• Thứ Hai, 20/04/2009 10:16 (GMT+7)

    Mất bò mới lo làm chuồng

    Doanh nghiệp vừa và nhỏ (DNVVN) đang là điểm ngắm đến của các hacker. Tuy nhiên, ý thức về an ninh mạng của các DN này còn khá lỏng lẻo. Để giúp các DNVVN có thông tin về an ninh mạng, tạp chí TGVT sê-ri B đã trao đổi với ông Nguyễn Tử Quảng, giám đốc (GĐ) trung tâm An Ninh Mạng BKIS, ông Võ Đỗ Thắng, GĐ trung tâm Đào Tạo Quản trị & An Ninh Mạng Athena và ông Triệu Trần Đức, tổng giám đốc CMC InfoSec.

    Thưa các ông, khi áp dụng các giải pháp về an ninh, ATTT cho các DNVVN thường gặp phải những khó khăn, thách thức gì?

    Ông Nguyễn Tử Quảng: Thực ra vấn đề không nằm ở việc áp dụng các giải pháp khó hay phức tạp đến đâu?! Ở Việt Nam hiện nay, các giải pháp, công nghệ cho an ninh mạng (ANM) đều đã sẵn sàng. Người Việt Nam có thể làm chủ hoàn toàn được những giải pháp và công nghệ này. Khó khăn lớn nhất là các DN chưa nghĩ đến việc thuê đơn vị chuyên nghiệp về ANM tư vấn, thiết kế và xây dựng hệ thống mạng đảm bảo an ninh. Hầu hết họ đều tự loay hoay, mò mẫm làm, tự đi tìm hiểu từng lỗ hổng hoặc tự đặt ra giải pháp trong khi họ không phải là người chuyên nghiệp về ANM. Kết quả là mọi việc rối tinh lên và nhiều người cảm thấy vấn đề rất khó khăn.

    Như vậy, vướng mắc lớn nhất là hầu hết DN không có được phương pháp luận đúng đắn trong việc giải quyết vấn đề ANM, trong khi các vấn đề về giải pháp, công nghệ và con người ở Việt Nam hoàn toàn có thể đáp ứng được. Nếu có tư vấn của chuyên gia thì mọi việc trở nên rất đơn giản.

    Ông Võ Đỗ Thắng: Hiện nay, DNVVN bắt đầu có ý thức bảo vệ bí mật kinh doanh, với mục tiêu đảm bảo sự hoạt động liên tục của mình. Tuy nhiên, đa phần các DNVVN khi áp dụng các giải pháp về an ninh ATTT là các DN không trong ngành CNTT (non-IT) nên họ gặp rất nhiều khó khăn vì thiếu thông tin, thiếu kiến thức chuyên môn, họ không biết nên bắt đầu từ đâu và làm như thế nào...? Do đó, đã có DN trang bị nhiều server và thiết bị bảo mật như: Tường lửa(firewall), IDS, IPS... rất tốn kém nhưng không mang lại hiệu quả như mong muốn. Tôi có thể đưa ra một ví dụ là công ty bao bì Nam Việt, đã trang bị nhiều server, thiết bị firewall... tốn rất nhiều chi phí nhưng hiệu quả mang lại không cao.

    Ông Triệu Trần Đức: Đối với DNVVN, ATTT thường được hiểu là AntiVirus và phòng chống thư rác. Trong điều kiện phát triển kinh tế và CNTT như hiện nay, cắt giảm đầu tư cho CNTT diễn ra thường xuyên hơn. Vì vậy đầu tư cho ATTT của các DNVVN gần như bằng không nếu tính trên tỷ lệ gần 350.000 DN đang hoạt động. Như vậy, khó khăn nhất vẫn là do quan điểm ATTT đi sau các đầu tư khác về CNTT.

    Ý thức của DNVVN đối với vấn đề bảo mật dữ liệu cũng như những trang thiết bị bảo vệ ?

    Ông Nguyễn Tử Quảng: Trước đây khoảng 2-3 năm, có rất rất ít nơi, ít DN quan tâm đầy đủ đến an ninh cho hệ thống mạng, nhưng giờ đây mọi người đã nhận thức được vấn đề: cần đảm bảo an toàn cho hệ thống tin học hoạt động đúng, đề phòng trước tấn công và bảo mật dữ liệu quan trọng. Tuy nhiên như tôi đã nói ở trên, khó khăn của họ là chưa có phương pháp luận đúng. Mà thực ra, để giải quyết vấn đề lại rất đơn giản, đó là thuê đội ngũ chuyên gia chuyên nghiệp để biến những lo lắng thành hành động cụ thể. Việc đó giống như bây giờ xây nhà, người ta thường thuê kiến trúc sư tư vấn và lên thiết kế, chứ không ai tự mày mò vẽ kiểu rồi thuê nhóm thợ xây tự làm như chục năm trước đây.

    Ông Võ Đỗ Thắng:
    Khi triển khai các giải pháp cho DNVVN, Athena có gặp một số khó khăn như: Ý thức bảo vệ tài sản thông tin của DN chưa cao, kiến thức quản trị về ATTT của các nhân viên trong DNVVN hầu như chưa có. Vì vậy nhiều trường hợp DN bị mất thông tin, bị hacker xâm nhập thường xuyên vào hệ thống dữ liệu mà không biết nên khi xảy ra hậu quả nghiêm trọng thì đã quá muộn! Nhìn chung, ý thức bảo vệ an ninh ATTT của các DNVVN còn rất thấp và chỉ khi “mất bò mới lo làm chuồng”.

    Để nâng cao ý thức cho DNVVN, chúng ta cần tăng cường tuyên truyền trên các phương tiện truyền thông như báo chí, truyền hình... song song đó, thường xuyên phối hợp với các hiệp hội DN, đặc biệt là các hiệp hội ngành nghề “non-IT” nhưng có ứng dụng nhiều CNTT vào sản xuất kinh doanh, để tổ chức các buổi hội thảo, tọa đàm chuyên đề giúp giới lãnh đạo DN hiểu được tầm quan trọng của ATTT.

    Ông Triệu Trần Đức: Đa số DNVVN hiện nay chưa được trang bị kiến thức bảo mật dữ liệu. Một khảo sát sơ bộ của CMC InfoSec cho thấy, đa số người dùng đều không cảm thấy mất an toàn khi tham gia môi trường Internet. Trong khi đó, hầu hết các mối nguy hiểm dẫn đến nguy cơ mất ATTT lại đến từ môi trường này. Ngoài ra, DNVVN vẫn được xem là có điều kiện kinh tế khá eo hẹp nên họ thường ít đầu tư cho phầm mềm bản quyền. Khảo sát cho thấy, đến 95% người dùng sử dụng PM bẻ khóa. Một điều ai cũng dễ nhận thấy từ việc sử dụng các chương trình bẻ khóa là khả năng bị lây nhiễm virus và mã độc rất cao. Đây cũng được xem là một nguyên nhân trực tiếp dẫn đến mất ATTT cho các DNVVN.

    Những giải pháp, công cụ về bảo mật cho DNVVN hiện nay ?

    Ông Nguyễn Tử Quảng: Vấn đề ANM phổ biến nhất vẫn là virus máy tính. Vì thế mỗi hệ thống mạng cần được triển khai một giải pháp tổng thể phòng chống virus, trong đó gồm các giải pháp kỹ thuật ngăn chặn ở các máy trạm (client), ở các cổng vào ra mạng (gateway) và đi kèm với hỗ trợ kỹ thuật của nhà sản xuất.

    Có thể áp dụng tường lửa (Firewall) để ngăn chặn, cài đặt hệ thống cảnh báo khi có biểu hiện xảy ra các xâm nhập trái phép như IPS, áp dụng các biện pháp về mã hóa, lưu trữ dữ liệu để đảm bảo dữ liệu của DN không bị mất hoặc có xãy ra sự cố thì phải khôi phục lại được...

    Và để có được giải pháp an ninh DN một cách toàn diện, tốt nhất DN nên triển khai ISO 27001. ISO 27001 là tiêu chuẩn của hệ thống quản lý an ninh thông tin. Nguyên tắc của ISO 27001 là liệt kê, chỉ ra tất cả các rủi ro về an ninh thông tin có thể xảy ra trong tổ chức, sau đó đánh giá và đưa ra các biện pháp khắc phục, hạn chế tối đa rủi ro.

    Tóm lại, để có thể triển khai tất cả các giải pháp trên một cách bài bản, khoa học, đem lại hiệu quả tốt nhất thì hệ thống mạng của mỗi DN phải được các chuyên gia khảo sát và tư vấn. Người quản trị hệ thống mạng không nên tự mình làm vì không thể chỉ ra hết được mọi ngóc ngách của vấn đề cũng như đưa ra được giải pháp phù hợp nhất.

    Ông Võ Đỗ Thắng: Một số giải pháp bảo mật hiện nay là bảo mật phòng chống xâm nhập trái phép vào hệ thống e-mail, hệ thống web, giải pháp bảo mật hệ thống dữ liệu nội bộ. Các công cụ bảo mật hiện nay thường được dùng để mã hóa e-mail, mã hóa dữ liệu... Với những công cụ này, nếu không may, e-mail hoặc dữ liệu của DN bị rò rỉ thì hacker cũng không thể giải mã được nội dung bên trong.

    Xuất phát từ nhu cầu của các DN mong muốn phát triển hệ thống an ninh bảo vệ cho DN mình, nhưng thiếu kiến thức chuyên môn nên đầu tư không đúng, gây lãng phí, Athena đã ra mắt đường hotline tư vấn miễn phí cho DN về ANM nhằm giúp DN lựa chọn đúng trước khi đầu tư, tránh lãng phí. DN trước khi muốn đầu tư hoặc có sự cố về an ninh mạng có thể liên hệ với trung tâm Athena theo số 1900 54 54 56. Khi đó, đội ngũ chuyên gia an ninh mạng Athena sẽ tư vấn cho DN miễn phí.

    Ông Triệu Trần Đức:
    AntiVirus là vấn đề cơ bản nhất mà DNVVN nghĩ tới đầu tiên khi quyết định đầu tư cho ATTT. Vì vậy chúng ta có thể sử dụng các sản phẩm diệt virus sẵn có, trả phí và miễn phí, trên thị trường. Tuy vậy, không có sản phẩm AntiVirus nào miễn phí cho DN, thông thường chỉ miễn phí cho cá nhân dùng tại gia đình. Một yêu cầu khác cần đặt ra là phải thay đổi nhận thức của DN. Các PM diệt virus dành cho DN có giá không hề đắt so với nhưng gì họ nhận được. Tiền đầu tư cho 10 máy tính cài PM AntiVirrus trong 1 năm chỉ bằng tiền thuê quản trị mạng trong 01 tháng. Nếu muốn rẻ hơn cần phải có các chương trình hợp tác giữa các DN chuyên về bảo mật với các tổ chức, cơ quan nhà nước như hiệp hội DN VVN, các bộ hoặc sở Kế hoạch đầu tư các địa phương để hỗ trợ PM AntiVirus cho DNVVN. Các DN cung cấp sản phẩm bảo mật vẫn có thể bán những sản phẩm với giá rẻ hơn cho các tổ chức này để họ hỗ trợ lại DNVVN. Đây không phải là bán phá giá mà DN kinh doanh bảo mật vẫn đảm bảo doanh thu để duy trì vì họ bán số lượng lớn, ngược lại các DN VVN sẽ được sử dụng dịch vụ tốt hơn từ những chương trình này.

    Xin trân trọng cảm ơn các ông !

    Quỳnh Anh - Huyền Sa - Minh Đức

    ID: B0904_59