Focus On: Bảo mật dữ liệu và phương pháp của ống cao su

Hãy cùng Iworld.com.vn giải quyết cuộc tranh luận về bảo mật dữ liệu.

Cuộc tranh luận về chủ đề an toàn thông tin và sở hữu trí tuệ – trung tâm của tri thức doanh nghiệp – chưa bao giờ hết hot. Lý do chắc chắn là sự gia tăng của các giải pháp và sự thành công không ngừng của các ứng dụng đám mây đang làm đảo lộn cách thức mà các công ty sản xuất thực hiện chiến lược đổi mới của họ.

Trong vòng đời sản phẩm, một lượng lớn thông tin (tài liệu R & D, sơ đồ thiết kế, bản vẽ CAD / CAM) được tạo ra cần được chia sẻ cả bên trong và bên ngoài công ty, từ nhà cung cấp đến khách hàng. Tất cả những nội dung này là kết quả của sự đầu tư trí tuệ mà một công ty phải đối mặt trong giai đoạn đầu của quá trình phát triển sản phẩm. Chúng là những ý tưởng hấp dẫn sẽ được chuyển đổi thành các ứng dụng thực tế và có lợi nhuận và vì lý do này, việc bảo vệ chúng trở nên rất cần thiết.

Giải pháp PLM (Quản lý vòng đời sản phẩm) chứa công nghệ cho phép bạn quản lý một lượng lớn dữ liệu đáng kể trong môi trường phát triển sản phẩm một cách an toàn và trong môi trường phức tạp.

Các hệ thống PLM hiện đại, bên cạnh việc quản lý tất cả tài liệu sản phẩm, mã hóa, Danh mục vật liệu kĩ thuật và bản sửa đổi, còn đảm bảo rằng thông tin đó – đặc biệt là các tệp – chỉ được cung cấp cho các nhà vận hành được ủy quyền tại một thời điểm nhất định trong vòng đời của sản phẩm. Các tính năng bảo mật tinh vi chi phối quyền truy cập vào kho lưu trữ tài sản trí tuệ: có thể xác định và gán cho từng người dùng các đặc quyền hoạt động cụ thể của hệ thống  đối với từng tài liệu hoặc thông tin do hệ thống quản lý. Thông thường, nói về bảo mật dữ liệu, sự chú ý chỉ tập trung vào khía cạnh công nghệ, mật mã và máy móc hoặc hệ thống phần cứng và phần mềm tạo nên hệ thống quản lý dữ liệu, bỏ qua yếu tố yếu nhất: con người.

Để giải thích khái niệm này, Marcus J. Ranum, một hacker nổi tiếng, đã mô tả, với lối nói giảm nói tránh, một kỹ thuật mà ông đã định nghĩa một cách nhanh chóng và dễ hiểu: “Phương pháp của ống cao su”.

Giả sử chúng ta phải bắt buộc một máy chủ công nghệ cao được trang bị hệ thống bảo mật chống lừa đảo theo giả thuyết. Theo quan điểm của Ranum, kỹ thuật này đơn giản và rẻ hơn nhiều so với bạn tưởng tượng, đây là danh sách mua hàng:

  • Ống 1 ½ inch bằng cao su cứng, dài khoảng 50 cm (có sẵn tại bất kỳ cửa hàng đồ kim khí nào)
  • 3 dây buộc chắc chắn, dài 1m

Bước tiếp theo là bắt cóc quản trị viên hệ thống, buộc anh ta vào một chiếc ghế bằng dây buộc và dùng vòi cao su đánh mạnh vào người anh ta cho đến khi chính anh ta tiết lộ mật khẩu để truy cập vào hệ thống.
Mẹo: Đảm bảo rằng mật khẩu chính xác trước khi giải thoát nạn nhân.

Có lẽ Ramus chưa bao giờ tra tấn bất kỳ ai, nhưng câu chuyện này giúp chúng ta hiểu rằng bất kỳ khoản đầu tư công nghệ nào được thiết kế để cải thiện an ninh nội bộ đều có thể hoàn toàn không hiệu quả nếu khía cạnh con người không được xem xét nghiêm túc. Các số liệu thống kê rõ ràng, phần lớn các vụ ăn cắp thông tin xảy ra mà không cần đến hệ thống. Để cung cấp cho bạn một số ví dụ, phần lớn các bản vẽ kỹ thuật bị đánh cắp đã được lưu vào USB hoặc thậm chí được sao chụp mà không gặp bất kỳ sự cố nào bởi các nhân viên có quyền truy cập hợp pháp vào hệ thống.

Với điều này, chúng tôi không muốn nói rằng khi lựa chọn một hệ thống PLM không quan trọng là phải đánh giá cẩn thận các khía cạnh kỹ thuật của bảo mật dữ liệu mà giải pháp cung cấp, nhưng chúng tôi muốn nhấn mạnh rằng nó cũng quan trọng không kém, trong giai đoạn triển khai PLM hệ thống mà người dùng trong tương lai được nhận thức và đào tạo về các vấn đề bảo mật để bảo vệ tài sản trí tuệ.

Tóm lại, chúng tôi không khuyến khích những người dùng chung (ví dụ: “kỹ thuật viên”), với một mật khẩu được hàng chục người trong tổ chức biết và dùng chung và mời bạn chỉ định thông tin đăng nhập riêng biệt cho từng nhân viên. Hơn nữa, mỗi người phải cam kết giữ bí mật thông tin này: đã quá nhiều lần chúng tôi thấy mật khẩu dán đầy trên màn hình trong văn phòng!

Và đối với những người có ý đồ xấu: cần biết rằng một hệ thống PLM tốt cũng có khả năng theo dõi bất kỳ hoạt động nào được thực hiện trên chính hệ thống. PLM luôn biết ai và khi nào ai đó có quyền truy cập vào dữ liệu đó.

Hẹn gặp lại các bạn!

Mời các bạn đón đọc các nội dung khác về ThinkDesign tại đây

Biên dịch bởi Thanh Bình – Iworld.com.vn