1

SỔ TAY AN TOÀN THÔNG TIN DÀNH CHO CÁN BỘ CÔNG NHÂN VIÊN

(phát hành kèm theo Công văn số /EVNNPT-VTCNTT ngày __/05/2020)

Hà Nội 5/2020

2

MỤC LỤC

A. MỞ ĐẦU ......................................................................................................................................3

B. CÁC QUY ĐỊNH DÀNH CHO CÁN BỘ CÔNG NHÂN VIÊN EVNNPT...............................4

1. Các bộ phận đảm bảo ATTT: ............................................................................................................4 a. Bộ phận CNTT của Đơn vị: ............................................................................................................................. 4 b. Tổ An ninh thông tin của Đơn vị (Tổ ISMS): .................................................................................................. 4

2. Tuân thủ và hỗ trợ giám sát tuân thủ: ..............................................................................................4

3. Sử dụng thông tin mật.........................................................................................................................4

4. Làm việc từ xa .....................................................................................................................................4

5. Quản lý tài khoản, mật khẩu, email, máy tính. ................................................................................5

6. Sửa chữa, chuyển đổi và thanh lý máy tính. .....................................................................................5

7. Các hành vi bị nghiêm cấm ................................................................................................................5

C. MỘT SỐ HƯỚNG DẪN CƠ BẢN, TÌNH HUỐNG THƯỜNG GẶP .......................................7

1. Tăng cường bảo mật cho máy tính mới .............................................................................................7 a. Nguy cơ: ........................................................................................................................................................... 7 b. Biện pháp: ........................................................................................................................................................ 7

2. Thiết lập, Bảo vệ tài khoản và mật khẩu đúng cách ........................................................................8 a. Nguy cơ: ........................................................................................................................................................... 8 b. Biện pháp: ........................................................................................................................................................ 9

3. An toàn cho điện thoại di động, máy tính bảng ................................................................................9 a. Nguy cơ: ........................................................................................................................................................... 9 b. Biện pháp: ...................................................................................................................................................... 10

4. An toàn cho tài sản cá nhân là máy tính, ổ đĩa rời, USB. ..............................................................10

5. ATTT khi sử dụng mạng không dây công cộng..............................................................................10 a. Nguy cơ: ......................................................................................................................................................... 11 b. Biện pháp: ...................................................................................................................................................... 11

6. Kỹ năng phòng chống mã độc ..........................................................................................................12 a. Nguy cơ: ......................................................................................................................................................... 12 b. Biện pháp phòng chống mã độc: .................................................................................................................... 13

7. Nhận biết, phòng chống thư rác, thư giả mạo, tin nhắn rác, lừa đảo ...........................................13 a. Nguy cơ: ......................................................................................................................................................... 13 b. Biện pháp: ...................................................................................................................................................... 13

8. Phân biệt tin giả .................................................................................................................................14 a. Nguy cơ: ......................................................................................................................................................... 14 b. Biện pháp: ...................................................................................................................................................... 14

9. Đảm bảo ATTT khi duyệt web, email .............................................................................................15 a. Nguy cơ: ......................................................................................................................................................... 15 b. Biện pháp: ...................................................................................................................................................... 16

10. Đảm bảo ATTT khi sử dụng mạng xã hội ..................................................................................16 a. Nguy cơ: ......................................................................................................................................................... 16 b. Biện pháp: ...................................................................................................................................................... 16 c. Thiết lập an toàn cho tài khoản Facebook ...................................................................................................... 17

11. Phát hiện và đề phòng tấn công phi kỹ thuật (social engineering) ...........................................17

3

A. MỞ ĐẦU An toàn thông tin (ATTT) có ý nghĩa hết sức quan trọng đối với doanh nghiệp nói chung và

CBCNV nói riêng. Các nguy cơ mất an toàn thông tin không chỉ liên quan đến cá nhân mà còn ảnh hưởng trực tiếp đến hoạt động sản xuất kinh doanh của EVNNPT và gián tiếp đến an ninh năng lượng quốc gia.

Cùng với sự phát triển nhanh chóng của viễn thông và gia tăng ứng dụng CNTT, xã hội ngày càng phụ thuộc vào môi trường mạng Internet. Đặc biệt, trong thời gian tới, khi EVNNPT đẩy mạnh xây dựng doanh nghiệp số, sử dụng nhiều các thiết bị IoT, nguy cơ mất ATTT sẽ ngày càng cao. Thực tiễn đảm bảo ATTT thời gian qua cho thấy, 4 yếu tố quan trọng ảnh hưởng mạnh đến công tác ATTT, đó là nhận thức, nguồn nhân lực, quy trình và trang thiết bị liên quan đến an ninh thông tin. Từ thực tế, cho thấy những yếu tố liên quan đến con người đang là vấn đề rất nóng liên quan đến đảm bảo ATTT (do các yếu tố nhận thức, nhân lực và quy trình đều liên quan mật thiết đến con người). Đặc biệt, qua một số sự cố mất ATTT tại Doanh nghiệp lớn trong nước (ví dụ Vietnam Airlines, VNG), dễ thấy, vấn đề mất ATTT xảy ra với những lỗi rất sơ đẳng, phụ thuộc rất nhiều vào yếu tố con người cũng như nhận thức.

Các con số thông kê đã chỉ ra rằng: Cứ mỗi 39 giây có 1 cuộc tấn công mạng được thực hiện; 70% tấn công mạng bắt nguồn từ bên trong doanh nghiệp; 2/3 trường hợp lộ lọt dữ liệu là do con người; 91% các trường hợp lừa đảo thành công là qua email cho người dùng cuối; Đã có 500 triệu thông tin người dùng bị rò rỉ trong năm 2018 (trong đó Facebook: 50 triệu, Uber: 57 triệu; Việt Nam có VNG – đơn vị cung cấp Zing MP3/TV, Zalo… đã rò rỉ 163 triệu thông tin ngày sinh, email, địa chỉ, số điện thoại, mật khẩu, giới tính của người dùng trong giai đoạn từ từ 5/2015 đến 4/2018).

Do đó, mỗi CBCNV cần tự trang bị các kiến thức cơ bản nhằm nâng cao tính cảnh giác, tuân thủ nhằm để bảo vệ mình trước các nguy cơ mất ATTT vốn ngày càng tinh vi và đa dạng.

Tài liệu này được ban hành để cung cấp các thông tin cơ bản, các quy định liên quan trực tiếp đến CBCNV trong ATTT; cách phát hiện, ngăn ngừa các nguy cơ mất an toàn, an ninh thông tin cho người dùng EVNNPT trong quá trình sử dụng các thiết bị CNTT.

Ban VTCNTT rất mong nhận được sự quan tâm, góp ý của tất cả CBCNV EVNNPT về nội dung và hình thức của Cẩm nang này để có cơ sở hoàn thiện trong phiên bản tiếp theo.

4

B. CÁC QUY ĐỊNH DÀNH CHO CÁN BỘ CÔNG NHÂN VIÊN EVNNPT 1. Các bộ phận đảm bảo ATTT: a. Bộ phận CNTT của Đơn vị:

- Thực hiện các biện pháp quản lý vận hành và triển khai các giải pháp kỹ thuật đảm bảo an toàn thông tin cho các hệ thống thông tin của đơn vị;

- Hướng dẫn cán bộ, công nhân viên chức và người lao động trong đơn vị tuân thủ các biện pháp đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin.

b. Tổ An ninh thông tin của Đơn vị (Tổ ISMS):

- Thực hiện các quy trình kiểm soát an toàn, an ninh thông tin; - Vận hành, áp dụng hệ thống quản lý an toàn thông tin;

2. Tuân thủ và hỗ trợ giám sát tuân thủ:

- Nắm bắt, cập nhật chính sách thủ tục an toàn, an ninh thông tin và thực hiện đúng hướng dẫn về an toàn, an ninh thông tin của EVNNPT.

- Đặt mật khẩu cho máy tính. Sử dụng máy tính, thiết bị di động và thiết bị lưu trữ di động đảm bảo an toàn, đúng cách và phù hợp quy định.

- Tham gia đầy đủ các khóa đào tạo nhận thức an toàn thông tin do Tổng công ty/Đơn vị tổ chức.

- Tuân thủ các hướng dẫn của Bộ phận CNTT trong việc đảm bảo an toàn, an ninh thông tin. - Báo cáo ngay với cấp trên, bộ phận CNTT, Tổ ISMS của đơn vị khi phát hiện nguy cơ hoặc

sự cố mất an toàn, an ninh thông tin hoặc các hiện tượng vi phạm tuân thủ để kịp thời khắc phục.

- Hợp tác với Bộ phận CNTT, Đội ƯCSC trong xử lý sự cố về bảo mật thông tin. - Hợp tác với Tổ ISMS trong quá trình kiểm tra, đánh giá tuân thủ.

3. Sử dụng thông tin mật

- Không lưu trữ thông tin cần được bảo mật của đơn vị trên Internet công cộng hoặc phương tiện lưu trữ cá nhân (bao gồm cả các dịch vụ lưu trữ, email, blog, website, máy tính cá nhân, ổ cứng cá nhân…).

- Không mang các tài sản CNTT ra khỏi khu vực làm việc; trong trường hợp cần thiết phải mang tài sản ra ngoài (công tác từ xa, khắc phục sự cố …) thì cần phải được phê duyệt của người có thẩm quyền và chỉ mang các thông tin cần thiết đã được phê duyệt.

- Ký kết và tuân thủ Cam kết bảo mật thông tin.

4. Làm việc từ xa

- Phải được sự phê duyệt của Lãnh đạo Phòng/Ban; - Đăng ký “Danh sách CBCNV được phép làm việc từ xa” và được Tổ ISMS kiểm tra, phê

duyệt. - Tuân thủ các yêu cầu về cài đặt cấu hình đối với thiết bị phục vụ làm việc từ xa và sử dụng

các kết nối mã hóa theo hướng dẫn của Bộ phận CNTT. - Tài sản cá nhân phục vụ làm việc từ xa phải được Lãnh đạo Phòng/Ban đồng ý; được đăng ký

với Tổ ISMS; được đơn vị CNTT của đơn vị kiểm tra, cấu hình và cài đặt trước khi sử dụng. - Ký kết và tuân thủ Cam kết sử dụng thiết bị di động và làm việc từ xa.

5

5. Quản lý tài khoản, mật khẩu, email, máy tính.

- Đặt mật khẩu mạnh có chiều dài tối thiểu là 8 ký tự và phải có chữ hoa, chữ thường (khuyến khích mật khẩu nên có số và ký tự đặc biệt).

- Không cung cấp tài khoản của mình cho bất kỳ ai khác; - Không truy cập vào hệ thống thông tin của EVNNPT bằng tài khoản của người khác. - Bảo mật tài khoản và mật khẩu của mình hoặc các tài khoản và mật khẩu của các hệ thống

thông tin được giao sử dụng. Không để mật khẩu ở nơi dễ bị lộ (ghi ở sổ, dán ở màn hình, dán ở bàn làm việc…).

- Không dùng hòm thư của EVNNPT vào mục đích cá nhân. - Không sử dụng hòm thư cá nhân (gmail, yahoo, live, icloud…) vào mục đích trao đổi thông

tin công việc của EVNNPT. - Khóa màn hình máy tính hoặc đăng xuất máy tính hoặc khu vực làm việc. - Không đặt chế độ lưu giữ mật khẩu hoặc tự động đăng nhập trong các ứng dụng, trình duyệt

khi làm việc với các HTTT trọng yếu và HTTT cấp độ ATTT từ 3 trở lên. - Chỉ sử dụng các phần mềm, dịch vụ đã được Bộ phận CNTT cài sẵn trên máy tính. Không tự

ý cài đặt thêm hoặc gỡ bỏ phần mềm, dịch vụ. Trong trường hợp cần sử dụng các phần mềm hoặc dịch vụ đặc thù thì cần được Bộ phận CNTT kiểm tra và cấu hình trước khi kết nối vào hệ thống mạng chung của EVNNPT.

- Các máy tính khi sử dụng trong mạng EVNNPT phải được cài đặt các phần mềm phòng chống virus; các phần mềm này phải được cập nhật thường xuyên và hoạt động liên tục.

- Kiểm tra, diệt virus, mã độc đối với các phương tiện mang tin (USB, Ổ cứng di động…) nhận từ bên ngoài trước khi sử dụng.

- Không mở các thư điện tử lạ, các tệp tin đính kèm hoặc các liên kết trong các thư lạ để tránh virus, mã độc.

- Không vào các trang web không có nguồn gốc xuất xứ rõ ràng, đáng ngờ. - Báo ngay cho Bộ phận CNTT xử lý trong trường hợp phát hiện nhưng không diệt được virus,

mã độc.

6. Sửa chữa, chuyển đổi và thanh lý máy tính.

- Máy tính khi bị hỏng phải liên hệ bộ phận CNTT để kiểm tra, sửa chữa, khắc phục hoặc thay thế để đảm bảo không để lọt lộ thông tin hay lây nhiễm mã độc đối với máy tính mang ra ngoài sửa chữa, bảo hành.

- Đối với các HTTT trọng yếu và HTTT cấp độ ATTT từ 3 trở lên thì các máy tính mới được đưa vào sử dụng, máy tính trước và sau khi đưa đi sửa chữa, bảo hành phải được bộ phận CNTT kiểm tra, cấu hình, cài đặt, đánh giá ATTT theo quy định.

- Khi thực hiện chuyển đổi sang máy tính mới, thu hồi máy tính, thanh lý máy tính thì phải yêu cầu bộ phận CNTT hủy dữ liệu trong máy tính cũ bằng phương pháp không thể khôi phục.

7. Các hành vi bị nghiêm cấm

- Khởi tạo, cài đặt, phát tán virus máy tính, phần mềm độc hại, thư rác, tin nhắn rác trái pháp luật; thiết lập hệ thống thông tin lừa đảo, giả mạo.

- Xâm nhập, sửa đổi, xóa bỏ nội dung thông tin của cơ quan, cá nhân khác. - Cản trở hoạt động cung cấp dịch vụ của hệ thống thông tin. Ngăn chặn việc truy cập thông tin

của cơ quan, cá nhân khác trên môi trường mạng. - Bẻ khóa, trộm cắp, sử dụng trái phép tài khoản, mật khẩu, khóa mật mã và thông tin của cơ

quan, cá nhân khác trên môi trường mạng.

6

- Tấn công, chiếm quyền điều khiển, làm mất tác dụng của các biện pháp bảo vệ thông tin và hệ thống thông tin; thu thập thông tin trái phép đối với hệ thống thông tin.

- Lợi dụng mạng để truyền bá tin tức, tài liệu, hình ảnh, âm thanh hoặc các dạng thông tin khác nhằm mục đích gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội.

- Hành vi khác làm mất an toàn, an ninh thông tin của cơ quan, cá nhân khác được trao đổi, truyền đưa, lưu trữ trên môi trường mạng.

Ngoài các yêu cầu trên thì cần phải tuân thủ yêu cầu của Điều 8 - Luật An ninh mạng số 24/2018/QH14 và Điều 7 - Luật An toàn thông tin mạng số 86/2015/QH13.

7

C. MỘT SỐ HƯỚNG DẪN CƠ BẢN, TÌNH HUỐNG THƯỜNG GẶP Một số kỹ năng mà mỗi CBCNV cần nắm bắt để đảm bảo ATTT trong hoạt động trên mạng tại

EVNNPT cũng như ở nhà.

1. Tăng cường bảo mật cho máy tính mới a. Nguy cơ:

Máy tính trong EVNNPT là cấu phần tính toán quan trọng, trải đều từ các hệ thống điều hành doanh nghiệp cho đến các hệ thống tự động hóa TBA, do vậy nếu máy tính không được bảo mật có thể dẫn đến các nguy cơ xảy ra mất ATTT.

Đối với máy tính vừa cài đặt xong sẽ chưa có các biện pháp bảo mật nào cả ngoài các biện pháp mặc định của hệ điều hành; sẽ tồn tại các lỗ hổng bảo mật dẫn đến nguy cơ lây nhiễm mã độc hình thành các rủi ro bị lấy cắp thông tin, theo dõi hoạt động, lợi dụng để tấn công đối tượng khác, cài cắm các mã độc, phá hoại dữ liệu gây mất an ninh, tống tiền, gây mất uy tín hình ảnh EVNNPT.

b. Biện pháp:

- Tạo và quản lý mật khẩu mạnh.

Ngay trong các bước đầu tiên của việc thiết lập cấu hình máy tính. Các tài khoản của người sử dụng cần được tạo ra với mật khẩu có độ phức tạp nhất định (xem thêm hướng dẫn thiết lập mật khẩu ở phần tiếp theo).

- Gỡ bỏ các chương trình không cần thiết.

Các máy tính thường được nhà sản xuất cài đặt sẵn các chương trình quảng cáo, giới thiệu hoặc bản dùng thử của các phần mềm. Các phần mềm này có thể chứa sẵn các nguy cơ mất an toàn thông tin.

Do đó, người dùng cần gỡ bỏ các chương trình không cần thiết trên máy tính của mình ngay trong quá trình thiết lập ban đầu.

Ngoài các chương trình nói trên, người dùng cũng có thể tắt các dịch vụ ngầm không cần thiết của máy tính (ví dụ: Fax, Smart Card, Retail Demo, Mobile Hotspot Service, AllJoyn…) để giảm thiểu rủi ro cũng như tăng hiệu năng của máy tính.

- Kích hoạt tường lửa bảo vệ cá nhân trên máy tính.

Các hệ điều hành hiện nay hầu hết đều tích hợp các tường lửa nhằm bảo vệ người dùng khỏi các tấn công cơ bản. Hãy kích hoạt phần mềm tường lửa trước khi kết nối đến bất kỳ mạng máy tính nào (Internet/Wifi/LAN...).

8

Chọn nút Start > Settings > Update & Security > Windows Security > Firewall & network protection. Chọn hồ sơ mạng, thiết lập chế độ ON cho Microsoft Defender Firewall

- Nâng cấp các phần mềm, bản vá lỗi hệ điều hành.

Hệ điều hành của máy tính lúc vừa cài đặt có thể là phiên bản cũ chưa được vá các lỗi bảo mật mới nhất. Do đó, người sử dụng cần thiết lập chế độ tự động nâng cấp và thực hiện nâng cấp cho hệ điều hành và các phần mềm khác.

Chọn Start button, and then go to Settings > Update & Security > Windows Update để thiết lập việc tự động cập nhật

- Cài đặt phần mềm diệt virus.

Phần mềm diệt virus là lớp lá chắn quan trọng bảo vệ người sử dụng khỏi các mã độc và virus. Do đó, cần có chương trình diệt virus để bảo vệ người dùng ngay trong các hoạt động đầu tiên của người sử dụng trên máy tính.

Trên thị trường có nhiều hãng cung cấp giải pháp diệt virus, người sử dụng có thể lựa chọn giải pháp miễn phí hoặc các giải pháp thương mại.

Tất cả các máy tính được kết nối vào mạng của EVNNPT đều được yêu cầu cài đặt phần mềm chống virus và có yêu cầu luôn bật tính năng bảo vệ thời gian thực trong quá trình sử dụng.

Ngoài ra, người dùng có thể cân nhắc sử dụng các phần mềm diệt virus của Việt Nam sản xuất như BKAV, CMC, Viettel… Các phần mềm này đều có các phiên bản miễn phí/đầy đủ dành cho người dùng sử dụng.

2. Thiết lập, Bảo vệ tài khoản và mật khẩu đúng cách a. Nguy cơ:

Khi bạn bị lộ mật khẩu, người biết mật khẩu của bạn có thể làm mọi thứ trong hệ thống giống như bạn, và mọi thứ thể hiện như bạn đã làm. Họ có thể lấy cắp thông tin, tiền và uy tín của bạn.

9

b. Biện pháp:

- Thiết lập mật khẩu mạnh: o Không đặt mật khẩu là: họ tên, nickname, ngày sinh ... của mình hoặc người thân,

“password”, “12345678”, “88888888”, “0000”, “1234”, evnnpt, npt, npt123... Không dùng mật khẩu là các từ có trong từ điển.

o Mật khẩu nên có cả chữ HOA, chữ thường, $ố, ký tự đặc biệt. o Nên cắt bớt hoặc lặp lại ký tự giữa các từ ghép (ví dụ: Vannpphong hoặc Vanhong

thay cho VanPhong). o Nên sử dụng các ký tự hoặc số thay thế cho 1 chữ cái (ví dụ: V@nPh0ng thay cho

VanPhong). o Có thể lấy các ký tự đầu của 1 câu đã nhớ (ví dụ nếu ta luôn nhớ câu “Vươn lên hàng

đầu châu Á trong lĩnh vực truyền tải điện” thì đặt mật khẩu là “VlhdcAtlvt2d”). - Định kỳ kiểm tra tài khoản của mình đã bị lộ mật khẩu trên mạng Internet hay chưa tại địa

chỉ: https://khonggianmang.vn/check-data-leak

Nhập địa chỉ email cần kiểm tra và thực hiện kiểm tra, nếu có mật khẩu bị lộ trùng với mật khẩu đã từng sử dụng trước đây thì cần thực hiện đổi mật khẩu ngay. Trong trường hợp mật khẩu bị lộ là mật khẩu đang sử dụng thì cần phải: sử dụng máy tính/điện thoại tin cậy để đổi mật khẩu, đồng thời đổi luôn các tài khoản khác có sử dụng mật khẩu tương tự đã bị lộ.

- Không chia sẻ mật khẩu cho bất kỳ ai. - Không viết ra giấy, không lưu trong file máy tính, không dán ở màn hình... - Không dùng mật khẩu chung với các tài khoản ở nhà. - Nếu có ai đó gọi điện yêu cầu cung cấp mật khẩu, hãy thông báo đến bộ phận CNTT ngay lập

tức. - Khi cần hỗ trợ kỹ thuật trên máy của bạn, hãy tự nhập mật khẩu thay vì đưa mật khẩu cho cán

bộ hỗ trợ, yêu cầu những người xung quanh quay mặt khỏi màn hình và bàn phím lúc nhập mật khẩu.

3. An toàn cho điện thoại di động, máy tính bảng a. Nguy cơ:

Điện thoại di động và máy tính bảng cũng tương tự như máy tính để bàn, ngoài ra do có cắm SIM nên có khả năng được kết nối với tài khoản ngân hàng, có lưu trữ các thông tin cá nhân quan trọng.

10

Khi điện thoại hay máy tính bảng bị hack hoặc bị đánh cắp có thể gây ra các nguy cơ như sử dụng các tài khoản đã đăng nhập trong điện thoại để lừa đảo, đánh cắp thông tin cá nhân, thực hiện giao dịch tài chính…

b. Biện pháp:

- Sau khi trang bị điện thoại/máy tính bảng cần thực hiện ngay các biện pháp an toàn cho máy như đặt mật khẩu/mã pin khóa màn hình; cài đặt phần mềm Antivirus, các chế độ chống mất trộm, tìm thiết bị thất lạc; chế độ cho phép xóa dữ liệu từ xa (trong trường hợp bị mất trộm).

- Cài đặt các ứng dụng từ nguồn tin cậy, an toàn. Cẩn trọng khi mở các file đính kèm không rõ nguồn gốc, không đáng tin cậy. Xem xét kỹ đơn vị phát hành phần mềm nếu có nhiều phần mềm có tên gần giống nhau. Chỉ cài phần mềm nào cần thiết, gỡ bỏ khi không có nhu cầu sử dụng nữa.

- Nếu có tin nhắn rác, lừa đảo có thể chuyển tiếp về đầu số 456 của Bộ Thông tin và Truyền thông để xử lý.

- Tắt các dịch vụ trong lúc không sử dụng đến như: Bluetooth, Wifi, NFC, GPS. - Sao lưu dữ liệu quan trọng được lưu trữ trong thiết bị di động của bạn. Xóa bỏ dữ liệu (factory

reset) khi chuyển giao cho người khác hoặc gửi sửa chữa. - Khi đi công tác, luôn nhớ rằng chi phí truyền dữ liệu nước ngoài rất cao, vì vậy hãy cân nhắc

sử dụng kết nối truyền dữ liệu trên thiết bị di động. Cân nhắc mua SIM data của nhà mạng tại nước sở tại thay vì Roaming Data.

- Xem xét cẩn thận xem bạn có nên chia sẻ dữ liệu vị trí của mình trong các dịch vụ trực tuyến hay không.

- Thường xuyên cập nhật phần mềm, hệ điều hành lên phiên bản mới nhất. - Không để chế độ tự kết nối với mạng Wifi công cộng, mạng Wifi kém bảo mật.

4. An toàn cho tài sản cá nhân là máy tính, ổ đĩa rời, USB. Đối với tài sản cá nhân, Bạn chính là quản trị viên của tài sản, do vậy:

- Luôn đăng nhập bằng tài khoản của bạn. - Khi rời máy tính, hãy khóa máy (bấm Win+L). - Thường xuyên lưu các thay đổi của tài liệu đang soạn thảo. - Đối với máy tính ở nhà, bật firewall và các phần mềm chống mã độc. - Không cài đặt các phần mềm không thực sự cần thiết, cài đặt tất cả các bản vá lỗi phần mềm;

gỡ bỏ các phần mềm không dùng đến nữa. - Tạo tài khoản riêng (không có quyền quản trị) cho tất cả người dùng sử dụng hàng ngày. Tài

khoản quản trị chỉ dùng để cài đặt phần mềm. - Định kỳ thực hiện sao lưu dữ liệu. - Khi lưu dữ liệu nhạy cảm trên ổ flash USB, hãy sử dụng loại có mã hóa dữ liệu hoặc tự mã

hóa (NTFS). - Cảnh giác với các USB của người khác. Chúng có thể chứa một malware/virus tự động kích

hoạt và lây nhiễm khi được cắm vào máy tính/điện thoại. - Nếu tìm thấy ổ đĩa USB của ai đó bỏ quên hoặc đánh rơi, hãy mang nó đến bộ phận CNTT

mà không tự kiểm tra nội dung của USB.

5. ATTT khi sử dụng mạng không dây công cộng Trong những năm gần đây, mạng không dây (Wifi) ngày càng trở nên phổ biến, giá thành thấp

và dễ sử dụng. Người dùng có thể lắp đặt để truy cập mạng không dây tại nhà hoặc sử dụng máy tính

11

xách tay, thiết bị di động thông minh để truy cập tại những nơi công cộng như quán café, hay sân bay, khách sạn...

Việc sử dụng mạng không dây sẽ rất tiện lợi và đơn giản nhưng nó cũng tiềm ẩn rất nhiều nguy cơ mất an toàn thông tin. Nếu mạng không dây không được bảo vệ đúng mức thì bất cứ một máy tính nào có hỗ trợ truy cập không dây nằm trong vùng phủ sóng của thiết bị phát sóng đều có thể kết nối để truy cập Internet. Ở ngoài trời, phạm vi này có thể đạt tới hơn 300m. Vì vậy, bất cứ ai ở xung quanh cũng có thể dễ dàng truy cập vào thiết bị phát sóng này.

a. Nguy cơ:

- Bị xâm phạm dịch vụ làm giảm chất lượng kết nối. - Bị lợi dụng để thực thi những hành động bất hợp pháp. - Bị theo dõi những thông tin nhạy cảm (mật khẩu, số thẻ tín dụng có thể bị đánh cắp). - Bị tấn công cài đặt spyware và các chương trình độc hại khác.

b. Biện pháp:

- Kiểm tra tình trạng mã độc phát tán từ địa chỉ Internet mà mình đang sử dụng qua website https://khonggianmang.vn/check-ipma.

Nếu kết quả cho thấy có mã độc hoạt động tại địa chỉ IP mình đang sử dụng trong vòng 24h gần đây thì không nên truy cập các thông tin quan trọng tại mạng này (email, các ứng dụng quản lý điều hành, eBanking…).

- - (ví dụ kiểm tra phát hiện 04 kết nối đến các máy chủ hacker vào từ ngày 5/5 đến ngày 7/5,

trong đó có mã độc mã hóa dữ liệu Wannacry). - Nếu sử dụng mạng wifi công cộng, chỉ sử dụng e-mail và các dịch vụ web có kết nối được mã

hóa (địa chỉ bắt đầu bằng https:// ) hoặc kết nối VPN. - Các hệ thống ứng dụng của EVNNPT khi được cung cấp ra Internet đều mã hóa từ trình duyệt

đến máy chủ.

12

-

Khi làm việc từ xa, hạn chế tối đa sử dụng máy tính công cộng. Trường hợp cần thiết thì nên sử dụng bàn phím ảo (On-Screen Keyboard) để nhập 1 phần giữa của mật khẩu.

Không để người khác (bàn bè, gia đình) sử dụng các máy tính do EVNNPT/đơn vị giao sử dụng. Xóa bộ nhớ cache của trình duyệt và xóa các file/thư mục đã tạo trong máy tính công cộng khi

xong việc. Cẩn thận với chế độ tự động kết nối mạng không dây Mặc định, khi dùng thiết bị kết nối vào một mạng không dây nào trước đó, thì điện thoại hay

laptop sẽ tự động kết nối cho những lần sau (windows có tùy chọn để lưu hay không lưu lại và mặc định là chế độ bật). Về sau, mỗi khi thiết bị đó ở trong phạm vi của mạng không dây đó thì nó sẽ dò và kết nối vào một cách tự động. Lợi dụng cơ chế này, kẻ xấu có thể đoán biết thói quen này của người dùng để lấy cắp dữ liệu mà người dùng không ngờ đến. Bên cạnh đó, cũng có những mạng không dây không đặt mật khẩu truy cập, chỉ cần chọn mạng không dây là kết nối vào. Khi đó, việc tấn công sẽ trở nên dễ dàng hơn rất nhiều.

6. Kỹ năng phòng chống mã độc Mã độc là các phần mềm được thiết kế nhằm thực hiện các hoạt động gây hại cho người sử

dụng công nghệ thông tin. Mã độc có thể tồn tại trên máy tính, điện thoại thông minh hay các thiết bị công nghệ thông tin khác.

a. Nguy cơ: Bị lấy cắp thông tin, theo dõi hoạt động, lợi dụng để tấn công đối tượng khác, cài cắm các mã

độc, phá hoại dữ liệu gây mất an ninh, tống tiền, gây mất uy tín hình ảnh.

13

(ảnh chụp màn hình Mã độc tống tiền Ransomware trên PC và trên điện thoại di động).

b. Biện pháp phòng chống mã độc:

- Cập nhật thường xuyên các bản vá lỗi phần mềm, cập nhật phần mềm Antivirus. - Luôn bật chế độ bảo vệ thời gian thực của phần mềm Antivirus; Quét định kỳ máy tính/điện

thoại; Quét các thiết bị USB trước khi truy cập. - Không mở file đính kèm email nếu được gửi từ người lạ. Quét các file đính kèm email trước

khi mở đọc nội dung. - Các trang web cũng có thể chứa mã độc do vậy không click vào các link được gửi bởi người

lạ (qua email, tin nhắn, chát, zalo, …) hoặc các địa chỉ link không tin cậy. - Không sử dụng các phần mềm bẻ khóa vì thường đính kèm mã độc sẵn trong các file bẻ khóa,

file keygen.

7. Nhận biết, phòng chống thư rác, thư giả mạo, tin nhắn rác, lừa đảo a. Nguy cơ:

Trong khi thư rác, tin nhắn rác là các thư/tin nhắn có nội dung quảng cáo, gây rối, dụ dỗ clink link quảng cáo đính kèm mà người nhận không mong muốn nhận được, thì thư và tin nhắn lừa đảo nhằm mục đích tấn công người dùng, thu thập thông tin, cài đặt mã độc lên máy tính của người dùng. Ngoài các nguy cơ bị lây nhiễm mã độc, lộ lọt thông tin thì thư rác còn gây tiêu tốn tài nguyên, thời gian của người dùng, gây tâm lý ức chế, phân tâm trong công việc.

b. Biện pháp:

- Cẩn trọng với các email: Yêu cầu cung cấp thông tin cá nhân; Đe dọa, ép buộc trả lời email; đính kèm link; đính kèm file PDF, XLS, EXE, VBS, CMD, BAT;

- Kiểm tra email gửi có đồng nhất với tên người gửi hay không. Hacker thường giả mạo email của người quan trọng đối với bạn để yêu cầu thông tin (Quản trị viên, cấp trên của bạn, Doanh nghiệp lớn).

- Thư lừa đảo thường có tiêu đề hấp dẫn, chủ đề nóng trong xã hội, liên quan đến tài khoản, tiền.

- Thư lừa đảo thường được làm giống như từ hệ thống tự động gửi (Quản trị viên, Hệ thống Messenger, Thông báo hệ thống, …).

- Thư quảng cáo, thư rác thường không có địa chỉ email của mình ở phần nơi nhận (TO hoặc CC); Không chào hoặc chào không đúng tên của mình (chỉ chào chung chung);

14

- Khi địa chỉ gửi không nằm trong danh sách quen biết, ta có thể kiểm tra mức độ tín nhiệm của người gửi qua website https://khonggianmang.vn/check-email-spoofing.

- Tin nhắn rác là tin nhắn mà người nhận không đăng ký để nhận do vậy sẽ không có tên thật của người nhận trong tin nhắn. Thường có nội dung trúng thưởng, quảng cáo, mời sử dụng miễn phí dịch vụ. Thường gửi kèm link/số điện thoại liên hệ trong tin nhắn. Thường thì số điện thoại liên hệ trong SMS không trùng với số điện thoại gửi SMS (do người gửi dùng SIM rác để gửi tự động).

- Lọc danh bạ, danh sách bạn bè để gỡ bỏ các contact có tên dễ gây hiểu nhầm thành tài khoản hệ thống, ví dụ Hệ thống Messenger, Hỗ trợ khách hàng, Thông báo Messenger…

(Ví dụ tin nhắn rác tài khoản lừa đảo)

8. Phân biệt tin giả a. Nguy cơ:

Tin giả có nhiều mục đích khác nhau, có thể câu khách/view/like; tuyên truyền, định hướng dư luận. Thao tác chia sẻ một thông tin trên mạng xã hội chỉ mất vài giây, nhưng phát tán tin giả, tin chưa kiểm chứng không những không giúp ích cho ai mà có khi còn gây hậu quả khôn lường.

Chỉ tính riêng hậu quả đối với bản thân người đăng/chia sẻ thì theo Nghị định 15/2020 của Chính phủ quy định phạt tiền 10 - 20 triệu đồng đối với hành vi lợi dụng mạng xã hội để cung cấp, chia sẻ thông tin giả mạo, thông tin sai sự thật. Riêng hành vi tiết lộ thông tin thuộc danh mục bí mật nhà nước, bí mật đời tư của cá nhân và bí mật khác mà chưa đến mức truy cứu trách nhiệm hình sự có thể bị phạt đến 30 triệu đồng.

b. Biện pháp:

- Xem xét kỹ tiêu đề, tìm kiếm các thông tin đặc thù (sự kiện, tên nhân vật…) trên mạng để đối chiếu với các trang mạng uy tín, phân biệt rõ tin thật hay câu nói đùa. Tin giả thường có tiêu đề hấp dẫn, giật gân, chủ đề đang sốt trong cộng đồng mục tiêu để tăng tỉ lệ tương tác, like hoặc có thể có mục đích xấu.

- Tìm kiếm ảnh liên quan trong tin: sử dụng chức năng tìm kiếm hình ảnh của Google (bấm chuột phải vào tấm hình cảm thấy đáng ngờ và chọn “Search Google for image.”) để xác định bức ảnh sử dụng trong tin bài có đúng thời điểm xảy ra sự kiện không, các tin giả thông thường lấy ảnh cũ, có tính gây sốc để câu tương tác và chia sẻ lan truyền.

- Kiểm tra ngày tháng: người đưa tin bài có thể lấy tin cũ share lại, cùng ngày/tháng nhưng khác năm gây hiểu lầm.

- Kiểm tra mức độ tin cậy của đường dẫn, liên kết:

15

- Để ý tên miền đầy đủ để xác định mức độ tin cậy, ví dụ đuôi .vn được nhà nước quản lý sẽ tin cậy hơn tên miền .it, .tk, .info, .su vốn dĩ không được kiểm soát do vậy hay được hacker hoặc tổ chức hoạt động ngoài lãnh thổ Việt Nam sử dụng.

- Sử dụng công cụ đánh giá tin tức như Google Fact Check Tools

-

- - - Hãy là người dùng internet có trách nghiệm, không chia sẻ bất cứ thông tin nào chưa được

kiểm chứng, hoặc được đăng tải bởi những nguồn không xác thực.

9. Đảm bảo ATTT khi duyệt web, email Khi duyệt web, email thì các thông tin mà chúng ta nhìn thấy, tiếp cận chỉ là bề nổi của tảng

băng chìm. Đó là các dịch vụ do các hãng lớn và uy tín cung cấp. Tuy nhiên các nội dung do người dùng cung cấp phần lớn các hãng không thể nào xử lý và sàng lọc được, dần dần nhúng vào các dịch vụ nội dung trên là các web ẩn, web bẩn.

Khi người dùng thiếu cẩn trọng, click vào các link trỏ đến các web bẩn thì có thể tạo nên những nguy cơ trở thành nạn nhân của các tội phạm mạng.

a. Nguy cơ:

- Mất cắp thông tin cá nhân. - Bị cài mã độc, mã hóa, tống tiền. - Lừa đảo online. - Hack/injection cướp phiên giao dịch. - Các nguy cơ xã hội khác: kích động dư luận, vi phạm các quy tắc an ninh, …

-

16

b. Biện pháp: Luôn kiểm tra kỹ địa chỉ website/email mà mình định truy cập. Không click vào các liên kết có

dấu hiệu khả nghi, Đối chiếu link của trang web với các trang chính thống để so sánh, bạn có thể tìm kiếm trên Google để so sánh, các trang chính thức thường sẽ được hiển thị đầu tiên ở kết quả tìm kiếm.

Không gửi thông tin quan trọng đối với các kết nối kém an toàn. Kết nối đăng nhập luôn cần bắt đầu bằng HTTPS;

Không lưu mật khẩu trên trình duyệt của máy tính công cộng, máy tính chia sẻ nhiều người dùng. Sử dụng chế độ Incognito nếu bạn tạm thời dùng nhờ máy tính của người khác (chế độ này sẽ xóa các thông tin của phiên làm việc như cookie, file tạm… khi kết thúc phiên/đóng trình duyệt).

Tuyệt đối cảnh giác với các email gửi đến bạn về chủ đề đang nóng trên cộng đồng mạng, một

số nhóm tấn công có chủ đích thường chọn chủ đề nóng hoặc đính kèm văn bản/tài liệu nhà nước làm mồi nhử.

10. Đảm bảo ATTT khi sử dụng mạng xã hội a. Nguy cơ:

- Mạng xã hội thông thường được các nhà cung cấp dịch vụ đảm bảo về bảo mật thông tin, tuy nhiên thực tế cho thấy các nhà cung cấp cũng bị tấn công mạng đánh cắp thông tin, hoặc người dùng bất cẩn gây ra các nguy cơ:

- Có thể ảnh hưởng tới hình ảnh, uy tín bản thân - Luôn phải đối mặt với nguy cơ bị tấn công mạng - Bị khai thác thông tin cá nhân: email, điện thoại, tên người nhà… - Có thể bị lợi dụng, lôi kéo với các tin giả - MXH có thể gây nghiện và có nguy cơ giành quá nhiều thời gian của người sử dụng.

b. Biện pháp:

- Hạn chế đưa thông tin cá nhân quan trọng lên MXH; ngày tháng năm sinh của trẻ nhỏ. - Hạn chế đăng (hoặc tag) ảnh chính diện của trẻ nhỏ, người thân trong gia đình. - Khi đăng ảnh từ điện thoại di động, lưu ý điện thoại có chế độ tự động gợi ý tag vị trí. - Thường xuyên kiểm tra thiết lập an toàn của tài khoản. - Chỉ kết bạn với những người thân, quen biết ở ngoài đời. Xác minh với bạn bè, người thân

trước khi kết bạn trên mạng xã hội. - Thiết lập giới hạn những ai/ứng dụng nào được phép xem thông tin của bạn.

17

c. Thiết lập an toàn cho tài khoản Facebook

- Cảnh báo đăng nhập: Với tính năng này, bạn sẽ nhận được một thông báo mỗi khi một ai đó (hoặc bạn vào các thời điểm) đăng nhập vào tài khoản Facebook từ một máy tính hoặc thiết bị không rõ. Thông báo này sẽ hiển thị rõ thông tin về thời gian, địa điểm và thiết bị mà tài khoản Facebook của bạn vừa đăng nhập.

- Thiết lập quyền riêng tư: Trong phần Quyền riêng tư, giới hạn người xem cho các bài viết

trong tương lai tại phần “Ai có thể thấy các bài đăng sau này của bạn?”. Kiểm tra các hoạt động của tài khoản Facebook tại mục “Sử dụng nhật ký hoạt động”. Ẩn các bài viết cá nhân tại dòng thời gian hoặc thiết lập chế độ chỉ cho phép Bạn bè đọc.

- Click vào Dòng thời gian và gắn thẻ > “Xem với tư cách là” để thấy được những thông tin cá nhân của mình hiện thị với Bạn bè, người lạ trên Facebook như thế nào.

- Truy cập Bảo mật > “Địa điểm bạn đã đăng nhập” để xem xét các truy cập đối với tài khoản Facebook của mình. Khi xuất hiện các truy cập bất thường, click vào “kết thúc hoạt động” để ngăn chặn.

- Thiết lập “Quảng cáo với hoạt động xã hội của tôi” tại mục “Quảng cáo” về chế độ “chỉ bạn bè tôi”.

11. Phát hiện và đề phòng tấn công phi kỹ thuật (social engineering) Cảnh giác với mọi đề nghị cung cấp thông tin cá nhân qua điện thoại, email, website, trực tiếp;

Các yêu cầu khẩn cấp như gửi tiền, nạp thẻ, người đó nói họ đang bị kẹt ở quốc gia khác hoặc điện thoại bị đánh cắp không nhận cuộc gọi được.

Nếu ai đó gọi điện cho bạn yêu cầu cung cấp thông tin cá nhân, luôn nhớ đặt câu hỏi lại cho phía đối diện:

- Tên người gọi. - Số điện thoại có thể gọi ngược lại. - Lý do cần thông tin, Ai đưa ra yêu cầu thông tin. - Báo với người gọi là bạn sẽ kiểm tra lại thông tin mà họ cung cấp.

Nếu ai đó gặp bạn và yêu cầu thông tin cá nhân, bạn có thể:

- Yêu cầu cung cấp thông tin định danh (CMT, thẻ CAND, thẻ Nhà báo/Phóng viên…). - Hỏi ai đưa ra yêu cầu thông tin và “nhắc” họ là bạn sẽ kiểm tra lại. - Nếu bạn không có thẩm quyền cung cấp thông tin, hãy đề nghị tham chiếu đến bộ phận có

thẩm quyền. - Tìm sự trợ giúp nếu không thật sự chắc chắn (tra cứu trên mạng xem các trường hợp tương

tự, hoặc hỏi người khác).