Nhiều lỗ hổng an toàn thông tin trong cơ quan nhà nước

Thời gian gần đây, tình hình mất an toàn thông tin (ATTT) ở nước ta diễn biến phức tạp, xuất hiện nhiều nguy cơ đe dọa đến việc ứng dụng công nghệ thông tin phục vụ phát triển kinh tế - xã hội... 

Tại một hội thảo về ATTT trong CQNN tại Hà Nội vừa qua, ông Vũ Quốc Thành, Phó Chủ tịch kiêm Tổng thư ký Hiệp hội ATTT (VNISA) cho biết, năm 2012 Việt Nam có 2.500 website bị tấn công; máy tính bị nhiễm mã độc cao gấp 3 lần so với của thế giới. Với CQNN, hệ thống website, cổng thông tin điện tử bị xếp vào diện hay bị tấn công và có nguy cơ mất ATTT nhất.

Cụ thể, số liệu khảo sát của VNISA cho thấy, đa phần website, cổng thông tin điện tử bị tấn công từ chối dịch vụ (DDos) gây quá tải, dẫn đến tê liệt và từ chối cung cấp dịch vụ (có thể thấy qua tình trạng hàng loạt báo điện tử bị tấn công trong tháng 7-2013). VNISA cũng đánh giá ngẫu nhiên 100% website tên miền .gov.vn thì 78% số website này có thể bị "đánh sập". 35% cơ quan, đơn vị trong năm 2012 bị tấn công dạng hacker gửi các mã độc không tự lan (trojan, rootkit…) để phá hủy hệ thống thông tin, dữ liệu.

Gần đây, nhiều cơ quan, tổ chức phát hiện hacker sử dụng các kết nối ngầm và mã độc chuyên dùng để đánh cắp thông tin có chủ đích (gọi tắt là APT). Về tấn công APT đã được các chuyên gia ATTT cho rằng đây chính là một hình thái của chiến tranh mạng (hiện có 45% doanh nghiệp bị nhiễm mã độc này) và nguy cơ một cuộc chiến tranh mạng là có thể xảy ra tại Việt Nam.

Được biết, vấn đề tấn công có chủ đích hay chiến tranh mạng cũng sẽ được đề cập trong hội thảo tại "Ngày ATTT" sắp được tổ chức tại Hà Nội (ngày 21-11). Còn theo số liệu của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), đến nay đơn vị này đã tiếp nhận thông tin 552 trường hợp bị tấn công thay đổi giao diện, phát hiện và bóc dỡ 297 trang thông tin lừa đảo. 

Tuy nhiên, việc bảo đảm ATTT trong các CQNN, DN lại chưa cao, hay nói một cách khác là khả năng tự bảo vệ trước virus và các vụ tấn công còn rất thấp. Bên cạnh một số nguyên nhân khách quan, thì phải kể đến yếu tố chủ quan mà VNISA cũng đã công bố các dẫn chứng cho thấy, có tới 56% tổng số doanh nghiệp, tổ chức trong nước chưa có quy chế ATTT, số còn lại cho biết sẽ xây dựng quy chế này.

Do vậy, chính sự thiếu các quy định này khiến cho khi hệ thống nội bộ của mình bị hacker tấn công, CQNN, doanh nghiệp tỏ ra rất lúng túng trong xử lý. VNISA đánh giá hiện chỉ số ATTT của Việt Nam chỉ mới ở mức 26% - thấp so với khu vực và thế giới. Trong số này, chỉ có thông tin "le lói" đó là số lượng cơ quan, đơn vị biết việc đơn vị của mình có bị tấn công mạng đã tăng lên (so với trước đây không biết đơn vị mình có bị tấn công mạng hay không).

Lãnh đạo Hiệp hội ATTT cho rằng, để khắc phục hiện trạng trên, các CQNN, DN cần phải đầu tư mạnh cho ATTT, có thể ở mức 5-15% chi phí. Cùng với đầu tư, các cơ quan, đơn vị nên tham khảo tiêu chuẩn về ATTT như ISO 27001; tìm nhà tư vấn tin cậy để xây dựng các quy chế ATTT; triển khai giải pháp, công nghệ bảo đảm ATTT tại đơn vị mình.

Trong cuộc họp giao ban ngành mới đây, lãnh đạo Bộ Thông tin và Truyền thông cũng đã nhấn mạnh việc phải coi trọng bảo đảm ATTT, các đơn vị thuộc Bộ phải sớm tiến hành đánh giá, rút kinh nghiệm về nhiệm vụ này, từ đó Bộ sẽ cùng các bộ, ngành khác có định hướng cho việc đào tạo về an toàn, ATTT.

Theo HNM