• Thứ Hai, 24/03/2008 08:32 (GMT+7)

    An ninh bảo mật: Còn thiếu nhận thức tổng thể!

    Dự báo năm 2008, Virus, Spyware, Adware, Rootkit... sẽ tấn công có chủ đích thay vì chung chung trên diện rộng. Tài chính ngân hàng có thể là mục tiêu đầu tiên của hacker.

    Trong 2 ngày 19 và 20/3/2008, tại Hà Nội, hội thảo Thế Giới An Ninh Bảo Mật 2008 do tổng cục Kỹ Thuật (bộ Công An), trung tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam (VNCERT) - bộ TTTT và tập đoàn Dữ Liệu Quốc Tế (IDG Việt Nam) phối hợp tổ chức tại Hà Nội với 2 nội dung chính: “Nâng cao nhận thức và đẩy mạnh công tác an ninh bảo mật”.

     

    Lỗ hổng bảo mật có thể làm tê liệt nền kinh tế

     

    Theo khảo sát hơn 1.400 công ty trên toàn thế giới do McAfee hợp tác cùng Datamonitor cho thấy: 67% công ty từng bị thất thoát những dữ liệu mật, gây ra hậu quả nghiêm trọng, trong đó 33% cho biết họ đã gặp một sự cố bảo mật có thể khiến công ty phải đóng cửa; 23% số vụ thất thoát dữ liệu có nguyên nhân chủ ý phá hoại; các công ty dành ngân sách trung bình 1,82 triệu USD để đương đầu với các vấn đề thất thoát dữ liệu, mua công nghệ để cứu dữ liệu, và xây dựng lại quan hệ khách hàng.

     

    Tại Việt Nam, không gian mạng đã dần trở thành một xã hội thực tế thu nhỏ, với đầy đủ các thành phần phức tạp và nguy cơ về an toàn an ninh. Trong lúc đó, những giải pháp bảo mật hiện có lại không thể hoàn thiện được hệ thống hạ tầng cơ sở trong thời gian ngắn. Theo thống kê của trung tâm an ninh mạng BKIS, hơn 80% website của các cơ quan doanh nghiệp trong nước có nguy cơ bị tấn công. Năm qua, hơn 33 triệu máy tính bị nhiễm virus, gây thiệt hại tới 2.400 tỷ đồng. Không chỉ có vậy, các thiết bị di động và thiết bị nhúng cũng được báo cáo là đã xuất hiện virus lây lan và mã độc.

     

    Ở thị trường chứng khoán, việc chuyển từ giao dịch truyền thống sang giao dịch điện tử đang tiềm ẩn những rủi ro về mất an ninh như tấn công vào hệ thống thông tin, thay đổi thông tin giao dịch, đưa tin thất thiệt gây rủi ro cho nhà đầu tư... Ông Trần Nguyên Vũ, phó cục trưởng cục Tin Học Thống Kê, bộ Tài chính cho biết, 70-80% các hoạt động tài chính được diễn ra trên mạng cục bộ và mạng diện rộng, dẫn đến sự hình thành rất nhiều cơ sở dữ liệu tập trung. Do lĩnh vực tài chính bao gồm một hệ thống nghiệp vụ rất rộng, nên việc xây dựng một hệ thống an toàn bảo mật cho các giao dịch nghiệp vụ là vô cùng cần thiết. Song, nhiều bất cập về an toàn bảo mật còn tồn tại, đặc biệt là chưa có hệ thống quản lý rủi ro trong ngành. 

     

    Thiếu pháp lý, yếu công nghệ lẫn nhận thức

     

    Ông Nguyễn Viết Thế: Các cơ quan chưa thực sự quan tâm đến an ninh mạng!    

    “Tình hình an ninh mạng sở dĩ ngày càng “nóng bỏng” là do các cơ quan, doanh nghiệp và các tổ chức chưa thực sự quan tâm đến an ninh mạng; kinh phí đầu tư còn thấp.

    Hiệp hội An Toàn Thông Tin Việt Nam (VNISA) vừa ra đời, liên kết các doanh nghiệp, tổ chức và cá nhân hoạt động trong lĩnh vực đảm bảo an toàn thông tin. VNISA sẵn sàng hợp tác, hỗ trợ cung cấp các giải pháp đảm bảo an toàn dựa trên 3 yếu tố: Hạ tầng an toàn thông tin; chính sách; đội ngũ thực thi, giám sát”.

    Tại hội thảo, các chuyên gia cảnh báo Việt Nam còn có nhiều hạn chế trong nhận thức, thiếu nhân lực và yếu kém về công nghệ. Ông Nguyễn Viết Thế, cục trưởng cục Tin Học Nghiệp Vụ - tổng cục Kỹ Thuật, bộ Công An cho rằng: "Các tổ chức, cá nhân tại Việt Nam chưa nhận thức đúng và đầy đủ về an ninh mạng và bảo mật dữ liệu. Từ việc yếu kém trong nhận thức, các tổ chức, cá nhân chưa đầu tư thích đáng cả về tài chính và công nghệ cho vấn đề này".

     

    "Chúng tôi có thể thẩm định, đánh giá được tất cả các phần mềm, website có nguy cơ bị tấn công hay không nếu các cơ quan chức năng hay doanh nghiệp có nhu cầu. Thế nhưng, hầu như chẳng có doanh nghiệp nào đề nghị cả vị họ sợ phải bỏ một khoản chi phí cho việc đánh giá này. Họ không nghĩ đến việc cả một hệ thống có thể bị tê liệt, thậm chí bị đánh sập và mất quyền kiểm soát do một lỗ hổng nào đó dẫn tới hoạt động kinh doanh bị ngưng trệ, bị thay đổi dữ liệu, thậm chí mất mát hàng triệu USD” - ông Thế bình luận.

     

    Bên lề hội thảo, ông Nguyễn Tử Quảng, giám đốc trung tâm An Ninh Mạng (BKIS), thẳng thắn nhìn nhận: “Có đến 50% website về chứng khoán có lỗ hổng. Nếu có ý đồ xầu, tôi có thể làm sụp đổ cả hệ thống bảo mật của công ty chứng khoán. Trong năm 2008, giới hacker không phá hoại để chứng tỏ mình như trước nữa mà đã có mục đích trục lợi. Thị trường chứng khoán với nhiều lỗ hổng bảo mật sẽ khiến các hacker “mũ đen” động lòng tham. Nguy cơ mất an toàn thông tin đang ngày càng gia tăng nhưng doanh nghiệp đang thiếu giải pháp tổng thể và chuyên nghiệp để giải quyết vấn đề. Đây cũng là sự hạn chế về nhận thức phổ biến ở hầu hết các cơ quan nhà nước”.

     

    Theo ông Quảng, đối với các cơ quan nhà nước, vấn đề không chỉ cần cảnh báo về các lỗ hổng về bảo mật mà còn là lỗ hổng về hành lang pháp lý. Chúng ta chưa có những chế tài đủ mạnh để răn đe. Tội phạm mạng có thể gây thiệt hại lớn về kinh tế, thậm chí làm tê liệt cả một hệ thống nhưng thường chỉ mới xử lý hành chính. Nhận định này của ông Quảng cũng nhận được sự đông tình của đại diện bộ Công An.

     

    Ông Nguyễn Viết Thế cho biết, tình hình an ninh mạng 2007 hết sức phức tạp với 342 website bị hacker trong và ngoài nước tấn công; 140 website có lỗ hổng nghiêm trọng, trong đó có nhiều website thuộc chính phủ bị hacker kiểm soát, hoặc gắn mã độc phát tán virus đe doạ an ninh quốc gia. Tuy nhiên, việc xử lý các sự cố trên là quá nhẹ. Trong năm qua, việc xử lý hình sự chỉ mới dừng lại ở một số đối tượng như Vũ Ngọc Hà (Hải Phòng), Hoàng Yến Minh bị khởi tố về hành vi trộm cắp tiền qua mạng. Adeyemi - hacker nước ngoài bị Công An Việt Nam truy nã vì đánh cắp mật khẩu tài khoản tín dụng...

     

    Giải pháp tổng thể cho doanh nghiệp

     

    Theo đánh giá của các chuyên gia tại hội thảo, vấn đề quan trọng để chống lại nguy cơ xâm nhập trái phép từ hacker “mũ đen” là phải nhanh chóng thay đổi nhận thức về bảo mật và an toàn thông tin. Hầu hết các virus và phần mềm gián điệp phát tán trên Internet và hệ thống mạng nội bộ thường thông qua thiết bị lưu trữ USB, lỗ hổng phần mềm của Windows và IE. Tuy nhiên, ý thức cảnh giác khi sử dụng thiết bị thẻ nhớ USB cũng như việc cập nhật các bản vá lỗi hệ điều hành và trình duyệt web đối với hầu hết người dùng dường như bằng không. Vô tình, người dùng đã tự “mở cửa” để các mã độc tự do xâm nhập vào hệ thống. Một ngày nào đó, các mã độc này là những kẻ nội ứng để hacker kiểm soát hệ thống.

     

    Ông Nguyễn Tử Quảng: "Cần nhờ chuyên gia!"

    “Hiện nay có rất nhiều hãng cung cấp giải pháp phần mềm an ninh mạng. Họ có xu hướng nói mình là tất cả. Nếu không tỉnh táo khách hàng dễ vào “ma trận”, cuối cùng không biết đường nào lần. Để có một giải pháp tổng thể nhằm chống sự xâm nhập, các đơn vị cần phải thuê nhà tư vấn. Chỉ những nhà tư vấn có đẳng cấp mới có đủ hiểu biết sâu để tư vấn phần mềm nào phù hợp với yêu cầu của người dùng. Để tránh lãng phí, các đơn vị cần có những bước đi bài bản”.

    Một thực trạng khác, theo ông Nguyễn Tử Quảng, hầu hết các cơ quan, doanh nghiệp đều không sử dụng phần mềm diệt virus có bản quyền, không thuê các dịch vụ phòng chống virus từ nhà sản xuất nên khi gặp sự cố họ thường tự xử lý và không thể khắc phục nổi. Ông Quảng khẳng định: “Có giải pháp tổng thể và hỗ trợ kỹ thuật đúng nghĩa sẽ giải quyết hoàn toàn vấn đề này. Sử dụng dịch vụ an ninh mạng không tốn kém lắm, nó là chất xám chứ không phải mua thêm các thiết bị mất hàng tỷ̉ đồng”.

     

    Theo ông Thomas Parenty, giám đốc tổ chức Tư Vấn Hills and Associates, để chống lại các nguy cơ bị tấn công từ hacker, tất cả các rủi ro về an toàn thông tin sẽ được phân tích, phân loại và tổng hợp thành một bức tranh toàn cảnh. “Rất nhiều doanh nghiệp chọn giải pháp “hổng đâu bít đấy” để trám các lỗ hổng bảo mật. Đây là quan niệm sai lầm vì hệ thống vá víu sẽ không thể hoạt động trơn tru. Chúng tôi luôn khuyên các doanh nghiệp chọn giải pháp tổng thể sau khi đã được phân tích, đánh giá toàn cảnh các nguy cơ. Đánh giá này sẽ giúp việc triển khai các giải pháp và thiết bị bảo mật một cách có hệ thống, an toàn và ít tốn kém. Hầu hết các nguy cơ an ninh thông tin đều được lường trước và có giải pháp ngăn ngừa”.

     

    Trần Đức

    ID: O0803_1