Lý do các nhân viên vi phạm chính sách an ninh mạng

Các cuộc tấn công như thế này ngày càng phổ biến hơn trong nhiều năm và đại dịch Covid-19 chỉ khiến vấn đề trở nên tồi tệ hơn, với việc FBI báo cáo số vụ tấn công mạng tăng 400% trong vài tháng đầu tiên của đại dịch.

Đáp lại, đầu tư vào an ninh mạng đã tăng vọt - nhưng thật không may, những nỗ lực này không phải lúc nào cũng giải quyết được các yếu tố cơ bản tạo ra lỗ hổng bảo mật. Mặc dù các chuyên gia công nghệ thông tin đang nỗ lực hết mình để tạo ra các hệ thống kỹ thuật tốt hơn, thông minh hơn và an toàn hơn, nhưng có một rủi ro mà họ không thể lập trình: con người. Đặc biệt là khi công việc từ xa trở nên phổ biến hơn và do đó quyền truy cập vào các hệ thống an toàn trở nên phân tán hơn, một cú nhấp chuột sai của nhân viên thường có thể đủ để đe dọa toàn bộ hệ sinh thái kỹ thuật số.

Hơn nữa, trong khi một số tổ chức đã bắt đầu bổ sung các nỗ lực tập trung vào công nghệ bằng các sáng kiến an ninh mạng nhắm mục tiêu nhân viên làm vật trung gian tấn công tiềm năng, các chương trình này thường cho rằng nhân viên phá vỡ các giao thức bảo mật do thiếu hiểu biết hoặc có mục đích xấu. Tuy nhiên, nghiên cứu gần đây của chúng tôi cho thấy rằng phần lớn thời gian, việc không tuân thủ thực sự có thể là kết quả của những vi phạm cố ý nhưng không ác ý, phần lớn là do căng thẳng của nhân viên.

Nhiều vi phạm chính sách được thúc đẩy bởi căng thẳng, không phải là mong muốn gây hại

1 nhóm nghiên cứu Hoa Kỳ đã yêu cầu hơn 330 nhân viên từ xa từ nhiều ngành công nghiệp tự báo cáo về mức độ căng thẳng hàng ngày và việc họ tuân thủ các chính sách an ninh mạng trong suốt hai tuần. Ngoài ra, chúng tôi đã thực hiện một loạt các cuộc phỏng vấn sâu với 36 chuyên gia bị buộc phải làm việc từ xa do đại dịch Covid-19 để hiểu rõ hơn về việc quá trình chuyển đổi sang làm việc tại nhà đã ảnh hưởng đến an ninh mạng như thế nào.

Các chuyên gia nhận thấy rằng trong số những nhân viên kể trên, việc tuân thủ các quy ước bảo mật là không liên tục. Trong 10 ngày làm việc mà nhóm này nghiên cứu, 67% người tham gia báo cáo không tuân thủ đầy đủ các chính sách an ninh mạng ít nhất một lần, với tỷ lệ không tuân thủ trung bình là một lần trong số 20 nhiệm vụ công việc.

Nhưng điều gì đã dẫn đến những vi phạm trong giao thức? Khi được hỏi tại sao họ không tuân thủ các chính sách bảo mật, ba câu trả lời hàng đầu của những người tham gia của chúng tôi là “để hoàn thành nhiệm vụ tốt hơn cho công việc của tôi”, “để đạt được thứ tôi cần” và “giúp người khác hoàn thành công việc của họ”. Ba phản hồi này chiếm 85% các trường hợp nhân viên cố ý vi phạm các quy tắc. Ngược lại, các nhân viên cho biết mong muốn gây hại chỉ trong 3% các trường hợp vi phạm chính sách - thực hiện các hành vi vi phạm không ác ý (tức là những vi phạm được thúc đẩy hoàn toàn bởi nhu cầu hoàn thành công việc) phổ biến hơn 28 lần so với những hành vi trả đũa.

Nhóm nghiên cứu cũng nhận thấy rằng mọi người về cơ bản có nhiều khả năng cố ý phá vỡ các giao thức bảo mật hơn vào những ngày họ báo cáo rằng họ gặp nhiều căng thẳng hơn, cho thấy rằng căng thẳng hơn sẽ làm giảm khả năng tuân theo các quy tắc cản trở công việc của họ. Các nguồn căng thẳng phổ biến bao gồm các yêu cầu của gia đình mâu thuẫn với công việc, lo ngại về an ninh công việc và trớ trêu thay, các yêu cầu của chính các chính sách an ninh mạng: Mọi người có nhiều khả năng vi phạm các thủ tục hơn khi họ lo lắng rằng làm theo chúng sẽ cản trở năng suất, đòi hỏi thêm thời gian hoặc năng lượng, có nghĩa là thực hiện công việc của họ theo một cách khác hoặc khiến họ cảm thấy như họ liên tục bị theo dõi.

Tất nhiên, vì dữ liệu của nhóm nghiên cứ được tự báo cáo nên họ không thể đo lường các vi phạm mà nhân viên không biết về việc vi phạm. Do đó, nghiên cứu này ít kết luận hơn khi nói đến sự phổ biến của các vấn đề bảo mật do sự thiếu hiểu biết hoặc lỗi của con người. Nhưng phát hiện cho thấy rằng mặc dù các phương tiện truyền thông tập trung đáng kể vào “mối đe dọa nội gián” do các nhân viên độc hại gây ra, có rất nhiều lý do có chủ đích khiến một nhân viên có thể cố ý không tuân thủ đầy đủ các quy tắc. Dựa trên điều này, chúng tôi đã phát triển ba phương pháp chính cho các nhà quản lý: 

Có một nền tảng trung gian giữa sự thiếu hiểu biết và ác ý

Nhiều nhà lãnh đạo cho rằng vi phạm bảo mật của nhân viên là độc hại hoặc không cố ý, và sau đó thiết kế các chính sách bảo mật dựa trên giả định đó. Tuy nhiên, nghiên cứu của chúng tôi cho thấy rằng có một điểm trung gian khá lớn giữa sự thiếu hiểu biết và ác ý, và vì vậy, các nhà quản lý sẽ khôn ngoan trong việc điều chỉnh các chương trình và chính sách đào tạo của họ cho phù hợp.

Cụ thể, thay vì tập trung vào các cuộc tấn công độc hại, các chính sách bảo mật nên thừa nhận thực tế rằng nhiều vi phạm do nhân viên điều khiển xuất phát từ nỗ lực cân bằng giữa bảo mật và năng suất. Điều này có nghĩa là giáo dục nhân viên và người quản lý về mức độ phổ biến của các vi phạm không nguy hiểm và cung cấp hướng dẫn rõ ràng về những gì cần làm nếu việc tuân thủ các thực tiễn bảo mật dường như mâu thuẫn với việc hoàn thành công việc.

Ngoài ra, các tổ chức nên thực hiện các bước để kết hợp nhân viên vào quá trình phát triển và kiểm tra các chính sách bảo mật của người dùng, đồng thời trang bị cho các nhóm những công cụ mà họ cần để thực sự tuân theo các chính sách này. Thông thường, bộ phận công nghệ thông tin phát triển các giao thức trong môi trường chân không, với sự hiểu biết hạn chế về cách những quy tắc này có thể can thiệp vào quy trình làm việc của mọi người hoặc tạo ra các nguồn căng thẳng mới. Đặc biệt là khi việc chuyển sang làm việc từ xa đã thay đổi số lượng người làm việc, các nhà lãnh đạo CNTT nên đảm bảo thu hút sự tham gia của những nhân viên sẽ bị ảnh hưởng bởi các biện pháp bảo mật mới trong quá trình tạo, đánh giá và triển khai. 

Thiết kế công việc và An ninh mạng được kết hợp với nhau

Người ta thường coi bảo mật là thứ yếu sau năng suất. Trong thời gian bình thường, đó không nhất thiết là một vấn đề, vì nhân viên có khả năng có đủ nguồn lực để dành đủ năng lượng cho cả hai. Nhưng do vô số căng thẳng của đại dịch khiến việc duy trì năng suất khó khăn hơn, điều đó có nghĩa là bảo mật có xu hướng lùi sâu vào các nhiệm vụ quan trọng thúc đẩy đánh giá hiệu suất, thăng chức và tiền thưởng.

Để giải quyết vấn đề này, các nhà quản lý phải nhận ra rằng thiết kế công việc và an ninh mạng về cơ bản gắn liền với nhau. Thực tế là việc tuân thủ các chính sách an ninh mạng có thể làm tăng thêm khối lượng công việc của nhân viên và do đó, nó cần được xem xét và khuyến khích cùng với các chỉ số hiệu suất khác khi khối lượng công việc được xác định.

Ngoài ra, các nhà quản lý nên làm việc để xác định và giảm thiểu các nguồn căng thẳng cho nhóm của họ, vì làm việc trong điều kiện căng thẳng hơn có thể ảnh hưởng đến sự nhất quán của nhân viên trong việc tuân theo các giao thức bảo mật (chưa kể đến sức khỏe và hiệu quả của họ trên một loạt các chỉ số khác) . Đặc biệt, khi công việc từ xa trở nên phổ biến hơn, các nhà quản lý nên nhận thức được gánh nặng tâm lý đối với nhân viên khi làm việc theo hệ thống giám sát họ. Các hệ thống giám sát có vẻ hợp lý trong văn phòng có thể khiến người ta cảm thấy bị xâm nhập như ở nhà - và ngay cả khi không có sự cố trực tiếp rõ ràng, nghiên cứu của chúng tôi cho thấy rằng căng thẳng cộng thêm có thể gián tiếp khiến mọi người có nhiều khả năng phá vỡ các giao thức bảo mật hơn.

Tin tặc tận dụng lòng vị tha

Hầu hết các nhà quản lý sẽ nói rằng đó là một điều tốt nếu nhân viên của họ muốn giúp đỡ lẫn nhau. Nhưng thật không may, lòng vị tha có thể phải trả giá đắt: Trong nghiên cứu của chúng tôi, khoảng 18% trường hợp vi phạm chính sách được thúc đẩy bởi mong muốn giúp đỡ đồng nghiệp. Đại dịch chỉ làm tăng thêm những thách thức mà tất cả chúng ta phải đối mặt hàng ngày, và do đó đã tạo ra nhiều cơ hội hơn nữa cho những nhân viên có thiện chí “giúp đỡ” đồng nghiệp của họ theo những cách khiến tổ chức của họ dễ bị tổn thương. Tin tặc biết điều này và họ thường cố tình sử dụng các chiến thuật kỹ thuật xã hội để lợi dụng sự sẵn sàng bẻ cong quy tắc của nhân viên nếu họ nghĩ rằng họ đang giúp đỡ ai đó.

Để giải quyết vấn đề này, các nhà quản lý không chỉ phải triển khai các chính sách bảo mật được thiết kế đặc biệt để bảo vệ khỏi các loại tấn công này - họ còn phải làm việc để giảm tác động của các biện pháp này đối với quy trình làm việc của nhân viên và giải thích rõ ràng cơ sở lý luận của chúng, nhằm tăng cường sự tuân thủ của nhân viên.

Ví dụ: khi việc chuyển sang làm việc từ xa đã làm giảm giao tiếp trực tiếp, các trò gian lận trong việc xâm nhập email doanh nghiệp (BEC) thậm chí còn trở nên phổ biến hơn. Đây là những trò gian lận trong đó kẻ tấn công đóng vai trò là người giám sát hoặc đồng nghiệp thân thiết và gửi email cho nhân viên với yêu cầu chuyển tiền khẩn cấp. Áp lực về thời gian và mong muốn giúp đỡ đồng nghiệp có thể khiến nhân viên phá vỡ giao thức và thực hiện những chuyển giao này mà không xác minh đúng yêu cầu. Bảo vệ tổ chức của bạn khỏi các loại tấn công này không chỉ có nghĩa là thiết lập chính sách xác minh cho các giao dịch lớn mà còn phải giáo dục nhân viên về lý do tại sao chính sách lại quan trọng và giảm thiểu mức độ mà nó cản trở công việc hàng ngày.

Đức Nguyễn