Mất "bò" vẫn chưa rõ "chuồng"

Lơ là đến bao giờ?

Tại hội thảo "An ninh an toàn mạng internet Việt Nam - Nguy cơ và giải pháp" tổ chức mới đây, để minh họa cho vấn đề quá mất cảnh giác khi quản trị các website, ông Triệu Trần Đức, Tổng Giám đốc CMC Infosec đã dễ dàng chỉ ra lỗ hổng của nhiều trang web, trong đó có website doanh nghiệp viễn thông hàng đầu Việt Nam là Viettel. Ông Đức dẫn chứng một trang web, bị hack nhiều năm nay nhưng vẫn không được quan tâm đúng mức, đó là trường hợp website của Ủy ban Quốc gia về hợp tác kinh tế quốc tế (nciec.gov.vn). "Đáng lo ngại là những lỗ hổng bảo mật này rất sơ đẳng, lặp đi lặp lại ở nhiều đơn vị nên ngay cả các hacker mới học cũng có thể đánh sập nhiều website. Bởi trên internet có nhiều công cụ hỗ trợ trở thành hacker. Chỉ cần tìm kiếm, dùng các công cụ này quét tự động là có thể tìm ra những website có lỗ hổng bảo mật. Những người có chút kiến thức về an ninh mạng có thể sử dụng công cụ này để đánh sập không ít website của Việt Nam. Nhiều trang web khi bị tấn công, quản trị mạng thường chọn giải pháp chẳng giống ai là ngắt đường truyền. Chỉ trong một đêm, một nhóm hacker có tên CmTr đã thực hiện tấn công thành công 200 website Việt Nam. Tôi cảm giác trang web của nhiều tổ chức, doanh nghiệp trong nước đang là nơi để các tin tặc thế giới tập dượt" - ông Triệu Trần Đức chia sẻ.

Ông Đỗ Lê Thăng, thành viên CLB nhà báo công nghệ thông tin cho biết, rất nhiều trang web thuộc các tổ chức tài chính, ngân hàng, vốn nắm giữ nhiều thông tin về khách hàng nhưng ý thức bảo mật không cao. Chuyên gia quản trị mạng ít quan tâm đến các bản vá lỗi phần mềm do nhà cung cấp khuyến cáo nên dễ dàng tạo lỗ hổng để tin tặc khai thác.

Thống kê gần đây của Hiệp hội An toàn thông tin Việt Nam (VNISA) cho thấy, khả năng nhận biết tấn công của quản trị website Việt Nam hiện nay ở mức độ thấp. Kết quả khảo sát ở 500 tổ chức đưa ra con số đáng suy nghĩ: hơn 20% số người được hỏi không biết hệ thống của mình từng bị tấn công. Nhiều tổ chức không định lượng được thiệt hại khi bị tấn công. Đa số không có quy trình phản ứng khi gặp sự cố dù đã ban hành quy chế về an toàn thông tin. Trong trường hợp bị tấn công mạng, đa phần chỉ báo cáo nội bộ và âm thầm tự giải quyết sự cố. Rõ ràng, đây là thực tế đáng lo ngại.

Chờ quy chuẩn khả thi

Theo Viện Công nghệ phần mềm và nội dung số, sự lơ là trong việc bảo mật là do nước ta chưa có chuẩn, chưa có yêu cầu cụ thể về mặt kỹ thuật đối với các website. Các trang web hiện giờ cứ đưa lên mạng là hoạt động và không có bất kỳ một cơ quan nào khuyến cáo, kiểm tra, đánh giá về mức độ bảo mật. Ngoài ra, yếu điểm của website Việt Nam hay bị hacker lợi dụng là do phần lớn chúng có quá nhiều dịch vụ tích hợp trên cùng một máy chủ. Hệ quả là từ một lỗ hổng bị hacker lợi dụng chưa được khắc phục sẽ kéo theo cả hệ thống tê liệt. Đáng tiếc là hiện tượng này đã được cảnh báo nhưng nhiều năm qua vẫn bị vi phạm một cách "hồn nhiên".

Một chuyên gia an ninh mạng của Công ty An ninh mạng BKAV cho rằng, các doanh nghiệp Việt Nam có tâm lý sính ngoại, dùng phần mềm của nước ngoài. Tuy nhiên, họ sẽ phải chấp nhận tình huống là khả năng hỗ trợ của nhà sản xuất khi xảy ra sự cố rất thấp.

Về bảo mật website, nước ta đã có tiêu chuẩn Việt Nam ISO 27001. Nhưng, theo nhiều chuyên gia, có rất ít cơ quan, đơn vị có thể thực hiện được tiêu chuẩn này bởi việc thực hiện nó quá khó khăn do cần đầu tư lớn. "ISO 27001 quy định rất cụ thể, nhưng theo tôi biết chỉ có khoảng 50 trên tổng số hàng trăm nghìn cơ quan, doanh nghiệp đủ khả năng tài chính, công nghệ áp dụng tiêu chuẩn này. Tuy nhiên, việc tăng cường bảo mật cho hệ thống công nghệ thông tin của tổ chức, doanh nghiệp cần bắt đầu từ ý thức của lãnh đạo và quản trị mạng" - ông Lê Trung Nghĩa (Bộ Khoa học và Công nghệ) cho biết.

Ông Vũ Quốc Thành, Phó Chủ tịch kiêm Tổng Thư ký VNISA cho biết, có nhiều người biết website của mình có lỗ hổng và sẽ bị tấn công nhưng họ không có đủ nguồn lực để bảo vệ. Do đó, họ đành chọn phương pháp im lặng và mặc kệ hacker vào "nhà". Trong khi đó, nhiều vấn đề về an toàn thông tin số được VNISA dành cho các nhà quản lý, doanh nghiệp thì không có câu trả lời với lý do "ngại chia sẻ" và cũng không thể buộc họ phải trả lời vì không có chế tài.

Ông Triệu Trần Đức khuyến cáo các tổ chức, doanh nghiệp sở hữu website là sau khi đưa trang web vào hoạt động cần thực hiện kiểm định và khắc phục các lỗi liên quan đến cấu hình, lỗ hổng. Việc kiểm định này phải tiến hành thường kỳ 3 tháng/lần. Quản trị mạng cũng cần có ý thức sao lưu dữ liệu và có phương án dự phòng cho các cuộc tấn công của tin tặc.

Những ngày gần đây, xu hướng tấn công các website của Việt Nam được cho là đã giảm. Nhưng điều đó không có nghĩa là các đợt tấn công mới của hacker sẽ không diễn ra. Đã đến lúc các tổ chức, doanh nghiệp cần phải thức tỉnh hơn trong vấn đề bảo đảm an toàn thông tin trên hệ thống mạng, tránh để "mất bò mới lo làm chuồng".