Kẻ thù trong hàng ngũ

Chia sẻ: Nguyen Nhi | Ngày: | Loại File: PDF | Số trang:6

0
48
lượt xem
5
download

Kẻ thù trong hàng ngũ

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Ai là người có khả năng ăn trộm dữ liệu của bạn nhất? Không phải nhân viên chính phủ, cũng chẳng phải gián điệp của đối thủ cạnh tranh. Những kẻ tình nghi chính đang ở xung quanh bạn – chính là các nhân viên của bạn.

Chủ đề:
Lưu

Nội dung Text: Kẻ thù trong hàng ngũ

  1. Kẻ thù trong hàng ngũ Ai là người có khả năng ăn trộm dữ liệu của bạn nhất? Không phải nhân viên chính phủ, cũng chẳng phải gián điệp của đối thủ cạnh tranh. Những kẻ tình nghi chính đang ở xung quanh bạn – chính là các nhân viên của bạn. Trong năm 2000, giám đốc phụ trách phần mềm Jeffrey Chang rời khỏi công ty thiết kế chip D-Link Corp. của Đài Loan để trở lại công ty là VIA Technologies. Vào tháng Mười Hai năm ngoái, Chang đã đứng trước vành móng ngựa trong một phiên toà xét xử tại Đài Bắc, bị buộc tội ăn trộm mật mã phần mềm của D-Link cho VIA. Bằng chứng quan trọng nhất chống lại Chang là: trong khi làm việc tại D-Link, anh ta vẫn được VIA trả lương. Vụ kiện chống lại Chang là vụ xử gián điệp công ty nghiêm trọng nhất cho tới nay ở Đài Loan, ít nhất cũng vì nữ chủ tịch hội đồng quản trị của VIA, Cher Wang,
  2. cũng bị buộc tội. Cher Wang là con gái của Wang Yungching, người đứng đầu tập đoàn Formosa Plastics Group, tập đoàn sản xuất lớn nhất tại Đài Loan. Vụ kiện này cho thấy rõ một hiện tượng ngày càng phổ biến trong những năm gần đây, đó là các công ty bị rò rỉ thông tin sang đối thủ thông qua nhân viên của chính họ. Rất dễ tìm ra nguyên nhân của hiện tượng này: lĩnh vực hoạt động gián điệp không còn thuộc về các nhân viên có kỹ năng đặc biệt như James Bond nữa, mà việc do thám thương mại giờ đây có thể được thực hiện bởi một nhân viên tầm thường nhất có khả năng sử dụng các máy móc rẻ tiền bán trong bất cứ gian hàng máy vi tính nào ở châu Á. Samuel Porteus, giám đốc khu vực tại Trung Quốc của hãng Quản lý Rủi ro Kroll, nói: “Xét về con số tuyệt đối, công việc này luôn được thực hiện bởi nhân viên trong công ty chứ không phải một gián điệp trong ngành nào cả. Ngày nay, các nhân viên được phép tiếp cận với những phương tiện công nghệ có thể chuyển rất nhiều thông tin một cách dễ dàng, từ đó tăng khả năng hại chủ của họ.” Song thật khó mà đo được mức độ thiệt hại. Rất ít công ty báo cáo các vụ do thám thông tin vì họ không muốn loan truyền về tình trạng an ninh lỏng lẻo của hãng mình. Tuy nhiên, theo cuộc điều tra PricewaterhouseCoopers - một trong những nghiên cứu toàn diện về vấn đề này – thì khoảng 40% công ty trên toàn thế giới cho biết có những vụ việc biết chắc hoặc nghi ngờ về mất tài liệu thuộc sở hữu của mình, và thiệt hại trung bình vào khoảng từ 0.000 đến 0.000. Phần lớn các vụ này xảy ra tại Bắc Mỹ, và châu Á, với 13% số vụ việc, xếp hàng thứ hai. Theo các chuyên gia thì mức độ thực sự của do thám thương mại ở châu Á còn cao hơn, vì các điều tra như của PWC thường không tính đến số lớn các vụ trộm phần mềm hay cơ sở dữ liệu khách hàng ở những công ty nhỏ trong khu vực. Hơn nữa, các công ty châu Á cũng ít đến thông báo với quan chức hơn. Các công ty châu Á thường thích giải quyết nội bộ và để “không mất mặt” trước công chúng. Chẳng
  3. hạn như có hơn 900 vụ quấy rối an ninh được báo cáo với Đội Phản ứng Khẩn cấp Hồng Kông vào năm ngoái, nhưng chỉ có 2% trong số đó được báo cáo với nhà chức trách. Porteous thuộc Kroll chỉ ra rằng tỷ lệ vi phạm bản quyền và làm nhái hàng cao nổi tiếng ở châu Á cho thấy sự phổ biến của do thám thương mại tại đây. Các yếu tố khác góp phần làm tình hình càng tồi tệ hơn: đó là việc châu Á thiếu một khung pháp lý hiệu quả về lĩnh vực này, việc thuê công ty nước ngoài làm một số công đoạn, dẫn đến khó quản lý dữ liệu hơn; và tầm nhận thức về bảo vệ quyền sở hữu trí tuệ tương đối thấp. Chẳng hạn như ở Singapore, nhiều công ty không lấy bằng sáng chế cho các sáng chế của mình, làm cho họ khó có thể chứng minh là mình bị ăn cắp quyền sở hữu trí tuệ. Con số các vụ do thám thương mại cũng đang tăng lên. Trước đây, hầu hết các vụ trộm sở hữu trí tuệ bậc cao đều xảy ra ở Bắc Mỹ, nơi tập trung các cơ sở R&D trên thế giới. Nhưng chi tiêu cho hoạt động R&D của châu Á đã tăng lên nhiều trong vài năm qua, đặc biệt là ở Trung Quốc. Theo Tổ chức Hợp tác và Phát triển Kinh tế - một nhóm các nước phát triển có trụ sở tại Paris - thì Trung Quốc đã chi tỷ vào công tác R&D riêng trong năm 2001, và trở thành nước chi tiêu cho R&D lớn thứ ba thế giới sau Mỹ và Nhật Bản. Sau đây là những vấn đề liên quan đến việc bảo vệ thông tin khỏi bị lấy cắp bởi những “kẻ thù trong hàng ngũ” của công ty: Thay đổi công nghệ lấy trộm Hầu hết những người ăn trộm bí mật trong ngành không phải là các thiên tài máy tính. Theo Phòng Phản gián của Hoa Kỳ, các phương pháp phổ biến nhất được sử dụng để thu được các thông tin bảo mật là các phương pháp đơn giản nhất – thường là e-mail, máy fax hay điện thoại. Ngày mà các nhân viên ở lại cơ quan muộn hơn một chút để phô tô các tài liệu bảo
  4. mật đã qua rồi. Họ chỉ cần vài phút và một thiết bị flash-memory to bằng ngón tay cái để hoàn thành việc này. Gần đây, TecBizF RisMan đã điều tra một vụ, trong đó một nhân viên đã download toàn bộ danh sách khách hàng công ty vào chiếc máy Palm Visor xách tay trước khi gia nhập vào một hãng cạnh tranh. Và ngày nay có rất nhiều đồ vật trong cơ quan có thể lưu trữ thông tin - chẳng hạn như iPod và các máy ghi hình kỹ thuật số. Vào tháng Bảy năm ngoái, hãng chế tạo điện thoại di động Samsung đã cấm sử dụng điện thoại ghi hình trong một số xí nghiệp của mình vì sợ gián điệp sẽ chụp ảnh các mô hình điện thoại mới. Luật pháp về do thám thương mại Mặc dù nhiều công ty đã có điều khoản trong hợp đồng để không cho nhân viên chuyển thông tin thuộc sở hữu của công ty cho đối thủ cạnh tranh, nhưng việc chấp hành các điều khoản này không phải lúc nào cũng được thực hiện. Theo các chuyên gia an nình thì nguyên nhân không chỉ do khó thu thập bằng chứng, mà luật pháp về do thám thương mại ở châu Á còn không rõ ràng khiến cho khả năng kiện thành công rất thấp. Công ty Taylor-Smith có trụ sở ở Đài Loan cho biết theo kinh nghiệm của riêng ông thì tỷ lệ thành công chỉ là 50%. Thêm nữa, so với luật pháp về do thám ở Mỹ, luật Đài Loan không coi các giá trị vô hình như thị phần và sự tín nhiệm của khách hàng là đối tượng bị tổn hại trong khiếu nại. Ông Porteous nói: “Theo các quy định của Đài Loan, bạn đòi lại được ít hơn cái bạn bị mất nhiều”. Giải pháp Biện pháp đơn giản nhất, song không phải biện pháp rẻ tiền nhất, là ngăn chặn khả năng xảy ra tình thế không mong muốn này. Các chuyên gia an ninh cho rằng biện
  5. pháp tốt nhất để kiểm soát sự rò rỉ thông tin là kiểm soát và hạn chế việc nhân viên tiếp xúc với nguồn thông tin bảo mật. Peter Koo, một chuyên gia tư vấn an ninh thuộc hãng Deloite Touche Tohmatsu khuyên rằng các công ty nên vạch ra khả năng và cách thức tiếp cận dữ liệu công ty của mỗi nhân viên theo các mức độ an toàn khác nhau. Động thái này “không phải là không tốn kém” vì nó làm tăng chi phí quản lý và đòi hỏi phải cập nhật liên tục. Tuy nhiên, giải pháp này nên được các công ty lớn thực hiện vì suy cho cùng, nó có thể giúp giảm chi phí thông qua sự tập trung hoá; còn với các công ty nhỏ, nó có thể làm tăng chi phí điều hành từ 100% đến 200%. Theo Torston Duwenhorst thuộc phòng phụ trách các vụ liên quan đến máy tính của Kroll, thì các công ty nên có quy định về việc hạn chế việc nhân viên sử dụng các thiết bị như flash-memory hay đầu ghi CD cắm ngoài. Chẳng hạn như không cho phép các nhân viên gắn ổ CD ngoài vào máy tính cá nhân của họ mà chưa xoá sạch thông tin trên đĩa tại phòng công nghệ thông tin. Bên cạnh đó, nên sử dụng một quy trình tắt máy đảm bảo sao cho nhân viên không xoá các dữ liệu quan trọng của công ty. Porteous nói: “Đừng cho phép nhân viên dùng máy tính khi đã được phép rời sang cơ quan khác.” Điều này giúp ngăn không cho virus hay phần mềm máy tính được gài vào trong các máy của công ty. Mặc dù điều này có vẻ như tàn nhẫn với nhân viên, nhưng việc sa thải nhân viên không làm tròn trách nhiệm là “hành động nên làm để giữ lòng tin của cổ đông” đối với các công ty niêm yết tại sở giao dịch. Với các nhân viên bất mãn rời khỏi công ty này, “mối quan hệ với công ty cần phải bị cắt đứt càng nhanh càng tốt”. Còn một khi thông tin bị rò rỉ ra ngoài, thì tổn thất mà công ty phải hứng chịu còn đắt hơn nhiều so với các chi phí phòng ngừa trê. Tính trung bình, các công ty phải chi từ .000 - 0.000 cho một cuộc điều tra toàn diện để biết được ai là kẻ trộm và cách thức lấy trộm là gì.
Đồng bộ tài khoản