Hàng nghìn website Việt trong hiểm họa
15:03, 27/05/2008
Vấn đề bảo mật tại Việt Nam đang nóng dần theo mức độ phát triển của ứng dụng CNTT, từ lượng máy tính nhiễm virus đến số trang web bị tấn công. Những con số biết nói Theo thống kê của Trung tâm an ninh mạng Bách Khoa (Bkis), năm 2007 có hơn 33,6 triệu lượt máy tính ở Việt Nam đã nhiễm virus, với thiệt hại ước tính khoảng 2400 tỷ đồng. Số lượng virus mới xuất hiện tăng nhanh, khoảng 6700 virus mới trong cả năm 2007, tăng gấp rưỡi so với năm trước đó. Đáng chú ý là các virus lây qua thẻ nhớ USB, virus phá hủy dữ liệu, virus xuất từ Trung Quốc và hiện tượng virus lây theo bầy đàn (chứa các loại phần mềm độc hại gồm sâu, trojan, spyware, adware). Đáng lo hơn là tình trạng mất an toàn của các trang web ở Việt Nam. Ông Nguyễn Từ Quảng, giám đốc Bkis khẳng định khoảng trên 80% trang web của các cơ quan, doanh nghiệp ở Việt Nam nếu muốn, hacker có thể kiểm soát hệ thống. Việc thâm nhập có thể qua web, qua người dùng, thậm chí là ngồi ngoài hàng rào cơ quan móc dây, lấy trộm mật khẩu. “Con số này dựa trên những khảo sát thực tế của Bkis”, ông Quảng nhận định. Một khảo sát của Bkis với các công ty chứng khoán thực hiện tháng 3 năm ngoái cho thấy các trang web của lĩnh vực nhạy cảm này cũng không hề an toàn, khi có tới một nừa trong số 32 trang web chứng khoán có lỗ hổng nghiêm trọng có thể bị hacker lợi dụng để thay đổi kết quả giao dịch, đưa tin thất thiệt. Sau gần 1 năm, Bkis lại tiếp tục khảo sát lại các trang web này thì tình hình bảo mật có được cải thiện nhưng vẫn còn tới 40% trang web còn lỗ hổng nguy hiểm. Ông Nguyễn Viết Thế, Cục trưởng Cục công nghệ tin học nghiệp vụ, Tổng cục kỹ thuật (Bộ Công an) cho biết, năm 2007 cũng phát hiện khoảng 140 trang web Việt Nam dính lỗ hổng nghiêm trọng, trong đó có cả những trang web .gov.vn (của cơ quan chính phủ). Hơn 340 trang web Việt Nam bị hacker trong và ngoài nước tấn công. “Hổng” cả nhận thức và hành lang pháp lý Khảo sát của Bkis cho thấy nhận thức của người dùng máy tính ở Việt Nam đã được nâng lên. Cụ thể, năm 2006 chỉ có 26% người sử dụng hiểu tại sao phải cập nhật bản vá và lỗ hổng phần mềm thường xuyên. Năm 2007, con số này tăng lên gần 50%. Tỷ lệ người dùng phần mềm diệt virus tăng từ 31% năm 2006 lên 40% trong năm 2007. Nhưng mức độ cải thiện nhận thức chưa đủ để biến thành hành động, giảm thiểu nguy cơ an ninh mạng. Theo ông Quảng, để giảm thiểu nguy cơ an ninh mạng thì không chỉ đòi hỏi nhận thức về kỹ thuật, mà phải biết sử dụng các dịch vụ. Việc bảo mật cũng giống như xây ngôi nhà phải thiết kế ngay từ đầu, sau đó mới đến lựa chọn sản phẩm, giải pháp. Sau đó là quá trình vận hành áp dụng các tiêu chuẩn, quy trình bảo mật chuyên nghiệp như ISO 27001. Để làm được việc này, cách tốt nhất là thuê tư vấn chuyên nghiệp, không nên tự làm hoặc sử dụng tư vấn của nhà cung cấp giải pháp. Tuy nhiên, “ở Việt Nam rất ít cơ quan tìm đến các dịch vụ chuyên nghiệp. Có cơ quan bị hack lại mày mò tài liệu tìm cách khắc phục chứ không tìm đến tổ chức chuyên nghiệp”, ông Quảng nói. Theo ông Trần Nguyên Vũ, Phó cục trưởng Cục Tin học Thống kê tài chính (Bộ Tài chính), an toàn thông tin trong các cơ quan nhà nước nói là được đề cao nhưng đưa vào thực thi thì chưa làm được. Ông Vũ cho rằng các sản phẩm và giải pháp bảo mật hiện nay đã rất tốt. Vấn đề là sử dụng nó thế nào cho đúng quy trình. Tuy nhiên, hạn chế của các cơ quan hiện nay là chưa áp dụng quy trình bảo mật chuẩn, thiếu người chuyên trách về an toàn thông tin. Trong khi đó, môi trường pháp lý cho vấn đề an ninh mạng cũng “hổng” như nhận thức. Đến nay, hầu hết các vụ tội phạm cơ quan công an phát hiện được đều chỉ bị xử lý nặng nhất là hành chính, chưa đủ sức răn đe. Luật Hình sự quá chung chung, không có hướng dẫn cụ thể để xử lý các vụ tội phạm mạng. Giới chuyên môn nhận định rằng, tình trạng mất an toàn thông tin nếu không được “hạ nhiệt” sẽ là cản trở lớn với sự phát triển CNTT. Vì lo ngại an toàn, theo đại diện Bộ Công an, ngành công an mới chỉ giao ban trực tuyến trong tổng cục, không dám giao ban trực tuyến trong toàn ngành vì lãnh đạo sợ không đảm bảo an toàn, mặc dù điều kiện kỹ thuật hoàn toàn cho phép. Một nghiên cứu của PricewaterhouseCoopers cho thấy khi doanh nghiệp chuyển sang thương mại điện từ, nếu hệ thống thông tin bị tấn công và ngưng hoạt động, doanh nghiệp quy mô nhỏ và vừa sẽ giảm doanh số 50%, doanh nghiệp lớn có thể lên đến 80%. 2008 sẽ rất nóng Dự báo năm 2008, giới chuyên môn nhận định tình hình an ninh mạng còn nóng hơn do ứng dụng CNTT ngày cành mạnh mẽ trong bối cảnh nhận thức và hành lang pháp lý chưa theo kịp. Đầu tư cho CNTT ở Việt Nam đã bắt đầu vào giai đoạn khác hẳn. Ví dụ, ngành tài chính đã chuyển sang giai đoạn đầu tư tập trung dựa trên web, khoảng 80% hoạt động vụ của ngành đã diễn ra trên môi trường mạng. Ngành bắt đầu hình thành các cơ sở dữ liệu tập trung lớn, cần bảo đảm an toàn. Các lĩnh vực như chứng khoán, ngân hàng, thuế và hải quan đã chuyển dần hoạt động lên môi trường mạng. Việc hội nhập WTO cũng thúc đẩy các tổ chức và doanh nghiệp ứng dụng CNTT mạnh mẽ hơn để tăng sức cạnh tranh. Theo ông Nguyễn Viết Thế, "năm nay sẽ tiếp tục xuất hiện nhiều biến thể virus mới, tội phạm an ninh mạng sẽ chuyên nghiệp và tinh vi hơn, mạng xã hội sẽ là đích ngắm mới của hacker. Đặc biệt, do sự yếu kém của hệ thống mạng chứng khoán, có thểõ xuất hiện sự cấu kết giữa hacker và người chơi chứng khoán nhằm thay đổi thông tin giao dịch, sửa chỉ số chứng khoán hoặc đưa tin thất thiệt để trục lợi." Bkis cũng dự báo việc sử dụng mạng xã hội nói xấu, bôi nhọ, hạ thấp uy tín cá nhân và tổ chức (cơ quan, doanh nghiệp) sẽ là vấn đề nổi cộm. Mục đích của việc này có thể là cạnh tranh thương mại không lành mạnh hay cũng chỉ là mục đích cá nhân. Cùng với sự phổ biến của những nền tảng di động mới như Android của Google và iPhone của Apple có thể sẽ là điều kiện xuất hiện nguy cơ từ thiết bị di động, nhất là khi các ngân hàng và các sàn đấu giá đang hướng tới thiết bị động. Theo Đỗ Duy ICTnews