Cơ quan nhà nước đã quan tâm nhiều hơn đến bảo mật, nhưng vẫn chưa theo kịp hacker

VietTimes -- Các chuyên gia nhận định khối cơ quan nhà nước đã quan tâm nhiều hơn đến an toàn an ninh thông tin. Tuy nhiên, Phó Cục trưởng Cục An toàn thông tin - Bộ TT&TT Nguyễn Huy Dũng cho rằng công nghệ luôn thay đổi, do đó các nguy cơ, rủi ro luôn phát triển nhanh hơn cả những cố gắng mà chúng ta đã làm.
Ngày 21/12, chuyên trang ICTnews của báo điện tử Infonet đã tổ chức buổi tọa đàm trực tuyến về chủ đề “Làm gì để bảo đảm an toàn thông tin trong cơ quan nhà nước?” (Ảnh: ICTnews)
Ngày 21/12, chuyên trang ICTnews của báo điện tử Infonet đã tổ chức buổi tọa đàm trực tuyến về chủ đề “Làm gì để bảo đảm an toàn thông tin trong cơ quan nhà nước?” (Ảnh: ICTnews)

Trong buổi tọa đàm “Làm gì để bảo đảm an toàn thông tin trong cơ quan nhà nước?” do báo điện tử Infonet tổ chức ngày hôm qua (21/12), ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng Công ty BKAV, nói rằng một thống kê về an ninh bảo mật trên các hệ thống website toàn cầu mà BKAV đã thực hiện, số website tại Việt Nam có lỗ hổng là khoảng 40%, tương đương mức trung bình trong khu vực nhưng là cao so với thế giới. Những trang web có hậu tố .gov.vn là những địa chỉ mà hacker luôn nhắm tới để tìm ra lỗ hổng, nhằm xâm nhập vào hệ thống. Khi xây dựng hệ thống, các tổ chức cần đảm bảo an toàn thông tin cho website, bao gồm khi đưa hệ thống mới vào sử dụng, cũng như khi nâng cấp, bổ sung các tính năng mới. Ngoài ra, cần có kế hoạch định kỳ thực hiện việc kiểm tra. Việc phát hiện sớm lỗ hổng sẽ giúp xử lý sớm, tránh bị hacker lợi dụng khai thác, xâm nhập vào hệ thống.

Theo ông Nguyễn Huy Dũng, Phó Cục trưởng Cục An toàn thông tin - Bộ TT&TT, cần nhận định công tác đảm bảo ATTT trong các cơ quan Nhà nước trong 3 năm gần đây đã được chú trọng hơn trước. Tham gia vào tọa đàm, ông Triệu Trần Đức, Tổng giám đốc Công ty cổ phần an ninh an toàn CMC - CMC InfoSec, cho biết cách đây 5 năm, con số website bị tấn công còn cao gấp đôi, khoảng 90. Như vậy sau 5 năm, tỷ lệ website ở Việt Nam bị tấn công đã giảm một nửa. Vài năm trở lại đây, nhận thức đã tăng nhanh, đầu tư phù hợp hơn. Tuy nhiên vẫn cần tăng cường các giải pháp kỹ thuật, cần tăng cường nhận thức từ những người lãnh đạo, bộ phận quản trị mạng... để con số này ngày càng giảm hơn.

“Công nghệ luôn thay đổi do đó các nguy cơ, rủi ro luôn phát triển nhanh hơn cả những cố gắng mà chúng ta đã làm trong thời gian qua. Do đó, cần phải tiếp tục quan tâm hơn nữa tới công tác đảm bảo ATTT đặc biệt cần có sự tham gia chỉ đạo trực tiếp của người đứng đầu các cơ quan tổ chức Nhà nước”, ông Nguyễn Huy Dũng nói.

Ông Khổng Huy Hùng, Tổng Giám đốc Công ty cổ phần Công nghệ an ninh không gian mạng VIệt Nam – VNCS, cho rằng với xu hướng tấn công an ninh mạng hiện nay, các cuộc tấn công vào cơ quan tổ chức doanh nghiệp ngày càng tinh vi và có dấu hiệu tập trung vào các hệ thống thông tin trọng yếu quốc gia như hàng không, ngân hàng, viễn thông… Thực tế, các hệ thống này đã là mục tiêu bị phá hoại nghiêm trọng bởi các cuộc tấn công mạng, điển hình là là vụ tấn công mạng vào ngành hàng không Việt Nam hồi tháng 8/2016. “Tôi cho rằng, các cơ quan nhà nước cần đề cao tính cấp thiết của an ninh mạng, đặt vấn đề an toàn thông tin lên ưu tiên cao, đưa ra các chính sách ưu đãi cho yếu tố con người để chiêu mộ nhân tài và củng cố nhận thức về an toàn thông tin trong nội bộ”, ông Hùng nói.

Một vấn đề quan trọng nữa đối với các cơ quan, tổ chức nhà nước là hiện nay có thông tin cho rằng các hacker có thể dùng phần mềm quét tự động vào các website với tên miền .vn và .gov.vn để tìm ra các hệ thống đang mắc lỗi bảo mật, sau đó chỉ việc khai thác lỗ hổng để xâm nhập. Ông Ngô Tuấn Anh cho biết: “Thực tế đang diễn ra như vậy, và hacker sẽ tiến hành dò quét tất cả các website trên mạng Internet, chứ không chỉ dò quét vào các website .vn và .gov.vn để tìm lỗ hổng. Khi tìm ra lỗ hổng, hacker sẽ tiến hành khai thác để xâm nhập và điều nguy hiểm là hầu hết các đơn vị chủ quản không hề biết website của mình bị tấn công khai thác. Ghi nhận thực tế của chúng tôi, hàng tháng tại Việt Nam có khoảng 300 website .vn bị hacker khai thác tấn công, trong đó có ghi nhận các website với tên miền .gov.vn. Những lỗ hổng tồn tại trên website chủ yếu xuất phát từ việc thiếu quy trình kiểm tra đánh giá cũng như kinh nghiệm về lập trình an toàn của đội ngũ lập trình viên. Để khắc phục tình trạng này đòi hỏi sự thay đổi nhận thức từ các chính phủ, doanh nghiệp và việc nâng cao kiến thức của các lập trình viên. Trong một dự án IT, cần đầu tư ít nhất từ 5 đến 10% cho an ninh mạng, nếu không hệ quả tất yếu là hệ thống bị xâm nhập, bị đánh cắp dữ liệu. Việc khắc phục rất tốn kém và mất nhiều thời gian”.

Trong khi đó, dự báo về tình hình an toàn thông tin mạng năm 2018, nhiều chuyên gia cho rằng tấn công có chủ đích APT sẽ tiếp tục gia tăng và các hạ tầng thông tin trọng yếu sẽ trở thành đích ngắm của nhiều nhóm tội phạm mạng. Ông Khổng Huy Hùng cho biết theo thống kê của một tổ chức quốc tế của Mỹ, tỷ lệ đầu tư cho an toàn thông tin trong tổng ngân sách đầu tư cho CNTT nói chung trung bình trên thế giới là khoảng 30% doanh nghiệp đầu tư ở mức dưới 6%; trong khi con số này ở Việt Nam, theo thống kê của Hiệp hội An toàn thông tin Việt Nam (VNISA) là gần 50% doanh nghiệp. Thực ra không phải là kinh phí đầu tư cho CNTT thấp dẫn đến đầu tư cho an toàn thông tin thấp mà do bản thân các đơn vị chưa chú trọng ưu tiên đầu tư cho an toàn thông tin.

Theo ông Hùng, các đơn vị, tổ chức không nên đầu tư dàn trải mà phương pháp đầu tư cho an toàn thông tin tiết kiệm nhất, hiệu quả nhất vẫn là thực hiện “may đo”. Không có đơn vị, doanh nghiệp nào có thể triển khai đầu tư tất cả các biện pháp đảm bảo an toàn thông tin. “May đo” ở đây được hiểu là phải biết được rủi ro về an toàn thông tin của tổ chức, doanh nghiệp nằm ở đâu và xếp thứ tự ưu tiên đối với chúng, từ đó thực hiện đầu tư các biện pháp nhằm giảm thiểu các rủi ro theo thứ tự ưu tiên. Để đánh giá được rủi ro, các tổ chức, doanh nghiệp có thể tự đánh giá cũng có thể mời các đơn vị tư vấn hỗ trợ đánh giá và đưa ra khuyến cáo nên tập trung vào những rủi ro nào để có biện pháp giảm thiểu trước.

Ông Nguyễn Huy Dũng, Phó Cục trưởng Cục An toàn thông tin - Bộ TT&TT, cho rằng các tổ chức, cơ quan nhà nước không chuyên về lĩnh vực an ninh mạng có thể cân nhắc thuê dịch vụ chuyên nghiệp do các doanh nghiệp cung cấp, để đảm bảo tốt nhất về an toàn thông tin cho hệ thống của đơn vị mình.