Xác định mục tiêu trọng điểm để điều tiết nguồn lực, bảo đảm ATTT

Theo thống kê từ Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam ( VNCERT), chỉ trong nửa đầu năm 2016, tổng số sự cố an ninh mạng được VNCERT ghi nhận đã là 127.630 sự cố (gồm 8.758 sự cố Phishing; 77.160 sự cố Deface và 41.712 sự cố Malware), gấp hơn 4  lần so tổng sự cố an ninh mạng được Trung tâm này ghi nhận trong cả năm 2015 và gấp gần 6,5 lần số sự cố của cả năm 2014.

Cùng với việc gia tăng sự tấn công, tội phạm mạng thâm nhập vào hệ thống mạng thông tin trọng yếu để thu thập, đánh cắp thông tin bí mật nhà nước và doanh nghiệp của Việt Nam trong bối cảnh CNTT và viễn thông phát triển mạnh mẽ. Các nhóm tội phạm cũng đang không ngừng câu kết với nhau, chia sẻ hạ tầng để triển khai các chiến dịch tấn công.

Bộ Thông tin và truyền thông (TT&TT) mới đây cũng đã đề nghị các cơ quan, tổ chức, doanh nghiệp tổ chức triển khai hoạt động tổng kiểm tra, rà soát, đánh giá bảo đảm an toàn thông tin mạng, phần cứng, phần mềm hệ thống, phần mềm ứng dụng nhằm đánh giá tổng thể  mức độ an toàn thông tin, kịp thời phát hiện và xử lý sự cố, lỗ hổng, ngăn chặn, bóc gỡ mã độc tấn công vào hệ thống mạng.

Với vai trò của truyền thông trước một vấn đề nóng của xã hội, ngày 27/9/2016, Câu lạc bộ Nhà báo công nghệ thông tin Việt Nam đã tổ chức Tọa đàm “An toàn thông tin và mối đe dọa tới nền kinh tế” với sự góp mặt của cơ quan quản lý nhà nước, doanh nghiệp, các chuyên gia bảo mật... để cùng phân tích, đánh giá thực trạng và đưa ra những giải pháp, khuyến nghị nhằm đảm bảo phòng chống những rủi ro trong việc mất an toàn an ninh ảnh hưởng đến nền kinh tế của Việt Nam.

"Chỉ một người vô thức mở cửa hậu là tin tặc cứ thông thống chui vào"

Đây là cách so sánh hình ảnh của ông Tống Viết Trung, Phó Tổng Giám đốc Tập đoàn Viễn thông Quân đội Viettel khi nói về yếu tố nhận thức người dùng trong công tác đảm bảo an toàn thông tin (ATTT) trong hệ thống của các doanh nghiệp, tổ chức, cơ quan. Ông Trung cho rằng: Ở khía cạnh người làm nghề, các chuyên gia CNTT, chuyên gia bảo mật có thể không thấy có gì "quá lạ" quanh các vụ tấn công, sự cố an toàn thông tin vừa qua. nhưng về khía cạnh xã hội thì đã thực sự gióng lên "hồi chuông" cảnh báo.

"Rất nhiều lỗi bảo mật cơ bản vẫn đang tồn tại. Ví dụ, chúng tôi đến những doanh nghiệp tương đối lớn, khi rà soát hệ thống thì chỉ 1 ngày đã ra cả loạt vấn đề mà chẳng phải hacker "cao thủ" lắm, chỉ cần người bình thường sử dụng kỹ thuật phổ biến trên Internet cũng truy cập được. Đây là vấn đề đáng lo lắng", ông Trung cho biết.

Theo ông, để xây dựng được một hệ thống thực sự an toàn không dễ: Ngoài vấn đề công cụ, hệ thống, trang bị... còn vấn đề quan trọng là nhận thức của cả lãnh đạo và người dùng hệ thống. Nếu người dùng không tuân thủ quy trình, quy định...  toàn bộ công đầu tư triển khai của anh em CNTT "đi tong".

Còn về phía lãnh đạo các đơn vị, ông Tống Viết Trung đề cập đến 3 trạng thái nhận thức nguy hiểm: Một là thờ ơ, coi đó không phải việc của nhà mình; Hai là  "Việc này phức tạp lắm, chắc mình không liên quan, thôi để các ông lớn lo"... Và tiêu cực hơn thì cho rằng "Phức tạp quá, thôi đóng cổng lại".

Bên cạnh nỗ lực của những người "làm nghề", vị chuyên gia này cho rằng vai trò của truyền thông cần phát huy hơn nữa, thông qua các chiến dịch truyền thông rõ nét hơn về các hiểm họa ATTT, đặc biệt trong môi trường ngày càng phụ thuộc vào công nghệ.

Đặc biệt, nhắc đến xu thế công nghệ Internet of Things (IoT), ông Tống Viết Trung đặc biệt nhấn mạnh nguy cơ của những cuộc tấn công an ninh mạng trên diện rộng, thậm chí tầm cỡ quy mô quốc gia. Ông cho rằng: "Nhìn nhận vấn đề bảo đảm an ninh thông tin và bảo mật ở tầm quốc gia, cần xác định những mục tiêu trọng điểm quốc gia, điều tiết nguồn lực phù hợp để đứng ra bảo vệ... chứ không thể làm tất cả cùng lúc".

Một trong những giải pháp được đưa ra cho vấn đề này là cần chuyên nghiệp hóa dịch vụ ATTT, thông qua việc xây dựng các công ty chuyên cung cấp dịch vụ ATTT cho các tổ chức, doanh nghiệp... Như vậy, sẽ có những nguồn lực mạnh và chuyên nghiệp, theo dõi các vấn đề 24/7 và xử lý tức thời.

90% hệ thống trọng yếu vẫn nằm trong khả năng bị tấn công

Đó là nhận định của ông Ngô Tuấn Anh, Phó Chủ tịch Tập đoàn Bkav, Giám đốc Bkav Security.

Đánh giá chung về thực trạng nhận thức cũng như thực hành bảo mật trong nhiều đơn vị, tổ chức, ông Ngô Tuấn Anh cho rằng: trong khi năng lực tấn công của tội phạm mạng ngày càng được nâng cao, thì sự chủ quan của doanh nghiệp trước các cảnh báo bảo mật cùng với sự thiếu hụt về nhân lực quản trị CNTT cao cấp, sự phát triển tốc độ của điện toán đám mây, di động và IoT … chính là những lý do lớn dẫn đến những sự cố liên quan đến bảo mật thông tin của doanh nghiệp và cơ quan nhà nước.

Theo Nghiên cứu 2014 của Bkav thì có đến 40% hệ thống website tại Việt Nam tồn tại lỗ hổng. Cứ 10 website thì 1 có thể bị hacker tấn công, trong đó có nhiều website quan trọng như của cơ quan chính phủ (tên miền .gov.vn); Hàng tháng 300 website tại Việt Nam bị tấn công.... "Đó chỉ là bề nổi được đưa thông tin ra, còn thực tế số lượng lớn hơn rất nhiều. Đáng lưu ý, vừa rồi khảo sát sơ bộ khoảng hơn 2.000 website kể cả chính thức và tên miền con của website .gov.vn, hơn 10% có khả năng bị tấn công xâm nhập", ông Ngô Tuấn Anh cho biết.

Theo ông, thử so sánh với hệ thống website bị tấn công thì chỉ khoảng 10% được công bố, còn 90% hệ thống trọng yếu vẫn nằm trong khả năng bị tấn công. Rõ ràng, các hệ thống website là những dịch vụ cơ bản, khi bị tấn công xâm nhập sẽ ảnh hưởng tới hoạt động của chính các đơn vị đó.

Vị chuyên gia này cũng đưa ra một số ví dụ về các vụ tấn công gần đây, như vụ tấn công Vietnam Airlines (mà thực chất là vào hệ thống hàng không Việt Nam nói chung), hay một số vụ việc tài khoản ngân hàng "bốc hơi"... đều cho thấy các lỗ hổng bảo mật cần khắc phục nhanh và triệt để.

Liên quan đến các giải pháp SMS cho ngân hàng, ongn Tuấn Anh cho biết: thực tế các giải pháp hiện nay có điểm yếu về bản chất công nghệ, đó là khả năng phishing trong khi nhận thức người dùng chưa cao.

Sắp tới, các phương pháp xác của ngân hàng có xu hướng chuyển sang biện pháp mạnh hơn như chữ ký số (các mảng khác như thuế, hải quan điện tử đều đã dùng chữ ký số).