Vấn đề về bảo mật dữ liệu kinh doanh

Việc chuyển đổi số trong doanh nghiệp mang lại nhiều cơ hội phát triển, nhưng đi kèm theo đó là nhiều thách thức mà doanh nghiệp cần phải lường trước để có những bước đi đúng đắn. Một trong những thách thức lớn chính là vấn đề bảo mật dữ liệu kinh doanh. Khi dữ liệu của doanh nghiệp cần được truy cập sử dụng bất cứ lúc nào, bất kỳ nơi đâu nhằm mang lại sự tiện lợi thì sẽ có những kẽ hở gây "thất thoát" dữ liệu hoặc thậm chí là tổn thương đến hoạt động của doanh nghiệp.

Chúng ta hãy cùng tìm hiểu những cách thức mà dữ liệu kinh doanh có thể bị đánh cắp và biện pháp khắc phục như thế nào.

1. Từ bên ngoài

• Đánh cắp thông tin. Tin tặc lợi dụng lỗ hổng của server hoặc của hệ thống phần mềm để tạo ra các truy xuất trái phép và đánh cắp dữ liệu của doanh nghiệp. Đối với trường hợp này cách khắc phục là luôn luôn cập nhật phần mềm, áp dụng các bản vá để tránh lỗ hổng bị phát hiện và lợi dụng.
• Nghe lén. Ví dụ khi bạn truy xuất dữ liệu doanh nghiệp trên server từ laptop của bạn thì không phải dữ liệu sẽ đi thẳng từ server về ngay laptop mà nó phải đi qua nhiều nút mạng khác nhau. Lúc đó ở tại các nút mạng, nếu có ai đó chủ ý đặt một thiết bị thu thập dữ liệu thì đó gọi là nghe lén. Để khắc phục trường hợp này, dữ liệu cần được mã hóa khi gửi đi và giải mã khi nhận về. Lúc đó dù kẻ nghe lén có được dữ liệu nhưng dữ liệu đã bị mã hóa. Ở trên các trình duyệt web như chrome, firefox, nếu bạn thấy trên thanh địa chỉ có biểu tượng ổ khóa, tức là dữ liệu đã được mã hóa an toàn không sợ bị nghe lén.
• Lừa đảo. Kẻ lừa đảo sẽ đánh vào lòng tin, gây ra hiểu lầm để bạn cung cấp các quyền truy xuất vào hệ thống, từ đó họ lấy đi dữ liệu. Ví dụ, kẻ lừa đảo mạo danh nhà cung cấp server gửi một email yêu cầu bạn cung cấp tài khoản truy cập hệ thống để họ tiến hành nâng cấp server. Họ sẽ tạo một email rất chuyên nghiệp, rất giống với email thật sự của nhà cung cấp server để bạn tin và khi bạn cung cấp thông tin đăng nhập thì bạn đã mắc bẫy. Cách khắc phục là luôn luôn xác nhận. Ví dụ nếu gặp trường hợp như trên, bạn hãy gọi điện cho nhà cung cấp theo số điện thoại mà trước đây bạn đã làm việc với họ để xác nhận xem có sự việc như vậy không.
• DDOS. Đây là một loại tấn công từ chối dịch vụ. Kẻ tấn công sẽ tạo ra một số lượng truy xuất rất lớn nhằm làm cho server bị quá tải và có thể trả về lỗi. Dựa vào lỗi đó có những lỗ hổng có thể bị khai thác. Để khắc phục tình trạng này, có nhiều nhà cung cấp dịch vụ chống DDOS.
• Bẻ khóa mật khẩu. Trường hợp này kẻ tấn công có thể thử đăng nhập với các mật khẩu do họ nghĩ ra xem có mật khẩu nào thành công không. Hay họ có thể có một đoạn dữ liệu đã mã hóa và họ chạy những chương trình giải mã dữ liệu đó để tìm ra mật khẩu. Cách khắc phục là đặt mật khẩu mạnh, mật khẩu mạnh về cơ bản là mật khẩu có nhiều ký tự, dễ hiểu đối với con người nhưng khó hiểu đối với máy tính.

2. Từ bên trong

• Mật khẩu yếu. Nhiều nhân viên của bạn, hoặc thậm chí là bạn, khi đặt mật khẩu chắc đã từng đặt là 123456? Đó là mật khẩu yếu nhất thế giới. Lý do vì sao người ta hay sử dụng những mật khẩu như vậy, đó là vì mỗi một người trong thời đại hiện nay có quá nhiều mật khẩu phải nhớ. Chính vì vậy đối với mật khẩu của phần mềm ERP trong công ty chẳng hạn, sẽ được xếp vào mục "không quan trọng" và tự động thành 123456. Cách khắc phục là cần có chính sách về mật khẩu, ví dụ phần mềm sẽ yêu cầu mật khẩu phải có 8 ký tự, có chữ hoa, thường, số,...
• Phần mềm độc hại, trojan. Đây là những ứng dụng có thể lén lút hoặc công khai thu thập dữ liệu trên máy tính cá nhân của bạn hoặc nhân viên công ty. Đối với trường hợp này cách khắc phục là sử dụng các phần mềm diệt virus và tường lửa.
• Chia sẻ dữ liệu. Những dữ liệu nhạy cảm có thể bị chia sẻ thông qua file, hoặc các hệ thống lưu trữ cloud. Hãy cân nhắc trước khi chia sẻ dữ liệu.
• Nhân viên đánh cắp dữ liệu. Nhân viên quản trị hệ thống phần mềm có đầy đủ quyền truy cập vào tất cả dữ liệu. Nhân viên sale có thể lấy hết khách hàng mà họ phụ trách để ra làm riêng hoặc bán cho công ty đối thủ. Vấn đề này thuộc về con người, hệ thống phần mềm chỉ có thể khắc phục phần nào vấn đề này thôi, quan trọng là chính sách quản lý con người trong doanh nghiệp.

3. Từ nhà cung cấp dịch vụ phần mềm

• Nếu bạn sử dụng phần mềm ERP, hay phần mềm quản lý bán hàng online,... thì chắc đã từng nhìn thấy quy định về chính sách bảo mật của nhà cung cấp đó. Trong chính sách bảo mật sẽ có những dữ liệu mà nhà cung cấp được quyền thu thập. Bạn hãy đánh giá xem những dữ liệu đó có phải dữ liệu nhạy cảm và ảnh hưởng đến quá trình kinh doanh của bạn không và trong hợp đồng nên có chế tài xử phạt hợp lý cho vấn đề này.
  Ngoài ra còn có một cách khắc phục khác là bạn yêu cầu sử dụng phần mềm on premise, tức là nhà cung cấp sẽ giao phần mềm cho bạn tự cài đặt. Với cách này bạn có thể kiểm soát được server, cài đặt tường lửa. Thứ nhất bạn kiểm soát được các phần mềm nào được phép gửi nhận dữ liệu ra bên ngoài. Thứ hai bạn có thể ghi nhận (log) được chính xác các dữ liệu nào truyền ra, gửi vào. Nếu phần mềm âm thầm gửi dữ liệu gì đó ngoài mong muốn thì chắc chắn bạn sẽ biết và có chế tài đối với nhà cung cấp.
• Nhà cung cấp dịch vụ hosting. Nhà cung cấp dịch vụ hosting có thể truy cập được toàn bộ mã nguồn và cơ sở dữ liệu của doanh nghiệp. Cách khắc phục là tìm nhà cung cấp hosting tin cậy, lâu đời. Tìm nhà cung cấp hosting ở xa, ví dụ bạn ở Việt Nam, bạn sử dụng hosting ở nước ngoài, nếu người nước ngoài có dữ liệu kinh doanh của bạn nhưng họ sẽ không áp dụng được ở nước ngoài sẽ giảm rủi ro hơn cho bạn. Và cách cuối cùng là tự dùng server của bạn để không phụ thuộc vào nhà cung cấp hosting.

Trên đây là những khía cạnh chính trong vấn đề bảo mật mà bạn cần quan tâm khi bạn đặt chân vào con đường chuyển đổi số cho doanh nghiệp của bạn. Nếu có thắc mắc gì, xin đừng ngần ngại liên hệ với chúng tôi tại info@vietmana.com