Trong thời gian vừa qua, khi làm việc tại nhà đã trở nên quen thuộc với nhiều công ty, tổ chức dưới sự ảnh hưởng không ngờ tới của đại dịch Covid-19, thì một câu hỏi quan trọng mà chúng ta nên quan tâm đó chính là chúng ta đã thực hiện điều đó một cách an ninh và bảo mật chưa?
An ninh và bảo mật luôn là điều quan trọng trong bất cứ thời điểm nào, tuy nhiên, thời điểm hiện nay lại càng quan trọng hơn. Trong thời gian này, chúng ta luôn nhận được rất nhiều thông tin, cập nhật về đại dịch Covid-19, và thường ít chú ý khi click vào truy cập những thông tin này. Đây cũng chính là điểm yếu mà hackers lợi dụng để thực hiện tấn công. Đó cũng chính là lý do mà chúng ta thấy có sự gia tăng thành công đối với các cuộc tấn công phishing và các tấn công tương tác lừa đảo (social engineering attacks)
Theo thống kê của Microsoft, hầu như các nước trên thế giới đều gặp phải ít nhất 1 cuộc tấn công lấy chủ đề liên quan đến Covid-19.
Những kẻ tấn công xoay vòng cơ sở hạ tầng hiện tại để phân phối ransomware, email lừa đảo, và các phần mềm độc hại, tận dụng các từ khóa liên quan đến Covid-19 để chiêu dụ chúng ta nhấp chuột vào liên kết hoặc mở email. Sau khi chúng ta nhấp vào, họ có thể xâm nhập vào hộp thư, đánh cắp thông tin, chia sẻ các liên kết độc hại với đồng nghiệp của chúng ta, và chờ đợi để có thể đánh cắp các thông tin đáng giá hơn.
Chính vì vậy, khi làm việc từ xa, chúng ta cần phải lưu ý những điểm sau:
An toàn và riêng tư là không thể thiếu cho các cộng tác trực tuyến
Điều quan trọng đó chính là sự lựa chọn một nền tảng có thể giúp quản lý ai được phép truy cập, trình bày và tham dự các cuộc gọi trực tuyến. Nền tảng đó tối thiểu phải có các chức năng cho phép người tổ chức quản lý sự truy cập từ những thành viên tham dự nằm ngoài tổ chức, ai được quyền truy cập trực tiếp, và ai phải chờ để được duyệt truy cập. Người tổ chức cũng nên được phân quyền cho các thành viên, ai được quyền trình chiếu và ai không được.
Bên cạnh đó, quyền quản trị và quản lý các nội dung chat cũng cần được chú trọng để hạn chế các hành động xâm phạm, miệt thị trên không gian mạng.
Đối với các cuộc gọi được ghi âm cần phải được thông báo cho các thành viên, đồng thời, bản ghi âm nên được mã hóa và chỉ nên được chia sẻ cho những thành viên tham gia cuộc họp.
Truy cập là mối quan tâm hàng đầu
Xác thực đa yếu tố (Multi-factor authentication) là quy trình xác thực 2 bước, được sử dụng khá rộng rãi, đặc biệt là đối với các dịch vụ ngân hàng trực tuyến. Nó bảo vệ người dùng khỏi những nguy cơ của việc đặt mật khẩu yếu hoặc mất mật khẩu.
Tính năng này cũng nên được sử dụng đối với các công cụ tương tác trực tuyến, nhằm tăng thêm một lớp an ninh cho tổ chức.
Bảo vệ thông tin cá nhân
Một điều quan trọng đó chính là các công cụ tương tác mà tổ chức sử dụng nên đạt chuẩn công cụ dành cho Doanh nghiệp. Các công cụ này tối thiểu nên có các tiêu chuẩn công nghệ ngành như Transport Layer Security (TLS) và Secure Real-Time Transport Protocol (SRTP) để mã hóa dữ liệu giữa thiết bị và đám mây. Ngoài ra, các công cụ cũng nên có các tiêu chuẩn an ninh cho việc phòng ngừa mất mát dữ liệu, đánh dấu phân loại dữ liệu để hạn chết và quản lý quyền truy cập thông tin cho các đối tượng khác nhau.
Quyền riêng tư đúng chuẩn
Khu lựa chọn công cụ tương tác cho tổ chức của mình, 3 điểm sau là những lưu ý tiên quyết không nên bỏ qua:
- Công cụ không nên theo dõi dữ liệu người dùng phục vụ cho mục đích hiện thị quảng cáo
- Công cụ nên xóa hết dữ liệu sau khi hết hạn sử dụng hoặc người dùng lựa chọn kết thúc sử dụng.
- Quyền sở hữu dữ liệu phải thuộc về người dùng