Sai lầm chết người mà người dùng smartphone ngày nay đang xem nhẹ

Mọi người chưa bao giờ quên rửa tay, vậy tại sao lại "mở cửa" đón tin tặc qua chiếc điện thoại của mình?

Tại một bệnh viện, không một bác sĩ nào dám bỏ qua quy trình rửa tay sát khuẩn. Tại một nhà máy, không công nhân nào lơ là thiết bị bảo hộ. Ấy vậy mà trong chính những môi trường đó, một quy tắc "vệ sinh" khác lại đang bị xem nhẹ một cách nguy hiểm: "vệ sinh" an ninh bảo mật cho chiếc điện thoại di động – công cụ làm việc phổ biến nhất hiện nay.

Đây là một nghịch lý đáng báo động trong kỷ nguyên số. Trong khi các doanh nghiệp đầu tư mạnh mẽ để đảm bảo an toàn vật lý, họ lại vô tình để ngỏ một "cửa hậu" khổng lồ cho tội phạm mạng ngay trên những thiết bị nằm gọn trong túi nhân viên của mình.

Advertisement

Doanh nghiệp vẫn thờ ơ với an ninh thiết bị di động của nhân viên.

"Gót chân Achilles" của mạng lưới doanh nghiệp

Điện thoại thông minh và máy tính bảng giờ đây không còn chỉ để nghe gọi. Chúng đã trở thành điểm cuối (endpoint) hoàn chỉnh, truy cập trực tiếp vào hồ sơ bệnh nhân, dữ liệu khách hàng, và hệ thống hạ tầng quan trọng. Sự tiện lợi này cũng biến chúng thành bề mặt tấn công rộng lớn và hấp dẫn.

Các con số không biết nói dối, khi có hơn 33,8 triệu cuộc tấn công nhắm riêng vào di động được ghi nhận toàn cầu mỗi năm. Tội phạm mạng biết rõ đâu là điểm yếu. Chúng hiểu rằng các thiết bị di động thường chạy hệ điều hành cũ, thiếu các bản vá lỗi và hiếm khi được giám sát chặt chẽ như máy tính để bàn. Chúng đã trở thành "gót chân Achilles" dễ bị tổn thương nhất của cả một hệ thống doanh nghiệp.

Tâm lý chủ quan chết người

Nguyên nhân sâu xa đến từ chính nhận thức của người dùng. Chúng ta được dạy phải cẩn trọng khi dùng máy tính công ty, nhưng lại có thái độ thoải mái, "cá nhân" hơn với chiếc điện thoại. Ta dễ dàng nhấp vào một đường link lạ qua tin nhắn (smishing), tải một ứng dụng không rõ nguồn gốc, hay dùng chung một mật khẩu cho cả công việc và giải trí.

Tin tặc thường nhắm đến những tin nhắn SMS để tấn công người dùng nhẹ dạ.

Sự chủ quan này chính là mồi câu béo bở mà tin tặc giăng ra. Chúng khai thác màn hình nhỏ, các URL rút gọn và sự thiếu cảnh giác của người dùng để cài cắm phần mềm gián điệp, đánh cắp dữ liệu và cuối cùng là xâm nhập vào toàn bộ mạng lưới công ty.

Đã đến lúc áp dụng "kỷ luật thép"

Giải pháp không nằm ở một công nghệ xa vời nào, mà nằm ở việc thay đổi tư duy và áp dụng kỷ luật một cách nhất quán – hệt như việc rửa tay đã trở thành phản xạ. Các chuyên gia an ninh mạng khuyến nghị một chiến lược toàn diện:

- Tích hợp đầy đủ: Thiết bị di động phải được đưa vào khung quản lý rủi ro chung của doanh nghiệp, được đánh giá và giám sát như máy chủ hay laptop.

- Quản lý tập trung: Sử dụng các nền tảng quản lý thiết bị di động (MDM) hoặc quản lý điểm cuối hợp nhất (UEM) để thực thi chính sách cập nhật, mã hóa và cài đặt ứng dụng trên mọi thiết bị

- Vệ sinh định danh: Bắt buộc sử dụng mật khẩu mạnh, xác thực đa yếu tố (MFA) và không tái sử dụng mật khẩu.

- Đào tạo liên tục: Nhân viên phải là lá chắn đầu tiên. Họ cần được đào tạo để nhận diện các chiêu trò lừa đảo và biết cách báo cáo hoạt động đáng ngờ.

An ninh di động không còn là một lựa chọn. Nó là một yêu cầu bắt buộc, một phần không thể thiếu của văn hóa an toàn doanh nghiệp. Giống như một dụng cụ phẫu thuật, chiếc điện thoại của bạn phải luôn được giữ sạch sẽ, được kiểm soát và bảo vệ. Không có bất kỳ ngoại lệ nào.