(Webbaohiem) – Theo Hiệp hội Quốc tế các nhà giám sát bảo hiểm (IAIS), doanh nghiệp bảo hiểm vẫn là mục tiêu tấn công hàng đầu của tội phạm mạng máy tính do nguồn dữ liệu cá nhân và thương mại mà họ thu thập được hết sức dồi dào.
Bất kỳ vụ tấn công xâm nhập mạng nào vào ngành bảo hiểm cũng có thể gây ra tác động nhất định tới kinh tế toàn cầu, do những đóng góp đáng kể của ngành này.
IAIS đưa ra 3 ví dụ về những điểm yếu an ninh bảo mật của doanh nghiệp ngành bảo hiểm.
Đầu tiên là không có cái nhìn toàn diện về bức tranh công nghệ thông tin.
IAIS cho biết, không ít các hãng bảo hiểm không để tâm tới luồng lưu chuyển của dữ liệu giữa các hệ thống, ứng dụng và thiết bị CNTT.
“Nếu có sự trao đổi dữ liệu giữa hệ thống có mức độ bảo mật cao và hệ thống bảo mật thấp, tội phạm mạng sẽ có cơ hội tiếp cận vào các lỗ hổng bảo mật”.
Ví dụ như trường hợp công ty bảo hiểm sức khỏe Anthem của Hoa Kỳ hồi năm ngoái, kẻ xấu đã xâm nhập mạng và lấy cắp thông tin cá nhân của 91 triệu chủ hợp đồng.
Điểm yếu bảo mật thứ hai của doanh nghiệp bảo hiểm là không có quy trình kiểm soát thích hợp đối với quyền ưu tiên của người dùng.
Ở đây có hai vấn đề nổi cộm: một là không kiểm soát được quá trình phân quyền người dùng và hai là không nhận biết được khi nào một tài khoản nào đó không cần tới các quyền ưu tiên nữa.
Cả hai điều này đều dẫn tới việc lạm dụng quyền của những người trong hệ thống và sự tiềm ẩn nguy cơ xâm nhập mạng.
Khả năng tiếp cận của những “siêu tài khoản người dùng” – với mức độ ưu tiên vượt xa các tài khoản thông thường – chính là điểm yếu bảo mật thứ ba của doanh nghiệp bảo hiểm.
Nếu hacker chiếm được quyền kiểm soát những tài khoản này, chúng có thể kiểm soát toàn bộ hệ thống một cách dễ dàng và che dấu hành vi phạm tội thông qua việc làm thay đổi hoặc xóa các tệp log hoặc vô hiệu hóa các cơ chế phát hiện.
Việc sử dụng phổ biến các “siêu tài khoản” này có thể gây ra những lỗi ảnh hưởng tới toàn bộ hệ thống.
Huyền My (Theo INN).
Comments are closed.