Làm gì để bảo mật các thiết bị di động?
Nếu bạn đã lỡ cho một người lạ mượn chiếc smartphone của doanh nghiệp mình, thì xin chia buồn, bạn đã vừa trao tặng cho anh ta một món quà vô giá. Đó chính là dữ liệu tối mật của công ty bạn.
Lý do: Thật đơn giản, anh ta có thể giấu một thiết bị USB nhỏ xíu gọi là CSI Stick, và bí mật cắm chúng vào điện thoại. Thiết bị này có thể lấy toàn bộ dữ liệu trong ĐTDĐ chỉ trong tích tắc. Đây chính là lời cảnh báo của Patrick Solmon, một chuyên gia về điện thoại hiện đang làm cho công ty Enterprise Mobile, một công ty dịch vụ công nghệ chuyên về triển khai thiết bị di động trên nền Windows.
Cùng với sự tiến bộ vượt bậc của
công nghệ thông tin, hiện nay nhiều công ty muốn cung cấp cho nhân viên chuyên đi công tác hoặc những nhân viên làm việc trong các lĩnh vực liên quan có thể truy cập trực tiếp vào các dữ liệu quan trọng (những dữ liệu này trước đây chỉ có thể truy cập qua deskstop) của công ty qua điện thoại di động. Để làm được điều đó, vấn đề an toàn bảo mật, xác thực và quản lý cơ sở hạ tầng phải mở rộng và tương thích với các thiết bị di động. Đặc biệt, các thiết bị di động với kết nối không dây phải được quản lý chặt chẽ như những máy tính để bàn.
Tuy nhiên, trên thực tế không phải lúc nào cũng được như vậy. Theo Dan Croft, Chủ tịch và Giám đốc điều hành của Mission Critical Wireless, một công ty dịch vụ công nghệ chuyên về triển khai các thiết bị di động cho biết:
“Thông thường các máy cầm tay cá nhân được gán quyền truy cập qua mạng không dây. Đây là điều mà một máy tính sẽ không bao giờ được áp dụng bởi lẽ nó sẽ tạo ra các lỗ hổng an ninh. Hơn nữa, nó còn là thách thức về quản lý và gánh nặng cho việc hỗ trợ kỹ thuật. Thông thường, bộ phận IT của các công ty không có kế hoạch ứng phó kịp thời với việc kiểm soát dữ liệu hoặc thiết bị do mất mát, bị ăn cắp hoặc hỏng hóc đối với các thiết bị không dây.”
Tuy nhiên, không ai có thể phủ nhận việc truy cập các dữ liệu quan trọng quan ĐTDĐ là điều rất tiện lợi. Chính vì lẽ đó mà theo lời khuyên của các chuyên gia: Để việc truy cập dữ liệu qua ĐTDĐ được an toàn cần đảm bảo phải được kiểm soát theo 4 nguyên tắc. Đó là: An toàn và quản lý thiết bị; Quản lý kết nối; Bảo vệ dữ liệu và Đào tạo người sử dụng.
1. An toàn và quản lý thiết bị
Đối với thiết bị di động, vấn đề an toàn và cần được quản lý là điều gần như bắt buộc. Trong hầu hết các trường hợp, những người sử dụng nên tiêu chuẩn hóa trên hai hoặc ba loại thiết bị di động, hạn chế việc hỗ trợ, bảo mật và quản lý.
Sử dụng mật khẩu thiết bị di động hoặc các PIN (Personal Identification Number - mã cá nhân) được khuyến khích. Croft nói: “Nếu doanh nghiệp bạn không thực hiện cài đặt mật khẩu trên những thiết bị này, nguy cơ bị ăn cắp dữ liệu là rất lớn.”
Áp dụng cài đặt mật khẩu đồng bộ trên các thiết bị di động là một trong những yếu tố tạo nên tính hiệu quả cao tại bệnh viện Florida ở Orlando. Đây là nơi mà các máy tính xách tay dùng mạng không dây, điện thoại di động BlackBerry dùng để truy cập mail được các nhân viên, bác sỹ và các y tá sử dụng rất rộng rãi. Bệnh viện cũng đang tiến hành xem xét để cấp quyền truy cập vào hệ thống khám chữa bệnh cho những chiếc smartphone của các bác sỹ. Bệnh viện yêu cầu bắt buộc định kỳ đổi mật khẩu, cập nhật các chương trình chống virus.
Theo một số chuyên gia CNTT thì một số ứng dụng quản lý thiết bị di động rất hữu ích là: Afaria của Sysbase, công cụ bảo vệ thiết bị di động của Credant, chương trình Intellisync của Nokia, System Center Mobile Device Manager của Microsoft và những phần mềm khác từ hãng Checkpoint hay Trust Digital.
Một vấn đề quan trọng về bảo mật được các chuyên gia rất lưu tâm đó là cài đặt các tính năng xoá bỏ, khoá thiết bị hoặc loại bỏ hoàn toàn dữ liệu của những thiết bị di động bị mất cắp hoặc thất lạc. Người quản lý mạng sẽ sử dụng một số câu lệnh để khoá thiết bị cho đến khi mật khẩu chính xác được sử dụng. Ngoài ra, người quản trị đó cũng có khả năng làm mất các dữ liệu hiện có trên thiết bị hoặc tắt tính năng truy cập dữ liệu của thiết bị hoàn toàn.
2. Quản lý kết nối
Nếu không được quản lý một cách chuẩn xác thì tất cả dữ liệu sẽ dễ dàng bị phơi bày. Chính vì vậy mà theo các chuyên gia tư vấn người sử dụng bắt buộc phải sử dụng các kết nối VPN kết hợp với IPSec trong việc triển khai các thiết bị di động. Salmon cho biết: “SSL, giao thức sử dụng cổng TCP 443, là hướng tiếp cận bảo vệ tối thiểu nhất. Trong khi máy chủ đích đã có một chứng thực và được tin cậy còn máy khách SSL thì không. IPSec có chức năng yêu cầu các cổng đó phải được mở riêng. Do vậy, cả hai điểm cuối của kết nối sẽ có xác thực. Các thiết bị di động chỉ kết nối khi chúng được cho là xác đáng.
3. Bảo vệ dữ liệu
Mã hóa dữ liệu là một trong những việc rất quan trọng để bảo vệ thiết bị di động. Với một thiết bị đã được quản lý, bạn có thể phân phối dữ liệu hoặc tuân thủ chính sách mã hoá dữ liệu nhất định. Theo chuyên gia tư vấn Gold: “Các thư mục dữ liệu, hộp thư điện tử, dữ liệu người dùng, danh bạ, các chứng thực ...là những thứ nên được mã hóa”. Việc mã hóa các thiết bị lưu trữ có thể tháo rời được, chẳng hạn như các thẻ nhớ SD, cũng cần được người sử dụng cân nhắc để mã hoá.
Croft chia sẻ: “Ngoại trừ bạn đang sống trong “môi trường trinh thám của James Bond”, còn hầu hết các mức mã hóa sẽ giúp bạn gửi các email an toàn hơn so với việc gửi một email không được mã hóa bởi lẽ chúng ta đều không thể kiểm soát được mọi thứ xảy ra trong quá trình gửi.”
4. Đào tạo tất cả các người dùng
Hầu hết các công ty đều không đào tạo cho nhân viên về các quy tắc bảo mật các tài sản của doanh nghiệp. Chính vì vậy nên theo các chuyên gia thì điểm yếu lớn nhất trong khâu bảo mật chính là việc đào tạo con người. Do vậy, nếu có người lạ hỏi mượn máy tính xách tay của mình trong 5 phút để kiểm tra danh mục chứng khoán, bạn nên nói “Không! Bởi vì tôi đã được đào tạo về các rủi ro.” Không có lý do gì để cho phép một người lạ sử dụng máy laptop. Suy nghĩ tương tự này cũng nên được áp dụng cho điện thoại di động của bạn.
Để đào tạo nhân viên một cách hiệu quả, theo Alphons Evers, một chuyên gia về các giải pháp toàn cầu của Gentronics, cho rằng: Việc đào tạo chỉ hữu dụng khi nó ngắn gọn và ý nghĩa, nếu không mọi người sẽ không đọc. Việc đào tạo nên bao hàm tất cả các thành phần (giải thích thiết bị, các ứng dụng và chủ định sử dụng). Việc đào tạo người sử dụng nên được xem như đào tạo chính bạn.
(Theo Vietnamnet)