Có phải dữ liệu công ty của bạn đang nằm dưới sự giám sát của những tên gián điệp nước ngoài, luôn tìm những thế mạnh hay điểm yếu nhằm lợi dụng để cạnh tranh? Điều này nghe có vẻ hoang đường, song hoạt động gián điệp điện tử là có thật. Đó là một mối đe doạ bảo mật ngấm ngầm và phổ biến hơn cả sức tưởng tượng của bạn.

Là một nhân viên IT hoặc một nhà điều hành bảo mật, bạn cần quyết định xem liệu tổ chức của mình có nằm trong nguy cơ tấn công qua mối nguy hiểm gần như không thể phát hiện được này không - và hãy coi trọng hàng đầu việc đưa ra công nghệ thích hợp, các phiện pháp an toàn. Điều này vô cùng quan trọng khiến bạn không thể bỏ qua vấn đề này.

Các chuyên gia an ninh tin rằng ngày càng có nhiều công ty bị giám sát bởi các hoạt động gián điệp điện tử của nước ngoài, đặc biệt là Trung Quốc. Việc các công cụ an ninh thông thường thường không thể phát hiện ra được các kỹ thuật của họ càng làm cho những cuộc tấn công này trở nên nguy hiểm hơn. Những tên gián điệp điện tử cố gắng xâm nhập vào hệ thống mà không gây ra bất kì một gián đoạn nào, do đó, qua thời gian, chúng có thể lặng lẽ thu thập được rất nhiều thông tin.

Những loại nguy cơ như này thường khó giải quyết hơn cả những cuộc tấn công không mục đích bởi chúng thường không bao giờ quá phổ biến đến nỗi các nhà phân phối sản phẩm bảo mật phải chú ý đến. Do đó mà các phần mềm bảo mật và các công cụ khác mặc dù có thể phát hiện ra những cuộc tấn công đã được biết đến nhưng không thể nhận dạng được các mối nguy cơ này. Hơn thế nữa, một cuộc tấn công nhằm vào mục tiêu đặc biệt nào đó sẽ được thiết kế để chống lại sự kết hợp bảo vệ an ninh. Và những kẻ khởi xướng các cuộc tấn công gián điệp điện tử này sẽ ngăn chặn những mục tiêu khỏi việc phát hiện của hệ thống bảo mật.

Mặc dù vấn đề này gần như bị che giấu nhưng nó vẫn tồn tại và rất nghiêm trọng. Trong bài báo cáo đặc biệt này, InfoWorld sẽ trả lời câu hỏi cốt yếu về ai là kẻ đang hoạt động gián điệp, chúng tìm kiếm những gì và bạn có thể làm gì để bảo vệ chính mình?

Gián điệp điện tử phổ biến như thế nào? Các nhà nghiên cứu nói rằng hoạt động gián điệp điện tử sẽ trở nên phổ biến hơn. Phó giám đốc công ty nghiên cứu Gartner Neil MacDonald là người chịu trách nhiệm bảo mật máy tính vẫn giữ quan điểm: phải đến 75% các doanh nghiệp hiện đã hoặc đang bị đe doạ bởi các cuộc tấn công có mục đích, không thể phát hiện và nhằm vào các hoạt động tài chính và lẩn  tránh khỏi vòng vây bảo vệ truyền thống của nước sở tại.

MacDonald nói: "Bất cứ tổ chức chính phủ hay tài chính nào nắm giữ những thông tin nhạy cảm đều là mục tiêu hướng tới của chúng". Khởi đầu là cuộc tấn công công khai trên mạng của Google mà các công ty chính là mục tiêu của một vụ tấn công tinh vi và có sự điều khiển xuất phát từ Trung Quốc. MacDonald cho biết rất nhiều khách hàng của Gartner đã phản ảnh rằng họ bị tấn công trong cùng một khung thời gian và thông qua các chiêu thức tương tự. Biên tập viên của InfoWorld đã phát hiện ra các cuộc tấn công lặp đi lặp lại ở những công ty lớn và đã được mô tả trong nhiều cuộc bàn luận nhưng không thể ghi lại được.

Những người khác lại cho biết rất khó phát hiện được mức độ lan tràn của các hành động như thế này bởi các cuộc tấn công rất khó xác định và theo dõi.

Paul Kocher là một nhà khoa học, điều hành trung tâm Cryptography Research, đồng thời cũng là một nhà tư vấn an ninh đã nói: "Mặc dù chúng ta biết nó là một vấn đề nghiêm trọng nhưng sự bí mật của các cuộc tấn công như thế này khiến chúng ta không thể biết được nó đã phổ biến ra như thế nào." Ông cũng nói thêm rằng: những tổ chức gián điệp coi việc bị nạn nhân phát hiện ra là một thất bại rất lớn, vì thế chỉ có những thông tin liên quan tới các cuộc tấn công không thành công.

Ông Mark Lobel, nhà điều hành cố vấn tại PricewaterhouseCoopers nói: "Bởi vì toàn bộ những gì liên quan đến gián điệp đều tàng hình nên sự thật là không có cách nào để biết được tầm cỡ và phạm vi của vấn đề". Nhưng đừng để điều đó đánh lừa bạn, ông cũng bổ sung: "Khi nói chuyện với người trong ngành công nghiệp, họ rất tự tin rằng đây chính là một vấn đề thậm chí còn cao hơn cả tầm hiểu biết và nhận thức của hầu hết mọi người".

Ai là kẻ gián điệp? Ngay cả khi hoạt động gián điệp bị phát hiện thì cũng không thể biết được nguồn gốc thực sự của cuộc tấn công. Ví dụ như nếu bạn theo dõi một cuộc tấn công vào một  địa chỉ IP trong 1 quốc gia nhất định thì dường như các máy chỉ đơn giản là một chiếc máy tính bị nhiễm hoạt động như một Proxy hay Relay.

Brandon Gregg, nhà đầu tư của tổng công ty có trụ sở tại San Francisco, là người đã lập kế hoạch dạy lớp bào vệ luật pháp về gián điệp điện tử hồi mùa thu đã nói: Ngày nay, hầu hết các nhà cung cấp bảo mật theo dõi nhiều mối đe doạ như những con virus nhờ một thiết lập phát hiện dựa trên chữ ký để tìm kiếm những con virus đã được nhận dạng. Nhưng đối với các quốc gia như Trung Quốc, vừa có ngân sách, lại vừa có chuyên môn thì việc xâm nhập vào các mã cao cấp hay các cuộc tấn công lỗi Zero-Day khác là không khó, do đó nó khiến cho các nhà cung cấp bảo mật không thể theo kịp.

Mặc dù Trung Quốc thường được nêu ra như  nguồn gốc của các hoạt động gián điệp nhưng dường như đây không phải là nguồn gốc xuất phát duy nhất của các vụ tấn công. Nils Puhlmann, giám đốc điều hành của hãng sản xuất game online Zynga Game Network và là đồng sáng lập của Liên minh bảo mật Cloud nói: "Đó chính là bản chất con người và bạn thì cần một thực thể để có thể đổ lỗi. Nhưng từ dữ liệu tôi được thấy và được nghe thì nó còn phức tạp hơn thế một chút." Mặc dù Puhlmann không cung cấp thêm chi tiết nào nhưng ông lại chỉ ra rằng các hoạt động gián điệp điện tử xuất phát từ rất nhiều quốc gia và không nhất thiết phải do nhà nước bảo trợ.

Các trang như Hackerforum.com  nói về các công cụ truy cập từ xa cho phép các Hacker không chỉ kiểm soát hoàn toàn một chiếc máy tính mà còn có thể theo dõi được người sử dụng mà không để cho họ biết.

Các siêu gián điệp đã xâm nhập vào hệ thống của bạn như thế nào? Một cuộc tấn công có chủ đích  sẽ xâm nhập vào những điểm yếu để đạt được mục đích cuối cùng của nó: thường là đánh cắp thông tin hay làm hư hại một tài khoản cụ thể nào đó. Người sử dụng trong một tổ chức có thể bị đe doạ thông qua một email đáng tin cậy và được thiết kế công phu ( kỹ thuật được gọi là "spearphishing") và có thể tình cờ cài đặt phần mềm gián điệp qua PC của họ.

Hầu hết các cuộc tấn công đều có nguồn gốc từ các Hacker mong muốn xâm nhập được vào hệ thống thông tin công cộng và đánh cắp chúng. Mặc dù không phải tất cả những thông tin được đăng trên Internet đều quan trọng nhưng nếu kết hợp với các dữ liệu khác trên Web hay các thông tin bổ sung được đăng bởi những công ty khác thì sự việc sẽ có thể được phơi bày.

Lobel của PricewaterhouseCoopers đã chú ý: "Bạn có thể đặt những mẩu thông tin không quan trọng lại với nhau để có thể luận ra những thông tin nhạy cảm".

Có lẽ một cuộc tấn công có thể xâm nhập thông qua điểm yếu về bảo mật hay cấu hình của một hệ thống hay ứng dụng có thể truy cập được nhằm lấy được thông tin của người sử dụng hay thiết lập giám sát.

Các kẻ tấn công cũng xâm nhập vào những lỗi đã được mọi người biết tới hoặc những lỗi kỹ thuật không được phổ biến. Và để truy cập vào các thông tin thực sự nhạy cảm, chúng có thể sử dụng các chiến thuật như hối lộ.

Trong suốt các cuộc tấn công có mục tiêu, sẽ có nhiều hơn một hệ thống hoặc ứng dụng có lỗ hổng bảo mật có thể bị xâm nhập trực tiếp. Khi một hệ thống duy nhất hay một tài khoản bị xâm hại thì hầu như tất cả những cái còn lại cũng sẽ dần dần bị hư hỏng cho tới khi những kẻ tấn công đạt được mục tiêu cuối cùng.

Thông thường, kẻ tấn công đặt phần mềm theo dõi vào những hệ thống mà không ngờ tới như những thông tin Log của máy chủ , nơi mà các phương pháp bảo mật IT truyền thống không thể tìm thấy sự xâm nhập. Chúng thu thập các dữ liệu và gửi nó theo từng lượng nhỏ thông qua FTP, vì thế chúng không làm tăng lưu lượng truyền dữ liệu , thông thường khiến chúng bị chú ý.

Mục tiêu của những kẻ trộm dữ liệu là ai? Bạn cho rằng công ty của bạn không thể là mục tiêu của những kẻ gián điệp điện tử? Đừng chắc chắn như vậy. Kocher nói: mặc dù hệ thống quân đội và các nhà thầu của chính phủ luôn luôn là mục tiêu chính nhưng các dịch vụ chứa thông tin cho nhiều tổ chức cũng rất thu hút bởi chỉ cần một lần xâm nhập duy nhất cũng có thể cung cấp thông tin về một loạt các mục tiêu lớn.Ví dụ, tất cả các dịch vụ Webmail, mạng điện thoại, cơ sở dữ liệu và trang mạng xã hội đều sẽ là mục tiêu của chúng.

Paul Kurtz, COO của Good Harbor Consulting, là một chuyên gia hàng đầu trong lĩnh vực an ninh quốc gia, phục vụ trong vị trí cao cấp tại tổ chức An ninh quốc gia của Nhà Trắng và Hội đồng bảo an quốc gia đã chú ý: bất cứ công ty sử hữu trí tuệ hoặc tổ chức nghiên cứu nhạy cảm và phát triển dữ liệu đều nằm trong sở thích của những tên gián điệp.

Kurtz nói: "Kẻ thù cũng sẽ tìm những đường đi liên quan để xâm nhập được vào nhiều dữ liệu nhạy cảm hơn, vì thế những tổ chức hỗ trợ các nhóm tư nhân và chính phủ quan trọng cũng nên giám sát các hoạt động gián điệp".

Bạn phải đối mặt với những nguy cơ gì? Nguy cơ tổ chức của bạn phải đối mặt là gì nếu nó không một lần kiểm tra xem liệu có bị gián điệp điện tử giám sát hay không?

Lobel của PricewaterhouseCooper nói rằng: "Trường hợp tồi tệ nhất chính là công ty của bạn sẽ mất đi khả năng cạnh tranh". Ví dụ như Hacker đang thực hiện nhiệm vụ gián điệp có thể chuyển giao quyền sở hữu trí tuệ sang một trong số những đối thủ cạnh tranh lớn nhất của công ty bạn . Điều này cho phép đối thủ cạnh tranh tránh được những chi phí về nghiên cứu và phát triển cũng như thời gian mà công ty của bạn phải bỏ ra hoặc giúp họ đạt được những sản phẩm tương lai trong hoạch định của bạn.

Kurtz nói rằng ngày nay, các công ty tư nhân dễ bị ảnh hưởng nhất bởi chính phủ liên bang không giúp được gì nhiều và họ lại đang trong tình trạng bị "chảy máu quyền sở hữu trí tuệ dễ dẫn đến mất đi thị phần, lòng tin của các nhà đầu tư và cuối cùng là khả năng cạnh tranh cũng như sinh tồn."

Các tổ chức không chỉ cần phải biết sợ việc mất đi những thông tin quan trọng mà còn phải chịu cảnh mất đi các dữ liệu cá nhân. Lỗi an ninh năm 2007 mà nạn nhân chính là công ty bán lẻ T.J.Maxx đã gây ra hàng triệu thẻ tín dụng của khách hàng bị đánh cắp chính "là một cơn ác mộng PR" - đây là lời của nhà đầu tư Gregg.

Bạn có thể làm gì để ngăn chặn siêu gián điệp? Không có cách nào để bạn có thể hoàn toàn bảo vệ được tổ chức của mình khỏi các cuộc tấn công ngày càng tinh vi của những tên gián điệp trong và ngoài nước. Điều này càng đúng với các cuộc tấn công có nguồn gốc từ các chính phủ nước ngoài bởi các quốc gia đều có những nguồn nhân lực và vật lực mà hầu hết các công ty không thể có được.

Nhưng có những biện pháp có thể áp dụng để ít nhất cũng giảm được cơ hội cho bọn tấn công gây nguy hại nghiêm trọng .

Một chiến lược mà nhiều chuyên gia đồng ý đó là phải thực hiện "an ninh theo chiều sâu". Nếu có nhiều lớp bảo vệ thì lỗi của một lớp sẽ không thể gây ra tổn hại. Chiến lược này bao gồm không chỉ việc triển khai một số ký thuật tân tiến nhất mà còn phải giáo dục nhân viên của bạn về nguy cơ này và cho họ thấy họ có thể giúp ngăn chặn những hành động gián điệp bằng cách nào.

Nếu có thể, bạn hãy xem xét việc thuê những người chuyên về việc phát hiện và chống lại những phương pháp gián điệp điện tử xâm nhập hệ thống.

MacDonald của Gartner khuyến cáo các công ty nên đặt vấn đề này ngay lập tức. Ví dụ như nghiêm khắc trong các nguyên tắc quản lý bản vá lỗi về cả chiều rộng và chiều sâu, thiết lập và theo dõi những tiêu chuẩn quản lý cấu hình và hướng dẫn người sử dụng về mỗi nguy cơ của các cuộc tấn công thông qua kỹ thuật thông thường.

Bởi vì hầu hết các cuộc tấn công đều thông qua email và Web nên tốt hơn hết là tăng cường khả năng bảo vệ cho các email và cổng Web thông qua nhiều kiểu bảo vệ bao gồm cả URL và các dịch vụ uy tín của Web.

Hơn nữa, nên chuyển từ AntiVirus và AntiSpyware sang các nền tảng bảo vệ EndPoint cung cấp nhiều kiểu bảo vệ (như antivirus, antispam, tưởng lửa và hệ thống ngăn chặn xâm nhập dựa trên máy chủ …) .

MacDonald nói: "Hãy giả sử rằng bạn sẽ bị tấn công. Tăng cường khả năng phòng vệ của bạn bằng cách thực hiện việc theo dõi một cách chi tiết các hệ thống, mạng, ứng dụng và truyền dữ liệu tìm kiếm các hành vi bất thường." Hầu hết các sản phẩm quản lý thông tin và sự kiện về bảo mật (SEIM) đang được bổ sung thêm khả năng này.

Ông Kocher của Cryptography Research nói rằng hầu hết các biện pháp phỏng vệ đáng tin cậy lại được dùng ở những mạng nhỏ và cô lập. Khi mạng lưới ngày càng phát triển thì khả năng của các cuộc tấn công nguy hiểm cũng gia tăng theo. Ông nói: "Trong công ty của tôi, chúng tôi quản lý một mạng Offline hoàn toàn với từng máy PC, cáp mạng và máy in." Những nhân viên có máy tính xách tay để gửi email và lướt web sẽ không được nắm giữ những thông tin nhạy cảm cao. Các hệ thống nắm giữ dữ liệu quan trọng, cho dù thế nào cũng không được hết nối Internet. Mặc dù rất tốn kém và cồng kềnh nhưng loại bỏ việc kết nối với bên ngoài đó là cách duy nhất mà công ty có thể tự tin về dữ liệu của mình được bảo vệ tốt.

Các công cụ bảo mật mới và mạnh hơn như các sản phẩm đã được kiểm soát ngặt nghèo cho mạng đang dần nổi lên để giúp bảo vệ những mối nguy cơ gián điệp điện tử. Ví dụ, NetWitness Investigator chính là một ứng dụng phân tích mối đe doạ tương tác có thể thực hiện việc phân tích các mẫu tự do của dữ liệu mạng thô.

Nhà đầu tư Gregg nói: những công cụ này không tìm kiếm mã độc hại nhưng những mẫu dữ liệu được gửi đi trên mạng khá giống với những với việc các Hacker xâm nhập vào mạng của bạn và lấy đi dữ liệu. Khi số an ninh xã hội, thẻ tín dụng hoặc các loại file khác chuyển ra khỏi mạng của bạn thì hệ thống báo động sẽ không chỉ cảnh báo người sử dụng mà còn giúp nhận ra và theo dõi xem dữ liệu đó được chuyển đi đâu.

Nếu công ty của bạn có đủ nguồn lực và chuyên môn, hãy cân nhắc việc phát triển những công cụ được chuyên môn hoá của chính bạn và giúp ngăn chặn các cuộc tấn công. Những mối đe dọa thường được thực hiện theo yêu cầu của ai đó nhằm đạt được những thông tin cụ thể của một công ty nên những biện pháp phòng vệ của bạn cũng cần phải điều chỉnh theo.

Việc bỏ qua không hề dễ chịu tí nào. MacDonald của Gartner nói rằng: thật không may mắn vì hầu hết các công ty đều vui vẻ lờ đi vấn đề về gián điệp điện tử, cảm thấy dễ chịu đối với các phần mềm Antivirus và quét mạng có thể tiếp tục tìm ra những lỗi chưa được vá. Họ cũng vẫn sẽ hạnh phúc để lờ đi chỉ tới khi máy tính của họ bị hư hại kéo dài trong những tháng sau đó.

Ông nói: "Từ chối thực hiện cho tới khi không còn hoạt động."