3 rủi ro mất an toàn thông tin khi sử dụng các ứng dụng họp trực tuyến

	Phần mềm Zoom để lộ thông tin cá nhân hơn 500 nghìn tài khoản người dùng
	Tập đoàn AIC Group xây dựng ứng dụng hỗ trợ học tập trực tuyến trong mùa dịch Covid-19

1. Rủi ro trong truyền đưa

Hiện nay, hầu hết các sản phẩm họp trực tuyến, hội nghị truyền hình đều sử dụng mạng truyền dẫn dựa trên nền IP. Đối với các giải pháp đóng gói, được triển khai tại các cơ quan, tổ chức, hệ thống mạng này thường sử dụng đường truyền riêng, không kết nối vào mạng internet nên giảm thiểu được các nguy cơ mất an toàn.

Ảnh minh hoạ.

Tuy nhiên, các giải pháp họp trực tuyến thương mại trên nền tảng hạ tầng đám mây (cloud) hiện nay như Zoom, Google Hangouts, Microsoft Teams, Trueconf... chủ yếu truyền đưa qua mạng internet công cộng. Do đó, có rất nhiều rủi ro nguy cơ mất an toàn thông tin như: Bị chặn bắt thông tin, dữ liệu; bị xâm nhập, chen ngang với hình ảnh và nội dung không phù hợp như trường hợp "zoombooming" của ứng dụng Zoom; bị lén lút gửi thông tin cuộc họp đến các địa chỉ bên thứ ba...

Để hạn chế rủi ro này, đa số các sản phẩm họp trực tuyến đều sử dụng các giao thức mã hóa phổ biến như tiêu chuẩn an toàn TLS (Transport Layer Security), SRTP (Secure Realtime Transport Protocol)… Tuy nhiên, mỗi hãng có các công nghệ khác nhau do việc này ảnh hưởng nhiều đến chất lượng cuộc họp trong truyền đưa dữ liệu.

2. Rủi ro trong lưu trữ

Để tối ưu hiệu năng trong truy xuất, lưu trữ, xử lý dữ liệu và cung cấp dịch vụ cho khách hàng, các ứng dụng trực tuyến này thường xây dựng các hạ tầng máy chủ lưu trữ tạm thời (cache) ở hạ tầng đám mây trên các trung tâm dữ liệu khắp thế giới.

Tuy nhiên các chuyên gia lo ngại tính an toàn, bảo mật dữ liệu được lưu trữ tại các trung tâm dữ liệu này, đặc biệt tại Trung Quốc, khi quốc gia này không thực thi các điều luật bảo vệ dữ liệu nghiêm ngặt.

Giải pháp bảo vệ và hạn chế rủi ro này được các hãng áp dụng thường là sử dụng mật mã hóa toàn trình (end-to-end encryption). Nghĩa là tất cả các dữ liệu chia sẻ, âm thanh, nội dung trao đổi và kể cả cuộc họp trực tuyến sẽ được mật mã hóa từ ứng dụng trên máy người dùng đến hệ thống lưu trữ đặt ở bất kỳ đâu trên thế giới.

Với các thuật toán mật mã hóa tiêu chuẩn như AES-256, TLS_RSA…, được áp dụng rộng rãi thì ngay chính bản thân nhà cung cấp giải pháp cũng không thể giải mã để khôi phục video, dữ liệu.

3. Rủi ro khác

Đó là, nguy cơ lộ lọt và chia sẻ thông tin cá nhân phục vụ mục đích quảng cáo của các hãng công nghệ. Các phần mềm cài đặt trên các thiết bị di động của cá nhân, tổ chức sẽ có khả năng thu thập thông tin trên thiết bị, hoặc chia sẻ chính các thông tin được người dùng cung cấp trong quá trình khai thác, sử dụng ứng dụng trực tuyến.

Ngoài ra là các rủi ro khai thác lổ hổng bảo mật trên phần mềm, phần cứng. Với các lỗ hổng bảo mật, bất kỳ giải pháp nào cũng có khả năng bị tấn công như: Lấy cắp dữ liệu, cài cắm mã độc, chiếm quyền điều khiển,…

Rủi ro này sẽ được khắc phục bằng khả năng xử lý của nhà cung cấp khi đưa bản vá, hướng dẫn, chia sẻ minh bạch thông tin. Tuy nhiên điều này phụ thuộc vào việc cập nhật các bản vá cho sản phẩm của tổ chức, cá nhân người dùng.

P.B