Bảo mật điện thoại và thiết bị cầm tay thông minh trong doanh nghiệp

Trước đây, việc bảo vệ được tập trung vào máy tính nơi mà đã từng xảy ra rất nhiều vụ lây nhiễm virus nghiêm trọng, các vụ đánh cắp và khóa dữ liệu đòi tiền chuộc kinh điển. Ngày nay, điện thoại di động và các thiết bị cầm tay thông minh có sẵn kết nối internet rất phổ biến dẫn đến sự gia tăng các mối đe dọa bảo mật di động. Chúng lại gắn liền với cá nhân nên rất khó quản lý. Sự thuận tiện trong sử dụng cũng làm giảm sự cảnh giác của người dùng. Là chủ doanh nghiệp, bạn cần chú ý nhiều hơn đến việc bảo mật cho các thiết bị di động của chính bạn, của công ty và của từng nhân viên để tránh những rủi ro rò rỉ hay mất mát dữ liệu xảy ra đối với cá nhân và doanh nghiệp.

Các mối đe dọa bảo mật di động là rất đa dạng nhưng tựu chung gồm các mối đe dọa từ các ứng dụng, từ các trang web, từ mạng WIFI kết nối và do hư hỏng, mất mát, thất lạc. Sau đây là những mối đe dọa ảnh hưởng đến bảo mật di động và những gì bạn, với tư cách là một chủ doanh nghiệp, có thể làm để bảo vệ hệ thống mạng, dữ liệu nội bộ và nhân viên của bạn.

1. Ứng dụng độc hại

Khi nhân viên của bạn truy cập Google Play hoặc App Store để tải xuống các ứng dụng hấp dẫn, các ứng dụng thường sẽ yêu cầu danh sách các quyền trước khi cho phép tải xuống và cài đặt. Các quyền này thường yêu cầu một số loại quyền truy cập vào dữ liệu hoặc các thiết bị ngoại vi như camera trên thiết bị di động. Hầu hết mọi người chỉ lướt qua danh sách các quyền và đồng ý mà không xem xét chúng một cách chi tiết. Việc thiếu kiểm tra này khiến các thiết bị dễ bị đánh cắp dữ liệu hoặc chiếm quyền sử dụng. Ngay cả khi ứng dụng hoạt động yêu cầu quyền hợp lý, nó vẫn có khả năng khai thác dữ liệu của cá nhân và doanh nghiệp trên thiết bị và gửi về cho bên khác, như đối thủ cạnh tranh.

Cách bảo vệ: Khuyến cáo toàn bộ nhân viên chỉ cài đặt ứng dụng từ Google Play (Android) và Appstore (iOS) và cần kiểm tra quyền mà ứng dụng yêu cầu trước khi đồng ý tải xuống. Nếu danh sách các quyền có vẻ quá mức cần thiết, yêu cầu bỏ qua việc tải xuống. Với các ứng dụng cung cấp chức năng xử lý thông tin nhạy cảm, cần cân nhắc nhà cung cấp trước khi cài đặt.

2. Phần mềm gián điệp

Dù sử dụng thiết bị Android hay iOS thì chúng vẫn luôn là mục tiêu khai thác dữ liệu qua các phần mềm gián điệp. Ví dụ QuickPic là ứng dụng giúp người dùng quản lý hình ảnh có giao diện dễ sử dụng trên Android. Tuy nhiên khi hãng Cheetah Mobile mua lại, họ đã âm thầm tải dữ liệu người dùng về máy chủ của họ và bị phát hiện bởi một người dùng Google Plus. Apple từng phát hiện họ có lỗ hổng zero-day khiến các thiết bị của họ trở thành nạn nhân của phần mềm gián điệp. Phần mềm gián điệp Pegasus được phát hiện vào tháng 8 năm 2016 đã được sử dụng để hack vào các thiết bị của Apple và giám sát người dùng.

Cách bảo vệ: Chọn một ứng dụng bảo mật di động và yêu cầu tất cả nhân viên của bạn tải xuống ứng dụng này trên thiết bị của họ. Tiếp theo, yêu cầu nhân viên cập nhật phần mềm thiết bị thường xuyên để đảm bảo rằng các thiết bị của họ được bảo vệ chống lại các mối đe dọa phần mềm gián điệp mới nhất.

3. WiFi không khóa bảo mật

Quán cà phê, không gian làm việc chung hoặc thư viện,v.v... thường cung cấp WiFi mở, mọi người có thể truy cập không cần mật khẩu. WIFI mở là rất tiện lợi, nhưng nhược điểm là các thiết bị rất dễ bị tấn công qua các mạng này. Với một công cụ phù hợp, một người có thể dễ dàng đọc các nội dung bạn gửi thông qua mạng WIFI mở dạng này. Và như vậy những thông tin riêng tư như mật khẩu, tài khoản ngân hàng hay thông tin bí mật công ty đều có thể bị đọc trộm. Đó là chưa kể, nhiều người còn dễ dàng bị lừa truy cập vào mạng WIFI không bảo mật do tin tặc tạo ra.

Cách bảo vệ: Yêu cầu nhân viên hạn chế truy cập các mạng WIFI mở, không có bảo mật. Đặc điểm nhận dạng là các mạng WIFI không có hình ổ khóa gắn kèm. Trong trường hợp bất đắc dĩ phải sử dụng các mạng WIFI mở này, không nên truy cập hoặc đăng nhập các trang có chứa dữ liệu nhạy cảm. Ngoài ra yêu cầu nhân viên tạo mật khẩu khác nhau cho từng tài khoản mà họ sử dụng để khi bị rò rỉ thông tin dịch vụ này không ảnh hưởng đến các dịch vụ khác.

4. Thiếu mã hóa dữ liệu

Mã hóa dữ liệu sẽ giúp thông tin truyền trên mạng được an toàn hơn cho dù có bị khai thác như trong trường hợp sử dụng mạng WIFI không bảo mật. Vì lẽ đó, Google hiện khuyến cáo người dùng không nên truy cập vào các trang web thiếu mã hóa, không sử dụng https.

Cách bảo vệ: Truy cập các trang web hỗ trợ https và tuyệt đối không nhập các thông tin nhạy cảm như mật khẩu, thông tin thẻ tín dụng ở các trang web không hỗ trợ https. Khuyến cáo chỉ sử dụng các ứng dụng liên lạc có mã hóa truyền dữ liệu để đảm bảo rằng giao tiếp giữa bạn và nhân viên của bạn không thể được truy cập bởi bất kỳ ai bên ngoài doanh nghiệp kể cả bên cung cấp ứng dụng.

5. Các mối đe dọa bảo mật di động IoT

Các thiết bị di động đang phân nhánh từ điện thoại di động và máy tính bảng đến các thiết bị đeo, như đồng hồ thông minh hoặc thiết bị điều khiển trong văn phòng, như các công cụ hội nghị video. Về cơ bản, những thiết bị có khả năng kết nối internet này đều tiềm ẩn nguy cơ bị tấn công giành quyền kiểm soát để từ đó đánh cắp thông tin. Đó là lý do tại sao bảo mật di động không chỉ là về mạng và dữ liệu, nó sẽ mở rộng để bao gồm cả việc bảo vệ các thiết bị.

Cách bảo vệ: Cảnh báo nhân viên về các mối đe dọa có thể đến và cách sử dụng thiết bị của họ một cách an toàn. Doanh nghiệp cần thường xuyên cập nhật các mối đe dọa và cách bảo vệ để giúp nhân viên nâng cao ý thức. Yêu cầu nhân viên thường xuyên kiểm tra và tắt các thiết bị kết nối không còn sử dụng nữa.

6. Botnet

Các phần mềm độc hại có thể được tải xuống các thiết bị di động không được bảo vệ bởi ứng dụng bảo mật di động cho phép tin tặc truy cập đầy đủ vào thiết bị để chúng có thể điều khiển các thiết bị này từ xa. Tất cả các thiết bị có phần mềm độc hại trên chúng được thêm vào mạng của các thiết bị bị ảnh hưởng khác, được gọi là botnet, cho phép tin tặc gửi email spam và thực hiện các chiến dịch lừa đảo khác để phát tán phần mềm độc hại đến nhiều thiết bị hơn.

Cách bảo vệ: Khuyến cáo nhân viên hạn chế cài đặt các phần mềm cũng như truy cập vào các trang web không rõ nguồn gốc là cách bảo vệ tốt nhất. Ngoài ra yêu cầu cài đặt các ứng dụng bảo mật di động để đảm bảo rằng các botnet không có cơ hội lây lan. Giáo dục nhân viên về các chính sách và những gì họ mong đợi để đảm bảo dữ liệu nội bộ được giữ an toàn.

7. Không cài đặt mật khẩu bảo vệ

Theo thống kê có đến 34% người sử dụng không cài mật khẩu để khóa điện thoại của họ. Nếu các thiết bị này bị mất hoặc bị đánh cắp, nó sẽ giúp kẻ trộm dễ dàng truy cập vào tất cả các thông tin được lưu trong điện thoại. Một số người có cài đặt mật khẩu nhưng lại vô cùng đơn giản nên rất dễ bị bẻ khóa.

Cách bảo vệ: Đề ra tiêu chuẩn mật khẩu và yêu cầu nhân viên cài đặt mật khẩu theo chuẩn này. Cao hơn nữa là yêu cầu nhân viên cài bảo mật 2 lớp trên các dịch vụ có hỗ trợ.

8. Tấn công lừa đảo

Việc này xảy ra quá thường xuyên trong các doanh nghiệp nơi tin tặc gửi những gì trông giống như trang web, email hoặc SMS hợp pháp để khiến nhân viên sẵn sàng cung cấp thông tin cá nhân hoặc thực hiện các yêu cầu nhạy cảm.

Cách bảo vệ: Để chống lại điều này, doanh nghiệp cần có các quy trình nghiêm ngặt để nhân viên tuân theo khi xử lý công việc và quy trình để cảnh báo đúng người khi phát hiện dấu hiệu nghi ngờ. Doanh nghiệp cần tổ chức những buổi huấn luyện giúp nhân viên dễ dàng phát hiện những yêu cầu nhập thông tin phi lý, địa chỉ email đáng ngờ hay trang web giả danh, v.v…

9. Thiết bị hư hỏng dữ liệu

Như các vật dụng khác, thiết bị di động có thể bị hư hỏng và làm mất đi một số dữ liệu quan trọng mà bạn và nhân viên đã lưu trữ trên máy. Sẽ thật tồi tệ nếu bạn bị mất số điện thoại khách hàng quan trọng hay nhân viên làm mất toàn bộ thông tin hình ảnh từ một buổi khảo sát quan trọng khi thiết bị chứa những thông tin này bị hư hỏng.

Cách bảo vệ: Sử dụng các dịch vụ đồng bộ dữ liệu để bảo đảm các dữ liệu như danh bạ, lịch, ghi chú được đồng bộ liên tục. Ngoài ra, nếu phải đem thiết bị đi sửa, cần cân nhắc những nơi sửa uy tín và xóa bỏ những thông tin, tài liệu nhạy cảm trước khi mang đi sửa để hạn chế rò rỉ dữ liệu.

10. Thiết bị bị mất hoặc bị đánh cắp

Mất thiết bị không những khiến bạn hoặc nhân viên mất thông tin mà còn khiến cho dữ liệu bị rò rỉ nếu tin tặc có thể truy cập trực tiếp vào dữ liệu trên thiết bị.

Cách bảo vệ: Huấn luyện nhân viên bật tính năng tìm kiếm thiết bị nếu chẳng may bị mất và đảm bảo họ biết cách sử dụng chức năng xóa dữ liệu từ xa trong những trường hợp như thế này.

Thiết bị di động phải đối mặt với rất nhiều mối đe dọa nhưng bạn có thể bảo vệ bản thân, dữ liệu và nhân viên của mình nếu tuân thủ các quy định bảo mật. Thực hiện theo các hướng dẫn trên bạn sẽ có cách tốt để bảo vệ chính mình thông qua hành trình bảo mật di động của bạn. Chìa khóa là giáo dục nhân viên và cung cấp cho họ các công cụ và thông tin họ cần để đưa ra lựa chọn đúng đắn. Họ càng hiểu những gì có nguy cơ, dữ liệu của họ và doanh nghiệp bạn sẽ càng an toàn. Nói về bảo mật di động thường xuyên để nó trở thành thông lệ tiêu chuẩn và để bạn có thể cảm thấy tự tin rằng dữ liệu công ty của bạn an toàn và bảo mật.

Laskip G+

Popular posts from this blog

Chuyển đổi số - Quá trình tất yếu của Doanh nghiệp

Lợi ích của RPA