Trong khi các cuộc tấn công mạng nhắm vào các thương hiệu lớn như Pandora, Chanel, Adidas và Victoria’s Secret ngày càng gia tăng, hầu hết doanh nghiệp đều đánh giá thấp các phương thức tấn công vật lý - chỉ việc tin tặc trực tiếp đến cơ sở của doanh nghiệp và cài đặt các thiết bị thâm nhập hệ thống công nghệ.
Các chuyên gia bảo mật cho hay khi ai đó mặc đồng phục, mọi người thường không đặt câu hỏi về sự xuất hiện của họ. Bất chấp các điểm đảm bảo an ninh, việc cải trang và bước vào một tòa nhà là điều khá dễ dàng - nhiều người sẽ nghĩ ai đó mặc bộ áo phản quang là kỹ sư và để họ đi qua.
Theo công ty nghiên cứu thị trường Gartner, chi tiêu cho an ninh mạng toàn cầu dự kiến sẽ đạt 213 tỷ USD vào năm 2025, tăng từ 193 tỷ USD năm 2024. Dù vậy, chỉ số sẵn sàng an ninh mạng năm 2025 do công ty giải pháp an ninh tổng hợp Cisco công bố cho thấy chỉ 4% tổ chức trên toàn cầu thực sự chuẩn bị cho các mối đe dọa hiện đại. Còn theo công ty chuyên về giải pháp bảo mật Sentinel Intelligence, an ninh vật lý là một "điểm mù" nghiêm trọng của doanh nghiệp.
Báo cáo An ninh Thế giới 2023 cho thấy các công ty lớn trên toàn cầu đã thiệt hại 1.000 tỷ USD doanh thu trong năm 2022 do các sự cố an ninh tại cơ sở vật lý. Điều này có thể bao gồm việc một tin tặc đột nhập trực tiếp vào văn phòng để nhắm vào hạ tầng kỹ thuật số.
Sentinel Intelligence đã chia sẻ câu chuyện về các trường hợp phía doanh nghiệp thuê dịch vụ kiểm tra thâm nhập (penetration testing) để thử nghiệm hệ thống phòng thủ. Trong một vụ, các chuyên gia mặc đồ công sở, đeo thẻ giả và đi theo nhân viên vào tòa nhà giờ cao điểm, sau đó cài cắm một thiết bị mạng trong phòng họp không khóa. Một trường hợp khác, họ bẻ khóa cửa phụ ngoài giờ làm việc, tiếp cận tủ tài liệu không khóa chứa hợp đồng và mật khẩu.
Một chuyên gia khác còn đóng giả làm nhà thầu sửa chữa hệ thống thông gió. Với chiếc áo phản quang và lệnh làm việc giả, người này được nhân viên hộ tống vào phòng máy chủ. Tại đây, họ đã chụp ảnh các thông tin đăng nhập và cắm một USB chứa đánh dấu vào máy. Việc rải USB quanh văn phòng cũng là một chiêu trò phổ biến: nhiều nhân viên vì muốn giúp đỡ đã cắm chúng vào máy tính, vô tình tạo cơ hội cho mã độc xâm nhập.
Những ví dụ trên cho thấy các biện pháp bảo mật vật lý kém, sự miễn cưỡng khi thách thức hoặc xác minh những người lạ mặt và mắc những lỗi cơ bản như ghi mật khẩu trên giấy nhớ đều có thể dẫn đến hậu quả nghiêm trọng.
Ngoài ra, cách thức tấn công của tin tặc cũng rất đa dạng. Một vụ tấn công nổi tiếng tại một sòng bạc ở Mỹ cho thấy kẻ tấn công đã xâm nhập mạng lưới không phải qua hệ thống chính, mà qua một thiết bị điều chỉnh nước trong bể cá được kết nối với hệ thống. Các thiết bị thông minh như ấm đun nước tự động cũng có thể là điểm yếu. Các chuyên gia đã trình diễn cách họ có thể hack một chiếc ấm đun nước để lấy mật khẩu WiFi, từ đó xâm nhập vào toàn bộ mạng lưới.
Phí tổn của một vụ tấn công an ninh là rất lớn, bao gồm cả chi phí trực tiếp (như thiệt hại thiết bị, các sản phẩm sở hữu trí tuệ bị chiếm đoạt) và gián tiếp (mất hợp đồng, tổn hại danh tiếng, khách hàng mất lòng tin). Các công ty cũng có thể phải chịu phạt vì để rò rỉ dữ liệu của khách hàng.
Nhìn chung, giới chuyên gia khuyến nghị rằng trong thế giới ngày một kết nối như ngày nay, hoạt động bảo vệ bảo an ninh mạng hiện đại đòi hỏi một tư duy mới: mối đe dọa lớn nhất có thể không đến từ một đoạn mã độc, mà từ một nụ cười thân thiện và một chiếc áo khoác đồng phục.