• Thứ Bảy, 05/11/2011 10:35 (GMT+7)

    An ninh cổng thông tin điện tử

    Đức Minh
    Cần bắt đầu từ 3 yếu tố: công nghệ, con người và quy trình vận hành để đảm bảo an toàn thông tin (ATTT) cho các trang/cổng thông tin điện tử theo chỉ thị 897/CT-TTg

    Bỏ ngỏ nhiều lỗ hổng

    Theo ông Nguyễn Minh Đức, Giám đốc bộ phận An ninh mạng Bkav, phần lớn website được đưa vào vận hành hiện nay đều không qua kiểm định, đánh giá mức độ an toàn bảo mật. Vì vậy, các website thường tồn tại nhiều lỗ hổng khác nhau, thậm chí có những lỗ hổng bảo mật rất căn bản. 

     
    Trong suốt quá trình quản trị, vận hành website, nhiều cơ quan, đơn vị chưa quan tâm, đánh giá đúng vấn đề này nên các lỗ hổng vẫn chưa được xử lý triệt để. Các trang/cổng thông tin điện tử (TTĐT) không được kiểm tra, đánh giá thường xuyên mức độ an toàn bảo mật, tồn tại nhiều lỗ hổng chưa được vá sẽ nghiễm nhiên trở thành mục tiêu để hacker tấn công phá hoại.

    Nguồn nhân lực quản trị mạng các trang/cổng TTĐT trong các cơ quan/tổ chức (CQ/TC) hiện nay chưa có kiến thức bài bản về an ninh mạng. Mặc dù các cơ quan nhà nước đã có bộ phận CNTT riêng nhưng cán bộ chuyên trách ATTT hầu như chưa có. Vì vậy, các CQ/TC hiện mới chỉ vận hành, bảo trì hệ thống của mình theo mục đích để website chạy được mà chưa có góc nhìn về an ninh an toàn mạng. Do không chuyên trách nên họ chưa biết phải kiểm tra, đánh giá các lỗ hổng như thế nào. Khi có sự cố họ chưa biết phát hiện để vá lỗ hổng ra sao, chưa biết cách khôi phục lại hệ thống và đưa ra các giải pháp bảo vệ.

    Điểm yếu từ bên trong

    Nhân lực cho các trang/cổng TTĐT không chỉ là người quản trị mà bao gồm những người tham gia vào hệ thống như: giám đốc, biên tập viên chỉnh sửa nội dung trên cổng thông tin, người duyệt nội dung và cả người dùng sử dụng hệ thống máy tính bên trong tổ chức. Những nhân sự này không được đào tạo về an ninh mạng nên đôi khi sơ suất, tạo ra điểm yếu bảo mật. Chẳng hạn, họ thường đặt mật khẩu yếu, thậm chí không đổi mật khẩu được cấp ban đầu, hoặc lập mật khẩu dễ đoán, dễ nhớ. Như vậy, dù hệ thống không tồn tại lỗ hổng nhưng việc quản lý mật khẩu yếu kém đã tạo ra điểm yếu từ bên trong tổ chức. Hacker có thể dễ dàng dò được mật khẩu này và tấn công tài khoản quản trị để thay đổi nội dung, sửa chữa nội dung, lấy trộm các thông tin nhạy cảm... 

     
    Khi sử dụng máy tính tại tổ chức, đơn vị, những nhân sự chưa có nhận thức tốt về ATTT có thể bấm vào những đường link có mã độc, cắm USB chứa virus vào hệ thống mạng nội bộ và làm phát tán mã độc. Những loại virus nhắm vào phá hoại cổng thông tin sẽ tìm cách lấy các tài khoản quản trị và tài khoản biên tập viên để chiếm quyền điều khiển website. Virus cũng có thể tìm cách đánh cắp những tài liệu bên trong mạng nội bộ, xóa cơ sở dữ liệu trên hệ thống máy chủ… và có thể khiến cho nội dung trên hệ thống cổng thông tin sai lệch. Ông Đức cho biết, Bkav đã giúp nhiều đơn vị khắc phục những sự cố này và nhiều khi nguyên nhân lại xuất phát từ một người dùng không liên quan đến bộ phận CNTT bên trong tổ chức.

    Các tổ chức, đơn vị chủ quản cổng thông tin thường chỉ quan tâm đến giao dịện website mà chưa chú ý đúng mức tới hệ thống mạng nội bộ bên trong. Một số lỗi thường gặp là: Mạng nội bộ không được trang bị hệ thống phòng chống virus cập nhật, thiếu quản lý tập trung, thiếu các thiết bị phát hiện và ngăn ngừa xâm nhập từ bên ngoài.

    “Trong quá trình hỗ trợ một số chủ quản website .gov.vn, chúng tôi phát hiện hệ thống của họ bị cài đặt những virus chuyên đánh cắp các tài liệu quan trọng có đuôi file .pdf, .doc, xls… Virus sẽ xác định đó là những file quan trọng và sẽ tự động copy 1 bản gửi về cho hacker. Một số hệ thống đã bị cài đặt những virus nguy hiểm này nhưng đơn vị chủ quản không biết. Chúng ta mới chỉ thấy được con số thống kê những website bị tấn công mà chưa hình dung những cuộc tấn công từ bên trong diễn ra trước đó”, ông Nguyễn Minh Đức nhìn nhận.

    Đảm bảo thế nào?

    Theo ông Đức, để đảm bảo an toàn cho các trang/cổng TTĐT cần 3 yếu tố sau:

    “Hệ thống có thể không tồn tại lỗ hổng nhưng việc quản lý mật khẩu yếu kém sẽ tạo ra điểm yếu từ bên trong tổ chức...”

    Công nghệ về an ninh mạng: Các website hiện nay hầu như chưa được lập trình an toàn, chưa có sự kiểm định, đánh giá của một đơn vị độc lập. Do đó cần đánh giá lại mức độ đảm bảo ATTT của các trang/cổng TTĐT, từ đó đưa ra biện pháp kỹ thuật cụ thể để để phòng và bịt các lỗ hổng. Khi các lỗ hổng được vá thì khả năng bị hacker tấn công sẽ giảm đi rất nhiều.

    Nhân lực: Các quản trị hệ thống trang/cổng TTĐT chưa có được kiến thức đầy đủ và bài bản về ATTT để đối phó với hacker. Cần có các chương trình đào tạo cho đội ngũ này cũng như các đối tượng không phải là nhân viên kỹ thuật để 2 bộ phận có được những kiến thức về an ninh mạng cần thiết.

    Quy trình vận hành, bảo trì, bảo dưỡng và phát triển hệ thống: Chẳng hạn, các hệ thống máy tính quan trọng phải được cài đặt hệ thống phòng chống virus, phòng chống xâm nhập, có cơ chế giám sát việc copy và sao lưu dữ liệu, phải có kịch bản và phương án khắc phục khi hệ thống bị tấn công… Do chưa có một quy trình chuẩn nên hệ thống CNTT của các tổ chức, đơn vị thường vận hành không trơn tru, thiếu tính sẵn sàng và có thể bị gián đoạn khi bị tấn công.

    Ông Đức cho rằng, cả 3 yếu tố/ giải pháp nói trên không thể dễ dàng thực hiện được ngay mà thực hiện từng bước một. Chẳng hạn, việc giám định, đánh giá mức độ bảo mật cho các trang/cổng TTDT có thể dễ dàng thực hiện và duy trì định kỳ. Trong khi các quyết định đầu tư và mua sắm thêm các hệ thống đảm bảo ATTT như: tường lửa, thiết bị phòng chống xâm nhập…cần kinh phí lớn, đôi khi phải chờ ngân sách đầu tư.

    ID: B1109_26