Những con đường link sex đi vào web site nhà nước

Nơi các trang website “đen” được “giới thiệu” là một diễn đàn nằm trong chuyên mục “Hỗ trợ kỹ thuật” của website http://sonongnghiep.haugiang.gov.vn. Một trong số thành viên của diễn đàn này đăng đến 7.035 đường link dẫn đến web “đen” trong thời gian dài mà không bị ai phát hiện.

Một chuyên viên công nghệ thông tin đang làm việc tại Quận Ninh Kiều, TP. Cần Thơ cho biết: “Khi lập diễn đàn mở cần phải có bộ lọc để lọc các từ nhạy cảm. Sự cố trang thông tin điện tử của Sở NN&PTNT Hậu Giang tràn ngập link phim sex là do quản trị và bảo mật quá yếu kém để người dùng đăng bài tự do không quản lý. Người dùng chỉ cần biết chút IT là có thể dùng những công cụ đăng bài tự động để làm tê liệt website này”.

Ảnh minh họa.

Trong năm 2013, một đợt tấn công từ chối dịch vụ (DDOS) quy mô rất lớn đã nhằm vào website của các báo điện tử VietnamNet, Dân Trí, Tuổi Trẻ Online… khiến các website này bị tê liệt. Mặc dù đã huy động nhiều biện pháp ứng cứu song cũng phải mất tới vài ngày đến một tuần người dùng mới có thể truy cập vào lại các trang này. Sự kiện này phần nào cho thấy khả năng ứng phó với sự cố mạng của Việt Nam vẫn còn khá yếu.

Sau khi những sự việc xảy ra, các cơ quan, doanh nghiệp hoạt động trong lĩnh vực An ninh thông tin tiếp tục công bố những số liệu đáng giật mình: Trung bình mỗi tháng, có khoảng 300 vụ tấn công vào các website tại Việt Nam. Tuy nhiên đây mới chỉ là số vụ mà kết quả là trang web bị ngưng trệ hoạt động, chỉ là phần nổi của tảng băng chìm. Thực tế còn vô số những vụ tấn công, ăn trộm dữ liệu từ trang thông tin của các doanh nghiệp, các tổ chức, cơ quan nhà nước mà chính đơn vị chủ sở hữu biết nhưng không công bố hoặc thậm chí không biết mình đang bị tấn công.

Hiện tỷ lệ lây nhiễm mã độc của Việt Nam vào khoảng 33,6%, cao gấp đôi mức trung bình của thế giới. Chỉ số An toàn thông tin (ATTT) Việt Nam trong năm 2013 là 37.5%, đã được cải thiện đáng kể so với năm trước (26%) song vẫn thấp hơn hơn rất nhiều so các quốc gia khác và thấp hơn mức trung bình của thế giới. Và hơn cả, 8.000 tỷ đồng là số tiền ước tính các DN VN bị thiệt hại do virus gây ra mỗi năm.

Ngay đối với cả các website của Chính phủ, nơi mà vấn đề an toàn thông tin được quan tâm nhiều hơn thì cũng có tới 80% dễ dàng bị đánh sập nếu các hacker tấn công. Tuy nhiên, khi các website này bị tấn công thì vấn đề cần quan tâm hơn nhiều chính là các thông tin bị đánh cắp. Rất nhiều máy tính của cơ quan nhà nước đã bị lợi dụng nằm trong mạng botnet để lấy trộm các thông tin, trong đó có rất nhiều bí mật quốc gia.

Vậy đâu là những con đường link sex đi vào web site nhà nước, thứ nhất cần phải nói tới đó là thiếu kỹ năng và nhận thức về vấn đề ATTT: Đây có lẽ là cái thiếu lớn nhất trong số những cái thiếu của VN về vấn đề ATTT. Nhận thức về vấn đề bảo mật thông tin của chính bản thân mình cũng chưa cao dẫn tới việc chưa chú trọng bảo mật thông tin của DN, cơ quan nơi mình làm việc. Kết quả này có lẽ bắt nguồn từ thói quen ít sử dụng các tiện ích liên quan tới tiền bạc như ngân hàng điện tử. Vụ tấn công lấy cắp thông tin cá nhân và mật khẩu OTP để cướp tiền trong thẻ ATM của ngân hàng Hàng hải trong 2013 có lẽ là một lời cảnh báo hữu ích.

Thiếu đầu tư cho ATTT: Theo kết quả một cuộc khảo sát mà Hiệp hội An toàn thông tin Việt Nam, trong năm 2013 tỷ lệ đầu tư cho ATTT của các DN Việt Nam vẫn còn rất thấp. Mức đầu tư chỉ chiếm từ 0 – 5% tổng đầu tư cho CNTT của DN, trong khi mức trung bình cần thiết vào khoảng 10-15%. 38% số DN được hỏi cho biết không có cán bộ chuyên trách về ATTT, 56% không có phòng ban về ATTT và có tới 53% DN chưa có kế hoạch xây dựng hệ thống ATTT theo tiêu chuẩn mới.

Thiếu kinh nghiệm và quy trình phối hợp giữa các bên khi có sự cố: Sau đợt hàng loạt các báo điện tử lớn bị tấn công dài ngày kể trên, một quy trình phối hợp xử lý sự cố giữa các cơ quan nhà nước và đơn vị bị tấn công mới bắt đầu được hình thành. Đợt diễn tập điều phối ứng cứu sự cố ATTT quy mô toàn quốc lần đầu tiên được tổ chức, với sự hơn 800 đầu mối của nhiều Bộ, ngành, sở TT&TT các tỉnh thành và các ISP lớn tham gia. Tuy nhiên, đợt diễn tập cũng mới chỉ tập trung vào hai trường hợp bị tấn công thường xảy ra nhất tại VN: phát hiện thư giả mạo và phân tích mã độc.

Thiếu hành lang pháp lý: Mặc dù các quy định không thể theo kịp sự phát triển của công nghệ và kỹ thuật tấn công mạng, nhưng vẫn rất cần vai trò quản lý của nó. Cũng trong năm 2013, Chính phủ mới ban hành chỉ thị số 897/CT-TTg chỉ đạo các Bộ, ngành, địa phương tăng cường giải pháp đảm bảo ATTT. Luật ATTT cũng mới dự kiến là năm 2014 mới có thể ban hành.

Duy Anh