An toàn thông tin ở Việt Nam: Mất bò vẫn… không lo làm chuồng

Trước thực trạng ngày càng có nhiều cuộc tấn công mạng nhắm vào Việt Nam, và đã có nhiều hệ thống của cơ quan lớn "gục" trước hacker, nhưng theo các chuyên gia, tình trạng mất bò vẫn… không lo làm chuồng còn phổ biến.

Thông tin trên được đưa ra tại buổi Tọa đàm "An toàn Thông tin và mối đe dọa tới nền kinh tế" do Câu lạc bộ Nhà báo ICT tổ chức tại Hà Nội vào chiều 27/9.

Rất… "gan dạ" dù "bị đánh"

Vài năm gần đây, nhiều hệ thống quan trọng của các tổ chức, doanh nghiệp Việt Nam bị hacker tấn công. Vào cuối tháng Bảy là Vietnam Airlines và hệ thống của cụm cảng hàng không, website của VFF, sau đó là Báo Sinh viên Việt Nam, Athena… và mới đây, hacker đã nhắm vào Netlink khiến một số trang thông tin, báo điện tử như Techz, Nguoiduatin, Doisongphapluat bị tê liệt…

Đó chỉ là những ví dụ điển hình, bề nổi của cuộc chiến đấu không bao giờ có hồi kết với hacker mà bất kỳ một ai trong giới công nghệ thông tin có lẽ đều hiểu rất rõ. Một thống kê của Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) chỉ ra rằng, nếu năm 2015 ghi nhận 31.585 sự cố (gồm cả sự cố Phishing, Deface và Malware) thì chỉ tính riêng 6 tháng đầu năm 2016 các sự cố này đã trên 127.000. Trong đó, Phishing: 8758; Deface: 77160; Malware: 41.712.

Ông Tống Viết Trung, Phó Tổng Giám đốc Tập đoàn Viễn thông Quân đội (Viettel) thẳng thắn cho rằng có nhiều lỗi mang tính chất rất căn bản.

“Chúng tôi đi làm cho các doanh nghiệp tương đối lớn, nhưng khi rà soát về an toàn thông tin thì chỉ trong một ngày thấy rất nhiều vấn đề. Việc này, chẳng cần hacker cao thủ mà chỉ cần trình độ bình thường, sử dụng kỹ thuật phổ biến là có thể truy cập được hệ thống,” ông Trung nói.

Trong khi đó, ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng của Bkav thì viện dẫn một khảo sát của Bkav năm 2014 cho thấy có tới 40% website còn tồn tại lỗ hổng, trong đó có nhiều website có tên miền .gov.vn.

Vừa qua, Bkav có mở khảo sát sơ bộ với hơn 2.000 website (cả website chính thức và website nhánh) có tên miền .gov.vn thì hơn 10% có khả năng bị tấn công xâm nhập.

Đồng quan điểm, ông Nguyễn Trung Chính, Chủ tịch-Tổng Giám đốc Tập đoàn CMC bày tỏ thực sự lo ngại về mức độ an ninh thông tin của toàn bộ hệ thống, kể cả các hệ thống trọng yếu quốc gia.

"Hacker tấn công liên quan tới tài chính ngày càng tăng. Việt Nam không còn là mảnh đất hứa khi game online nhiều, ATM khắp nơi khiến cơ hội lấy tiền ở Việt Nam ngày càng lớn," ông Chính nói.

Ông Triệu Trần Đức, Giám đốc Công ty an ninh an toàn thông tin CMC Infosec cũng nhận định phần lớn hệ thống ở Việt Nam có thể bị đột nhập. Nhiều đơn vị mất bò vẫn không lo làm chuồng.

“Đội ngũ làm công nghệ thông tin của cơ quan nhà nước rất… “gan dạ.” Vài ngày sau khi bị tấn công vẫn coi như bình thường. Nếu hệ thống chấp nhận rủi ro mất thông tin thì không có gì phải bảo vệ cả, nhưng có nhiều ngành không thể chấp nhận bị mất,” ông Đức thẳng thắn.

Lấy ví dụ từ việc Yahoo thừa nhận bị đánh cắp hàng trăm triệu tài khoản của khách hàng, ông Đức đặt câu hỏi: Liệu hệ thống công nghệ trọng yếu của Việt Nam có được đầu tư như Yahoo không? Và, ông mong những người có trách nhiệm tự hỏi và trả lời câu đó.

Hệ thống tốt vẫn không thể “ăn ngon ngủ yên”

Nhiều chuyên gia cũng cho rằng, với sự bùng nổ của Internet vạn vật (IoT), vấn đề bảo đảm an toàn thông tin sẽ ngày càng trở nên vô cùng cần thiết.

Ông Đỗ Vũ Anh, Thành viên Hội đồng quản trị của VNPT cho rằng, kỳ vọng vào một giải pháp an toàn thông tin chống hacker hoàn toàn là điều không thể. Ông cũng khuyến cáo khi thiết kế hệ thống, phải quan tâm vấn đề an toàn mạng.

Theo ông Jong Hyun Park, Tổng Giám đốc DASAN Zhone Solutions Việt Nam, nếu IoT thực sự bùng nổ, thì điều đầu tiên cần làm là phải nâng cao nhận thức của công chúng về vấn đề an toàn thông tin. Trong nỗ lực nâng cao nhận thức về an toàn bảo mật thông tin, chính phủ của nhiều quốc gia đã không ít lần đưa ra những khuyến cáo về rủi ro bảo mật từ các thiết bị của một số nhà cung cấp được cho là không an toàn.

Ảnh minh họa. (Nguồn: charityowl.com)

Thế nhưng, ngay cả khi có được hệ thống tốt, thì việc “ăn ngon ngủ yên” cũng là không thể.

Nhìn thẳng vào vấn đề, Phó Tổng Giám đốc Viettel Tống Viết Trung cho rằng có ba trạng thái nhận thức của lãnh đạo với an toàn thông tin: Thờ ơ, coi đó không phải việc của mình; việc này phức tạp lắm, thôi để các “ông lớn” lo; phức tạp quá, thôi đóng hệ thống lại. Và, cả ba trạng thái này đều rất nguy hiểm.

Giả dụ như một hệ thống công nghệ tốt, nhưng một nhân viên không cẩn trọng để lộ sơ hở (ví dụ mở nhầm email đính kèm mã độc), khiến virus xâm nhập hệ thống thì vẫn “dính đòn” như chơi.

Ông Nguyễn Trung Chính ví von, về công nghệ, có khi mua khóa rất “xịn” nhưng “để chìa ngoài thềm” thì chiếc khóa “xịn” ấy cũng vô nghĩa.

Cục trưởng Cục An toàn thông tin (Bộ Thông tin và Truyền thông) Nguyễn Thanh Hải thẳng thắn cho hay, hầu hết các trang thiết bị của Việt Nam đều đi mua, nên không thể nói dựa vào thiết bị của ai đó thì an toàn hơn. Do đó, vấn đề ở đây là các doanh nghiệp, chính phủ phải có cách gì.

Ông Hải cũng nói nhận thức là quan trọng số một. Các hệ thống dù có hiện đại đến đâu vẫn do con người vận hành và chỉ cần một sai sót là hacker có thể xâm nhập.

"Trong an toàn thông tin, không ai có thể nói có thể đảm bảo an toàn tuyệt đối. Quan trọng là các doanh nghiệp phải đánh giá chính xác giá thành và rủi ro an toàn thông tin. Nếu không đánh giá đúng thì sẽ lãng phí hoặc mất tiền," ông Hải nói.

Cũng theo ông Hải, Bộ Thông tin và Truyền thông đang triển khai hướng dẫn Luật An toàn thông tin mạng, trong đó xây dựng các cấp độ an toàn thông tin để bảo vệ hợp lý. Ngoài ra, các tổ chức, doanh nghiệp cần phải phòng thủ tốt, thường xuyên kiểm tra đánh giá, rà soát hệ thống để phát hiện lỗi và kịp thời khắc phục./.