ICTnews - Hơn 100.000 dịch vụ công trực tuyến đã được triển khai trên các cổng thông tin điện tử (portal) của Bộ, ngành, địa phương, song rất nhiều portal lại đang tồn tại lỗ hổng có thể “giúp” hacker khai thác dữ liệu của người sử dụng dịch vụ công.

Ảnh minh họa. Nguồn: Internet.

3 tháng, 80 website .gov bị tấn công

Công tác cải cách hành chính gắn với xây dựng Chính phủ điện tử (CPĐT) đang được “tăng tốc” triển khai trên phạm vi toàn quốc. Theo báo cáo của Tập đoàn dữ liệu Quốc tế IDG về CPĐT tại Việt Nam (công bố tháng 11/2011), trong năm 2011 đã có tới 94.000 dịch vụ công trực tuyến được cung cấp ở mức độ 1 (có đầy đủ thông tin về quy trình thủ tục, các giấy tờ cần thiết) và mức 2 (cho phép tải về các mẫu đơn, hồ sơ để in ra giấy); 775 dịch vụ được cung cấp ở mức độ 3 (cho phép điền và gửi trực tuyến các mẫu đơn, hồ sơ) và một vài dịch vụ đã được cung cấp ở mức độ 4 - mức cao nhất của hệ thống CPĐT (việc thanh toán chi phí được thực hiện trực tuyến, gửi và nhận kết quả qua bưu điện hoặc qua mạng).

Chưa hết mừng vì sự tăng trưởng dịch vụ công trực tuyến thì tại Hội thảo “An toàn An ninh thông tin hướng tới tạo dựng niềm tin và thúc đẩy việc sử dụng các dịch vụ xã hội hiện đại” phiên chiều 22/3/2012 với chủ đề “An toàn thông tin trong các cơ quan thuộc khối Chính phủ: Đảm bảo việc cung cấp hiệu quả các dịch vụ công điện tử”, một số số liệu được công bố đã khiến cộng đồng quan ngại về nguy cơ rủi ro đối với người sử dụng dịch vụ công trực tuyến.

Trao đổi với phóng viên Bưu điện Việt Nam, ông Nguyễn Minh Đức, Giám đốc Bộ phận An ninh mạng, BKAV lưu ý: Chỉ trong 3 tháng đầu năm 2012 đã có hơn 400 website lớn ở Việt Nam bị tấn công, trong đó khoảng 20% website/portal có đuôi .gov (website của cơ quan Chính phủ) có cung cấp các dịch vụ công trực tuyến cho người dân, doanh nghiệp. Đây chỉ là con số website được phát hiện, còn rất nhiều website khác bị tấn công mà chưa ai phát hiện ra.

Theo ông Đức, phần lớn các website/portal bị tấn công bởi những lỗ hổng đơn giản. Chỉ cần 1 phần nhỏ trên website/portal “dính” lỗ hổng thì cũng có thể “giúp” hacker tấn công tiến tới chiếm quyền kiểm soát cơ sở dữ liệu trên máy chủ web, thậm chí chiếm được toàn quyền kiểm soát máy chủ, khai thác được dữ liệu có trên hệ thống máy chủ lưu trữ các giao dịch dịch vụ công trực tuyến của người dân.

Nhiều kế hoạch vẫn trên giấy

Thời gian qua, nhiều đơn vị, doanh nghiệp chuyên về an toàn bảo mật như Trung tâm Ứng cứu khẩn cấp sự cố máy tính Việt Nam (VNCERT), Bkav,... rất “chăm chỉ” đưa ra các báo cáo, khuyến nghị về lỗ hổng portal/website của các cơ quan Nhà nước, thế nhưng phản ứng của các Bộ, ngành vẫn chưa đạt yêu cầu.

Vấn đề bảo mật dịch vụ công trực tuyến lần đầu tiên được các chuyên gia trong và ngoài nước thảo luận tại một hội thảo quốc tế. Ảnh: Xuân Bách.

Chia sẻ về vấn đề này, ông Đức nói: Từ tháng 6/2011, khi các website lớn của Việt Nam bị hacker tấn công dồn dập và rất nhiều thông tin về việc tấn công website Bộ, ngành, doanh nghiệp lớn được đăng tải đồng loạt trên các phương tiện truyền thông, thì nhận thức, hành động của các cơ quan chủ quản website đó đã có sự tiến bộ nhất định. Nhiều cơ quan, tổ chức đã lên kế hoạch triển khai công tác đảm bảo an ninh năm 2011 – 2012. Tuy nhiên, do Nghị quyết 11 về cắt giảm đầu tư công dẫn đến mâu thuẫn dù có nhu cầu lớn về tăng cường đảm bảo an toàn an ninh song lại không thể đầu tư vì không bố trí được vốn. Phần lớn các kế hoạch hiện nay vẫn nằm trên giấy tờ, chưa được triển khai thực sự. Và các hệ thống portal/wesite của cơ quan Nhà nước vẫn tồn tại rất nhiều lỗ hổng mà hacker có thể xâm nhập được.

Theo tìm hiểu của phóng viên Bưu điện Việt Nam , hiện vẫn chưa có báo cáo tổng quan nào về hiện trạng đảm bảo an toàn bảo mật cho các dịch vụ công trực tuyến tại Việt Nam được công bố. Có lẽ đây cũng chính là một nguyên nhân khiến cho các Bộ, ngành chưa biết “sợ”, chưa thực sự gấp gáp triển khai những kế hoạch cụ thể hữu hiệu để “thanh toán” triệt để nguy cơ lộ lọt thông tin cá nhân của những người dân sử dụng dịch vụ công trực tuyến.

Cần lưu ý, với những thông tin cá nhân có thể thu thập được từ các hệ thống cung cấp dịch vụ công trực tuyến, hacker có thể khai thác và sử dụng vào nhiều mục đích khác nhau, có thể gây hại cho người dân, chẳng hạn mạo danh để làm việc phi pháp, hoặc sử dụng các tài khoản để chiếm đoạt tài sản cá nhân,…

Ông Nguyễn Đăng Đào, Phó Cục trưởng Cục Quản lý kỹ thuật nghiệp vụ mật mã, Ban Cơ yếu Chính phủ, Bộ Quốc phòng:

Trước tình hình mất an toàn an ninh như hiện nay, các cơ quan Nhà nước đã có quan tâm tới việc đảm bảo an toàn bảo mật các dịch vụ công trực tuyến, song sự quan tâm chưa sâu sắc. Đặc biệt, việc triển khai xác thực chữ ký số và bảo mật mã hóa cho các hệ thống cung cấp dịch vụ công trực tuyến vẫn chưa nhiều. Mới chỉ có một số cơ quan ứng dụng chữ ký số để cung cấp dịch vụ công như khai thuế qua mạng, thủ tục hải quan điện tử,… Nhìn chung các cơ quan cung cấp dịch vụ công vẫn chưa chủ động đề xuất tích hợp công cụ xác thực, chữ ký số để đảm bảo bảo mật cho hệ thống cung cấp dịch vụ công trực tuyến.

Ông Vũ Quốc Khánh, Giám đốc VNCERT:

Về nguyên tắc, các portal cung cấp dịch vụ công trực tuyến phải đảm bảo bảo mật. Portal cung cấp dịch vụ công có thu thập thông tin của người dân mà lại để cho tin tặc tấn công đột nhập vào hệ thống thì dịch vụ công đó không đạt yêu cầu. Để đảm bảo an toàn cho 1 hệ thống cổng thông tin điện tử, từ giữa năm ngoái, Bộ TT&TT đã công bố tài liệu hướng dẫn do VNCERT biên soạn, trong đó đã nêu một loạt biện pháp tổng thể bảo vệ hệ thống từ hạ tầng, server, đường truyền cho đến các dịch vụ web, cơ sở dữ liệu... Các cơ quan Nhà nước phải rà soát, kiểm tra thường xuyên để đảm bảo không có các lỗ hổng trên website/portal.

Nên sử dụng công cụ đánh giá lỗ hổng website dựa trên công nghệ đám mây

Để phát hiện nhanh chóng các lỗ hổng trên website, portal, các cơ quan Nhà nước thường sử dụng công cụ truyền thống là các phần mềm quét cài đặt trên máy của quản trị website. Tuy nhiên, 1 – 2 năm gần đây, ở Việt Nam đã xuất hiện thêm công cụ đánh giá lỗ hổng website dựa trên công nghệ đám mây.

Công cụ đánh giá lỗ hổng sử dụng công nghệ đám mây có nhiều ưu điểm hơn phần mềm quét thông thường như: Giảm chi phí; không cần cài đặt phức tạp về hạ tầng, thiết bị…

Đặc biệt, với phần mềm đánh giá lỗ hổng thì nhiều người có thể mua về cài đặt để quét website và lợi dụng để tấn công website, nhưng với hệ thống sử dụng công nghệ đám mây thì chỉ chủ quản thực sự của website mới có quyền ra lệnh quét website đó, tránh trường hợp người xấu lợi dụng công nghệ để quét.

Hiện Công ty Bkav cũng đang triển khai dịch vụ thử nghiệm đánh giá lỗ hổng website, có thể sử dụng laptop, máy tính bảng để truy cập hệ thống, ra lệnh quét website mà không cần cài đặt. Giá dịch vụ ước tính sẽ giảm 1/3 so với mua phần mềm quét theo kiểu truyền thống.

Xuân Bách