• Thứ Tư, 06/01/2010 08:02 (GMT+7)

    Gia tăng hiểm họa

    So với năm 2008, các chỉ số mất an toàn thông tin (ATTT) năm nay có xu hướng tăng. Tại sự kiện “Ngày ATTT Việt Nam 2009”, ngày 24/11 ở Hà Nội, nhiều chuyên gia nhận định, sự gia tăng hiểm hoạ mất ATTT sẽ có tốc độ nhanh hơn sự phát triển của CNTT Việt Nam.

    Gia tăng các chỉ số mất ATTT

    Giới thiệu các giải pháp bảo mật tại Ngày ATTT Việt Nam 2009

    Theo ông Vũ Quốc Thành, Phó Chủ tịch kiêm Tổng thư ký Hiệp hội An toàn thông tin (VNISA), năm 2009 tốc độ tăng trưởng ngành CNTT có chậm lại nhưng lĩnh vực ATTT vẫn có nhiều sự kiện đáng quan tâm. Đó là việc Bộ TTTT hoàn thành dự thảo Quy hoạch ATTT Quốc gia; Cuộc tấn công vào các website của Chính phủ Hàn Quốc, Mỹ và tranh luận ở Việt Nam; Tội phạm mạng gia tăng trong khu vực ngân hàng (NH) và chứng khoán…

    Báo cáo của VNISA cho thấy hoạt động của thế giới ngầm và tội phạm mạng có chiều hướng gia tăng. VNISA tiến hành khảo sát trong 5 tháng với gần 500 phiếu trả lời của các tổ chức, doanh nghiệp (TC/DN). Thống kê cho thấy, 35% người khảo sát không biết hệ thống của mình có bị tấn công không. Tỷ lệ tăng so với năm 2008, cho thấy nhận thức của người dùng và TC/DN chưa tăng lên là bao. Trong năm 2009, các sự cố liên quan đến virus và các mã độc hại tăng đáng kể: 50% DN bị tấn công (năm 2008 là 25%).

    Hầu hết các DN gặp khó khăn vì nhận thức người dùng chưa cao, lãnh đạo chưa hỗ trợ đúng mức cho ATTT và sự thiếu hiểu biết ATTT trong tổ chức… Ông Thành cho rằng, kết quả khảo sát cho thấy khó khăn không phải là công nghệ mà là con người. So với năm 2008, các vấn đề hầu như không thay đổi, thậm chí một số chỉ số về mất ATTT còn trầm trọng hơn.

    Thiếu nghiên cứu bài bản về ATTT

    Ông Võ Văn Mai, Chủ tịch HĐQT Tập đoàn HiPT, Trưởng Ban truyền thông Ngày ATTT 2009 cho rằng thời gian tới, VNISA cần có khảo sát rộng, sâu và toàn diện hơn. Ông Mai cũng cho rằng, những con số báo cáo thường chưa phản ánh được thực chất, trong đó, nhận thức người dùng trên thực tế còn thấp hơn số liệu báo cáo. Dù đã được tuyên truyền nhiều về ATTT nhưng người dùng phổ thông hầu như chưa “thấm”. Việc DN công bố đầu tư 10% hay 20% cho ATTT thực ra rất nhỏ. Trong khi đó, đầu tư cho con người để vận hành hệ thống và đảm bảo thực thi các chính sách cần nhiều hơn nhưng chưa được quan tâm.

    Ngân hàng: Giữa “hai làn đạn”

    Các NH đang phải đối đầu với việc bị đánh cắp thông tin của NH, khách hàng (KH) để thâm nhập vào hệ thống và ăn cắp tiền. Nhiều chuyên gia ATTT đã chỉ ra xu hướng hacker viết virus, trojan để đánh cắp những khoản tiền nhỏ nhằm khiến NH, KH ít quan tâm và không bao giờ chú ý đến. Để đối phó, NH càng cần quan tâm đến an ninh, bảo mật. Điều này đẩy các NH vào thế khó khi chi phí đầu tư cho ATTT ngày càng nhiều nhưng hiệu quả không thể thấy ngay. Thậm chí, đôi khi giải pháp an ninh bảo mật hiện đại, có khả năng cảnh báo sớm và ngăn chặn các giao dịch đáng ngờ bị KH cho rằng dịch vụ của NH không tốt. Điều này ảnh hưởng đến cạnh tranh giữa các NH.

    “Các phương tiện truyền thông đều cho rằng có sự lơ là trong ATTT, các khoản đầu tư cho ATTT đều sụt giảm trong thời gian qua. Hy vọng Ngày ATTT sẽ là hồi chuông cảnh tỉnh để DN tự nhìn lại hệ thống CNTT của DN mình, từ đó có chính sách phù hợp. Không chỉ dựa trên tài chính, chính sách đầu tư ATTT trong DN còn phụ thuộc vào các chính sách vật lý (nội quy, điều khoản, quy trình, quy định); con người (thiết lập, vận hành hạ tầng ATTT để sẵn sàng ứng phó với thảm họa)”, ông Phạm Anh Tuấn, Phó Tổng giám đốc NH Công Thương Việt Nam.

    Để giải quyết những mâu thuẫn này, ông Phạm Anh Tuấn, Phó Tổng giám đốc NH Công Thương Việt Nam, cho rằng: “NH phải thay đổi chính sách bảo mật sao cho ở mức chấp nhận được (cảnh báo ở mức độ nào). Tại Vietinbank, nếu cảnh báo ở mức “nguy hiểm và có thể gây ra tổn thất” thì chúng tôi dừng kết nối và thông báo cho KH. Nếu ở mức trung bình, chúng tôi vẫn cho giao dịch nhưng cảnh báo cho KH, sau đó sẽ cùng bộ phận kỹ thuật của nhà cung cấp sản phẩm phân tích mức độ nguy hiểm, thêm vào các định nghĩa mới về nguy cơ rủi ro trong hệ thống”. Ông Tuấn nhấn mạnh, “phản ứng trong ATTT cần nhanh, tức thì chứ không thể đợi vài ngày hay một tuần mới giải quyết. Lúc đó, tổn thất không thể tính nối. NH cần phải có đội ngũ nhân lực để nắm bắt, quản trị hệ thống ATTT và phải chọn các hãng cung cấp giải pháp, thiết bị có đội ngũ hỗ trợ kỹ thuật tốt”.

    Ngoài ra, nâng cao ý thức của KH là điều cần làm. Các báo cáo đã chỉ ra 70% nguyên nhân gây mất ATTT đến từ người dùng. Các cảnh báo thường được thể hiện trên điều khoản ký kết giữa NH với KH đăng ký sử dụng dịch vụ (Internet banking, mobile banking...). Tuy nhiên, theo ông Tuấn, đây chỉ là sự chủ động của các NH. KH vẫn chưa thay đổi văn hóa tiêu dùng đối với các dịch vụ trực tuyến. Ngoài ra, vẫn thiếu các tổ chức trung gian xác thực sản phẩm, dịch vụ do NH cung cấp có đủ độ an toàn tương tự như các sản phẩm hữu hình khác.

    “Mã độc nhằm đánh cắp thông tin và có dính dáng đến tài chính không chỉ lây nhiễm qua file như trước đây mà qua cả email, website. Sự lây nhiễm đó làm nảy sinh nhiều biến thể mới. Nếu chỉ dùng biện pháp so sánh mẫu như trước đây không đủ mà phải có công nghệ mới. Các hãng bảo mật hiện có xu thế phát triển công nghệ điện toán đám mây (in the cloud). Công nghệ này tập trung vào các file nhiễm mã độc và phát hiện dựa trên cơ sở dữ liệu có sẵn chứ không đơn thuần là công nghệ so sánh mẫu”, ông Rathasiri, Giám đốc kinh doanh khu vực Đông Dương của Trend Micro.

    Trần Đức - Thu Nga.

    ID: B0912_68