“Lỗ hổng” an toàn thông tin đang bị… khoét sâu

Hồi chuông cảnh báo về "lỗ hổng" an toàn thông tin số lại được gióng lên với các cơ quan và doanh nghiệp (DN) nhà nước.

Tin tặc hoành hành

Ngày 15/6/2011 ít nhất 41 trong tổng số 51 website của các cơ quan chính phủ Malaysia đã bị ngừng hoạt động bởi các cuộc tấn công mạng. Trong số các trang web bị tấn công có cả website của Chính phủ Malaysia (malaysia.gov.my), trang web của ngành du lịch và cả trang điện tử của tờ Thời báo New Straits Times. Gần đây nhất là ngày 15/9/2011, website của một số bộ thuộc Chính phủ Mexico bao gồm Bộ Quốc phòng và Bộ Công an đã phải ngừng hoạt động vì hacker tấn công.

Theo ông Ngô Quang Huy, Trưởng phòng Kỹ thuật Hệ thống, Trung tâm VNCERT (Bộ Thông tin & Truyền thông), đường "domino" đã nhanh chóng lan đến Việt Nam. Những trang báo mạng có uy tín như Vietnamnet cũng trở thành đích tấn công của các mạng Botnet lớn bằng phương thức DDOS. Đáng nói là tin tặc trong nước đã có sự kết hợp chặt chẽ và tham gia nhiều hơn vào các nhóm tội phạm mạng quốc tế để đánh cắp tiền của các cá nhân, DN và ngân hàng. Hệ thống bảo mật thông tin của nhiều cơ quan nhà nước và DN lỏng lẻo tới mức mới đây chính nhân viên của một ngân hàng sau khi nghỉ việc đã lợi dụng quyền truy cập vào hệ thống để "chôm" tiền của khách hàng. Rõ ràng, công tác an toàn thông tin đang bị các đơn vị xem nhẹ.

Để minh chứng cho nhận định này, VNCERT đã tiến hành cuộc khảo sát hiện trạng bảo mật an toàn thông tin tại các bộ, ngành, địa phương cả nước. Kết quả cho thấy, tỉ lệ các trang thông tin điện tử và cổng thông tin điện tử của địa phương được kiểm tra có lỗi nguy hiểm là rất cao, trên 30%. Ngay tại các đơn vị có cổng hoặc trang thông tin điện tử có chú trọng đảm bảo an toàn thông tin bằng tường lửa (Firewall), Anti-virus… thì các biện pháp phát hiện và ngăn chặn xâm nhập cũng chưa được đầu tư đúng mức. 50% chuyên viên quản trị mạng không cập nhật phiên bản mới cho hệ điều hành đang chạy trên thiết bị mạng và một số ít các nhà quản trị mạng có cập nhật phiên bản mới cho thiết bị mạng theo định kì. Trình độ năng lực của đội ngũ kĩ thuật và quản trị mạng cũng là điều đáng bàn, chỉ có 20% có khả năng tự khắc phục sự cố.

Tại Hà Nội - một trong hai thành phố lớn của cả nước, vấn đề an toàn thông tin cũng chưa được quan tâm đầu tư đúng mức, vì thế mà năm 2011 hành vi gian lận, tội phạm trên môi trường mạng có chiều hướng gia tăng gây nhiều nhức nhối.

Chuông cảnh báo quá yếu!

Đã có khá nhiều hội thảo, hội nghị về vấn đề an toàn thông tin được tổ chức với mong muốn gióng lên hồi chuông cảnh báo cho các đơn vị. Tuy nhiên, hội thảo kết thúc thì tiếng chuông cảnh báo cũng đồng thời "tắt lịm" vì tiếng chuông… quá yếu! Chúng ta đã có đầy đủ các Nghị định, Thông tư, Pháp lệnh… làm căn cứ pháp lý trong triển khai công tác đảm bảo an toàn thông tin. Các văn bản tương đối nhiều, song theo phản ánh của các cơ quan và DN thì nội dung qui định chưa cụ thể, chi tiết dẫn tới quá trình thực thi gặp nhiều lúng túng. Hiện cũng chưa có mô hình hệ thống an toàn thông tin nào chuẩn dành cho các cơ quan và doanh nghiệp học hỏi.

Trao đổi với phóng viên báo Kinh tế & Đô thị bên lề hội thảo An toàn thông tin trong cơ quan và DN Nhà nước do Sở Thông tin & Truyền thông (TT&TT) tổ chức sáng 5/10, Trưởng phòng Ứng dụng CNTT, Sở TT&TT Hà Nội Kim Lan Hương cho biết: Hàng năm, Thành phố đều dành kinh phí xây dựng hệ thống bảo mật thông tin cho các đơn vị nhưng hệ thống an toàn thông tin của các đơn vị còn yếu là do nhận thức. Bên cạnh đó, công tác cảnh báo chưa tốt, chưa toàn diện nên các cơ quan và DN chưa nhìn thấy hiểm họa khôn lường để biết sợ. "Khi phát hiện có lỗ hổng an ninh mạng, chúng ta chỉ đưa ra cảnh báo với riêng từng đơn vị dưới dạng công văn mật. Theo tôi nên công khai và lượng hóa cụ thể thiệt hại của các vụ hacker để tất cả người dân, cơ quan và DN cùng biết để đề phòng và đối phó tốt hơn" - bà Hương nêu kiến nghị.