Mã hoá là câu chuyện xuất hiện trên vô số bài báo và các bài diễn thuyết ở hầu hết hội nghị bảo mật máy tính. Chúng ta không thể phủ nhận mã hoá là một công cụ có giá trị rất lớn và người dùng biết rằng dữ liệu cần được mã hoá nhiều hơn nữa. Đặc biệt, đối với một số doanh nghiệp hay tổ chức thì mã hoá đã trở thành danh mục không thể thiếu trong khung pháp lý và là một phần chiến lược phát triển.
Vậy tại sao doanh nghiệp biết rõ tầm quan trọng của vấn đề này nhưng dường như rất nhiều dữ liệu ở khắp nơi vẫn không được mã hoá? Câu trả lời lại chính là bởi dữ liệu hay chính xác hơn là vị trí đặt dữ liệu. Tính linh hoạt cũng như nhu cầu khai thác dữ liệu ngày càng lớn khiến mã hoá nhiều khi không được xem xét, đánh giá như một giải pháp kĩ thuật khi triển khai. Và hiện nay có hàng loạt yếu tố cần cân nhắc khi tổ chức, doanh nghiệp triển khai mã hoá dữ liệu.
Mã hoá không miễn phí
Cả Microsoft và Apple hiện bao gồm mã hoá như một tuỳ chọn cho các máy người dùng chạy hệ điều hành của họ. Vì vậy, đối với người dùng máy tính xách tay, mã hoá là miễn phí, phải không?
Dường như điều này không phải. Đầu tiên, có một sự khác biệt lớn giữa việc mã hoá đĩa cứng của máy tính xách tay hoặc máy tính để bàn và mã hoá hàng petabyte dữ liệu tạo nên cơ sở hạ tầng lưu trữ dữ liệu doanh nghiệp hiện đại. Thực tế, việc so sánh quy mô của hai quá trình này là không phù hợp. Bởi, thời gian xử lý cũng như lượng dự liệu ảnh hưởng tới việc mã hoá. Cùng với đó, vòng đời CPU và bộ nhớ là điều thứ 2 cho thấy việc mã hoá không thực sự miễn phí.
Theo thời gian, dự liệu “phình” lên nhanh chóng và CPU và bộ nhớ không còn đảm bảo hiệu suất mã hoá và giải mã như trước. Với hiệu suất xử lý kém, những vấn đề phát sinh có thể không nhận thấy khi xử lý mã hoá trên một máy tính xách tay nhưng chúng sẽ biến thành thảm hoạ khi có hàng chục ngàn người dùng và hàng triệu giao dịch.
Tài chính ảnh hưởng liên quan trực tiếp đến việc mã hoá dữ liệu, thậm chí sau hàng loạt cuộc thảo luận, doanh nghiệp đạt được kết quả cuối cùng của kinh phí dành cho phần mềm hoặc dịch vụ để cung cấp mã hoá. Điều này cũng ảnh hưởng tới việc quyết định mã hoá toàn bộ dữ liệu hay mã hoá một phần trong doanh nghiệp. Đối với các tập đoàn lớn thì việc mã hoá toàn bộ cũng rất khó khăn và chỉ khi nào chứng minh được giá trị của việc mã hoá thì mới có khả thi. Điều này cũng trở thành bài toán khó giải cho những công ty nhỏ.
Mã hoá - nạn nhân của việc khai thác dữ liệu
Một khi được mã hoá, dữ liệu không thể truy xuất, xử lý mà không có hệ thống giải mã. Thật tuyệt nếu chúng ta đang cố gắng ngăn chặn tin tặc, và doanh nghiệp có thể đảm bảo về tính nhất quán của dữ liệu hoặc tuân thủ quy định.
Nếu nhu cầu về tính minh bạch tồn tại đối với dữ liệu nằm chờ hay còn gọi là trạng thái nghỉ, thì giải pháp tương đối đơn giản. Nếu sử dụng giải pháp tốn kém thì doanh nghiệp sẽ giải mã dữ liệu, kiểm tra dữ liệu, sau đó mã hoá dữ liệu được truy xuất bởi cơ sở dữ liệu. Doanh nghiệp có thể thiết kế một quy trình thực hiện tất cả những điều này mà không ảnh hưởng hiệu suất quá mức. Nhưng mọi thứ trở nên phức tạp hơn rất nhiều khi dữ liệu được mã hoá đang được vận hành, trao đổi qua VPN. Trong hầu hết các trường hợp, để truy xuất được dòng dữ liệu chảy qua VPN đòi hỏi phải khởi động một cuộc tấn xông trung gian chống lại chính hệ thống của mình.
VPN phải ngừng hoạt động rồi dữ liệu mới được giải mã và kiểm tra, sau đó một đường hầm mới được tạo liên kết dữ liệu đến đích của nó. Để làm được điều này, đặc biệt đối với doanh nghiệp quy mô thí sẽ rất tốn kém, ngoài ra chúng sẽ tạo ra kẽ hở bảo mật trong hệ thống mạng.
Mã hoá để che dấu
Sử dụng công cụ mã hoá cho các hoạt động mờ ám không chỉ vi phạm chính sách mà còn gây nguy hiểm cho an ninh mạng. Bấy lâu nay tội phạm mạng đã cho thấy rằng mã hoá có thể là một cách nguỵ trang rất hiệu quả cho mã độc và dữ liệu độc hại. Câu hỏi là liệu dữ liệu độc hại này có thể được phát hiện và khắc phục mà không phải giải mã toàn bộ kho hay luồng dữ liệu? Câu trả lời của các chuyên gia an ninh mạng thường là không, để bảo vệ dữ liệu chống lại nội dung độc hại thì phải xử lý thông tin kỹ càng, loại bỏ các mối nguy hại trước khi được mã hoá. Hoặc những dữ liệu đang bị che dấu cần được giải mã và kiểm tra.
Nếu một tổ chức không có một quy trình mạnh mẽ cho việc mã hoá có thể làm cho việc tìm mã độc trở nên khó khăn hơn nhiều khi đưa dữ liệu lên hệ thống mạng. Một quy trình tốt sẽ giảm thiểu phần lớn khó khăn, rủi ro nhưng kèm theo đó là chi phí cùng phình ra một khoảng không nhỏ.
Sự phức tạp của mã hoá
Cho đến nay chúng ta đã thấy rằng mã hoá thường đi kèm với kinh phí. Một điều hiển nhiên rằng mã hoá giúp hệ thống bảo mật trở nên phức tạp hơn so với những sơ đồ bảo mật mà không có mã hoá.
Và sự phức tạp đó có thể bao gồm một khoản tiên lớn được đầu tư vào cùng những chi phí khác chỉ hiển thị khi hiệu suất và hiệu quả được phân tích. Nếu việc mã hoá một cách toàn diện thì không có nhiều điều cần bàn cãi, tuy nhiên sự ảnh hưởng của tài chính có thể tạo ra những điểm không được bảo mật, tạo ra các tác nhân đe doạ việc xâm nhập từ bên ngoài. Ngoài ra, việc thiếu đồng bộ khiến hệ thống có thể hành xử theo cách không lường trước được.
Ngay cả khi những hành vi bất thường này không dẫn đến lỗi hệ thống trực tiếp nhưng chúng có thể gây ra sự không chắc chắn, mất niềm tin và chi phí bổ sung cho kiểm tra trở nên tốn kém. Mã hoá ở quy mô doanh nghiệp yêu cầu triển khai ở nhiều bộ phận và có rất nhiều thành phần tham gia vào đó. Đặc biệt là khi các ứng dụng đang được xây dựng dựa trên cơ sở hạ tầng đám mây lai với hàng loạt các thành phần tham gia. Và có thể rất khó để trả lời câu hỏi cho việc đảm bảo hiệu suất bảo mật tổng thể khi có quá nhiều thành phần. Trong thực tế mỗi thành phần hoặc quy trình bổ sung sẽ tạo thêm nguy cơ và tăng chi phí triển khai cũng như quản lý.
Mã hoá cũng cần được bảo vệ
Ngoài việc tăng cường bảo vệ dữ liệu, mã hoá cũng cần được bảo vệ - đặc biệt là khi nói đến các khoá được sử dụng cho cả hai đầu của quá trình mã hoá. Khoá là một đoạn thông tin điều khiển hoạt động của thuật toán mật mã. Nói một cách khác, khoá là thông tin để cá biệt hoá quá trình mã hoá cũng như giải mã. Khoá cũng được sử dụng trong các thuật toán khác trong mật mã học như thuật toán tạo chữ kí số hay hàm băm mật mã.
Trải nghiệm tồi tệ trong việc các khoá mã hoá bị đánh cắp rõ ràng nhất đối với các chuyên gia bảo mật tại khách sạn Starwood khoảng 327 triệu khách hàng bị đánh cắp tên, địa chỉ, ngày sinh, số điện thoại, email, giới tính, thông tin lịch trình, số hộ chiếu và thông tin tài khoản Starwood Preferred Guest. Số thẻ tín dụng cũng nằm trong số dữ liệu bị đánh cắp, mặc dù được mã hoá bằng thuật toán AES-128 nhưng tin tặc đã chiếm được các khoá mã hoá và có khả năng giải mã hầu hết những dữ liệu đánh cắp được.
Trong doanh nghiệp có thêm nhiều thành phần để bảo mật, đồng nghĩa với chi phí vận hành sẽ tăng cao. Cho dù mã hoá áp dụng cho dữ liệu ở trạng thái nghỉ hoặc thông qua VPN ở mức tối thiểu, các cơ chế để ban hành mã hoá và các khoá để mã hoá, phải được lưu trữ và bảo vệ riêng biệt. Một sơ đồ mã hoá không có kế hoạch và cơ sở hạ tầng vững chắc để bảo vệ cơ chế mã hoá và các khoá của nó không đầy đủ ở mức tốt nhất có thể khiên toàn bộ hệ thống bảo mật chịu rủi ro cao.
Một kế hoạch cho mã hoá
Khi một tổ chức thực hiện mã hoá thì cần tiến hành nghiêm túc, tỉnh táo và không có sự vội vàng. Tất nhiên, điều đó đúng với hầu hết doanh nghiệp CNTT nhưng hậu quả của việc mã hoá sai cách có thể tạo ra nhưng thảm hoạ.
Một trong những ví dụ gần đây về việc lên kế hoạch tồi cho hoạt động mã hoá đến giao dịch tiền điện tử Quadrigacx của Canada. Gerald Cotton - người sáng lập và giám đốc điều hành giữ khoá mã hoá trên máy tính xách tay được mã hoá của mình, điều này được cho là an toàn cho đến khi anh ta đột nhiên qua đời mà không nói cho ai khác biết chìa khoá của máy tính xách tay của mình. Điều đó dẫn đến việc mất 190 triệu CAD (tương đương 145 triệu USD) được cất trong ví lưu trữ lạnh của nền tảng không thể được giải mã khiến các khoản đầu tư của khách hàng mất sạch.
Rõ ràng rằng mã hoá là phức tạp. Thật dễ dàng cho các giám đốc điều hành, và thậm chí một số chuyên gia CNTT, tin rằng mã hoá không phức tạp hơn việc nhấp vào một vài văn bản, ghi nhớ mật khẩu (mạnh) và tận hưởng toàn bộ bảo mật. Nhưng, giống như hầu hết mọi khía cạnh của an ninh mạng, mã hoá đòi hỏi phải phân tích, lập kế hoạch và thực hiện cẩn thận.
Thạch An
Khám phá tháng 05/2019