Bảo Mật Khi Làm Việc Từ Xa: Rủi Ro Khi Làm Việc Hybrid Và Remote
URL: https://training.aware.com.vn/blog/bao-mat-khi-lam-viec-tu-xa-rui-ro-hybrid-va-remote
Danh mục: Nhận thức
Năm 2020, hàng triệu nhân viên trên toàn thế giới buộc phải làm việc tại nhà chỉ trong vài ngày. Các doanh nghiệp chạy đua thiết lập hạ tầng làm việc từ xa — laptop cá nhân kết nối VPN công ty, họp qua Zoom, tài liệu chia sẻ qua Google Drive. Bảo mật, trong nhiều trường hợp, là ưu tiên đến sau.
Năm năm đã trôi qua. Hybrid work và remote work không còn là tình huống khẩn cấp — chúng đã trở thành cách làm việc bình thường. Nhưng những lỗ hổng bảo mật từ giai đoạn chuyển đổi vội vàng đó vẫn còn đó, âm thầm tồn tại trong từng phiên làm việc tại nhà, tại quán cà phê, tại sân bay.
Và kẻ tấn công biết điều này rõ hơn ai hết.
Tại sao môi trường làm việc từ xa nguy hiểm hơn văn phòng truyền thống?
Văn phòng truyền thống có một lợi thế bảo mật mà ít ai để ý: mọi thứ nằm sau một vành đai kiểm soát duy nhất. Mạng nội bộ được giám sát. Thiết bị được quản lý tập trung. Nhân viên có thể hỏi đồng nghiệp ngay bên cạnh khi gặp điều bất thường.
Khi làm việc từ xa, vành đai đó biến mất. Thay vào đó là hàng chục, hàng trăm điểm kết nối phân tán — mỗi nhân viên với mạng riêng, thiết bị riêng, môi trường riêng. Mỗi điểm đó là một bề mặt tấn công tiềm năng.
Theo IBM Security, chi phí trung bình của một vụ vi phạm dữ liệu liên quan đến lao động từ xa cao hơn đáng kể so với vi phạm xảy ra trong môi trường văn phòng kiểm soát. Không phải vì nhân viên làm việc từ xa kém cẩn thận hơn — mà vì họ đang hoạt động trong môi trường có nhiều rủi ro hơn mà thường không được trang bị đủ để đối phó.
Những rủi ro bảo mật phổ biến nhất trong môi trường hybrid và remote
Mạng WiFi gia đình không được bảo mật đúng cách. Router gia đình thường dùng mật khẩu mặc định, firmware lỗi thời và không có tường lửa doanh nghiệp. Khi nhân viên kết nối máy tính công ty vào mạng đó, toàn bộ lưu lượng dữ liệu đi qua một môi trường mà bộ phận IT không kiểm soát và thường không hay biết.
Dùng chung thiết bị cá nhân và công việc. Laptop cá nhân chứa game, ứng dụng không rõ nguồn gốc, tài khoản cá nhân — và cũng là nơi xử lý email công ty, tài liệu nội bộ, dữ liệu khách hàng. Ranh giới giữa "máy tính cá nhân" và "thiết bị công việc" mờ dần, kéo theo ranh giới bảo mật cũng mờ theo.
Shadow IT — dùng ứng dụng chưa được phê duyệt. Khi làm việc từ xa, nhân viên có xu hướng tự tìm giải pháp tiện lợi hơn là chờ IT phê duyệt. Chia sẻ file qua tài khoản Google Drive cá nhân, họp trên ứng dụng video không được mã hóa, lưu tài liệu trên USB cá nhân — những hành động nhỏ này tạo ra những lỗ hổng lớn mà bộ phận bảo mật không thể nhìn thấy.
Màn hình không khóa ở nơi công cộng. Làm việc tại quán cà phê hay không gian coworking, một cuộc gọi điện thoại ngắn có thể khiến màn hình máy tính mở với đầy đủ tài liệu nội bộ — trong tầm nhìn của người lạ. Shoulder surfing — nhìn trộm màn hình — là kỹ thuật thu thập thông tin đơn giản nhưng hiệu quả đáng ngạc nhiên.
Phishing nhắm vào người làm việc từ xa. Nhân viên remote thường liên lạc với đồng nghiệp và cấp trên chủ yếu qua email và tin nhắn — không có cơ hội xác nhận trực tiếp. Điều này tạo ra môi trường lý tưởng cho tấn công giả mạo danh tính. Một email từ "IT helpdesk" yêu cầu cập nhật VPN, một tin nhắn từ "sếp" yêu cầu chuyển khoản gấp — tất cả trở nên khó phân biệt hơn khi không thể quay sang hỏi người ngồi cạnh.
Quản lý mật khẩu lỏng lẻo khi không có giám sát. Trong văn phòng, chính sách mật khẩu được kiểm soát qua hệ thống. Khi làm việc từ xa trên thiết bị cá nhân, nhiều nhân viên dùng lại mật khẩu cũ, lưu mật khẩu trong trình duyệt không bảo mật, hoặc chia sẻ thông tin đăng nhập với thành viên gia đình để "tiện sử dụng".
Câu chuyện thực tế: Một email, một mạng WiFi, và một vụ rò rỉ dữ liệu
Hãy hình dung tình huống sau — không phải kịch bản giả định, mà là mô hình sự cố xảy ra thường xuyên trong thực tế.
Một nhân viên kinh doanh làm việc từ quán cà phê, kết nối WiFi miễn phí. Trong lúc chờ khách hàng phản hồi, họ nhận được email từ "bộ phận IT" thông báo VPN sắp hết hạn, cần đăng nhập lại để gia hạn. Email trông chuyên nghiệp, logo công ty đầy đủ, đường link trông hợp lệ.
Họ click, nhập thông tin đăng nhập. Trang web hiển thị "Cập nhật thành công." Và đó là tất cả những gì họ thấy.
Trong nền, kẻ tấn công đã có thông tin đăng nhập VPN công ty — thu thập được qua mạng WiFi không mã hóa và trang phishing được dựng kỹ lưỡng. Ba tuần sau, bộ phận bảo mật phát hiện truy cập bất thường vào hệ thống nội bộ. Thiệt hại đã xảy ra từ lâu.
Những thực hành bảo mật cần thiết cho môi trường hybrid và remote
Luôn dùng VPN do công ty cấp khi truy cập hệ thống nội bộ, đặc biệt trên mạng WiFi không phải của cá nhân. VPN mã hóa lưu lượng dữ liệu, ngăn chặn bên thứ ba nghe lén dù đang dùng mạng công cộng.
Cập nhật firmware router gia đình và đổi mật khẩu mặc định. Đây là bước đơn giản nhưng thường bị bỏ qua. Một router với firmware lỗi thời có thể chứa lỗ hổng bảo mật đã được vá từ lâu — nhưng chỉ với những ai chịu cập nhật.
Phân tách thiết bị công việc và cá nhân. Nếu công ty cấp thiết bị, chỉ dùng thiết bị đó cho công việc. Nếu phải dùng thiết bị cá nhân, hãy tạo tài khoản người dùng riêng biệt trên máy tính và không cài ứng dụng không liên quan đến công việc trên tài khoản đó.
Khóa màn hình ngay khi rời vị trí — dù chỉ để lấy ly cà phê. Thói quen này mất chưa đến một giây nhưng ngăn chặn hoàn toàn rủi ro shoulder surfing và truy cập vật lý trái phép.
Chỉ dùng các công cụ được IT phê duyệt để chia sẻ tài liệu và liên lạc nội bộ. Nếu công cụ hiện tại gây bất tiện, hãy phản ánh với IT để tìm giải pháp thay thế được phê duyệt — thay vì tự ý dùng ứng dụng bên ngoài.
Xác minh mọi yêu cầu nhạy cảm qua kênh khác trước khi thực hiện, đặc biệt khi làm việc từ xa và không thể xác nhận trực tiếp. Gọi điện, nhắn tin qua hệ thống nội bộ, hoặc chờ đến buổi họp tiếp theo — không có yêu cầu hợp lệ nào cần phản hồi ngay lập tức đến mức không thể dành 60 giây để xác minh.
Trách nhiệm không chỉ thuộc về nhân viên
Một sai lầm phổ biến là đổ toàn bộ trách nhiệm bảo mật môi trường remote lên vai nhân viên cá nhân. Thực tế, tổ chức có vai trò quan trọng không kém trong việc tạo điều kiện để nhân viên làm đúng.
Điều đó có nghĩa là cung cấp thiết bị được quản lý và cấu hình bảo mật sẵn, triển khai VPN dễ dùng và ổn định, đào tạo nhân viên về rủi ro cụ thể trong môi trường remote — không phải đào tạo chung chung — và xây dựng chính sách rõ ràng về việc gì được phép, gì không được phép khi làm việc từ xa.
Bảo mật hiệu quả trong môi trường hybrid là sự kết hợp giữa công cụ đúng, chính sách rõ ràng và nhân viên được trang bị nhận thức. Thiếu bất kỳ yếu tố nào, cả hệ thống đều có điểm yếu.
Làm việc linh hoạt không có nghĩa là bảo mật linh hoạt
Hybrid work và remote work mang lại năng suất, sự linh hoạt và chất lượng cuộc sống tốt hơn cho nhân viên. Không ai muốn quay lại mô hình cũ. Nhưng sự linh hoạt trong cách làm việc không thể đi kèm với sự lơ là trong bảo mật.
Tổ chức nào đào tạo nhân viên để hiểu rõ rủi ro và thực hành đúng trong môi trường làm việc từ xa sẽ có lợi thế kép: vừa giữ được sự linh hoạt, vừa duy trì được mức độ bảo mật mà môi trường làm việc hiện đại đòi hỏi.
👉 Đọc tiếp: 5 thói quen số an toàn mà mọi nhân viên cần biết
👉 Tìm hiểu thêm: Social Engineering: Kẻ tấn công thao túng tâm lý như thế nào?
👉 Bạn muốn biết tổ chức mình đang ở đâu? Hãy sử dụng công cụ đánh giá an ninh mạng tại https://aware.com.vn/cong-cu/
👉 Bắt đầu đào tạo an ninh mạng cho doanh nghiệp của bạn ngay: https://training.aware.com.vn/
