• Thứ Ba, 16/12/2008 05:50 (GMT+7)

    Bảo mật - Toàn vẹn - Sẵn có

    Thông tin (TT) là tài sản vô hình nhưng sống còn với mỗi tổ chức/doanh nghiệp (TC/DN). Các TC/DN đang ngày càng hướng đến an toàn TT (ATTT) với việc xây dựng hệ thống quản lý ATTT theo ISO/IEC 27001:2005 là một đích đến quan trọng. Tuy nhiên, khi xây dựng hệ thống ATTT phải cần đảm bảo 3 thuộc tính: Bảo mật – Toàn vẹn - Sẵn có...

    ATTT 2008 Bất ổn và báo động đỏ
    Theo thống kâ của hiệp hội ATTT Việt Nam (VNISA) vđ tổng cục Kỹ Thuật, bộ Cĩng An, thực trạng ATTT nước ta năm 2008 đang tồn tại nhiều bất ổn ở mức bo động đỏ.

    Nguy cơ & ứng phó
    Ngày hội ATTT do sở TTTT TP.HCM và chi hội VNISA phía Nam tổ chức lần đầu ngày 18/11/2008 tại TP.HCM đã gióng những hồi chuông báo động nguy cơ về ATTT, từ đó định hướng xây dựng các giải pháp (GP) ATTT và quy trình chuẩn hóa quản lý ATTT.

    Đầu tư hệ thống ATTT theo ISO, nhu cầu đơn giản, hệ thống đơn giản...
    Tạp chí Thế Giới Vi Tính – PC World VN sê-ri B đã phỏng vấn ông Trịnh Tuấn Dũng, giám đốc chứng nhận của Bureau Veritas Certification VN về sự cần thiết và ích lợi đối với TC/DN khi đầu tư hệ thống quản lý ATTT theo ISO.

    Sao lưu dữ liệu trực tuyến
    Sao lưu dữ liệu (SLDL) là biện pháp mà TC/DN nào cũng phải thực hiện nhằm đối phó với tình trạng làm mất DL do bất cẩn, thiên tai, thảm hoạ... DL sao lưu không để cùng nơi với nguồn DL chính và có những mức độ quy định riêng về khoảng cách không gian.

    Trung tâm ứng cứu thảm họa...
    Ông Phùng Hải, giám đốc công ty cổ phần Phát Triển PM và Hỗ Trợ Công Nghệ Misoft phía Nam đã cung cấp một số thông tin (TT) về các hình thức tấn công qua mạng tại Việt Nam hiện nay và giải pháp (GP) phòng thủ. Ông cho rằng cần xây dựng trung tâm ứng cứu thảm họa.

    Đào tạo nhân sự ATTT
    ATTT là một lĩnh vực mới, công nghệ thường xuyên thay đổi. Do nhu cầu nhân lực cho ngành này cao, các trung tâm đào tạo (ĐT) ngoài đại học (ĐH) khá linh động, liên tục đổi mới, cập nhật... cho phù hợp với thực tế.
    ATTT ngành tài chính Giữ cho đồng tiền liền “khúc ruột”
    "Các NH luôn có hệ thống dự phòng và sao lưu DL theo quy trình nghiêm ngặt. Hệ thống dự phòng của NH Việt Á luôn sẵn sàng cho hoạt động với việc sao lưu DL được thực hiện liên tục và khoảng cách địa lý cất giữ DL an toàn".

    ATTT tại ngân hàng Đông Á Con người - Quy trình - Công nghệ
    Gần như tất cả hoạt động của NH Đông Á (EAB) đều liên quan đến TT và dựa vào hệ thống CNTT. Hệ thống TT của EAB thể hiện ở 2 mảng chính: phục vụ kinh doanh và giao dịch nội bộ.


    ATTT 2008 BẤT ỔN VÀ BÁO ĐỘNG ĐỎ

    Theo thống kê của hiệp hội ATTT Việt Nam (VNISA) và tổng cục Kỹ Thuật, bộ Công An, thực trạng ATTT nước ta năm 2008 đang tồn tại nhiều bất ổn ở mức báo động đỏ.

    Nhận thức về ATTT chưa cao

    Báo cáo tổng quan ATTT Việt Nam 2008 do TS Vũ Quốc Thành, phó chủ tịch kiêm tổng thư ký VNISA, trình bày tại ngày ATTT Việt Nam (diễn ra ngày 26/11 tại Hà Nội) là bức tranh tổng quát về thực trạng ATTT nước nhà. Báo cáo này được thực hiện dựa trên hơn 2.000 phiếu khảo sát được phát ra với 420 phiếu trả lời đầy đủ, đại diện cho 420 tổ chức. Thông qua cuộc khảo sát, VNISA đã đưa ra đánh giá tổng quan về mức độ nhận thức và ứng dụng ATTT trong TC/DN. Khảo sát cho thấy, có 32% người trả lời TC của họ đã từng bị tấn công mạng. Tác hại phổ biến nhất của các loại tấn công này là làm suy giảm hiệu năng mạng (53%) với động cơ không rõ ràng. Trong các cuộc tấn công, có tới 63% địa chỉ IP có nguồn gốc khó xác định, không rõ từ đâu tới. Có 72% số người trả lời không thể ước lượng được tương đối về những khoản tổn thất do mất ATTT gây ra.

    Ông Vũ Quốc Thành cho rằng, sở dĩ nguy cơ mất ATTT ở Việt Nam cao như trên là vì đa số các TC/DN không có quy trình phản ứng khi có sự cố, không có quy chế về ATTT. Mặt khác, mặc dù DN đã sử dụng công nghệ ATTT nhưng không hợp lý và điều quan trọng nhất là ý thức về ATTT chưa cao.

    Virus vượt ngưỡng 1 triệu mẫu

    Ông Vũ Quốc Thành

    Ông Nguyễn Viết Thế, cục trưởng cục Công Nghệ Tin Học Nghiệp Vụ, tổng cục Kỹ Thuật, bộ Công An (E15), nhận định: "Năm 2008, trên thế giới và tại Việt Nam tồn tại nhiều lỗ hổng an ninh nghiêm trọng đã được phát hiện. Trong đó, lỗ hổng nghiêm trọng nhất liên quan đến hệ thống phân giải tên miền DNS toàn cầu, cho phép hacker kiểm soát toàn bộ lưu lượng dữ liệu trên toàn mạng World Wide Web. Hacker cũng đã thay đổi hình thức tấn công hệ thống thông qua thư điện tử bằng hình thức tấn công dựa vào dịch vụ web".

    Bên cạnh những lỗ hổng bảo mật, số lượng các mẫu virus mới không ngừng tăng. Theo thống kê của hãng Symantec, tổng số virus, spy, trojan máy tính lan truyền trên Internet đã vượt ngưỡng 1 triệu. Đặc biệt, giới tin tặc đang có xu hướng dùng trojan như là "chìa khóa" để truy cập máy tính người dùng về sau để tải về và tải rất nhiều chương trình độc hại, chiếm quyền kiểm soát máy tính và hình thành mạng máy tính "ma" để tấn công các mục tiêu có chủ đích. Theo thống kê của E15, số máy tính bị nhiễm virus trong năm 2008 là 27.046.000 lượt, số website bị hacker tấn công là 161 vụ, trong đó có 109 vụ do hacker nước ngoài thực hiện.

    Lừa đảo trực tuyến gia tăng

    Có thể nói, các hình thức lừa đảo trực tuyến (fishing) phổ biến trên thế giới đều đã xuất hiện ở Việt Nam trong năm 2008. Các hình thức này gồm: Lừa đảo qua các diễn đàn trên mạng, lừa đảo qua email, qua tin nhắn các tổng đài tự động, ăn cắp và làm giả thẻ tín dụng, dùng Internet để trộm cước viễn thông... Theo nhận định của hãng bảo mật Symantec, Việt Nam hiện đứng thứ 5 thế giới về phát tán spam mail. Lượng email spam thư hiện nay chiếm đến 78% email trên toàn cầu và Việt Nam chỉ "chịu" đứng sau Trung Quốc, Hàn Quốc, Mỹ và Thái Lan.

    Cùng với nạn lừa đảo trực tuyến là sự bùng phát các blog đen và các video clip "đen" trên mạng. Việc phát tán blog đen tuy không có nhiều vụ giật gân, nhưng lại tồn tại nhiều web đen ngang nhiên hoạt động với số lượng thanh, thiếu niên Việt Nam tham gia rất đông. Vụ việc cơ quan chức năng đánh sập một trang web đen lớn ngày 19/11/2008 vẫn chưa thể ngăn chặn hết tệ nạn này.

    Tài chính - ngân hàng và mạng xã hội – đích ngắm mới của hacker

    Ông Nguyễn Viết Thế dự báo: "Năm 2009 sẽ tiếp tục xuất hiện nhiều biến thể virus mới, tội phạm an ninh mạng sẽ chuyên nghiệp, tinh vi hơn, mạng xã hội sẽ trở thành đích ngắm mới của hacker. Khi ngày càng có nhiều người sử dụng các mạng xã hội (blog, web chia sẻ video, hình ảnh) sẽ là nơi để hacker phát tán virus và thực hiện lừa đảo trực tuyến. Nạn đánh cắp thông tin dữ liệu về người dùng thông qua việc tấn công hệ thống thanh toán trực tuyến, hệ thống ATM và thông qua điện thoại di động cũng sẽ gia tăng trong thời gian tới". Năm 2008 cũng đã xuất hiện virus tấn công vào các máy di động chạy hệ điều hành Symbian S60. Khi virus nhiễm vào máy di động sẽ lập tức lấy các số điện thoại liên lạc trên đó và phát tán các phiên bản của chúng.

    Ông Thế cho rằng, sở dĩ tình hình an ninh mạng vẫn trên đà "bất ổn và báo động đỏ” là do các TC/DN chưa thực sự quan tâm đến vấn đề này nên kinh phí đầu tư cho ATTT còn hạn chế. Các điểm yếu an ninh trên các website của Việt Nam chưa được cập nhật thường xuyên và lỗi lập trình chưa được kiểm soát. Chính sách, văn bản pháp luật của Việt Nam về tội phạm công nghệ cao còn thiếu và yếu, chưa có được bộ chính sách an ninh, an toàn thông tin để có các giải pháp tổng thể về vấn đề này.


    NGUY CƠ VÀ ỨNG PHÓ

    Ngày hội ATTT do sở TTTT TP.HCM và chi hội VNISA phía Nam tổ chức lần đầu ngày 18/11/2008 tại TP.HCM đã gióng những hồi chuông báo động nguy cơ về ATTT, từ đó định hướng xây dựng các giải pháp (GP) ATTT và quy trình chuẩn hóa quản lý ATTT...

    Những lỗ hổng lớn...

    Trong ATTT, sự đối phó của TC/DN, người dùng cá nhân chủ yếu là tập hợp công nghệ để phòng chống các cuộc tấn công mạng của tội phạm từ bên ngoài. Tập hợp đó gồm cả phần cứng lẫn phần mềm (PM), từ tường lửa, thiết bị chống xâm nhập trái phép đến các PM mã hoá dữ liệu (DL), diệt virus, mã độc... Gần như ngược lại hoàn toàn, ngày hội ATTT tại TP.HCM mang lại một cái nhìn khác hẳn, bao quát, bức xúc hơn nhiều: nguy cơ không chỉ đến từ bên ngoài mà từ bên trong, từ chính sự vô tình của TC/DN, nhân viên, người dùng... như: phân quyền sử dụng TT không hợp lý trong mạng nội bộ; thói quen truy cập mạng wifi miễn phí của nhóm nhân viên cơ động; việc "chia sẻ quyền sử dụng" hay sử dụng tùy tiện các thẻ nhớ USB và thiết bị lưu trữ; không bảo vệ mật khẩu (quên log off máy tính hoặc thoát khỏi một trang web yêu cầu đăng nhập)...

    Quang cảnh ngày hội ATTT tại TP.HCM

    Ông David Ong đến từ công ty Data Terminator ("Sát thủ DL" – Singapore) chứng minh rằng càng ngày giá trị TT càng tăng trong khi giá trị thiết bị công nghệ càng giảm. "Bi kịch" mất ATTT thường xảy ra với TC/DN khi thanh lý trang thiết bị: DL của TC/DN theo đó "rò rỉ” ra bên ngoài. "Đa phần thiết bị mới chỉ được xử lý xoá (delete), định dạng lại (format), thậm chí fdisk... Tuy nhiên, như thế chưa hết! Tất cả các dạng xoá DL này đều vẫn có thể phục hồi", ông Ong cho biết, công ty Data Terminator đã thử với thiết bị mua lại trên eBay - phục hồi được 3 lớp DL của 3 người lần lượt sử dụng trước đó!

    "Các nhà nghiên cứu đã tìm thấy những bảng lương của một ngân hàng lớn trong thiết bị thanh lý và nhiều DL nhạy cảm khác", ông Ong cho biết thêm. Theo ông, phá hủy DL trước khi đưa trang thiết bị sử dụng ở một nơi khác với DN là việc tối cần thiết. Mỹ là quốc gia có những quy định rõ ràng về các cấp phá huỷ DL. Theo đó, cấp một là xóa an toàn với số lần ghi đè 7/9/13 tùy yêu cầu. Cấp hai là bằng từ học, dùng nam châm điện cực mạnh đặt lên mặt đĩa cứng. Cấp ba, sử dụng thiết bị "băm" nhỏ bề mặt lưu trữ DL. Cấp bốn, phá huỷ hoàn toàn một cách vật lý (physical) đĩa cứng hoặc thiết bị lưu trữ.

    Theo ông Lê Xuân Minh, phó trưởng phòng Phòng Chống Tội Phạm Công Nghệ Cao, cục Cảnh Sát Điều Tra Tội Phạm Kinh Tế, bộ Công An, hiện VN chưa có quy định về phá huỷ DL an toàn. Ông Minh cũng khuyên TC/DN nên dựa vào khuyến cáo của các đơn vị chuyên về phá huỷ DL để xoá DL an toàn.

    Ông Phùng Hải, giám đốc kinh doanh của công ty Misoft, trưởng ban an toàn mạng và hệ thống của VNISA đã bổ sung danh mục rất nhiều lỗ hổng khác hiện có ở Việt Nam: từ các thiết bị di động như Smart Phones, ĐTDĐ, USB, ổ cứng di động... "Những video clip tự quay, hình ảnh tự chụp, TT riêng tư, nhạy cảm, DL... lưu trong các thẻ nhớ mở rộng của các thiết bị cầm tay đều cần được xóa an toàn trước khi thanh lý! Người dùng hãy kết nối thiết bị với máy tính để xóa an toàn (tức là xóa ở chế độ có ghi đè đủ số lần cần thiết)", ông Hải chia sẻ. Sự thực còn ảm đạm hơn: hầu hết việc sửa chữa thiết bị thông qua dịch vụ hiện đều là "mở toang kho DL cho người khác"!

    ATTT của DN ở dưới mức trung bình

    Từ trái sang: ông Trịnh Tuấn Dũng, ông Ngô Vi Đồng, ông Lê Xuân Minh

    Chi hội ATTT phía Nam đã tiến hành khảo sát với thành phần TC/DN gồm 21% là các tổ chức hành chính sự nghiệp trung ương và địa phương; 69% là các DN; 10% là tổ chức phi chính phủ và thành phần khác. Kết quả cho thấy, ngay cả việc ứng phó với các nguy cơ từ bên ngoài cũng còn rất nhiều bất cập: Chỉ có 20% TC/DN có đầu tư hệ thống anti-virus; 40% không có tường lửa; 70% không có quy trình xử lý sự cố ATTT; 85% không có chính sách ATTT; 74% dự tính tăng ngân sách ATTT; 36% đưa ra tỷ lệ ngân sách ATTT trong tổng ngân sách CNTT là 5%; 32% đưa ra ở mức 5-10%; 46% không có quỹ dự phòng rủi ro an ninh mạng.

    Trong số DN tham gia khảo sát, 55% DN không có hệ thống an ninh mạng có khả năng ghi nhận các cuộc tấn công; 67% không ước lượng được thiệt hại do bị tấn công; 80% ước tính thiệt hại lớn nhất là do virus. Đặc biệt, chỉ 5% DN sẵn sàng báo cho cơ quan bảo vệ pháp luật khi bị tấn công; 50% DN cho biết lý do không báo cáo là sợ ảnh hưởng hình ảnh DN. Ông Ngô Vi Đồng, chủ tịch chi hội ATTT phía Nam, nhận xét: "Nhận thức về ATTT chưa được quan tâm đúng mức, chưa thấy một thống kê nào về đầu tư nâng cao nhận thức ATTT với người dùng. Tình trạng ATTT tại các DN phía Nam hiện đang ở mức dưới trung bình".

    Tuy nhiên, ông Đồng cũng cho biết, trên thị trường VN hiện đã có nhiều GP ATTT từ nhiều hãng bảo mật quốc tế lẫn các nhà cung cấp nội địa. Các GP chính là tường lửa và mạng riêng ảo; anti-virus; lọc web; an ninh đầu cuối; an ninh và kiểm soát mạng; mã hóa DL; phòng thủ chống xâm nhập trái phép; xác thực; điều tra an ninh mạng; an ninh cơ sở DL; kiểm tra hệ thống và các khóa đào tạo chuyên về bảo mật. Tuy nhiên, "Nguồn nhân lực bảo mật thông tin (BMTT) có trình độ cao thiếu trầm trọng. Đa số các nhân sự chịu trách nhiệm đảm bảo ATTT trong DN là quản trị hệ thống và tự đào tạo. Đào tạo ATTT chủ yếu tự phát, manh mún", ông Đồng nói.

    Ông Đồng khuyến nghị các DN tiếp tục đẩy mạnh ứng dụng CNTT và nâng cao nhận thức người dùng về ATTT; xây dựng chính sách, quy trình ATTT, áp dụng hệ thống tiêu chuẩn ISO 27001:2005; ISO 17799 về ATTT; đánh giá đúng vai trò của chuyên viên đảm bảo ATTT trong DN... Chi hội ATTT phía Nam cũng kiến nghị Nhà Nước hoàn thiện hệ thống pháp luật phòng chống tội phạm công nghệ cao; xúc tiến thành lập trung tâm ứng cứu khẩn cấp máy tính cho khu vực TP.HCM là nơi CNTT có mật độ ứng dụng cao nhất nước; đầu tư thích đáng cho ATTT từ nghiên cứu, đào tạo đến xây dựng hạ tầng...


    Đầu tư hệ thống ATTT theo ISO: NHU CẦU ĐƠN GIẢN, HỆ THỐNG ĐƠN GIẢN

    Tạp chí Thế Giới Vi Tính – PC World VN sê-ri B đã phỏng vấn ông Trịnh Tuấn Dũng, giám đốc chứng nhận của Bureau Veritas Certification VN về sự cần thiết và ích lợi đối với TC/DN khi đầu tư hệ thống quản lý ATTT theo ISO.

    Ông có thể cho biết vài nét về hệ thống quản lý ATTT theo ISO IEC 17799 và phù hợp với ISO 27001:2005?

    Các TC/DN vẫn chưa thoát khỏi ám ảnh về sự phức tạp của các hệ thống quản lý chất lượng theo ISO Thực ra, đầu tư vào các hệ thống quản lý BMTT theo ISO IEC 17799 và phù hợp với ISO – 27001 phiên bản năm 2005 sẽ rất đơn giản nếu nhu cầu đơn giản.

    Nếu DN đã đạt chuẩn ISO 9001, chất lượng sản phẩm (SP) của DN đó được đảm bảo và thỏa mãn khách hàng; DN đạt ISO 14001 là đã cam kết bảo vệ môi trường cho cộng đồng; DN đạt chuẩn OHSAS 18001 đã đảm bảo sức khỏe, an toàn cho người lao động; đạt chuẩn ISO 22000 là đã đảm bảo vệ sinh, an toàn thực phẩm... Trong khi đó, bảo mật TT liên lạc cũng là một đòi hỏi vì TT là tài sản đặc thù.

    ISO IEC 17799 và ISO 27001 là các hệ thống tiêu chuẩn quản lý bảo mật TT. Bộ tiêu chuẩn ISO 27000: 2005 (ISMS - Information Security Management System - Hệ thống quản lý BMTT) bao gồm các bộ tiêu chuẩn chung (nguyên tắc và từ vựng); các yêu cầu (ISO 27001:2005); yêu cầu cho các tổ chức đánh giá và chứng nhận (ISO 27006: 2007); quản lý rủi ro (ISO 27005: 2008); đo lường (ISO 27004); quy tắc thực hành ISMS (ISO 17799: 2005 và 2007, ISO 27002: 2005); hướng dẫn áp dụng (ISO 27003); hướng dẫn đánh giá chung (ISO 19011).

    Theo đó, bảo mật TT là sự duy trì cân bằng các thuộc tính của TT: Bảo mật, toàn vẹn và sẵn có. Ngoài ra, các thuộc tính khác như: tính xác thực, trách nhiệm giải trình, thừa nhận và đáng tin cậy... cũng có thể liên quan. Tính bảo mật thể hiện ở TT không sẵn có hoặc không để lộ cho cá nhân, TC, đối tượng chưa được ủy quyền. Tính toàn vẹn: TT phải được bảo vệ và giữ gìn trọn vẹn. Tính sẵn có: TT cần luôn sẵn sàng và sẵn có để sử dụng khi cần cho đối tượng đã được ủy quyền.

    ISMS là một phần của hệ thống quản lý tổng thể dựa trên cách tiếp cận theo rủi ro của kinh doanh để thiết lập, thực hiện, điều hành, giám sát, xem xét, duy trì và cải tiến BMTT. Hệ thống gồm cấu trúc của tổ chức, chính sách, các hoạt động hoạch định, trách nhiệm, việc thực hành, thủ tục, quy trình và nguồn lực DN. Như vậy, nếu TC/DN đơn giản, có nhu cầu đơn giản, ít rủi ro trong kinh doanh hoàn toàn chỉ cần ISMS đơn giản. Hơn nữa, áp dụng hệ thống ISMS theo ISO IEC 17799 và phù hợp với ISO 27001: 2005 hoàn toàn tương thích với các hệ thống quản lý theo ISO khác.

    Việc xây dựng ISMS tại Việt Nam cho đến thời điểm này thế nào?

    Từ khi có phiên bản 2005 của bộ tiêu chuẩn ISO 27001, VN đã tổ chức được vài hội thảo nhưng sức ép của việc chuẩn hóa ATTT lên các TC/DN chưa cao. Các TC/DN chưa thấy việc đầu tư cho ISMS là cấp bách. Bureau Veritas đã cố gắng giải thích cho các TC/DN về tầm quan trọng của việc xây dựng ISMS, về những lợi ích mà ISMS có thể mang lại cho họ...

    Những lợi ích mà TC/DN có thể có khi xây dựng ISMS?

    "Hợp chuẩn ATTT theo ISO IEC 17799 và phù hợp với ISO 27001: 2005 mang lại lợi thế quan trọng cho DN cung cấp dịch vụ TT khi xảy ra tình huống tranh chấp", ông Trịnh Tuấn Dũng.

    Khi TC/DN được tổ chức độc lập chứng nhận đạt chuẩn ISO IEC 17799 và phù hợp với ISO 27001: 2005, lợi ích với TC/DN ngoài việc "an toàn hơn" là lợi thế cạnh tranh với thế giới bên ngoài. Ngoài ra, ISMS hợp chuẩn còn mang lại cho TC/DN những giá trị văn hóa. Đó là hình ảnh về TC/DN an toàn, đáng tin cậy mà khách hàng, đối tác có thể yên tâm hơn khi quan hệ. TT ở TC/DN không bị đánh mất, tài sản TT của TC/DN được bảo toàn. Nếu là DN cổ phần, các cổ đông sẽ yên tâm...

    Vậy theo ông, TC/ DN cần chuẩn bị gì nếu muốn xây dựng hệ thống quản lý bảo mật?

    Quan trọng nhất là đào tạo, nâng cao nhận thức. DN phải hiểu vấn đề này. Như để triển khai thành công các hệ thống khác, lãnh đạo DN phải quyết tâm. Trước hết, họ phải được tạo điều kiện tìm hiểu và hiểu rõ tầm quan trọng của hệ thống quản lý bảo mật. Tiếp theo, họ phải có cam kết mạnh mẽ để triển khai. Tôi xin nhấn mạnh, triển khai thành công hệ thống quản lý bảo mật sẽ mang lại cho TC/DN rất nhiều lợi ích, trong đó có cả lợi ích bằng tiền.


    SAO LƯU DỮ LIỆU TRỰC TUYẾN

    Sao lưu dữ liệu (SLDL) là biện pháp mà TC/DN nào cũng phải thực hiện nhằm đối phó với tình trạng làm mất DL do bất cẩn, thiên tai, thảm hoạ... DL sao lưu không để cùng nơi với nguồn DL chính và có những mức độ quy định riêng về khoảng cách không gian...

    Xu thế sao lưu trực tuyến

    Ông Trương Hoài Trang, phó tổng giám đốc công ty FPT Telecom cho biết: "Hiện nay, ngân hàng (NH), tổ chức tài chính... nào cũng có kho DL riêng. Trong khi đó, với môi trường pháp lý chung và các quy trình sao lưu chuẩn và chuyên nghiệp (cho nhiều nhu cầu, nhiều TC/DN cùng sử dụng), công việc SLDL có thể tiết kiệm hơn".

    Giải pháp máy chủ HP Integrity chạy HĐH HP-UX 11i.3

    Trong ngày ATTT tại TP.HCM, HP giới thiệu GP máy chủ HP Integrity chạy hệ điều hành UNIX HP-UX 11i.3.

    Dòng máy chủ HP Integrity được giới thiệu gồm 6 mẫu, trong đó có máy chủ phiến C-Class BL860c và mẫu máy chủ cỡ nhỏ được tối ưu hóa cho dạng lắp vào tủ kê rx2660. Chạy hệ điều hành HP-UX 11i.3, 2 loại máy chủ này có tính năng ảo hoá, tạo cơ sở hạ tầng CNTT thích ứng với các loại hình DN.

    Hệ điều hành HP-UX 11i.3 là phiên bản mới nhất của hệ điều hành UNIX của HP. Nó giúp việc khai thác và thực hiện các nhiệm vụ then chốt của máy chủ dễ dàng hơn nhờ kết hợp tính năng ảo hoá mạnh và sự sẵn sàng của máy chủ mainframe (máy chủ lớn).

    Giải pháp máy chủ HP Integrity chạy HĐH HP-UX 11i.3 được cho là đơn giản hoá nhiệm vụ đảm bảo thông tin thông suốt, lưu trữ, bảo mật DL.

    Hiện, theo ông Trang, việc SLDL điện thoại di động (ĐTDĐ) được các mạng cung cấp như là một dịch vụ (DV) cũng chính là sao lưu trực tuyến (SLTT). Chủ nhân ĐTDĐ có thể nhắn tin, kết nối với cơ sở DL của mạng TT di động để đồng bộ danh bạ. Khi ĐTDĐ bị đổi, mất, hư hỏng, người dùng có thể kết nối, đồng bộ DL trở lại ĐTDĐ mới của mình, rất tiện.

    "Sao lưu theo cách thông thường, DN cần phải có kho chứa, nằm cách xa trụ sở tối thiểu 30km trong nội thành. Để đối phó với thiên tai, khoảng cách đó có thể là 300 km. Xây dựng kho chứa đáp ứng các đòi hỏi tương tự là việc làm quá đắt. Tốt nhất là DN SLDL trực tuyến, đến công ty chuyên làm DV này", ông Trang nhận định.

    SLDL trực tuyến đang là xu thế trên thế giới và tại Việt Nam đã có nhiều đơn vị thực hiện. Vấn đề đầu tiên là DN cung cấp DV SLTT dĩ nhiên phải hợp chuẩn với các chuẩn về ATTT và đề phòng thảm hoạ. Tuy nhiên, DV chỉ có thể phát triển khi các DN tin tưởng nhau.

    Yêu cầu và lợi ích...

    Để SLTT thành công, đòi hỏi về mặt kỹ thuật là đường truyền phải mạnh và thông suốt, thiết bị vận hành liên tục 24 giờ/7 tuần/365 (366) ngày. Ở Việt Nam cũng khó có nhiều DN đủ khả năng cung cấp DV SLTT vì một trong những đòi hỏi về nguồn điện cho các trung tâm SLDL là phải có cùng lúc ít nhất 2 nguồn cung cấp điện độc lập.

    Ích lợi với DN sử dụng DV SLDL trực tuyến là giảm tải vấn đề này. Để tự sao lưu, DN phải có chuyên gia quản trị và trung tâm DL riêng trong khi SLTT bớt chi phí cho những khâu này. Khi DL cục bộ bị hư hại, mất mát, việc phục hồi DL từ xa cũng khá đơn giản và có chuyên gia của nhà cung cấp DV làm thay.

    Ông Trang cho biết, khi mất DL, chỉ những DL mới nhất mới mất còn những DL đã được sao lưu hoàn toàn có thể phục hồi. Những DL vừa nhập hoàn toàn có thể nhập lại. Trường hợp sao lưu gần như với thời gian thực thì "mất mát công sức" có thể nói là không đáng kể... Về giá cả DV, "nếu đơn thuần là thuê SLDL trực tuyến thì DN chỉ cần tính tới các khoản chi cho máy chủ, thuê chỗ đặt máy chủ (gồm nguồn điện, điều hòa...), đường truyền và tiền thuê DV. Thuê thêm các DV nâng cao sẽ có phí cao hơn...", ông Trang cho biết.

    Mã hoá CSDL Oracle

    Theo ông Kaleem Chaudhry, giám đốc nhóm Giải Pháp Công Nghệ dành cho doanh nghiệp Oracle khu vực châu Á - Thái Bình Dương: Để an toàn CSDL, Oracle phải mã hóa bảng DL bằng cách xác định các bảng chứa DL nhạy cảm, tạo những không gian bảng mã hóa mới (tablespaces) và di chuyển những bảng mã hóa vào không gian này. Ngoài ra, cần phải mã hóa DL trước khi truyền dẫn DL (TDE) trên mạng cũng như lưu trữ trong đĩa và băng từ. Thêm vào đó, mã hóa đường truyền (network encryption), quản lý khóa truy nhập (built-in key management) và chứng thực mạnh để đảm bảo mật khẩu đủ mạnh, an toàn. Một hệ thống CSDL an toàn cũng cần phải có thiết lập đánh giá, báo cáo, đóng gói quản lý các cấu hình...


    TRUNG TÂM ỨNG CỨU THẢM HỌA

    Ông Phùng Hải, giám đốc công ty cổ phần Phát Triển PM và Hỗ Trợ Công Nghệ Misoft phía Nam đã cung cấp một số thông tin (TT) về các hình thức tấn công qua mạng tại Việt Nam hiện nay và giải pháp (GP) phòng thủ. Ông cho rằng cần xây dựng trung tâm ứng cứu thảm họa...

    Thưa ông, những hình thức tấn công mạng nào đang xuất hiện ở Việt Nam?

    Ở Việt Nam, hiện có gần như đầy đủ các hình thức tấn công mạng trên thế giới. Tuy nhiên, đa phần các hacker tại Việt Nam hiện mới chỉ dừng lại ở trình độ "script kiddie", tức là chỉ biết "học lỏm" và sửa đổi lại các công cụ tấn công do cộng đồng hacker thế giới viết. Các hình thức thông thường nhất có thể được liệt kê:

    1. Tấn công vào các trang web, máy chủ online. Lợi dụng sự yếu kém về bảo mật trên các trang web ở Việt Nam, chủ yếu là do các trang web đang sử dụng các PM mắc lỗi và do hình thức share-hosting (lưu nhiều website trên cùng máy chủ) khá phổ biến ở Việt Nam, hacker có thể dễ dàng dùng một vài công cụ đơn giản để đột nhập vào các trang web này

    2. Tấn công từ chối DỊCH VỤ DDOS. Đây là loại tấn công rất nguy hiểm vào các trang web và thường được hacker sử dụng khi không thể áp dụng được các hình thức tấn công ở mục 1 nêu trên. Đối tượng bị tấn công là các DN thương mại điện tử (TMĐT) uy tín (được phòng vệ bảo mật kỹ lưỡng). Để thực hiện các tấn công DDOS này, hacker thường tự xây dựng một đội quân khổng lồ các máy bị chiếm quyền điều khiển (máy zombie). Những máy này bị chiếm quyền do chạy hệ điều hành hoặc ứng dụng bị lỗi. Hacker sau đó ra lệnh cho đội quân zombie này gửi hàng loạt các gói dữ liệu đến nạn nhân, gây ra việc tắc nghẽn đường truyền, phá hỏng máy chủ web

    3. Tấn công ăn cắp mật khẩu. Đây là hình thức tấn công ăn cắp mật khẩu người dùng, nhắm đến đối tượng cá nhân nên ít được công bố trên báo chí. Mật khẩu bị ăn cắp có thể là mật khẩu truy cập các trang web TMĐT, ngân hàng (NH) giao dịch trực tuyến, game online. Để thực hiện các tấn công này, hacker thường sử dụng đến các phương thức như sau: Dựng lên trang web giả mạo và lừa đối tượng vào trang web này để ăn cắp mật khẩu (tấn công phishing); Lợi dụng lỗ hổng hệ điều hành hoặc ứng dụng trên máy cá nhân để cài vào các PM ăn cắp mật khẩu (ví dụ keylogger). PM này sau đó gửi mật khẩu cho hacker qua đường Internet; Lợi dụng vấn đề bảo mật đường truyền tại các quán cafe wifi (không được mã hóa), hacker có thể ăn cắp mật khẩu của người dùng trên đường truyền

    4. Tấn công bảo mật nội mạng. Hình thức tấn công này rất phổ biến trên thế giới, tuy nhiên ít được nhắc đến trên các phương tiện truyền thông tại Việt Nam. Tấn công bảo mật nội mạng là hình thức tấn công bảo mật được thực hiện từ trong mạng LAN của DN và do chính nhân viên của DN thực hiện. Vùng mạng LAN bên trong của DN thường được gọi là vùng "Xanh", tức là vùng an toàn và thường không được bảo vệ. Hơn thế nữa, vì đối tượng tấn công chính là nhân viên trong DN nên việc phát hiện là rất khó khăn so với việc phát hiện tấn công ngoại mạng từ bên ngoài

    5. Tấn công Virus/Worms/Spyware/Trojan/Malware. Đây là phân loại các tấn công tự động hóa do mã độc gây ra, bao gồm virus, sâu worms, PM gián điệp... Cũng giống như các công cụ khác, hacker Việt Nam hiện nay có thể dễ dàng truy cập vào các mã nguồn của Virus/Worms và tự sửa đổi lại thành phiên bản của Việt Nam! Đây là loại tấn công mà DN hiểu rõ nhất vì đa phần các DN đều sử dụng chương trình anti-virus và hàng ngày những chương trình này đều tường thuật các sự cố virus phát hiện được

    6. Tấn công dựa trên yếu kém về nhận thức ATTT. Đây là hình thức tấn công mang tính chất "phi kỹ thuật", lợi dụng lỗ hổng về nhận thức ATTT của người dùng. Mục đích nhắm đến việc ăn cắp TT nhạy cảm như mật khẩu của nạn nhân. Các ví dụ có thể kể đến: điện thoại đến người dùng, giả mạo là nhân viên CNTT, nhân viên bảo vệ pháp luật để yêu cầu người dùng cung cấp mật khẩu; sử dụng các phương tiện chat, lừa người dùng click vào link có chứa mã độc tấn công (ví dụ virus "gái xinh").

    Theo ông, hình thức nào được xem là đặc biệt nguy hiểm và nhắm vào loại hình DN nào? Vì sao?

    Câu trả lời sẽ tùy thuộc vào loại DN nào được xét đến. Đối với DN TMĐT, hình thức tấn công từ chối DV và tấn công Web được xem là đặc biệt nguy hiểm vì để lại hậu quả nặng nề, tổn hại đến danh tiếng của DN và tạo tâm lý e ngại cho người dùng khi sử dụng TMĐT, điều này dẫn đến thiệt hại lâu dài cho TMĐT tại Việt Nam. Đối với các DN khác, tấn công nội mạng và tấn công virus được đánh giá là nguy hiểm nhất. Đặc biệt là các tấn công nội mạng do chưa được quan tâm đúng mức và đa số các tấn công này xảy ra mà không bị phát hiện.

    Đối tượng DN thường bị tấn công nhất là các DN có sự phụ thuộc lớn vào hệ thống TT như: các DN TMĐT; NH, các tổ chức tài chính; và các cơ quan chính phủ.

    Lý do tội phạm tập trung vào các DN này có thể bắt nguồn từ mục đích gây tiếng vang, trả thù cá nhân. Gần đây nhất là xu hướng tấn công vì mục tiêu trục lợi tài chính.

    Theo ông, DN cần phải làm gì để ứng phó? Phòng thủ ra sao?

    Khi xảy ra sự cố ATTT, các DN thường bị rơi vào thế bị động và xử lý theo cách phục hồi DV và dữ liệu càng nhanh càng tốt. Với cách xử lý bị động này, sau đó mặc dù DV/dữ liệu đã được phục hồi, DN vẫn chưa biết được đích xác nguồn gốc của vụ việc. Thậm chí do xử lý sai, các dữ liệu logging bị mất, dẫn đến hậu quả là không thể có dữ liệu cho công việc điều tra tội phạm an ninh mạng.

    Để có thể chủ động ứng cứu xử lý sự cố an ninh mạng, DN cần xây dựng một kế hoạch ứng cứu thảm họa từ trước. Kế hoạch ứng cứu thảm họa này nhắm đến mục đích xử lý sự cố một cách hệ thống, đảm bảo hai mục đích là phục hồi DV/dữ liệu nhanh nhất, cũng như lưu trữ được dữ liệu phục vụ cho công tác điều tra sau tấn công. Khi xảy ra sự cố, DN cần thực hiện theo kế hoạch ứng cứu, đồng thời kết hợp với các chuyên gia từ các công ty an ninh mạng chuyên nghiệp, cũng như các nhân viên điều tra của cơ quan bảo vệ pháp luật.

    Để phòng thủ lâu dài, DN cần tính đến việc xây dựng hệ thống ATTT tổng thể cho DN theo chuẩn ISO 17799. ATTT cần được hiểu là quy trình mang tính tổng thể, vì vậy, một GP đơn thuần tường lửa, anti-virus sẽ không giải quyết trọn vẹn.

    Theo tôi, để xây dựng hệ thống an ninh mạng phù hợp, DN cần bắt đầu xây dựng một lộ trình thiết lập hệ thống ATTT tổng thể. Bắt đầu từ việc thiết lập chính sách ATTT, tiếp đến đánh giá rủi ro ATTT và xây dựng GP ATTT dựa trên kết quả đánh giá rủi ro. Việc xây dựng hệ thống ATTT có lộ trình và dựa trên chuẩn hóa sẽ cho phép DN tiết kiệm nhất chi phí đầu tư và đảm bảo tất cả các rủi ro ATTT đều được đề cập đến. DN có thể tự tiến hành xây dựng hệ thống ATTT hoặc thuê một công ty tư vấn chuyên nghiệp. Do nhân lực ngành ATTT hiện vẫn khan hiếm, DN có thể gặp nhiều khó khăn trong việc tự xây dựng đội ngũ nhân viên bảo mật, vì vậy, chúng tôi đề nghị DN nên kết hợp với một công ty tư vấn chuyên sâu về an ninh mạng.

    Đối với DN và nhà quản lý, DN cần nêu rõ các hình phạt cụ thể trong chính sách ATTT của DN. Nhấn mạnh rõ các hình phạt này trong chương trình đào tạo nhận thức ATTT cho nhân viên. Đồng thời, có thể ràng buộc bằng hình thức ký cam kết không tiết lộ bí mật TT.

    Giải pháp của Zyxel

    Zyxel giới thiệu tại ngày ATTT ở TP.HCM GP bảo mật tất cả trong một cho đối tượng DN có từ 10 – 500 máy tính. Đó là các dòng SP Zyxel USG, triển khai ngay tại cổng ra Internet của mỗi DN. Đây là nơi ghi nhận tất cả lưu lượng ra Internet của DN. Ưu điểm của các dòng SP Zyxel là cho phép khách hàng dùng thử miễn phí 3 tháng trước khi quyết định mua; sau khi mua, nhà cung cấp tặng thêm thời gian sử dụng PM.

    GP của Zyxel sử dụng tường lửa và PM bảo mật Kaspersky, hỗ trợ công nghệ 3G như một lựa chọn kết nối Internet cùng với kết nối thông thường phòng khi kết nối thông thường gián đoạn; hỗ trợ chế độ mật khẩu dùng 1 lần, cập nhật bảo mật cho DN trên website, hỗ trợ đa ứng dụng mạng WAN và các chế độ quản trị khác.


    ĐÀO TẠO NHÂN SỰ ATTT

    ATTT là một lĩnh vực mới, công nghệ thường xuyên thay đổi. Do nhu cầu nhân lực cho ngành này cao, các trung tâm đào tạo (ĐT) ngoài đại học (ĐH) khá linh động, liên tục đổi mới, cập nhật... cho phù hợp với thực tế.

    Ngoài ĐH...

                          Ông Võ Đỗ Thắng

    Theo ông Võ Đỗ Thắng, giám đốc trung tâm ĐT Quản Trị và An Ninh Mạng Athena (TP.HCM), trong các DN nhỏ hiện thường có 1 đến 2 người làm nhiệm vụ quản trị hệ thống mạng, còn đối với những DN vừa thì con số này có thể lên đến 4 hoặc 5 người. Các tổ chức tài chính, NH, chứng khoán có thể có hàng chục nhân sự dạng này... Tuy nhiên, cũng có từ 80% đến 90% DN vừa và nhỏ chưa có người chuyên trách ATTT, hoặc nếu có thì kiến thức về chuyên ngành cũng hạn chế. Theo ông Thắng, ngày càng có nhiều DN nhận thức được tầm quan trọng của TT và nhân sự cho ngành này sẽ khan hiếm.

    Chương trình ĐT ATTT bao gồm ĐT về quản trị hệ thống mạng, quản lý cơ sở dữ liệu, lập trình, bảo mật mạng, bảo mật thương mại điện tử, quy trình quản lý rủi ro... Để thành thạo thực thụ thì chuyên viên mạng phải mất 2 năm ĐT. Ông Thắng cho biết: "ĐT nếu áp dụng đúng theo chương trình ISO 27001 thì chưa phù hợp vì ISO 27001 chủ yếu dành cho các nhà quản lý. Đa phần các nhà quản lý Việt Nam thiếu nhiều kỹ năng CNTT". Do đó, Athena đã thiết kế một chương trình ĐT riêng dành cho giới quản lý có tên là ATTT cho lãnh đạo (Security for Leader). Hiện chương trình này đang được thực hiện cho các nhân viên của Fujitsu, Diamond Plaza... và giáo trình học dựa trên các tài liệu ISO 27001, ISO 17799 và một số tài liệu khác...

    Trong năm 2009, Athena cùng với hiệp hội VNISA, câu lạc bộ Doanh Nhân Sài Gòn sẽ tổ chức nhiều buổi tọa đàm chuyên đề an ninh TT, an toàn trong giao dịch thương mại điện tử... cho cộng đồng DN, chuyên gia CNTT tại TP.HCM và các tỉnh lân cận. Trung tâm Athena cũng đang thực hiện chương trình ĐT miễn phí về an ninh mạng cho thanh niên TP.HCM tại Nhà Văn Hóa Thanh Niên và các buổi hội thảo về chuyên đề an ninh mạng tại câu lạc bộ An Ninh Mạng Athena. Ngoài ra, Athena còn cấp học bổng an ninh mạng cho sinh viên các trường ĐH Bách Khoa, ĐH Công Nghiệp, ĐH Kỹ Thuật Công Nghệ, ĐH Khoa Học Tự Nhiên...

    Chuyên viên về bảo mật cần có những tư chất như nhạy cảm, tinh tế trong công tác phát hiện xâm nhập; mạnh mẽ trong các cuộc “song đấu”; kiên nhẫn, say mê nghề nghiệp, ngăn nắp, tính kỷ luật cao, chu đáo; có đạo đức nghề nghiệp, tránh được cám dỗ vật chất; biết chia sẻ, rộng mở với đồng nghiệp.

    Để có thể trở thành chuyên gia an ninh trong lĩnh vực mạng máy tính thì cần rất nhiều yếu tố. Tính cộng đồng là một yếu tố rất quan trọng, nếu hoạt động trong lĩnh vực CNTT và đặc biệt trong lĩnh vực an ninh mạng mà không hòa mình vào cộng đồng thì đó là một thiệt thòi lớn nhất. Thứ hai là chuyên môn, cần phải có kiến thức nhất định về chuyên môn cộng thêm sự tìm tòi, học hỏi để nâng cao kiến thức, có thể khắc phục những sự cố bất ngờ. Thứ ba phải là người có tầm nhìn rộng, có thể dự đoán được những rủi ro xảy đến và khắc phục theo đúng cách đã được thừa nhận rộng rãi "phòng cháy hơn chữa cháy".

    Theo ông Thắng, chuyên viên ATTT phải thành thạo các công việc về mạng: Internet, TCP/IP, định tuyến...; có kiến thức vững chắc về hệ điều hành: cơ chế quản lý và bảo vệ tiến trình, cơ chế phân quyền truy cập tài nguyên hệ thống...; hiểu rõ về lập trình, cơ sở dữ liệu, ứng dụng web...; đồng thời nắm vững cơ chế hoạt động của các giao thức mạng liên quan tới ATTT, các điểm yếu của từng kiểu hệ điều hành, cách thức phát sinh các sơ hở trong lập trình cùng các ngôn ngữ lập trình khác nhau, các công nghệ mã hóa, chính sách ATTT.

    ĐH đang phấn đấu...

    Tiến sĩ Nguyễn Đình Thúc, phó trưởng khoa CNTT ĐH Khoa Học Tự Nhiên TP.HCM cho biết, từ đầu năm 2000, khoa CNTT của trường cùng các chuyên gia, nhà nghiên cứu xem xét việc mở chuyên ngành ĐT an ninh TT bậc ĐH. Mục tiêu ĐT là trang bị cho sinh viên các kiến thức nền tảng về mã hóa và mật mã, nguy cơ mất ATTT trong các DN, nghiên cứu phương pháp bảo mật ATTT cho các hệ thống như: mạng không dây, cơ sở dữ liệu và các phương pháp mã hóa hiện đại.

    Một số học phần bắt buộc đối với chuyên ngành an ninh TT theo ông Thúc gồm: mã hóa và mật mã; mã hóa ứng dụng; bảo vệ các hệ thống TT; an ninh máy tính. Kế hoạch trong 5 năm tới: tiếp tục hoàn thiện chương trình ĐT an ninh TT, xuất bản sách, mở rộng hợp tác với các viện, trường ĐH trong và ngoài nước nhằm trao đổi kiến thức và kinh nghiệm, xây dựng câu lạc bộ hay nhóm các sinh viên nghiên cứu chuyên sâu về lĩnh vực ATTT, phấn đấu trở thành đơn vị ĐT ATTT mạnh của Việt Nam...

    Tin tức

    PM diệt virus và bảo vệ máy tính CMC InfoSec đã chính thức ra mắt cuối tháng 10/2008 sau một thời gian thử nghiệm. CMC InfoSec do công ty cổ phần An Ninh An Toàn TT CMC thuộc tập đoàn Công nghệ CMC phát triển. SP gồm 2 phiên bản: dành cho DN (có trả phí) - CMC Internet Security và phiên bản miễn phí dành cho người dùng cá nhân - CMC Antivirus.

    Cyberoam, thuộc Elitecore Technologies, ngày 18/11/2008, thông báo bổ sung các tính năng mới trên thiết bị bảo mật của hãng. Các tính năng mới của Cyberoam gồm việc định danh người sử dụng cũng như địa chỉ IP và MAC, ngăn chặn việc truy cập mạng trái phép thông qua lợi dụng các quyền truy cập mạng của người khác; thêm tiếng Hoa và tiếng Hindi vào phần cấu hình giao diện web (GUI); công nghệ đường truyền sạch (TFL) giúp làm sạch và an toàn các lưu thông qua mạng riêng ảo (VPN).

    Trung tâm Đào Tạo VietPace, ngày 21/11/2008, tại TP.HCM, tổ chức hội thảo "Bảo mật nội mạng – Bảo mật cơ sở dữ liệu Oracle". Báo cáo của VietPace cho thấy, hiện các DNVN chỉ tập trung vào an ninh ngoại mạng, trang bị các thiết bị tường lửa và giám sát mạng trong khi việc bảo đảm an ninh TT cốt lõi bên trong chưa được quan tâm đúng mức. Hội thảo còn có phần trình diễn các kỹ thuật tấn công cơ sở dữ liệu Oracle, được thực hiện bởi giám đốc trung tâm VietPace.

    Đại sứ quán Israel đã tham gia triển lãm Secutech Việt Nam 2008 tổ chức tại Hà Nội. Gian hàng của Israel giới thiệu các GP và thiết bị an toàn, an ninh của 4 công ty: Magal (chuyên về các hệ thống an ninh toàn diện, tích hợp nhiều GP chống xâm nhập), NICE (các GP thu thập và xử lý dữ liệu từ điện thoại, fax, Internet... phục vụ công tác an toàn an ninh), ODF (chuyên thu thập tin tức tình báo bằng hình ảnh) và STD (thiết bị phát hiện chất nổ, ma túy và hàng cấm).


    ATTT NGÀNH TÀI CHÍNH GIỮ CHO ĐỒNG TIỀN LIỀN "KHÚC RUỘT"

     Cẩn trọng với ATM và website!

    Ông Võ Văn Khang

    Nhận xét về hệ thống an ninh trong ngành ngân hàng (NH), ông Võ Văn Khang, phó tổng giám đốc NH Việt Á, ủy viên ban điều hành chi hội ATTT phía Nam cho biết, hiện do mạng nghiệp vụ của các NH đều thiết kế theo mô hình mạng dùng riêng và tách khỏi Internet (trừ các NH có DV NH điện tử thiết lập trên nền VPN hay mạng di động) nên các giao dịch điện tử có thể xem là tương đối an toàn với những tấn công từ bên ngoài hệ thống. Tuy nhiên, hệ thống ATM và website thông thường là 2 nơi chứa đựng nhiều rủi ro, hay bị các hacker khai thác nhất. Ý thức bảo mật của người dùng hay nhà cung cấp DV lưu trữ web, tên miền... thấp là lý do chính.

    Nghị định của Chính Phủ số 26/2007/NĐ-CP ngày 15/2/2007 quy định chi tiết thi hành luật Giao Dịch Điện Tử về chữ ký số và DV chứng thực chữ ký số. Cơ quan tài chính và tổ chức, cá nhân có tham gia giao dịch điện tử trong hoạt động tài chính với cơ quan tài chính phải sử dụng chữ ký số; giao dịch điện tử trong hoạt động tài chính giữa tổ chức, cá nhân với cơ quan tài chính phải sử dụng chữ ký số và chứng minh số do tổ chức cung cấp DV chứng thực chữ ký số công cộng cung cấp.

    Ngoài ra, nguy cơ với ATTT từ bên trong hệ thống NH thường xuất phát từ việc thiếu các quy trình quản lý, sửa đổi dữ liệu, cách thức quản lý người sử dụng trong nội bộ... Một số NH còn phụ thuộc quá nhiều vào các nhà cung cấp PM NH lõi, các nhà cung cấp DV không đủ khả năng kiểm soát công nghệ cũng dẫn đến việc mất ATTT. Hệ thống kỹ thuật tại các NH cũng như nhiều hệ thống khác vẫn có thể chứa các lỗi tiềm ẩn về kỹ thuật và an toàn khi vận hành. Do đó, đòi hỏi các nhà quản trị phải luôn cố gắng ngăn chặn không để xảy ra các lỗi cũ và hạn chế tối thiểu phát hiện kịp thời các lỗi tiềm ẩn khác.

    Ông Khang nhận định về công tác dự phòng: "Các NH luôn có hệ thống dự phòng và sao lưu DL theo quy trình nghiêm ngặt. Hệ thống dự phòng của NH Việt Á luôn sẵn sàng cho hoạt động với việc sao lưu DL được thực hiện liên tục và khoảng cách địa lý cất giữ DL an toàn".

    Theo ông Khang, việc xây dựng các trung tâm DL tại các NH là cần thiết vì nó đảm bảo tính chủ động trong hoạt động. Tuy nhiên, việc thuê ngoài các DV sao lưu và phục hồi thảm hoạ là điều cần xem xét và sẽ là xu hướng trong những năm tới. Việc chọn phương án nào phụ thuộc vào khả năng tài chính cũng như năng lực công nghệ của từng NH và nhà cung cấp DV chuyên nghiệp.

    Xác thực và xác thực!

    Ông Khang cho biết, hiện luật Giao Dịch Điện Tử và nhiều nghị định hướng dẫn đã được ban hành. Tuy nhiên, cần có các hướng dẫn cụ thể hơn trong lĩnh vực thanh toán điện tử để các NH, DN dễ dàng trong triển khai các DV TMĐT. Các biện pháp chế tài và xử phạt hiện còn nhẹ, không cụ thể, chưa có tính răn đe. Cần tăng cường công tác tuyên truyền hơn nữa về ATTT qua các phương tiện truyền thông và hiệp hội nhằm nâng cao kiến thức về ATTT và nhận thức về pháp luật cho người sử dụng các DV điện tử.

    Để đảm bảo ATTT, NH Việt Á đang quản lý, thực hiện các nghiệp vụ và DV dựa trên các quy trình theo hướng ISO 27001 và chuẩn thanh toán PCI (Payment Card Industry). Đối với các DV trực tuyến, việc xác thực khách hàng đều sử dụng các công nghệ xác thực 2 yếu tố. Việt Á thực hành kiểm tra các giao dịch bằng các công cụ kỹ thuật và khả năng tự có, và tham khảo tư vấn từ các đơn vị, chuyên gia bên ngoài.

    Ông Nguyễn Hồ Nam

    Ông Nguyễn Hồ Nam, tổng giám đốc công ty chứng khoán Sacombank (SBS) cho biết, trong giao dịch trực tuyến, SBS luôn chú trọng đến vấn đề bảo mật TT của khách hàng. Hầu hết các hệ thống xác thực của NH và công ty chứng khoán hiện nay đều dựa trên 2 yếu tố: mật khẩu động và mật khẩu tĩnh. Mật khẩu động dùng 1 lần thông qua email, ĐTDĐ hay thiết bị vật lý và thêm 1 mật khẩu để đặt lệnh. Ngoài ra, hệ thống nhận lệnh qua Internet được SBS thiết kế dựa trên công nghệ PM đa lớp mới nhất, sử dụng công nghệ mã hóa TT, triển khai hệ thống tường lửa cho phép giám sát và hạn chế các cuộc tấn công của hacker.

    Khi kết nối với sở Giao Dịch Chứng Khoán TP.HCM (HOSE) và trung tâm Giao Dịch Chứng Khoán Hà Nội (HASTC) hay NH thương mại, SBS đã cân nhắc việc lựa chọn đối tác đảm bảo an toàn cho công ty và đối tác nhằm hạn chế tối đa các cuộc tấn công của hacker dẫn đến việc bị mất kiểm soát nội bộ... "SBS đang đánh giá các rủi ro của hệ thống CNTT, phân loại rủi ro, xác định mức độ ưu tiên và các phương án giảm thiểu rủi ro, xây dựng kế hoạch dự phòng (bước quan trọng thực thi ISO 27001). Ngoài hoàn thiện các quy trình vận hành, SBS ĐT nhân viên nắm vững và vận hành tốt quy trình, tập huấn các tình huống giả lập, tình huống khẩn cấp", ông Nam cho biết.

    Theo ông: "Trước mắt, các công ty chứng khoán cần ban hành những quy định cụ thể về bảo mật TT tài khoản khách hàng cũng như xây dựng hệ thống CNTT phù hợp đảm bảo hoạt động thông suốt và liên tục, đặc biệt cần như vậy vì HOSE triển khai việc giao dịch trực tuyến vào tháng 12/2008 và tách tiền của nhà đầu tư sang các NH quản lý. Chúng tôi cũng kiến nghị HOSE và HASTC triển khai các trung tâm dự phòng, hỗ trợ các công ty chứng khoán trong việc triển khai trung tâm dự phòng này".


    ATTT TẠI NGÂN HÀNG ĐÔNG Á, CON NGƯỜI - QUY TRÌNH -  CÔNG NGHỆ

    Gần như tất cả hoạt động của NH Đông Á (EAB) đều liên quan đến TT và dựa vào hệ thống CNTT. Hệ thống TT của EAB thể hiện ở 2 mảng chính: phục vụ kinh doanh và giao dịch nội bộ.

    Hệ thống TT phục vụ KD của EAB nhằm phục vụ khách hàng đến mở tài khoản, những giao dịch liên quan đến tài khoản, khách hàng (KH) mở hợp đồng tín dụng, thực hiện giao dịch với KH; các dịch vụ ATM, Internet Banking, Mobile Banking, NH tự động... Còn hệ thống TT giao dịch nội bộ gồm: công văn, trao đổi giữa các bộ phận, kế hoạch kinh doanh...

    Vai trò của TT và ATTT là sống còn trong hoạt động của EAB. Khác với NH truyền thống (KH chỉ đến giao dịch trực tiếp tại chi nhánh), EAB có nhiều kênh giao dịch nên TT phục vụ các dịch vụ đều phải sẵn sàng 24/7. ATTT tại EAB không chỉ là bảo vệ, tránh đánh cắp, tránh bị phá hoại, chống xâm nhập mà còn quản lý lưu trữ, đảm bảo cho hệ thống TT hoạt động xuyên suốt để phục vụ KH và hoạt động của NH.

    Quy trình, công nghệ cũng do con người làm ra. Vì vậy, đầu tư về ATTT quan trọng nhất vẫn là đầu tư con người, từ nhận thức, tư duy cho đến ý thức và nghiệp vụ chuyên môn.

    Theo ông Thái Nguyễn Hoàng Nhã, giám đốc trung tâm Điện Toán EAB, có những nguy cơ rủi ro trong ATTT: bị phá hủy, đánh cắp, thay đổi, bị mất. TT bị sửa đổi, bị mất trong ngành NH đều đặc biệt nghiêm trọng vì liên quan đến tài sản, tiền của KH. Người cố tình làm thay đổi số dư tài khoản hay thay đổi TT liên quan đến tài khoản đều có ý định trục lợi về tài chính nên động cơ của họ sẽ cao hơn so với ở những lĩnh vực khác. Đây là thách thức lớn đối với hệ thống ATTT trong lĩnh vực tài chính - NH. Theo một thống kê, 90% các cuộc tấn công thành công đều xảy ra từ bên trong. Do vậy, không chỉ bảo vệ bên ngoài mà còn phải có phương án ứng phó từ bên trong.

    EAB hiện có mặt tại 50 tỉnh thành trong cả nước với 150 chi nhánh, phòng giao dịch, trung tâm giao dịch 24h; 1.200 máy ATM và 1500 điểm chấp nhận thanh toán bằng thẻ - POS. Số lượng thẻ phát hành của EAB hiện đạt hơn 2 triệu thẻ.

    Xác định vấn đề ATTT là quan trọng nên bên cạnh bộ phận CNTT với 120 người, EAB đã đầu tư 10 - 15% trong tổng chi phí đầu tư về CNTT cho hệ thống ATTT, xây dựng một phòng giám sát an ninh với 4 nhân sự chuyên giám sát toàn bộ hoạt động NH. Bộ phận này đảm nhận xây dựng quy trình kỹ thuật ATTT (quy định về bảo mật TT, bảo vệ mật khẩu, truy cập vào hệ thống), tổ chức giám sát, nghiên cứu và đề xuất các giải pháp ATTT. Để nâng cao nghiệp vụ, EAB liên tục đầu tư cho các nhân sự này tham gia các khóa đào tạo ATTT do các đơn vị quốc tế chuyên về ATTT tổ chức.

    Về công nghệ, hiện EAB sử dụng hệ thống GP của những nhà cung cấp giải pháp uy tín như Cisco, Junpiter, Trend Micro. Phòng giám sát an ninh của EAB cũng tự nghiên cứu, xây dựng những công cụ giám sát an ninh phục vụ riêng nhu cầu đặt thù của NH: Giải pháp phát hiện xâm nhập liên quan riêng từng dịch vụ mà EAB triển khai, phát hiện gian lận, những GP về thẻ ma trận (xác thực người dùng bằng thẻ ma trận)...

    "Bảo vệ chống xâm nhập, chống phá hoại chỉ là một phần trong hệ thống ATTT. Vì không ai có thể đảm bảo hệ thống an toàn 100% nên điều quan trọng là phải đánh giá được rủi ro và có biện pháp xử lý, dự đoán các tình huống sự cố; nếu xảy ra, phải có biện pháp ứng phó kịp thời", ông Thái Nguyễn Hoàng Nhã, giám đốc trung tâm Điện Toán EAB.

    Theo ông Nhã, một hệ thống ATTT phải được thực hiện theo quy trình: Đánh giá mức độ rủi ro hệ thống, dựa trên kết luận đánh giá đó chọn công nghệ thích hợp để thiết lập hệ thống bảo vệ an ninh, sau đó đặt ra cơ chế giám sát hệ thống để khi có vấn đề xảy ra phải có đầy đủ TT để lần theo dấu vết giải quyết tốt sự cố.

    Đánh giá về hiệu quả của việc đầu tư hệ thống ATTT, ông Nhã cho biết, chỉ thấy được bằng số lượng phần hệ thống bị sự cố, tấn công, bị thiệt hại. Còn khi hệ thống chạy "êm" thì đã thành công. Đến thời điểm hiện nay, EAB chưa gặp sự cố gì nghiêm trọng liên quan đến hệ thống TT. Tuy nhiên, cũng có những sự cố gian lận xảy ra trong hệ thống NH nhưng được hệ thống phát hiện sớm giúp việc xử lý kịp thời, tránh tổn thất nặng nề. Có 2 trường hợp qua giao dịch ATM nhưng nguyên nhân do KH không bảo mật tốt TT của mình và bị rút tiền qua ATM, nhưng hệ thống camera đã phát hiện....

    Một vụ gian lận ATM

    Vào trung tuần tháng 4/2006, bộ phận Chăm Sóc KH của NH Đông Á (EAB) nhận được một thư khiếu nại của một nữ KH cho biết tài khoản của chị bị mất 10 triệu đồng. Qua trao đổi thêm, chị cũng cho biết là chị có đăng ký sử dụng tính năng chuyển khoản của dịch vụ Internet Banking, và chị nghi ngờ một đồng nghiệp cũ đã đánh cắp mật khẩu của chị rồi lấy trộm số tiền trên. EAB nhờ KH cung cấp thêm một số thông tin, hình ảnh về người mà chị nghi ngờ, rồi bắt đầu tiến hành điều tra, dựa trên hệ thống thu thập chứng cứ giao dịch do EAB xây dựng.

    Việc đầu tiên EAB làm là truy xuất tất cả các thao tác diễn ra trên tài khoản của KH. Dựa trên thông tin này, bộ phận an ninh biết rằng cách đó khoảng 4 ngày, tiền trên tài khoản của KH đã bị rút ra tại một máy ATM đặt trong một siêu thị điện máy lớn. Bộ phận này trích xuất thông tin camera của máy ATM đó và phát hiện người rút tiền là một nhân viên làm việc tại siêu thị điện máy này. Trước thời điểm rút tiền vài phút, hệ thống Internet Banking cũng đã ghi nhận một yêu cầu chuyển khoản từ tài khoản của nữ KH đến tài khoản của người thực hiện rút tiền, xuất phát từ một máy tính đặt tại siêu thị điện máy.

    Có vẻ như sự việc đã rõ ràng, nhân viên siêu thị điện máy đã bằng cách nào đó, đánh cắp tài khoản của KH, thực hiện chuyển tiền trên Internet Banking, rồi rút tiền ra từ máy ATM. EAB tiến hành đóng gói thông tin, cung cấp cho cơ quan công an điều tra, để họ xử lý tiếp vụ việc. Và, bất ngờ đã xảy ra.

    Đại diện cơ quan điều tra thông báo cho chúng tôi biết, theo kết quả làm việc giữa họ với nhân viên siêu thị điện máy kia thì anh này không phải là thủ phạm vụ trộm tiền. Theo lời khai của anh nhân viên, trưa hôm đó, có một KH đến siêu thị hỏi mua một chiếc ĐTDĐ. Sau khi đã chọn lựa hàng và chuẩn bị thanh toán, thì người này nói là đã để quên ví tiền ở nhà và đề nghị anh nhân viên siêu thị cho mượn máy tính để chuyển đến tài khoản anh nhân viên 10 triệu đồng, thông qua dịch vụ Internet Banking. Sau khi chuyển tiền xong, anh nhân viên siêu thị mới đến máy ATM để rút ra 10 triệu đồng từ tài khoản của anh, giữ lại số tiền của chiếc điện thoại và gửi lại phần thừa cho KH đó.

    Dựa trên hình ảnh mà nữ KH cung cấp, anh nhân viên siêu thị xác nhận chính đồng nghiệp cũ của chị là người mà anh đã gặp trưa hôm đó. Dựa trên thông tin này, cơ quan công an, bằng các biện pháp nghiệp vụ, đã có thể tiến hành xử lý vụ việc rồi. Nhưng bên công an cũng yêu cầu EAB cung cấp thêm các chứng cứ vững chắc, để đối tượng phải tâm phục khẩu phục.

    Nhìn lại toàn bộ vụ việc, rõ ràng đây là một màn kịch có tính toán của kẻ trộm tiền. Bằng cách sử dụng anh nhân viên siêu thị, kẻ xấu không hề xuất hiện trên máy camera của ATM, cũng như máy tính của hắn không hề xuất hiện trên hệ thống ghi nhận giao dịch của hệ thống Internet Banking, nhưng vẫn trộm được tiền. Tuy vậy, anh ta đã phạm sai lầm là đã đánh giá quá thấp hệ thống ghi nhận giao dịch.

    Rà soát lại tất cả các giao dịch phát sinh trên tài khoản của nữ KH, EAB phát hiện ra trước đó một tuần, có một máy tính sau khi truy cập vào tài khoản của chị, đã truy cập ngay vào một tài khoản khác. Như vậy chủ của tài khoản này chắc chắn phải có mối quan hệ với đối tượng. Tra cứu thông tin của chủ tài khoản, EAB biết người này chính là bạn gái của đối tượng mà chúng tôi nghi ngờ.

    EAB cung cấp thông tin này cho cơ quan công an, và ngay lập tức họ ra lệnh triệu tập đối tượng. Trước những chứng cứ không thể chối cãi, đối tượng đã thừa nhận đã đánh cắp mật khẩu của nữ KH và trộm tiền bằng cách mua điện thoại, như mô tả của anh nhân viên siêu thị điện máy.

    Sau sự cố đó, EAB đã tiến hành nâng cấp hệ thống Internet Banking, yêu cầu tất cả các giao dịch phải được xác nhận bằng một mật khẩu dùng một lần (OTP) được gửi đến ĐTDĐ của KH. Từ đó đến nay, EAB không nhận được thêm bất kỳ khiếu nại mất tiền nào của hơn 300.000 KH với hơn 100.000 giao dịch/ngày.



    Như Dũng – Đại Nguyên – Thu Nga – Hải Thanh – Đức Minh – Hồng Vinh

    ID: B0812_17