Con người - mắt xích yếu
nhất trong an ninh mạng TTXVN (Sydney 6/8)
Theo Tạp chí “The Strategist” của Viện Chính sách Chiến lược Australia (ASPI), trong lĩnh vực an ninh mạng, giữa lúc các chuyên gia thường tập trung vào tường lửa, mã hóa và lỗ hổng phần mềm, thì “mặt trận” thực sự lại là tâm lý con người.
Mặc dù các tổ chức vẫn chú trọng vào phòng thủ kỹ thuật số, song con người vẫn là lỗ hổng quan trọng nhất trong bất kỳ hệ thống nào. Đó là lý do tại sao các số liệu thống kê cho thấy 98% các cuộc tấn công mạng dựa vào kỹ thuật xã hội (social engineering) – một phương thức tấn công phi công nghệ.
Một vụ rò rỉ dữ liệu của Hãng hàng không Qantas của Australia vào tháng 6/2025 cho thấy rõ cách thức tội phạm mạng có thể khai thác các lỗ hổng liên quan đến con người để đạt được thành công lớn. Tội phạm mạng đã sử dụng kỹ thuật xã hội để thao túng nhân viên tại một trung tâm dịch vụ khách hàng có trụ sở tại Manila (Philippines) được thuê bởi Hãng hàng không Qantas. Những nhân viên này được đào tạo để luôn sẵn sàng giúp đỡ, tin tưởng và hợp tác với khách hàng để giải quyết vấn đề. Tội phạm mạng đã lợi dụng chính những đặc điểm này đó để có quyền truy cập vào tên, địa chỉ, số điện thoại, email và thông tin khách hàng thân thiết. Đây không phải là một lỗi công nghệ, mà là một lỗi thuộc về con người.
Các chuỗi cung ứng đặc biệt dễ bị tổn thương vì chúng được xây dựng dựa trên sự tin tưởng, giao tiếp thường xuyên và các mối quan hệ hợp tác – chính là những điều kiện mà kỹ thuật xã hội khai thác. Mỗi đối tác bên ngoài không chỉ mở rộng khả năng hoạt động, mà còn làm tăng “bề mặt tấn công” thông qua các tương tác của con người. Việc thuê ngoài (outsourcing), vốn là một nhu cầu thương mại phổ biến của nhiều doanh nghiệp vừa và lớn tại Australia, có thể là điều cần thiết vì các hệ thống nội bộ hoặc nền tảng chỉ sử dụng người Australia có thể quá tốn kém.
Tuy nhiên, việc sử dụng dịch vụ thuê ngoài đòi hỏi các tổ chức phải nhận thức rằng sự phụ thuộc vào bảo mật lấy con người làm trung tâm đang được chuyển giao cho các nhà cung cấp quốc tế bên thứ ba với các tiêu chuẩn đào tạo, ưu tiên bảo mật và năng lực khác nhau.
Ví dụ, để thực hiện vụ tấn công sàn giao dịch tiền điện tử ByBit trong năm nay, các tin tặc Triều Tiên đã không nhắm mục tiêu trực tiếp vào sàn giao dịch mà thay vào đó đã thao túng một nhà phát triển duy nhất, tìm cách xâm nhập vào máy trạm của người này. Phương thức tấn công nhắm vào con người này đã cho phép chúng đánh cắp các mã thông báo phiên (session-tokens) của Amazon Web Services, vượt qua xác thực đa yếu tố và cuối cùng thao túng các giao dịch trị giá 1,5 tỷ USD. Sự tinh vi về kỹ thuật số chỉ là thứ yếu; thao túng con người mới là ưu tiên hàng đầu.
Cách tiếp cận truyền thống đối với an ninh chuỗi cung ứng – bao gồm các danh sách kiểm tra tuân thủ, đánh giá nhà cung cấp và nghĩa vụ hợp đồng – thường xem lỗ hổng con người là một vấn đề thứ yếu. Các khuôn khổ này trông rất ấn tượng trên giấy tờ nhưng có xu hướng sụp đổ khi đối mặt với các chiến thuật kỹ thuật xã hội. Một nhà cung cấp có thể vượt qua mọi cuộc kiểm tra an ninh nhưng vẫn hoàn toàn dễ bị tổn thương trước một email lừa đảo được soạn thảo tinh vi hoặc một cuộc gọi giả mạo.
Giải pháp không phải là từ bỏ việc thuê ngoài hiệu quả về chi phí, mà là thay đổi cách tiếp cận căn bản trong đầu tư an ninh và chia sẻ trách nhiệm. Các tổ chức ở mọi quy mô cần điều phối con người, quy trình và công nghệ trong toàn bộ vòng đời công nghệ thông tin.
Để làm được điều này, các tổ chức cần chủ động quản lý ba lớp liên quan đến yếu tố con người, được gọi là kiểm soát không chính thức: cấp độ tổ chức, xã hội và cá nhân. Việc quản lý thành công các lớp này đòi hỏi phải tích hợp nhiều thành phần vào một hệ thống gắn kết và an toàn, nơi các thực hành bảo mật và giao tiếp được lồng ghép vào quy trình làm việc trong toàn bộ chuỗi cung ứng.
Điều này có thể đòi hỏi các tổ chức phải áp dụng những mô hình đầu tư chung để tăng cường bảo mật. Trong một bài báo trên tờ “The Strategist”, tác giả Bart Hogeveen đã thảo luận về cách Chính phủ Australia đang nỗ lực hỗ trợ nâng cao trình độ an ninh mạng, năng lực và khả năng phục hồi ở khu vực Ấn Độ Dương-Thái Bình Dương.
Khi quyết định thuê ngoài, các tổ chức sẽ cần phải chọn các nhà cung cấp dịch vụ bên thứ ba đưa ra được một giải pháp bảo mật hoàn thiện và đã được xác thực, hoặc tính đến chi phí liên quan đến việc đồng đầu tư vào hệ thống và đào tạo bảo mật. Điều này tạo ra lợi thế về quy mô kinh tế trong khi vẫn duy trì quyền kiểm soát các tiêu chuẩn bảo mật. Nó biến an ninh từ một “trung tâm chi phí” (xem an ninh mạng chỉ là một khoản chi phí bắt buộc) thành một “đề xuất giá trị chung” (xem an ninh mạng là một khoản đầu tư mang lại lợi ích chung).
Ngày càng có nhiều nhu cầu phải thay đổi cách đánh giá nhà cung cấp. Thay vì chỉ tập trung vào kiểm soát công nghệ, các tổ chức cần áp dụng cách tiếp cận lấy con người làm trung tâm và sử dụng các cuộc mô phỏng thường xuyên, thực tế để đo lường khả năng chống lại các cuộc tấn công bằng kỹ thuật xã hội. Các chỉ số này nên được gắn với các ưu đãi trong hợp đồng, không chỉ là hình phạt.
Các tổ chức nên thích ứng với văn hóa địa phương và phong cách giao tiếp để việc đào tạo của Australia có thể được điều chỉnh cho phù hợp với từng địa điểm cụ thể. Các cách tiếp cận chung “một kích cỡ phù hợp cho tất cả” sẽ thất bại vì chúng không tính đến sự khác biệt về văn hóa trong thẩm quyền, mô hình giao tiếp và nhận thức rủi ro.
Nguyên tắc cốt lõi của Toyota là “genchi genbutsu”, có nghĩa là “tự mình đến xem”, phản ánh niềm tin của tổ chức rằng sự hiểu biết thực sự không chỉ đến từ các báo cáo hay bảng điều khiển, mà từ sự tham gia trực tiếp, tận nơi với những con người và quy trình tạo nên chuỗi cung ứng. Nguyên tắc này là một phần của Hướng dẫn An ninh Chung của Toyota, bao gồm tất cả các công ty con và chi nhánh của họ để ngăn chặn rò rỉ thông tin và các cuộc tấn công mạng. Hàng năm hãng này cũng kiểm tra các sáng kiến an ninh thông tin ở các công ty con để đảm bảo cải tiến và tuân thủ liên tục.
Các tổ chức như Qantas có thể áp dụng các nguyên tắc tương tự cho an ninh chuỗi cung ứng của họ. Các thực hành an ninh của Australia có thể được điều chỉnh cho các trung tâm dịch vụ khách hàng ở Philippines, tôn trọng phong cách giao tiếp địa phương trong khi vẫn duy trì các tiêu chuẩn an ninh. Cách tiếp cận này xây dựng sự hiểu biết thực sự, thay vì chỉ là một bài tập “đánh dấu vào ô kiểm tra”.
Con người vẫn là tài sản lớn nhất và là điểm yếu dai dẳng nhất trong an ninh mạng. Công nghệ sẽ tiếp tục phát triển, nhưng hành vi của con người mới là yếu tố quyết định sự thành công hay thất bại của các biện pháp an ninh mạng. Bằng cách thừa nhận điều này và áp dụng các biện pháp ưu tiên yếu tố con người, các tổ chức có thể duy trì lợi ích kinh tế của chuỗi cung ứng toàn cầu đồng thời giảm thiểu rủi ro an ninh mạng của họ.
Vụ rò rỉ của Qantas và vụ tấn công ByBit đã chứng minh rằng các lỗ hổng con người có thể gây ra thiệt hại hàng tỷ USD do mất mát trực tiếp, tiền phạt pháp lý và thiệt hại về danh tiếng. Có lẽ, câu hỏi thực sự không phải là liệu chúng ta có đủ khả năng đầu tư vào việc bảo mật các yếu tố con người trong chuỗi cung ứng hay không, mà là liệu chúng ta có đủ khả năng để làm ngơ trước điều đó hay không./.