“Hãy thôi ảo tưởng về an toàn thông tin”

11:34, 30/11/2009

Đã có nhiều vụ đánh cắp thông tin gây tổn thất tới hàng chục triệu USD xảy ra, ấy thế nhưng nhiều người dùng Việt Nam vẫn vô tư nuôi trong mình ảo tưởng "Hacker tấn công tôi để làm gì?".

Những ảo tưởng sai lầm

 

Thứ trưởng Bộ Thông tin và Truyền thông (TT&TT) Nguyễn Minh Hồng cho biết, thời gian qua, tình trạng mất an toàn thông tin (ATTT) trong nước diễn biến khá phức tạp với hàng loạt hình thức như thư rác, virus, hacker, lừa đảo trực tuyến... Chính vì thế, trong bối cảnh khủng hoảng, việc đảm bảo ATTT không những không được coi nhẹ mà còn phải được quan tâm và đầu tư nhiều hơn.

 

 Hiện tại, Bộ TT&TT đã trình lên Thủ tướng Quy hoạch ATTT Quốc gia, với nhiều giải pháp được cho là thiết thực, khả thi và mang ý nghĩa dài hạn. Tuy nhiên nỗ lực "bảo vệ tài nguyên thông tin hôm nay vì ngày mai phát triển" - như chủ đề của ngày ATTT 2009 - không thể chỉ xuất phát từ các nhà làm chính sách. Trên thực tế, đó là một chiến lược cần có sự hợp tác, gắn kết chặt chẽ của cả ba khối: Nhà nước, Doanh nghiệp/Tổ chức và cá nhân.

 

"Bảo vệ tài nguyên thông tin là một giải pháp để chúng ta bảo vệ tài sản của chính mình", Chủ tịch Hiệp hội ATTT Việt Nam (VNISA) Nguyễn Duy Ngọc chia sẻ. Mặc dù vậy, cuộc khảo sát mới đây do VNISA tiến hành về "Thực trạng ATTT tại VN trong năm 2008" lại phản ánh một thực tế đáng buồn: đa số người dùng, cả doanh nghiệp, tổ chức lẫn cá nhân, đều chưa ý thức được điều đó.

 

Như đại diện của hãng bảo mật Check Point đã chỉ ra, người dùng, đặc biệt là người dùng Việt Nam, đang nuôi trong mình khá nhiều ảo tưởng sai lầm về bảo mật. Số liệu nghiên cứu chuyên nghiệp của hãng này cho thấy: có tới 35% số người  dùng cá nhân được hỏi tuyên bố bảo mật thông tin không phải là "việc của tôi", trong khi 45% tự nhận mình không phải "mục tiêu đáng giá" cho hacker. 52% đưa ra một lập luận rất "vô tư" cho việc bảo mật hớ hênh là "Tôi chưa đủ nổi tiếng để bị hacker chú ý" hoặc "Bọn tội phạm mạng làm sao kiếm được tiền từ thông tin cá nhân của tôi?".

 

Tuy nhiên, trong một xã hội thông tin hiện nay, gần như lĩnh vực nào của đời sống cũng có tiếp xúc không ít thì nhiều với Internet. Điều đó cũng đồng nghĩa với việc chúng ta đang "đứng ngoài sáng" và để lộ mình trước ánh mắt "hám tiền" của tội phạm mạng. Thế hệ hacker ngày nay có kỹ năng cực kỳ chuyên nghiệp và ẩn thân rất kỹ. Nhưng nguy hiểm nhất, đứng sau chúng luôn là một động cơ tài chính rất mạnh. Vì thế, dù cho là một người dùng cá nhân hay một  DN  nhỏ, miễn là chúng tìm thấy lợi ích nơi bạn, không ai có thể lạc quan rằng mình tuyệt đối an toàn trong môi trường mạng, đại diện CheckPoint khẳng định.

 

Không có ngoại lệ cho Việt Nam

 

Khá nhiều bằng chứng cụ thể cho kết luận trên đã được ông Trần Văn Hoà, đại diện của C15- Bộ Công An dẫn ra hội thảo. "Nhiều đơn vị cung cấp dịch vụ trên mạng mà không hay biết họ đã bị tấn công. Riêng trong tháng 10 vừa qua, bên Công an đã phải thông báo cho 19 đơn vị". Phải đến lúc ấy, cơ quan tổ chức mới "ngã ngửa".

 

Trước đó, dư luận cũng đã xôn xao về những vụ lập sàn giao dịch ảo để lừa đảo như Colonyinvest.com. Golden Rock, sàn vàng Tài Á, sàn vàng Kim Thiệu... với số tiền lừa đảo lên tới hàng chục triệu USD. Hay những vụ lừa đảo liên quan đến bán hàng trên mạng cũng đang xuất hiện với mật độ ngày càng dày.... Ấy thế nhưng cái khó cho bên công an là "nhiều hành vi chỉ có thể xử lý hành chính vì... không có luật" (!).

 

Một câu hỏi đặt ra là vậy vấn đề ATTT nằm ở đâu, giữa bộn bề những vấn đề trầm trọng của xã hội như An toàn thực phẩm, an toàn giao thông hay An toàn tiền tệ? Dù trên thực tế, ý nghĩa, tính thiết yếu và tầm quan trọng của ATTT không hề thua kém những lĩnh vực "dân sinh" kia, song điều đáng lo ngại là số đông dư luận vẫn chưa nhận ra, hoặc cố tình không nhận ra điều đó.

 

Theo Báo cáo của VNISA, có tới 35%  DN được hỏi không biết hệ thống của mình có bị tấn công hay không. 48% không rõ nguồn gốc của vụ tấn công và 73% không ước lượng được tổn thất do các vụ tấn công gây ra. Các tỷ lệ này đều ngang bằng hoặc tăng so với khảo sát lần đầu vào năm 2007, cũng đồng nghĩa với việc nhận thức về ATTT tại Việt Nam dường như vẫn còn giậm chân tại chỗ, chưa mấy cải thiện, bất chấp các nỗ lực tuyên truyền từ phía CP hay trên báo chí.

 

Một số thực trạng đáng buồn khác bao gồm: 53% không có quy trình thao tác chuẩn để phản ứng lại trước các vụ tấn công, với hơn 40% thậm chí không có cả ý định áp dụng quy trình phản ứng chuẩn, dù đã biết (!?!). Bên cạnh đó, khi xảy ra tấn công, đa số doanh nghiệp chỉ báo cho phòng Tin học/kỹ thuật hoặc cùng lắm là lãnh đạo cấp trên chứ không thông báo cho những đơn vị hữu trách như VNCERT. "Các doanh nghiệp vẫn chỉ coi đây là chuyện nội bộ, chứ không ý thức được rằng có thể hacker sẽ áp dụng cơ chế tấn công đó trên diện rộng", ông Vũ Quốc Thành, Phó chủ tịch VNISA cho biết.

 

Hàng rào mang tên "nhận thức"

 

Tất nhiên, cũng đã có một số doanh nghiệp tiếp cận vấn đề ATTT một cách nghiêm túc, có lộ trình đầy đủ và mang tính chuyên nghiệp. Họ sẵn sàng đầu tư mua sản phẩm có phí (từ cả trong nước lẫn quốc tế), triển khai hạ tầng kỹ thuật bảo mật... Mặc dù vậy, những doanh nghiệp như vậy chưa nhiều. Tỷ lệ phân bố ngân sách cho CNTT ở đại đa số các nơi vẫn chỉ từ 5-10% và sự đầu tư cũng chỉ dừng ở mức sơ khai như mua sắm phần cứng máy tính nói chung, phần mềm bảo mật sử dụng chưa được chú trọng nhiều. Trong khi đó, ở các nước phát triển, ngân sách này phần lớn được dành cho các giải pháp bảo mật chuyên nghiệp, cập nhật theo định kỳ.

 

"Khả năng nhận biết các cuộc tấn công thấp hơn rất nhiều so với các nước phát triển. Không định lượng được thiệt hại. Đa số không có quy trình phản ứng khi xảy ra sự cố. Chỉ thông báo nội bộ khi có chuyện và nhận thức chung về ATTT chưa cao" là những kết luận đáng để suy ngẫm của bản báo cáo. Ngay như ông Thành cũng phải thẳng thắn thừa nhận trên sân khấu rằng "Các vấn đề không khác gì của năm 2007, đa số còn trầm trọng hơn".

 

"Nói thật ra là doanh nghiệp chưa có quy trình xử lý sự cố. Họ chưa có đủ tiềm lực, thời gian, tài chính để triển khai ATTT theo chuẩn. Có thể nói việc thực hiện đang đi sau nhận thức một bước". Điều này, theo giới bảo mật, có thể dẫn đến những hệ quả khá tai hại tương tự như công tác phòng cháy chữa cháy. Doanh nghiệp cần phòng ngừa và ngăn chặn hoả hoạn xảy ra, chứ không phải chờ lửa cháy rồi mới dập, ông Thành chia sẻ với phóng viên VietNamNet.

 

Còn đại diện hãng bảo mật Symantec thì thẳng thắn: "DN Việt Nam chưa quan tâm nhiều đến chuyện bảo mật, mà có quan tâm thì họ cũng chưa có nhiều kinh nghiệm".

Đi tìm giải pháp cho vấn đề nhận thức, ông Thành cho rằng cần có sự kết hợp của 3 yếu tố: Tầm nhìn của lãnh đạo doanh nghiệp/cơ quan/tổ chức và nhận thức chung của từng cá nhân. Bên cạnh đó, các cơ quan nhà nước cũng cần xác định ATTT là một vấn đề có tính chất pháp lý, đòi hỏi chuẩn chung (Các DN mới chỉ xuất phát từ nhu cầu tự thân để triển khai ATTT, thế nên dẫn đến tình trạng là DN nào không cần, hoặc không biết là mình cần thì... không triển khai).

 

Việc Bộ TTTT xác định "Xây dựng hệ thống kiểm tra an toàn mạng quốc gia và hệ thống đánh giá, kiểm định ATTT" là hai trọng điểm của Quy hoạch ATTT Quốc gia có thể coi là một dấu hiệu đáng mừng từ phía các nhà hoạch định chính sách, bởi theo VNISA, để tạo ra được sự thay đổi mạnh mẽ trong nhận thức xã hội về ATTT, cần có giải pháp mang tính đột phá từ phía Chính phủ. Nhưng tất nhiên, nếu tất cả mọi người đều bảo vệ và nâng niu thông tin như bảo vệ tài sản quý giá của mình, câu chuyện ATTT 2009 sẽ "có hậu" hơn rất nhiều.