Cơ quan nhà nước lộ thông tin chủ yếu do nhân viên bị khai thác, tấn công lừa đảo

Nói về tình hình lộ lọt thông tin, dữ liệu của cơ quan nhà nước, Phó TGĐ Công ty CMC InfoSec Hà Thế Phương cho biết, việc để lộ hoặc bị tin tặc đánh cắp thông tin có thể do rất nhiều nguyên nhân, nhưng theo thống kê hàng năm, chiếm tỷ lệ cao nhất là nguyên nhân nhân viên của tổ chức bị khai thác qua hình thức Phishing và Social Engineering (Ảnh minh họa. Nguồn: Internet)

Như ICTnews đã thông tin, theo báo cáo của Văn phòng Chính phủ, trong gần 3 tháng đầu năm nay, Bộ Công an đã phát hiện 1.022 lượt truy cập trái phép vào các Trang/Cổng thông tin điện tử có tên miền .VN, trong đó có 6 Trang/Cổng thông tin điện tử thuộc quyền quản lý của các cơ quan nhà nước bị tấn công, chiếm quyền điều khiển; tiến hành kiểm tra 80 Trang/Cổng thông tin điện tử của các cơ quan nhà nước, kết quả phát hiện 29 Trang/Cổng còn tồn tại lỗ hổng bảo mật nghiêm trọng, có nguy cơ xâm nhập, tấn công rất cao, trong đó có một số cơ quan trọng yếu như Bộ Tài chính, Bộ Tư pháp, Bộ Lao động-Thương binh và Xã hội… Đặc biệt, Bộ Công an cũng đã phát hiện và xử lý lộ lọt bí mật tại 12 cơ quan nhà nước.

Ngay trước đó, tại Security World 2018 được tổ chức đầu tháng 4, nhấn mạnh một trong những nguy cơ lớn hiện nay là tình hình lộ bí mật nhà nước trên Internet đang diễn ra đáng lo ngại, Trung tướng, PGS.TS Hoàng Phước Thuận, Cục trưởng Cục An ninh mạng-Bộ Công an đã cho hay: “Mỗi năm, cơ quan chức năng phát hiện hàng chục vụ lộ, lọt bí mật nhà nước trên Internet. Thực tế có thể còn vượt xa con số đã phát hiện do tính chất nặc danh, khó phát hiện của môi trường mạng dẫn tới những hậu quả khôn lường”.

Mặt khác mới đây, bộ phận chuyên trách về CNTT của 1 cơ quan trực thuộc 1 Bộ đã phát hiện từ máy tính của 1 cán bộ bị nhiễm virus đã lây lan ra toàn mạng nội bộ đơn vị và nguy hiểm hơn theo phân tích của chuyên gia, virus này có khả năng giúp tin tặc đánh cắp thông tin từ hệ thống.

Những thông tin trên khiến chúng ta không khỏi lo ngại về vấn đề đảm bảo ATTT mạng trong các cơ quan nhà nước hiện nay. Để giúp độc giả hiểu rõ hơn về hiện trạng công tác đảm bảo ATTT, nhất là việc bảo mật thông tin, dữ liệu của các cơ quan nhà nước, ICTnews vừa có cuộc trao đổi với ông Hà Thế Phương - Phó Tổng giám đốc Công ty cổ phần an ninh an toàn CMC (CMC InfoSec):

Ông  Hà Thế Phương - Phó Tổng giám đốc Công ty CMC InfoSec.

Dưới góc độ của doanh nghiệp đã nhiều năm tham gia hỗ trợ các bộ, ngành đảm bảo ATTT, ông nhận định ra sao về công tác đảm bảo ATTT mạng, bảo mật thông tin của các cơ quan nhà nước hiện nay?

Theo góc nhìn của CMC InfoSec, công tác đảm bảo ATTT mạng, bảo mật thông tin của các Bộ ban ngành hiện nay đã có sự tiến bộ rõ rệt. Tiến bộ lớn nhất chính là vấn đề bảo đảm ATTT nay đã được chú trọng hơn nhiều và được lãnh đạo các bộ, ban, ngành chỉ đạo thực hiện quyết liệt. Kết quả của việc này có thể thấy rõ qua số lượng các dự án đảm bảo ATTT của khối bộ, ban, ngành đã tăng thêm khá nhiều và nội dung các dự án tư vấn, đánh giá ATTT cũng được xây dựng sát hơn với hiện trạng và môi trường đặc trưng của từng cơ quan, đơn vị. 

Tôi cho rằng, nguy cơ lớn về ATTT của các cơ quan nhà nước hiện nay có lẽ là việc thiếu đi sự kết dính của các yếu tố cấu thành đảm bảo ATTT cũng như cái nhìn tổng thể về hiện trạng ATTT trong tổ chức. Điều này một phần là do sự đầu tư ào ạt mà chưa mang tính hệ thống, chiến lược vào các giải pháp đảm bảo ATTT, do đó sự phức tạp trong hệ thống bị tăng lên rất nhiều và dẫn tới việc rất khó để quản lý, tối ưu hạ tầng cùng các giải pháp này. 

Ngoài việc các hệ thống thông tin, Trang/Cổng thông tin điện tử của nhiều cơ quan, đơn vị tồn tại lỗ hổng bảo mật, CMC InfoSec đánh giá thế nào về nguy cơ lộ thông tin, dữ liệu của cơ quan nhà nước từ việc sử dụng mail, USB… tham gia hệ thống mạng nội bộ đơn vị?

Việc để lộ hoặc bị tin tặc đánh cắp thông tin có thể do rất nhiều nguyên nhân, nhưng theo thống kê hàng năm thì nguyên nhân nhân viên của tổ chức bị khai thác qua hình thức Phishing (tin tặc gửi email giả mạo nhằm thu thập thông tin, tống tiền) và Social Engineering (truy cập trái phép hoặc có được những thông tin bí mật bằng cách khai thác yếu tố cảm xúc con người) vẫn chiếm tỷ lệ cao nhất.

Còn những hệ thống Trang/Cổng thông tin điện tử tại Việt Nam bị tấn công, chiếm quyền điều khiển chủ yếu là do các hệ thống này không được vá lỗi, không được nâng cấp một cách hiệu quả dẫn đến phát sinh rất nhiều lỗi có thể khai thác được dễ dàng. Một nguyên nhân thứ yếu nữa, đó là có nhiều trường hợp các hệ thống này được vận hành cùng máy chủ với nhiều hệ thống khác, nếu các hệ thống khác có lỗi có thể khai thác được vào máy chủ thì tính bảo mật của hệ thống Cổng thông tin điện tử cũng chỉ ngang với các hệ thống có lỗi cùng trên máy chủ. 

Từ thực tế nêu trên, xin ông cho biết, đâu là những nguyên nhân chủ yếu đưa đến các sự cố mất ATTT mạng trong các cơ quan nhà nước hiện nay?

Nguyên nhân chủ yếu dẫn đến các sự cố ATTT mạng của các cơ quan nhà nước có thể kể đến đó là: thiếu về số lượng cũng như chất lượng nhân sự chuyên trách về ATTT; thiếu các công cụ hỗ trợ cũng như quy trình về xử lý sự cố, điều tra sự cố; thiếu những giải pháp giám sát, cảnh báo kịp thời và hiệu quả những sự việc mất ATTT trong mạng, và cuối cùng là do chưa giải quyết triệt để các vấn đề mất ATTT được tìm thấy trong hệ thống. 

Một ví dụ điển hình là việc quy trình, phương án xử lý sự cố về ATTT. Một số đơn vị đã tiến hành xây dựng quy trình, tuy nhiên việc diễn tập thường xuyên các quy trình này (giống diễn tập phòng cháy chữa cháy) là chưa có, là việc rất hiếm các đơn vị thực hiện. Hệ quả là khi xảy ra sự cố mất ATTT thật thì các nhân sự liên quan rất lúng túng và có thể kéo dài thời gian không cần thiết để xử lý  sự vụ một cách hiệu quả. 

Các chuyên gia bảo mật đều cho rằng 3 yếu tố cơ bản trong đảm bảo ATTT là trang thiết bị, quy trình và con người. Vậy theo quan điểm của CMC InfoSec, hiện yếu tố nào đang là khâu yếu nhất?

Theo quan điểm của CMC InfoSec, trong 3 yếu tố kể trên thì yếu tố con người vẫn đang và luôn là yếu tố yếu nhất. Điều này không chỉ đúng với Việt Nam mà nó còn đúng với mọi quốc gia trên thế giới do ATTT là 1 ngành mới (nếu tính về thời điểm có các đơn vị đào tạo chuyên môn sâu về ATTT). Việc công nghệ phát triển quá nhanh kéo theo các yêu cầu và nhu cầu về ATTT cũng như số lượng người hoạt động trong ngành ATTT tăng đột biến chính là nguyên nhân then chốt. Đồng thời, việc đào tạo các chuyên gia có chuyên môn cao và giàu kinh nghiệm là việc không thể bắt kịp với mức độ phát triển và nhu cầu thị trường nên việc thiếu nguồn nhân lực trình độ cao cũng là tất yếu.

Vậy để làm tốt công tác đảm bảo ATTT mạng, nhất là bảo mật thông tin dữ liệu, các cơ quan nhà nước cần lưu ý những gì, thưa ông?

Để đảm bảo tốt công tác ATTT thì CMC InfoSec luôn tư vấn các cơ quan, đơn vị cần phải cân đối được giữa 3 yếu tố: công nghệ, con người và quy trình.

Một lưu ý nữa là, không phải đơn vị nào cũng cần (hoặc phải) đầu tư vào tất cả các khía cạnh về năng lực đảm bảo ATTT, việc đảm bảo ATTT có thể chia sẻ cho các đối tác tin cậy, chuyên trách về ATTT đảm nhận. Việc kết hợp với các đối tác bên ngoài này không những giảm thiểu áp lực (vốn đã quá lớn) về cải thiện năng lực đội ngũ ATTT trong tổ chức mà còn có thể sử dụng hiệu quả nguồn lực của các đơn vị đối tác , cũng như có được những góc nhìn thứ 3 khách quan về ATTT trong hệ thống của tổ chức.  

Xin cảm ơn ông!