• Thứ Sáu, 21/11/2014 16:30 (GMT+7)
    Ngày An toàn thông tin Việt Nam 2014

    Báo động thực trạng mất an toàn, an ninh thông tin

    Nhật Thanh
    (PCWorldVN) Mất an toàn, an ninh thông tin đối với các tổ chức nhà nước không còn là nguy cơ, rủi ro nữa mà đã và đang hiện hữu ở mức độ nghiêm trọng.

    An ninh thông tin mạng giờ đây không còn là câu chuyện về mất an toàn đối với thông tin riêng tư cá nhân, dữ liệu kinh doanh của các tổ chức, doanh nghiệp, mà còn tác động nghiêm trọng đến chủ quyền, an ninh quốc gia.

    Sự thay đổi nhận thức rất cơ bản này của lãnh đạo Việt Nam trong vài năm gần đây đã tạo cơ hội cho các tổ chức, doanh nghiệp hoạt động trong lĩnh vực bảo mật, an ninh thông tin thể hiện và phát huy được vai trò quan trọng của mình. Và hơn hết, nhận thức từ lãnh đạo cũng sẽ là định hướng cho toàn xã hội đang cần được nâng cao về ý thức an toàn, an ninh thông tin trong bối cảnh bùng nổ thông tin và nền kinh tế phát triển theo những xu hướng công nghệ mới như di động, đám mây, mạng xã hội.

    Đối với các tổ chức kinh doanh, cá nhân, việc mất an ninh thông tin thường dẫn tới những thiệt hại về kinh tế, uy tín, danh dự… Nhưng nếu điều này xảy ra với các tổ chức, cơ quan nhà nước thì vấn đề trở nên nghiêm trọng hơn nhiều, vì nó ảnh hưởng đến an ninh, chủ quyền quốc gia.

    Bảo động đỏ

    Theo báo cáo của Sở Thông tin và Truyền thông TP.HCM, từ đầu năm 2014 đến nay có đến hơn 2,5 triệu hành vi dò quét, tấn công có mức độ nguy hiểm cao vào cổng thông tin của TP.HCM. Con số này tăng đến 300% so với năm trước và phần lớn các cuộc tấn công này có IP từ Trung Quốc. Ngoài ra, cũng phát hiện đến hơn 650.000 mã độc.

    Nhưng nguy hiểm hơn, theo số liệu của Hiệp hội An toàn thông tin – VNISA phía Nam thì số lượng website của các cơ quan nhà nước (.gov.vn) đã bị hack và xâm nhập là 250, tính từ đầu năm đến nay. Lưu ý, đây mới chỉ là con số công bố công khai.

    Cũng theo VNISA, trong khoảng thời gian từ 26/8/2014 đến 17/11/2014 có đến 2.500 website của các cơ quan nhà nước bị tấn công, tức trung bình mỗi ngày có 20 website. Và đây cũng chỉ là số công khai, con số thực tế cao hơn gấp nhiều lần.

    Rõ ràng, mất an toàn và an ninh thông tin đối với các tổ chức nhà nước không còn là nguy cơ, rủi ro nữa mà đã và đang hiện hữu với mức độ nghiêm trọng.

    Chính vì vậy, chủ đề “An toàn, an ninh thông tin và chủ quyền quốc gia” được lựa chọn cho Ngày An toàn thông tin Việt Nam 2014 năm nay là nhằm thể hiện được tính cấp bách của công tác an toàn, an ninh thông tin trong việc bảo vệ chủ quyền quốc gia, theo lời ông Vũ Quốc Khánh - Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT).

    “An toàn, an ninh thông tin giờ đây không chỉ còn là việc riêng của các chuyên gia bảo mật nữa, mà còn là việc của các nhà chính trị, lãnh đạo quốc gia”, ông Khánh phát biểu.

    Ông Vũ Quốc Khánh - Giám đốc VNCERT (người cầm micro): “An toàn, an ninh thông tin giờ đây không chỉ còn là việc riêng của các chuyên gia bảo mật nữa, mà còn là việc của các nhà chính trị, lãnh đạo quốc gia”,
    Tuy nhiên, từ thay đổi nhận thức của cấp lãnh đạo cao nhất, cũng như tình trạng mất an toàn, an ninh thông tin hiện nay cho đến việc đưa ra và triển khai các giải pháp phòng chống cụ thể vẫn còn không ít trở ngại.

    Những trở ngại này là gì, và khắc phục như thế nào? Vấn đề này đã được nêu lên và chia sẻ trong buổi tọa đàm về An toàn thông tin (ATTT) giữa VNISA, Sở TTTT TP.HCM và các lãnh đạo Sở TTTT các tỉnh phía Nam, diễn ra trong khuôn khổ Ngày ATTT Việt Nam 2014.

    Lỗ hổng nhân sự và “3 không”

    Mặc dù đây là lần trao đổi thứ 4, vẫn có quá nhiều vướng mắc, trăn trở trước đây chưa được giải tỏa. Ngay cả TP.HCM, nơi mà công tác an toàn, an ninh thông tin được lãnh đạo thành phố chú trọng và ủng hộ, nhưng vẫn có nhiều điều để bàn. Vấn đề chung lớn nhất mà tất cả đều thừa nhận là thiếu nhân sự chuyên trách ATTT, người có kiến thức chuyên môn sâu về bảo mật để có thể đảm đương công việc này. Đây là yếu tố gần như đóng vai trò cốt lõi trong việc đưa ra và triển khai các chính sách và giải pháp ATTT trong tổ chức. Thiếu nhân tố này, cho dù có được nhận thức, quyết tâm từ cấp lãnh đạo thì công việc cũng không thể chạy.

    Hầu hết địa phương không có bộ phận ATTT, ngay cả nhân sự chuyên trách cũng chỉ là một vị trí kiêm nhiệm của bộ phận CNTT. “Mặc dù biết hệ thống có vấn đề về bảo mật, nhưng thật sự chúng tôi bó tay, không biết phải làm gì”, một lãnh đạo địa phương cho biết khi đề cập đến vấn đề nhân sự.

    Sự thiếu vắng một quy chuẩn, hay đúng hơn là một chính sách về ATTT trong hệ thống các cơ quan nhà nước đã làm cho nhiều địa phương lúng túng trong việc triển khai, phụ thuộc hoàn toàn vào ý thức của lãnh đạo, cũng như khả năng của đội ngũ CNTT của địa phương. Công việc liên quan đến ATTT tại các địa phương, chủ yếu được coi như việc thêm vào của bộ phận CNTT mà chưa có một chính sách cụ thể nào đối với họ.

    “Không chức danh, không thừa nhận, không đãi ngộ” là tình trạng chung của người làm ATTT hiện nay, lãnh đạo các địa phương chia sẻ, gọi đó là “3 không”.

    Tuy vậy, được “3 không” như trên vẫn còn là điều mong ước của không ít địa phương. “Không kinh phí, không có người, không hiểu biết, chúng tôi như điếc không sợ súng”, một lãnh đạo nói. “Cùng lắm là rút dây mạng, tắt máy”, vị này nói thêm.

    Cũng chính từ đó, việc đầu tư, trang bị và triển khai hệ thống bảo mật không đúng mức hoặc không hiệu quả, dẫn tới hệ thống hoạt động kém. Đây là lý do lớn nhất làm cho hệ thống phòng chống kém, thậm chí không có khả năng phòng chống trước sự tấn công từ bên ngoài.

    Bên cạnh đó, chuyên gia bảo mật VNISA là ông Võ Đỗ Thắng còn chỉ ra những thiếu sót về mặt kỹ thuật của các hệ thống thông tin đang vận hành, ngay cả khi có nhân sự chuyên trách. Trước hết, về mặt phát triển ứng dụng chạy trên hệ thống, lập trình viên thường chỉ quan tâm đến ứng dụng có chạy tốt hay không mà không quan tâm đến việc ứng dụng có thể chứa lỗ hổng bảo mật, nguy cơ bị tấn công. Hệ thống mạng, cũng như các ứng dụng thường do đối tác phát triển, nên khi hết thời gian bảo hành, đối tác hết trách nhiệm, và khi đó không có khả năng điều chỉnh, vá lỗi khi có sự cố bảo mật.

    Liên quan đến con người, quy trình vận hành, ông Thắng cũng cho thấy việc thiếu chuyên môn, kỹ năng xử lý tình huống, cùng với sự chủ quan, không theo dõi thường xuyên nên sự cố xảy ra là điều khó tránh khỏi.

    Bảo mật thì phải chuyên nghiệp

    Trước hiện trạng mất an toàn, an ninh thông tin đến mức báo động như hiện nay, bài toán nhân lực một lần nữa được đặt ra cấp bách. Các vấn đề về chức danh, vai trò trong tổ chức cũng như chính sách đãi ngộ đối với người làm ATTT cũng phải sớm hoàn thiện đưa ra áp dụng. Nhưng rõ ràng, việc này cần phải có quá trình. Trong khi đó yêu cầu của an toàn, an ninh thông tin không cho phép chờ đợi.

    Giải pháp hiệu quả nhất mà các tổ chức, doanh nghiệp có thể triển khai ngay là sử dụng dịch vụ của bên thứ ba, là các nhà cung cấp dịch vụ, giải pháp bảo mật chuyên nghiệp. Theo cách này, tổ chức sẽ không còn phụ thuộc nhiều vào nội lực của mình, và hơn nữa có thể lựa chọn loại hình dịch vụ phù hợp nhu cầu, trong giới hạn ngân sách.

    Chuyên gia bảo mật VNISA, ông Võ Đỗ Thắng: "An ninh mạng phải là hoạt động thường xuyên, luôn luôn thay đổi và không có điểm dừng".
    Trong trường hợp tổ chức đã có bộ phận chuyên trách ATTT thì theo các chuyên gia bảo mật của VNISA, phải đảm bảo thực hiện các yêu cầu:

    - An ninh mạng phải là hoạt động thường xuyên, luôn luôn thay đổi và không có điểm dừng

    - Phải có thực hành, diễn tập an ninh mạng ít nhất một năm/lần (tương tự như diễn tập Phòng cháy chữa cháy)

    - Phải đánh giá, khảo sát về mức độ an toàn của website thường xuyên, ít nhất 1 năm một lần. Trong trường hợp này nên sử dụng dịch vụ của các đơn vị thứ 3 có uy tín để đảm bảo tính chuyên nghiệp và khách quan.

    - Thường xuyên thực hiện các khóa đào tạo, nâng cao chuyên môn, kỹ năng và ý thức không chỉ cho người làm ATTT, mà cho cả nhân viên trong tổ chức nói chung.

    - Tham khảo, tư vấn với các cơ quan, tổ chức bảo mật chuyên nghiệp, chẳng hạn như VNISA.

    An toàn, an ninh thông tin thật sự là cuộc chiến, tham gia vào cuộc chiến phải là những người lính chuyên nghiệp. Vì chủ quyền quốc gia, chúng ta phải đảm bảo xây dựng được tổ chức, con người chuyên nghiệp với an toàn, an ninh thông tin.