xác và đầy đủ của thông tin và không có thayđổi trái phép nào được thực hiện
• Tính khả dụng: đảm bảo rằng các bên được ủy quyền có thể truy cập thông tinkhi được yêu cầu
Định nghĩa này được phản ánh trong tiêu chuẩn quốc tế ISO 27000 và được sửdụng rộng rãi Các chuyên viên an ninh đã đề xuất các thành phần bổ sung Năm
2002, D.B Parker đề xuất ba yếu tố bổ sung:
• Tính xác thực: đảm bảo rằng các bên trong giao dịch điện tử là người mà họ xácnhận quyền sở hữu và các thành phần của giao dịch là thật
• Sở hữu và kiểm soát: mất quyền sở hữu và kiểm soát dữ liệu tạo ra nguy cơ mất
an ninh Ví dụ: một máy tính xách tay bị bỏ quên và không tìm lại được tại mộtđiểm an ninh sân bay
• Tiện ích: khả năng sử dụng thông tin Ví dụ giả sử rằng dữ liệu mã hóa đượccung cấp cho một cá nhân cùng với khóa mã hóa nhưng người nhận mất khóa
8
Trang 9mã hóa Dữ liệu vẫn có sẵn, xác thực và bảo mật, nó vẫn giữ nguyên tính toànvẹn ban đầu
• Thương mại điện tử bổ sung thêm một yếu tố: Không thoái thác: Cơ chế đảmbảo rằng một bên tham gia giao dịch không thể từ chối nhận được giao dịch và
cả bên kia cũng không thể từ chối việc gửi giao dịch đó Đây là quyền củangười dự định gửi Nhưng vì nó không thể sử dụng nên nó không có tiện ích
3 Quản trị an ninh thông tin
Mục đích của quản trị an ninh thông tin là để đánh giá, điều hành và giám sát cáchành động được thực hiện để đáp ứng các yêu cầu của tổ chức và cho thấy các yêucầu này được thực hiện tốt như thế nào Mục đích của việc này là để giảm rủi rokinh doanh của sự gián đoạn hoạt động, mất dữ liệu nhạy cảm, kiện tụng và thất bạitrong việc tuân thủ các quy định và quy phạm pháp luật
Các thành phần quản trị bảo mật thông tin như sau:
3.1 Chiến lược an ninh của tổ chức
Trong mắt các giám đốc điều hành và quản lý cấp cao, không có nghi ngờ gì nữa,bảo mật thông tin không chỉ là một chức năng hỗ trợ kinh doanh, mà còn là mộtthành phần của chi phí kinh doanh Do đó, một chiến lược bảo mật thông tin mô tảcách di chuyển từ một tình huống "as it" (hiện trạng) đến đích Bằng cách này, quản
lý cấp cao quyết định cách chi tiêu tốt nhất các quỹ của tổ chức (giới hạn cố định) Khi chi tiêu cho an ninh thông tin nhằm định lượng rủi ro trong tương lai và hậuquả, một chiến lược tốt nhằm giảm thiểu rủi ro khi điều gì đó thực sự tồi tệ xảy ra,đây là một lợi ích giả định
So sánh các dự án tránh chi phí vô hình (như an ninh) so với các khoản đầu tưtheo định hướng lợi nhuận thông thường là không dễ dàng
Thông tin cần để hỗ trợ cho chiến lược bảo mật thông tin bao gồm:
• Các đề xuất kiểm toán thích hợp và tiến trình thực hiện chúng
9
Trang 10• Sự cố an ninh thông tin trong quá khứ và hậu quả về tài chính của chúng
• Các chỉ số bảo mật như chỉ số hiệu suất và chỉ số rủi ro
• Đánh giá mức độ và chất lượng của các kiểm tra hiện có (được cung cấp bởi bộphận Kiểm toán nội bộ)
• Phân tích tác động kinh doanh
• Một thông tin nhận diện rủi ro, bao gồm cả trạng thái của các hành động giảmthiểu đã được lên kế hoạch
• Thông tin an ninh thông minh ("những gì đang xảy ra trên mạng?")
• Báo cáo trạng thái về sự tuân thủ (quy định, pháp lý và chính sách nội bộ)Chiến lược an ninh thông tin nên mô tả chi tiết, đầy đủ các mục tiêu của tổ chức,
đó là ưu tiên và là cách đề xuất việc tổ chức và tài trợ cho chương trình
Chính sách ban hành và phổ biến là một thách thức: Cách đơn giản nhất là đăngcác chính sách trên mạng nội bộ của công ty để đội ngũ nhân viên tìm thấy và chú ýchúng Thật không hợp lý khi mong đợi một cách tiếp cận như vậy có thể mang lạihiệu quả Có một câu tục ngữ rằng “you can take a horse to water but you cannot
10