Nếu bạn từng bối rối trước các hướng dẫn an toàn máy tính được cung cấp tại nơi làm việc thì bạn không đơn độc. Một nghiên cứu gần đây nêu bật một vấn đề cơ bản trong việc phát triển các hướng dẫn này và đề xuất các bước ngay lập tức để nâng cao chúng—có khả năng cải thiện tính bảo mật máy tính.
Các mối lo ngại xoay quanh các giao thức bảo mật máy tính mà các doanh nghiệp và cơ quan chính phủ đều cung cấp cho nhân viên của họ. Các giao thức này được thiết kế để hướng dẫn nhân viên bảo vệ dữ liệu cá nhân và tổ chức khỏi những mối nguy hiểm như phần mềm độc hại và các cuộc tấn công lừa đảo.
“Là một nhà nghiên cứu bảo mật máy tính, tôi nhận thấy rằng một số lời khuyên về bảo mật máy tính mà tôi đọc được trên mạng rất khó hiểu, gây hiểu lầm hoặc đơn giản là sai,” Brad Reaves, tác giả tương ứng của nghiên cứu mới và là trợ lý giáo sư khoa học máy tính tại Đại học Harvard, cho biết. "Trong một số trường hợp, tôi không biết các khuyến nghị đến từ đâu hoặc dựa trên cơ sở gì. Đó là động lực cho nghiên cứu này. Ai là người viết những hướng dẫn này? Các khuyến nghị của họ dựa trên cơ sở gì? Quy trình của họ là gì? Có điều gì chúng ta có thể làm tốt hơn không?"
Đối với nghiên cứu này, các nhà nghiên cứu đã thực hiện 21 cuộc phỏng vấn sâu với các chuyên gia chịu trách nhiệm viết hướng dẫn bảo mật máy tính cho các tổ chức như các công ty lớn, trường đại học và cơ quan chính phủ.
“Điều đáng chú ý ở đây là những người viết ra những nguyên tắc này đang cố gắng cung cấp càng nhiều thông tin càng tốt,” Reaves nói. "Về lý thuyết, điều này thật tuyệt. Nhưng các tác giả không ưu tiên những khuyến nghị quan trọng nhất. Hay cụ thể hơn, họ không loại bỏ những điểm ít quan trọng hơn. Các nguyên tắc có thể trở nên quá tải khi đưa vào quá nhiều khuyến nghị về an toàn và những điểm quan trọng nhất sẽ bị bỏ qua khi bị xáo trộn."
Các nhà nghiên cứu nhận thấy một trong những lý do khiến các hướng dẫn về an toàn trở nên áp đảo là do người viết hướng dẫn có xu hướng kết hợp mọi mục có thể có từ nhiều nguồn có thẩm quyền khác nhau.
“Nói cách khác, người viết hướng dẫn đang tổng hợp thông tin về an toàn thay vì quản lý thông tin về an toàn cho người đọc,” Reeves nói.
Dựa trên những gì họ học được từ các cuộc phỏng vấn, các nhà nghiên cứu đã đưa ra hai khuyến nghị để cải thiện các nguyên tắc an toàn trong tương lai.
Đầu tiên, người viết hướng dẫn cần có một bộ rõ ràng các phương pháp hay nhất về cách quản lý thông tin để hướng dẫn bảo mật cho người dùng biết những điều họ cần biết và cách ưu tiên thông tin đó. Thứ hai, người viết và toàn bộ cộng đồng bảo mật máy tính cần thông tin quan trọng có ý nghĩa đối với khán giả với trình độ kỹ thuật khác nhau.
“Hãy nhìn xem, bảo mật máy tính rất phức tạp,” Reeves nói. "Nhưng y học phức tạp hơn. Tuy nhiên, trong thời kỳ đại dịch, các chuyên gia y tế công cộng đã có thể cung cấp cho công chúng hướng dẫn khá đơn giản, ngắn gọn về cách giảm nguy cơ nhiễm virus Corona. Chúng ta cần có thể làm điều tương tự đối với vấn đề bảo mật máy tính."
Cuối cùng, các nhà nghiên cứu nhận thấy rằng những người viết lời khuyên về bảo mật cần được trợ giúp.
“Chúng tôi cần nghiên cứu, hướng dẫn và cộng đồng thực hành có thể hỗ trợ các tác giả này vì họ đóng vai trò quan trọng trong việc chuyển các phát hiện về bảo mật máy tính thành các khuyến nghị thực tế cho các ứng dụng trong thế giới thực,” Reeves nói. "Tôi cũng muốn nhấn mạnh rằng khi xảy ra sự cố bảo mật máy tính, chúng ta không nên đổ lỗi cho nhân viên vì họ đã không tuân theo một trong hàng nghìn quy tắc bảo mật mà chúng ta mong đợi họ tuân theo. Chúng ta cần làm tốt hơn nữa việc phát triển các hướng dẫn dễ hiểu và dễ thực hiện."