Vụ tin tặc lớp 9 tấn công website sân bay: Cần tạo thêm sân chơi cho “hacker mũ trắng”!

Cục An ninh mạng - Bộ Công an đã xác minh, phát hiện L.C.K.D, sinh năm 2002 trú tại TP.HCM  là người đã khai thác lỗ hổng bảo mật và tấn công, xâm nhập website của sân bay Tân Sơn Nhất tối ngày 8/3/2017 (Giao diện website sân bay Tân Sơn Nhất)

Như ICTnews đã thông tin, ngày 11/3/2017, Cổng thông tin điện tử Bộ Công an đã đăng tải thông tin cho biết Cục An ninh mạng thuộc Bộ đã xác minh và phát hiện L.C.K.D, sinh năm 2002 trú tại TP.HCM  là người đã khai thác lỗ hổng bảo mật và tấn công, xâm nhập website của sân bay Tân Sơn Nhất; P.H.H, sinh năm 2002, trú tại tỉnh Đồng Nai, là người đã tấn công website của các sân bay Đà Nẵng, Phú Quốc, Rạch Giá và Tuy Hòa trong các ngày 9, 10/3/2017.

Bộ Công an cũng cho biết, hai học sinh L.C.K.D và P.H.H đã thành khẩn khai báo, thừa nhận hành vi sai phạm của mình, động cơ tấn công xuất phát từ mục đích thích khám phá, mong muốn thể hiện, khoe khoang thành tích trong giới hacker. Hai học sinh đã ăn năn, hối lỗi, cam kết không tái phạm, xin được khoan hồng. Xét thấy hành vi của hai học sinh rất nguy hiểm, nhưng cả hai đã có thái độ khai báo thành khẩn và đang trong độ tuổi vị thành niên, nên Cục An ninh mạng đã phối hợp với Công an TP.HCM, Công an tỉnh Đồng Nai xử lý hành chính, giao gia đình quản lý, giáo dục. 

Riêng với trường hợp của học sinh L.C.K.D - người đã khai thác lỗ hổng bảo mật và tấn công, xâm nhập vào website của sân bay Tân Sơn Nhất ngày 8/3, trao đổi với phóng viên ICTnews, L.C.K.D cho biết, trước khi tấn công vào website www.tansonnhatairport.vn với mục đích cảnh báo admin về lỗ hổng của trang, trong 2 ngày 24/2 và 1/3/2017, em đã gửi mail cảnh báo website có lỗ hổng tới quản trị web nhưng không nhận được phản hồi.

“Tại thời điểm tấn công vào website của sân bay Tân Sơn Nhất với mục đích cảnh báo trang có lỗ hổng bảo mật, em chưa tìm hiểu về Luật An toàn thông tin mạng của Việt Nam cũng như thế giới nên không nghĩ đây là hành vi vi phạm pháp luật”, L.C.K.D  chia sẻ.

Trao đổi với ICTnews, các chuyên gia trong lĩnh vực CNTT, an toàn thông tin và những nhà quản lý giáo dục đều có chung quan điểm, đối với trường hợp của hai em học sinh vừa thực hiện hành vi tấn công vào website của các sân bay, mặc dù việc xử lý phải tuân theo quy định của pháp luật; tuy nhiên cần chú trọng bồi dưỡng, uốn nắn và định hướng để các em có thể phát huy được kiến thức, kỹ năng của mình phục vụ cho công tác đảm bảo an toàn thông tin của đất nước trong tương lai.

Một chuyên gia lâu năm trong cả hai ngành giáo dục và CNTT cho rằng, không nên xử nặng với các em học sinh thực hiện hành vi sai phạm - tấn công vào website của website các cảng hàng không. “Nguyên tắc xử lý với trẻ vị thành niên là phải định hướng cho các em đi vào con đường chính nghĩa, không để các em bị xô đẩy vào đường xấu. Tuy nhiên, phải nhắc nhở 2 hacker vị thành niên không tái phạm và tuyệt đối không vi phạm nặng như liên lạc với đối tượng xấu ở nước ngoài, hay hoạt động có tổ chức… Cần dạy để các em hiểu nhiều lẽ, nắm được các quy định của pháp luật”, vị chuyên gia này chia sẻ.

Đồng quan điểm trên, ông Nguyễn Hồng Văn, Phó Viện trưởng Viện Công nghệ An toàn thông tin cho rằng, việc xử lý sai phạm của hai học sinh hack vào trang web của các sân bay được cơ quan công an áp dụng theo quy định của pháp luật. “Luật cũng đã có quy định đầy đủ các tình tiết để tăng nặng hay giảm nhẹ. Xã hội nên hướng tới thượng tôn pháp luật. Trước tiên, mọi người phải tuân thủ pháp luật hiện hành. Nếu xã hội thấy quy định nào chưa hợp lý, mọi người sẽ cùng lên tiếng; và từ các trường hợp cụ thể được xã hội lên tiếng, Quốc hội sẽ nghiên cứu để sửa luật”, ông Văn nói.

Tuy nhiên, theo ông Nguyễn Hồng Văn, từ vụ việc hai em học sinh tấn công vào website của các sân bay tại Việt Nam đã cho thấy, công tác tuyên truyền pháp luật của chúng ta chưa tốt, chưa sâu rộng.

“Mặt khác, vụ việc thêm một lần nữa cảnh báo thực tế là không ít quản trị website còn “lơ là”, chưa quan tâm đúng mức đến công tác đảm bảo an toàn thông tin. Thậm chí, đáng buồn là có admin còn coi những người cảnh báo lỗ hổng bảo mật là những kẻ quấy phá, hoặc tệ hơn là những kẻ làm tiền, dụ mua dịch vụ bằng cách tìm lỗ hổng, gửi thông tin cảnh báo”, ông Văn cho biết.

Bình luận thêm về trường hợp của 2 hacker vị thành niên, ông Văn lấy ví dụ, với việc đua xe, nếu đua ngoài đường là tệ nạn, còn khi có trường đua, có người xem…thì là một môn thể thao.  “Tương tự như vậy, trong lĩnh vực an ninh mạng, việc rà quét lỗ hổng là một việc tốn tiền, các em tìm tòi, thử rà quét để tìm hiểu. Nếu chúng ta không tổ chức một sân chơi, huy động lực lượng đó vào mục đích tốt thì nó sẽ trở thành tệ nạn giống đua xe ngoài đường. Người lớn chúng ta phải nhìn nhận trách nhiệm tổ chức xã hội của mình, đừng đổ hết lên đầu các em”, ông Văn phân tích.

Nhấn mạnh phải có thêm nhiều sân chơi cho các bạn trẻ yêu thích an ninh mạng, vị Phó Viện trưởng Viện Công nghệ An toàn thông tin đề xuất: “Hãy tạo ra thêm nhiều sân chơi cho các hacker mũ trắng trau dồi kiến thức, kỹ năng. Sân chơi đó hướng thẳng vào những trang web của các admin cầu thị để họ cảnh báo miễn phí, từ đó đỡ lãng phí nguồn lực xã hội; đồng thời khuyến khích, tạo cơ hội để bạn trẻ rèn luyện kỹ năng. Những sân chơi này cũng sẽ là nơi bạn trẻ, nhất là những em học sinh như L.C.K.D và P.H.H được tuyên truyền, có thêm hiểu biết về quy định pháp luật với lĩnh vực mình đam mê, yêu thích”.

TS Lê Trường Tùng, Chủ tịch HĐQT trường Đại học FPT cho rằng cần tạo đất cho các em học sinh như L.C.K.D và P.H.H dụng võ. “Kỹ năng như của các em, xã hội rất cần”, TS Lê Trường Tùng nhấn mạnh.

Bên cạnh việc tạo thêm sân chơi, ví dụ như tổ chức các cuộc thi an toàn, bảo mật thông tin…, theo TS Lê Trường Tùng, các cơ quan, tổ chức có thể mời các em học sinh này làm cộng tác viên bảo mật.

Điều 7 của Luật An toàn thông tin mạng quy định rõ các hành vi bị nghiêm cấm, bao gồm:

- Ngăn chặn việc truyền tải thông tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên mạng trái pháp luật.

- Gây ảnh hưởng, cản trở trái pháp luật tới hoạt động bình thường của hệ thống thông tin hoặc tới khả năng truy nhập hệ thống thông tin của người sử dụng.

- Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng của hệ thống thông tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống thông tin;

- Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.

- Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân.

- Xâm nhập trái pháp luật bí mật mật mã và thông tin đã mã hóa hợp pháp của cơ quan, tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc.

Luật An toàn thông tin mạng cũng quy định, người nào có hành vi vi phạm quy định của Luật thì tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật, xử phạt vi phạm hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.