• Thứ Ba, 14/02/2006 10:10 (GMT+7)

    An toàn thông tin 2006 có gì mới?

    Đầu năm 2006 này, một hội nghị quốc tế thường niên về an toàn thông tin (ATTT) đã diễn ra tại Bangkok. Phóng viên Thế Giới Vi Tính (TGVT)đã có buổi phỏng vấn ông Vũ Quốc Thành (VQT), giám đốc công ty Misoft, người Việt Nam đầu tiên tham dự hội nghị này.

    Ông Vũ Quốc Thành, giám đốc công ty Misoft

    TGVT: Ông cho biết vài nét về hội nghị “An toàn thông tin 2006”?

    Ông VQT: Hội nghị "An toàn thông tin" (Information Security) vừa diễn ra tháng 1/2006 tại Bangkok là hoạt động thường niên do IBC – thành viên của Hiệp Hội Kiểm Tra và Kiểm Toán Hệ Thống Thông Tin (Information Systems Audit and Control Association) – tổ chức. Đặc điểm chính của hội nghị này là tính quốc tế (không chỉ các diễn giả mà cả những người nghe cũng đến từ tất cả các nước trong khu vực), không phụ thuộc vào một hay vài nhà sản xuất, sự phong phú của đề tài về ATTT (không chỉ là an ninh mạng hay chống hacker)... Đây là hội nghị có thu phí, mỗi người tham dự đều phải trả tiền khá cao nên hội nghị không quá đông.

    TGVT: Tình hình ATTT 2006 có gì mới qua hội nghị lần này?

    Ông VQT: Hội nghị ATTT 2006 có lẽ là một trong những hội nghị quốc tế đầu tiên trong năm mới nên dễ hiểu đây là thời điểm tốt để “các nhà tiên tri” dự báo về những nguy cơ chính trong năm nay. Đó là:
    1. Các vấn đề mất an toàn liên quan đến thư điện tử: Bom thư (SPAM mail) và thư độc hại (Malicious email)
    2. Phần mềm gián điệp (Spyware)
    3. Tấn công kiểu Phishing và Pharming
    4. Tin tặc tấn công những người dùng Google (Google Hacking)
    5. Nguy cơ khi sử dụng các ứng dụng điểm-điểm (P2P Threat)
    6. Nguy cơ của mạng cục bộ không dây (Wireless LAN Hacking)
    7. Bom tin tức thời (SPAM IM, hay gọi tắt là SPIM).
    8. Tấn công của Virus và sâu máy tính
    9. Nguy cơ của thiết bị di động cầm tay (PDA/ Mobile Threat).

    Đặc biệt, nhiều diễn giả còn nhấn mạnh vào hai loại hình tấn công đặc biệt nguy hiểm là Botnet và Zero-day-attack. Botnet là một mạng lưới đông đảo các máy tính bị nhiễm “bot” (rút gọn của từ robot), là đoạn mã có khả năng giấu mình trong máy tính và thực hiện các lệnh (command) từ xa. Đôi khi, sau lây nhiễm nó nằm yên trong hệ thống vài năm chờ thời cơ hoạt động, do đó rất khó bị phát hiện. Khi cần, hàng ngàn bot cùng loại đã lây nhiễm vào hàng ngàn máy trên Internet có thể được tin tặc “gọi” đến, và khi đội "âm binh" đông đảo này thức dậy chúng có thể gây những tác hại khủng khiếp.

    Tấn công “ngày số 0” (Zero-day-attack) không phải là một loại tấn công cụ thể mà là một cụm từ nhằm chỉ đến các tấn công có thể xuất hiện ngay cùng ngày khi nhà sản xuất (như Microsoft) công bố về điểm yếu mới cùng với bản vá tương ứng xuất hiện trong các sản phẩm của họ (cũng có một số trường hợp Microsoft không có bản vá để công bố cùng ngày). Khả năng thành công của các tấn công này rất cao vì kể cả khi bản vá mới được công bố không phải ai cũng kịp “vá” ngay trong ngày đầu tiên. Một thống kê cho thấy chân lý “người ngay bao giờ cũng chậm hơn kẻ gian”: trong 6 tháng cuối năm 2005, cứ 6 ngày kể từ khi có điểm yếu mới thì “kẻ gian” nghiên cứu ra mã tấn công (exploit), còn các nhà sản xuất phải sau 54 ngày mới cho ra bản vá.

    TGVT: Như vậy, phương pháp phòng chống có gì thay đổi?

    Ông VQT: Về nguyên tắc thì không có gì đặc biệt. Tuy nhiên, có một số tư tưởng đáng quan tâm. Diễn giả Zaid Hamzah - luật sư, giáo sư đại học Malaysia, tác giả cuốn sách “Chiến lược và luật an toàn điện tử” (“E-security Law & Strategy) vừa xuất bản, đã chứng minh một cách hùng hồn về sự cần thiết phải xây dựng một hệ thống thu thập chứng cứ số (Forensics) phục vụ điều tra khi có sự cố và kiện tụng xảy ra. Ông này cho biết hiện nay ở nhiều nước đã quy định trách nhiệm trước pháp luật của tổ chức về việc đảm bảo hệ thống máy tính được sử dụng đúng đắn, trong khuôn khổ pháp luật. Ví dụ, hệ thống máy tính của một tổ chức có thể vô tình (do bị Hacker lợi dụng) thực hiện các hành vi tấn công trái phép vào mạng của một tổ chức khác thì có thể bị kiện ra toà.

    Về mặt dịch vụ ATTT, người ta nói đến xu hướng thuê ngoài dịch vụ quản lý an ninh mạng (Security Management Outsourcing), nhất là các tổ chức có yêu cầu đảm bảo an ninh mạng cao và đòi hỏi phản ứng nhanh (như các tổ chức tài chính ngân hàng và chính phủ). Diễn giả Eddie Chau, chủ tịch công ty dịch vụ quản lý an ninh mạng e-Cop lý giải: bảo vệ mạng cũng giống như bảo vệ toà nhà của bạn – nhà có khoá thì mạng có tường lửa; nhà có camera theo dõi thì mạng có thiết bị phòng chống xâm nhập IDS/IPS...; các toà nhà lớn có bộ phận quản lý an ninh chuyên nghiệp thuê trực 24/24 thì các mạng lớn cũng cần có dịch vụ an ninh tương tự. 

    TGVT: Các nguy cơ và kỹ thuật phòng chống nói trên có phù hợp với tình hình ATTT ở Việt Nam?

    Ông VQT: Tất cả các vấn đề này đang và có thể sẽ xảy ra ở Việt Nam. Tuy vậy, nhìn chung xác suất xảy ra tấn công và nhất là mức độ thiệt hại khi tấn công xảy ra ở Việt Nam sẽ thấp hơn rõ rệt so với các nước phát triển hơn ta. Do đó, việc chi tiêu cho các biện pháp phòng chống cũng không thể ngang bằng các nước khác, kể cả so với Thái Lan. Tôi cho rằng việc thực hiện đánh giá rủi ro (Risk Assessment) trước khi quyết định đầu tư là thực sự cần thiết với các tổ chức lớn ở nước ta.

    TGVT: Ông tâm đắc nhất với thông điệp nào từ hội nghị này?

    Ông VQT: Một diễn giả nói: "ATTT là cuộc đấu tranh của con người với con người". Khi đề cập đến các yếu tố của ATTT thì dù có quan điểm tam giác 3 đỉnh là “Công nghệ”, “Quy trình” và “Con người” hay quan điểm hình vuông “4P” (Policy, Procedures, Product, People) thì họ đều có chung một chú thích: "con người" là mắt xích yếu nhất trong ATTT.

    Giải pháp chính cho vấn đề con người là đào tạo. Có 5 lớp đối tượng đào tạo về ATTT được đề cập là: lãnh đạo cao cấp, lãnh đạo quản lý cấp giữa “không là CNTT” (middle management, non- IT), lãnh đạo quản lý CNTT, cán bộ CNTT và quản trị hệ thống, và những người sử dụng CNTT.

    P.V thực hiện

    ID: O0602_1