Thiếu vốn, thiếu cả tư duy

Hiện nhiều dịch vụ công trực tuyến còn tồn tại lỗi bảo mật song chưa được các cơ quan chủ quản quan tâm đúng mức. Ảnh: Nhật Nam

Lỗ hổng nhỏ, nguy cơ lớn

Các số liệu được công bố tại hội thảo "An toàn an ninh thông tin hướng tới tạo dựng niềm tin và thúc đẩy việc sử dụng các dịch vụ xã hội hiện đại" vừa diễn ra ở Hà Nội đã khiến cộng đồng hết sức lo ngại. Ông Nguyễn Minh Đức, Giám đốc Bộ phận an ninh mạng Bkav cho biết, chỉ trong 3 tháng đầu năm 2012 đã có hơn 400 website lớn ở Việt Nam bị tấn công, trong đó khoảng 20% website/portal có đuôi .gov (website của cơ quan chính phủ). Đây chỉ là số được phát hiện và còn rất nhiều website khác bị tấn công mà chưa nắm bắt được. Phần lớn các portal bị tấn công bởi những lỗ hổng đơn giản nhưng cũng dễ dàng "giúp" hacker chiếm quyền kiểm soát cơ sở dữ liệu trên máy chủ web, khai thác dữ liệu có trên hệ thống máy chủ lưu trữ các giao dịch dịch vụ công trực tuyến (DVCTT) của người dân.

Còn theo Thiếu tướng Nguyễn Viết Thế, nguyên Cục trưởng Cục Tin học nghiệp vụ (Bộ Công an), năm 2011, an ninh mạng Việt Nam được đặt ở mức báo động. Trong tháng 5 và 6-2011, có 329 website tên miền .gov.vn bị tấn công. Riêng ngày 23-10-2011, có hơn 150 website bị tấn công trong một ngày, do nhóm hacker Thổ Nhĩ Kỳ thực hiện. Năm 2011 cũng ghi nhận 64,2 triệu lượt máy tính ở Việt Nam bị nhiễm virus, 38.961 dòng virus xuất hiện mới. Theo Hãng bảo mật Symantec, số lượng máy chủ, hosting độc hại của Việt Nam nhiều thứ 11 trên thế giới. Không gian mạng của Việt Nam đã trở thành nơi "ưa thích" của hacker thế giới và là "ổ máy tính ma" lớn. Nguyên nhân dẫn đến việc bị tấn công mạng là do yếu kém trong quản trị website và không thường xuyên phát hiện, khắc phục các lỗ hổng bảo mật. Nhiều đơn vị còn phớt lờ các cảnh báo của cơ quan có chức năng bảo đảm an toàn an ninh thông tin quốc gia.

Cảnh báo nhiều, nhưng...

Ông Nguyễn Minh Đức cho biết thêm, từ tháng 6-2011, khi các website lớn của Việt Nam bị hacker tấn công dồn dập thì nhận thức, hành động của các cơ quan chủ quản website có tiến bộ nhất định. Nhiều cơ quan, tổ chức đã lên kế hoạch triển khai công tác bảo đảm an ninh năm 2011 - 2012. Tuy nhiên, do Nghị quyết 11 về cắt giảm đầu tư công dẫn đến mâu thuẫn là dù có nhu cầu lớn về tăng cường bảo đảm an toàn an ninh song lại không thể đầu tư vì không bố trí được vốn. Phần lớn các kế hoạch hiện nay vẫn nằm trên giấy tờ, chưa được triển khai thực sự. Chính vì thế, các hệ thống portal/website của cơ quan nhà nước vẫn tồn tại rất nhiều lỗ hổng mà hacker có thể xâm nhập được.

Ông Vũ Quốc Khánh, Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam VNCERT (Bộ TT-TT) khẳng định, về nguyên tắc, các portal cung cấp DVCTT phải được bảo mật. Để phát hiện kịp thời các lỗ hổng trên website, portal, các cơ quan nhà nước thường sử dụng công cụ truyền thống là phần mềm quét cài đặt trên máy của quản trị website. Vài năm gần đây, ở Việt Nam đã xuất hiện thêm công cụ đánh giá lỗ hổng website dựa trên công nghệ điện toán đám mây. Công cụ đánh giá lỗ hổng sử dụng công nghệ đám mây có nhiều ưu điểm hơn phần mềm quét thông thường như: giảm chi phí; không cần cài đặt phức tạp về hạ tầng, thiết bị...

Ông Nguyễn Đăng Đào, Phó Cục trưởng Cục Quản lý kỹ thuật nghiệp vụ mật mã (Ban Cơ yếu Chính phủ) cho rằng, trước tình hình mất an toàn an ninh như hiện nay, các cơ quan nhà nước đã có quan tâm tới việc bảo đảm an toàn bảo mật các DVCTT, song sự quan tâm chưa sâu sắc. Đặc biệt, việc triển khai xác thực chữ ký số và bảo mật mã hóa cho các hệ thống cung cấp dịch vụ chưa nhiều. Mới chỉ có một số cơ quan ứng dụng chữ ký số để cung cấp dịch vụ công như khai thuế qua mạng, hải quan điện tử… Nhìn chung các cơ quan cung cấp dịch vụ công vẫn chưa chủ động đề xuất tích hợp công cụ xác thực, chữ ký số để bảo đảm bảo mật cho hệ thống cung cấp DVCTT. Hiện vẫn chưa có báo cáo tổng quan nào về hiện trạng bảo đảm an toàn bảo mật cho lĩnh vực này được công bố, khiến cho các bộ, ngành chưa biết "sợ", chưa thực sự gấp gáp triển khai những kế hoạch hữu hiệu để "thanh toán" triệt để nguy cơ lộ, lọt thông tin cá nhân của những người dân sử dụng dịch vụ.

Rõ ràng, với những thông tin cá nhân có thể thu thập được từ các hệ thống cung cấp DVCTT, hacker có thể khai thác và sử dụng vào nhiều mục đích khác nhau, chẳng hạn mạo danh để làm việc phi pháp, hoặc sử dụng các tài khoản để chiếm đoạt tài sản cá nhân... Đó là mối hiểm họa hết sức lớn đối với tình trạng bảo mật trong quá trình phát triển các DVCTT cũng như Chính phủ điện tử ở Việt Nam hiện nay.