VnReview
Hà Nội

Chủ quan với an toàn an ninh mạng – vẫn là câu chuyện “nhận thức”

"Mất bò vẫn không làm chuồng" là thực trạng nhận thức về an ninh mạng ở Việt Nam hiện nay - chia sẻ đáng quan tâm của các chuyên gia an ninh mạng tại buổi toạ đàm "An toàn thông tin và mối đe doạ tới nền kinh tế" do CLB Nhà báo công nghệ thông tin Việt Nam tổ chức ngày 27/9 tại Hà Nội.

An ninh mạng gặp sự cố: nóng nhanh, nguội nhanh

Liên tiếp trong thời gian cuối tháng 7 và suốt tháng 8 vừa qua, hàng loạt sự cố an ninh mạng xảy ra đã gây hoang mang trong dư luận, điển hình là vụ website Vietnam Airlines và hệ thống thông tin sân bay bị tấn công, làm tê liệt hoạt động của hai sân bay Nội Bài và Tân Sơn Nhất khiến hàng trăm chuyện bay bị chậm, đồng thời dữ liệu của 400.000 tài khoản khách hàng Bông Sen Vàng của Vietnam Airlines bị rò rỉ. Tiếp đó là vụ một khách hàng của Vietcombank bị mất 500 triệu đồng chỉ trong một đêm; gần 200 triệu đồng của một cặp vợ chồng để tại tài khoản của ngân hàng Đông Á và HD Bank bất ngờ bốc hơi; trong một buổi trưa, 31 triệu đồng cũng biến mất khỏi một tài khoản Visa của ngân hàng ANZ… Chỉ trong 1 tháng, gần 10 vụ mất tiền tài khoản liên tiếp xảy ra ở các ngân hàng khác nhau. Đó là chưa kể trước đó ngân hàng TPBank còn suýt bị tin tặc quốc tế đánh cắp hơn 1 triệu USD…

Tuy nhiên, dù các sự cố trên đã trở thành sự kiện nóng hổi trên các mặt báo và trong dư luận, nhưng chỉ vài tuần sau đó mọi chuyện lại nguội đi rất nhanh. Sự thờ ơ với các sự cố an ninh mạng, coi như chuyện của người khác không phải của mình, là tâm lý chung của không chỉ người dùng cuối mà thậm chí là của những người chịu trách nhiệm tại các hệ thống thông tin của cơ quan, doanh nghiệp từ nhiều năm nay. Chỉ khi có sự cố xảy ra với chính mình, họ mới hốt hoảng tìm cách cứu chữa.

Nhận xét về hiện trạng này, ông Đỗ Vũ Anh, Thành viên Hội đồng thành viên Tập đoàn Bưu chính Viễn thông Việt Nam (VNPT) nói: "Nhiều hệ thống của chúng ta khi thiết kế không quan tâm lắm đến chuyện đảm bảo an toàn an ninh thông tin. Nhiều địa chỉ không có firewall. Khi bị tấn công thì "mất bò mới lo làm chuồng". Tuy nhiên, ông Triệu Trần Đức, Tổng Giám đốc CMC Infosec cho rằng tình trạng còn tệ hơn nhiều: "Trong lúc phần lớn hệ thống CNTT đều có thể bị đột nhập thì nhận thức của đội ngũ làm công nghệ thông tin ở nhiều cơ quan vẫn rất kém, mất bò vẫn không làm chuồng. Họ rất gan dạ, vài ngày sau khi hệ thống bị tấn công lại vẫn coi như bình thường".

Ông Tống Viết Trung, Phó Tổng Giám đốc Tập đoàn Viettel cũng bày tỏ sự lo lắng khi mà hầu hết các hệ thống thông tin tại Việt Nam vẫn đang tồn tại "những lỗi cơ bản" mà chỉ cần những hacker trình độ bình thường sử dụng kỹ thuật phổ biến trên internet cũng có thể tấn công được hệ thống. Ông Trung chỉ ra 3 trạng thái nhận thức thường thấy ở đội ngũ lãnh đạo CNTT: Thờ ơ, coi đó không phải việc của nhà mình; Việc này phức tạp lắm, chắc mình không liên quan, thôi để các ông lớn lo; Phức tạp quá, thôi đóng cổng lại. "Cả ba đều là những trạng thái nguy hiểm", ông Trung nói. Trong khi đó, về phía người dùng lại có vấn đề về nhận thức an toàn thông tin, khi người dùng không tuân thủ quy trình, quy định, toàn bộ công đầu tư triển khai của anh em CNTT đi tong, và việc đó xảy ra thường xuyên hàng ngày. Từ vấn đề nhận thức, vấn đề xây dựng tổ chức bộ máy, trang bị các giải pháp ATTT đều làm không đủ, không đến, nên vấn đề mất ATTT vẫn thường trực hàng ngày.

Ông Nguyễn Trung Chính, Chủ tịch Tập đoàn CMC cũng cùng chung mối lo ngại, ông chia sẻ: "Người càng trong nghề, càng mức chuyên gia cao thì càng lo. Tôi thực sự rất lo ngại về mức độ an toàn an ninh thông tin của toàn bộ hệ thống, kể cả các hệ thống trọng yếu quốc gia". Theo ông Chính, rất nhiều khách hàng ở những nơi đã từng xảy ra sự cố thì mọi việc chỉ nóng trong vòng 2 tuần, sau đó lại nguội ngắt như chưa từng xảy ra.

Tự tin có đồng nghĩa với chủ quan?

Mặc dù cho rằng không thể có giải pháp an toàn tuyệt đối, nhưng ông Nguyễn Hưng, Tổng giám đốc Ngân hàng TPBank khẳng định các ngân hàng đều đầu tư bảo mật để đảm bảo mức độ an toàn cao nhất, kể cả trong trường hợp hệ thống máy chủ của ngân hàng bị tấn công, dữ liệu khách hàng bị kẻ gian đánh cắp, nhưng ngân hàng đều có hệ thống sao lưu back up, có quy trình đối chiếu để đảm bảo dữ liệu của khách hàng được an toàn. Ông Hưng cũng tự tin cho rằng tin tặc dù muốn gian lận cùng lúc cũng không dễ, do bị giới hạn bởi hạn mức chuyển tiền cho từng lần giao dịch và ngày giao dịch. Khi hacker tấn công, thiệt hại chủ yếu về khắc phục sự cố chứ không phải thiệt hại tài chính và bản thân các ngân hàng luôn nỗ lực hết sức để đảm bảo an toàn nội bộ ngân hàng trước.

Cũng theo ông Hưng, các vụ gian lận thẻ gần đây đều là lừa đảo phishing chứ không phải là tấn công ngân hàng. Ngân hàng điện tử đã có từ 30 – 40 năm nay, đã có nhiều vụ việc gian lận thẻ, giả mạo thẻ đều phát sinh cả chục năm rồi, nhưng gần đây rất nhiều khách hàng mất mới trở thành vấn đề nóng. Hàng ngàn triệu tỷ đồng được chuyển qua hệ thống ngân hàng 1 năm, mới chỉ ghi nhận 1 vụ lừa SMS để lấy được lớp bảo mật thứ hai. TPBank đang áp dụng hệ thống thẻ token có mã số đặc biệt, hoặc ngân hàng gửi OTP, password 1 lần cho khách hàng qua SMS, sắp tới sẽ cùng các ngân hàng tại Việt Nam ra một chuẩn mới về thẻ chip dùng cho thẻ nội địa, ATM thì việc đọc trộm thẻ sẽ không còn làm được nữa, mối lo bị ăn cắp tiền vì lộ số PIN không còn nữa.

Về phía Vietnam Airlines, sau khi xử lý khắc phục xong sự cố bị tấn công hồi cuối tháng 7, đã xây dựng, chỉnh sửa lại hệ thống an ninh thông tin dưới sự hỗ trợ của các đối tác, tổ chức rà quét các điểm yếu, phát hiện nguy cơ mới…, ông Nguyễn Đăng Tiến, Trưởng Phòng Công nghệ Vietnam Airilines khẳng định hệ thống của Vietnam Airlines đã được đưa lên tầm cao mới, vượt qua được giai đoạn rủi ro ban đầu. Ông Tiến cũng nhấn mạnh việc VNA đã có nhiều thông cáo báo chí khẳng định mức độ an toàn của hệ thống Vietnam Airlines và vụ tấn công vừa rồi không ảnh hưởng đến an toàn bay của hãng vì hệ thống điều hành được hãng thuê máy chủ ở nước ngoài.

Tuy nhiên, trái với sự tự tin của ông Hưng, ông Tiến, ông Nguyễn Trung chính, Chủ tịch CMC, cho rằng không thể chủ quan với bất kỳ hệ thống nào, kể cả hệ thống điều hành bay. Một khi một máy chủ bị nhiễm độc kết nối thì không thể đảm bảo hệ thống an toàn. "Tôi không muốn nói khuếch đại để gây e ngại, nhưng nhận thức đúng về việc không an toàn để chúng ta an toàn hơn", ông Chính nói.

Đồng tình với quan điểm này, ông Nguyễn Tuấn Anh, Phó Chủ tịch phụ trách an ninh mạng công ty Bkav cho rằng không thể chủ quan với các nguy cơ an ninh mạng. Các khảo sát của Bkav với khoảng hơn 2.000 website kể cả chính thức và tên miền con của website .gov.vn, thì có tới hơn 90% hệ thống trọng yếu vẫn nằm trong khả năng bị tấn công. Ông Tuấn Anh cũng cho rằng, giải pháp gửi mật khẩu OTP qua SMS mà ông Nguyễn Hưng đề cập hiện nay đã bộc lộ những điểm yếu về bản chất công nghệ, dễ bị lừa đảo phishing, thậm chí có thể dùng phần mềm tự động để tạo giao dịch giả mạo, do đó các ngân hàng nên tính tới chuyển sang phương pháp xác thực mạnh hơn là dùng chữ ký số.

Ông Triệu Trần Đức, Tổng Giám đốc CMC Infosec; cũng khẳng định: "Nếu chỉ nói đầu tư công nghệ thật tốt để bảo vệ thì không giải quyết được. Công nghệ có bảo vệ kiểu gì cũng không thể hơn được hacker mũ đen – những người luôn có rất nhiều tiền và bỏ nhiều tiền nghiên cứu, luôn biết nhiều hơn đội ngũ quản trị mạng. Tin tặc biết rất nhiều thứ mà chúng ta không biết. Không có chuyện họ chẳng may hack vào hệ thống". Ông Đức cho rằng không thể tự tin vào hạn mức thẻ để hạn chế rủi ro tài chính khi giao dịch như ông Nguyễn Hưng đề cập, bởi hạn mức chỉ là con số, có thể thay đổi. Hoặc việc cây ATM có thể chống đọc trộm thẻ cũng xưa rồi. Hacker mũ đen rất giỏi, có thể nghiên cứu ra loại thẻ đút vào rút tiền ra luôn. "Nếu các hệ thống chấp nhận rủi ro mất thông tin thì không có gì phải bảo vệ cả. Nhưng có rất nhiều ngành không thể chấp nhận bị mất, ví dụ ngân hàng không thể để mất thông tin khách hàng", ông Đức nói.

Như vậy, từ các ý kiến trao đổi tại buổi Tọa đàm, có thể thấy vấn đề nhận thức về an ninh an toàn thông tin cần được khắc phục, giáo dục không chỉ cho người dùng cuối mà cho cả các tầng lớp lãnh đạo cũng như chính những người phụ trách quản trị các hệ thống mạng. 

Vân Anh

Chủ đề khác