• Thứ Sáu, 21/08/2009 08:26 (GMT+7)

    ATTT cho CPĐT: Phải bắt đầu từ chính sách

    Đảm bảo an toàn thông tin (ATTT) cho chính phủ điện tử (CPĐT) là chủ đề rất được quan tâm trong nhiều cuộc hội thảo gần đây. Nhiều ý kiến cho rằng, để đảm bảo ATTT cho CPĐT cần phải bắt đầu từ chính sách.

    Chính sách phải dễ thực thi

    Ông Lê Mạnh Hà, Giám đốc sở TTTT TP. HCM, cho biết: trong tháng 6/2009 cổng thông tin thành phố (CityWeb) đã bị hacker tấn công. Hacker đã chèn mã độc ngay trên đường truyền dữ liệu, sau đó xâm nhập đưa virus vào hệ thống và tạo cửa hậu (backdoor) lấy cắp dữ liệu. Đã có 27 trên tổng số 77 website của các ban ngành thuộc cổng CityWeb không thể truy cập được, gây gián đoạn thực hiện các thủ tục hành chính công qua mạng Internet. Ngay sau đó, lực lượng ứng cứu sự cố đã dò tìm và bịt được các lỗ hổng, xóa bỏ virus khỏi hệ thống. Tuy nhiên, ông Hà cho biết, đến nay vẫn còn tồn tại một số vấn đề cần giải quyết như: nhiều lỗ hổng vẫn chưa được khắc phục, công việc quản trị chưa đảm bảo và chưa có đội ngũ ứng cứu kịp thời.

    " Không có chính phủ điện tử nào là an toàn đối với các cuộc xâm nhập trên mạng Internet. Điều quan trọng nhất để đảm bảo ATTT cho CPĐT là phải tạo được một cơ chế quản lý sự cố bao gồm cả CNTT và cơ chế vận hành”, ông Raymon Lai Hee Goh, Symantec.  

    Sở dĩ tồn tại những điểm yếu nói trên, theo ông Hà, nguyên nhân quan trọng nhất là do nhận thức còn thấp và chính sách chưa áp dụng được vào thực tế. Ông Hà cho rằng, việc đưa ra các chính sách áp dụng theo những bộ tiêu chuẩn ISO thực chất không thể áp dụng cho người quản trị hệ thống cấp cơ sở. “Các quy định về chính sách ATTT khi đưa ra thường rất dài dòng, máy móc và không thể áp dụng. Trong khi đã là chính sách thì bắt buộc mọi người phải nhớ, thuộc nằm lòng để khi thực hiện có thể biết ngay. Nhưng thực tế, hầu như chẳng ai nhớ được những quy định này.” Ông Hà cho rằng, cần phải bắt đầu từ việc xây dựng chính sách theo hướng ai cũng có thể tuân thủ.

    TS. Vũ Quốc Khánh, Giám đốc Trung tâm Ứng cứu Khẩn cấp Sự cố Máy tính (VNCERT) cho biết: VNCERT đã không nhận được bất cứ một báo cáo kịp thời nào về các sự cố website bị tấn công. Trong khi VNCERT là cơ quan đầu mối giúp các tổ chức, DN trong nước giải quyết các sự cố khi có yêu cầu. Đồng quan điểm với ông Hà, ông Khánh cho rằng, việc không tuân thủ chính sách là một điểm yếu trong việc bảo mật thông tin của CPĐT. Ngoài ra, hiện nay chúng ta vẫn còn yếu về khả năng phân tích nguy cơ và cảnh báo sớm, chúng ta cũng chưa có nhiều hệ thống kỹ thuật an toàn mạng quốc gia để sẵn sàng đối phó trong trường hợp bị tấn công.

    Phòng trước khi chống

    Hội thảo “Ðảm bảo ATTT cho CPÐT” tại Hà Nội.
    Theo ông Raymond Lai Hee Goh, Giám đốc Symantec Việt Nam, thách thức lớn nhất của CPĐT là làm thế nào để thông tin phục vụ công chúng được thông thoáng mà vẫn đảm bảo an toàn. Theo các bản báo cáo năm 2008 của Symantec, xu hướng chính về mất an toàn thông tin trong CPĐT là hacker nhắm đến các website có danh tiếng hoặc lượng truy cập cao để tấn công, từ đó tìm kiếm thông tin người dùng và các thông tin nhạy cảm khác. Những trang web này thường là các cổng thông tin của cơ quan nhà nước hoặc các trang thương mại điện tử. “Trong thế giới ảo luôn tồn tại một nền kinh tế ngầm phát triển mạnh dựa trên việc buôn bán các loại thông tin cá nhân, thông tin thẻ tín dụng, thậm chí cả mạng boot (mạng máy tính ma) để thực hiện các mục đích phá hoại, tấn công từ chối dịch vụ (DdoS)...”, ông Goh nhấn mạnh. Hacker cũng có thể dễ dàng lẩn trốn, chuyển hướng tấn công các mục tiêu nhạy cảm khi gặp sự phòng vệ chắc chắn hoặc bị kiểm soát chặt chẽ từ cơ quan quản lý. Sự linh hoạt trong các hành vi tấn công mạng khiến việc bảo vệ ATTT cho CPĐT càng trở nên khó khăn hơn.

    ông Raymon Lai Hee Goh,
    Symantec.
    Ông Goh cho rằng: “Không có chính phủ điện tử nào là an toàn đối với các cuộc xâm nhập trên mạng Internet. Điều quan trọng nhất để đảm bảo ATTT cho CPĐT là phải tạo được một cơ chế quản lý sự cố bao gồm cả CNTT và cơ chế vận hành”. Cơ chế chính sách phải được thực hiện nghiêm túc ở các bộ phận để đảm bảo trong toàn hệ thống không có điểm yếu nào. Muốn vậy, tất cả mọi nhân viên phải được đào tạo cơ bản. Giống như các nhân viên y tế và hải quan kiểm soát dịch bệnh tại các cửa khẩu, khi phát hiện có virus hoặc thân nhiệt cao lập tức khách nhập cảnh sẽ bị cách ly. Cơ chế đảm bảo ATTT cho CPĐT cũng tương tự: khi phát hiện nguy cơ phải lập tức ngăn chặn, cách ly sau đó mới tiến hành khôi phục lại hệ thống. Để các bộ phận trong CPĐT luôn “nhạy cảm” với các mối đe dọa từ bên ngoài, việc đầu tư trang thiết bị và nhân lực toàn diện cho hệ thống là cần thiết.

    An ninh thông minh cho CPĐT

    Bên lề hội thảo Đảm bảo ATTT cho CPĐT, ông Timothy Birdsall, công ty IBM, chia sẻ những kinh nghiệm xây dựng CPĐT thông minh ở nước Úc. Ông Birdsall cho biết: “Khi tôi đến Việt Nam cần phải xuất trình hộ chiếu qua hệ thống kiểm soát của hải quan Úc. Mọi thông tin cá nhân của tôi đều được số hóa và liên thông trên mạng Internet nên chính phủ dễ dàng quản lý được tôi đang làm gì, ở đâu. Tôi ngồi uống cafe tại khách sạn Hilton Hà Nội nhưng vẫn có thể thực hiện giao dịch bằng tài khoản ngân hàng ở Úc. Một trong những yêu cầu bảo mật của hệ thống này là xác thực bằng giọng nói. Tôi hầu như không gặp khó khăn khi thực hiện các giao dịch này ngay cả khi đang ở Việt Nam”. Tại Úc, hầu hết các giao dịch của công dân và Chính phủ đều được thực hiện trực tuyến nên không có cảnh xếp hàng chờ đợi. Do đó, chính phủ Úc đã tiết kiệm được rất nhiều chi phí do lãng phí thời gian, lãng phí nhân lực trong các hoạt động hành chính công.

       
    Ngày 10/7/2009, tại Hà Nội diễn ra hội thảo “Đảm bảo ATTT cho CPĐT” dưới sự bảo trợ của bộ TTTT và Ngân hàng Thế giới (WorldBank). Hội thảo do Ban quản lý dự án phát triển CNTT-TT, hiệp hội ATTT (VNISA) và VNCERT phối hợp tổ chức. Làm sao để đảm bảo ATTT cho CPĐT là vấn đề xuyên suốt trong các bản tham luận của các đại biểu đến từ Nhật Bản, Úc, Việt Nam... Theo thứ trưởng bộ TTTT Nguyễn Minh Hồng, xây dựng CPĐT là vấn đề vô cùng khó khăn và thách thức. Việc xây dựng CPĐT đã khó, bảo vệ được CPĐT khỏi các cuộc tấn công của tin tặc lại càng khó hơn.

    Tuy nhiên, để đảm bảo một môi trường “trực tuyến” và “không dây” giữa chính phủ Úc và công dân, họ đã phải đầu tư một hệ thống đảm bảo ATTT thông minh của IBM cho CPĐT. Hệ thống này có thể xác thực thông tin của từng cá nhân thông qua mạng không dây/ có dây với nhiều thiết bị sẵn có như máy tính, điện thoại di động... Mọi giao dịch giữa người dân và Chính phủ đều được nhận dạng thông qua hệ thống xác thực tin cậy như kiểm tra ID, nhận dạng sinh trắc học và xác thực 2 nhân tố. Theo nhận định của IBM, trong năm 2009 thị trường bảo mật thông minh cho CPĐT chiếm khoảng 40 tỷ USD, dự kiến năm 2011 sẽ tăng lên khoảng 60 tỷ USD.  

    Đức Minh

    ID: B0908_68