Lỗ hổng bảo mật có thể làm tê liệt nền kinh tế

Hội thảo Security World 2008 do tổng cục Kỹ Thuật (bộ Công An), trung tâm Ứng Cứu Khẩn Cấp Máy Tính Việt Nam (VNCERT) - bộ TTTT và tập đoàn Dữ Liệu Quốc Tế (IDG Việt Nam) phối hợp tổ chức tại Hà Nội với hai nội dung chính: "Nâng cao nhận thức và đẩy mạnh công tác an ninh bảo mật". Theo khảo sát từ hơn 1.400 công ty trên toàn thế giới do McAfee hợp tác cùng Datamonitor thực hiện cho thấy: 67% công ty từng bị thất thoát những dữ liệu mật, gây ra hậu quả nghiêm trọng, trong đó 33% cho biết họ đã gặp một sự cố bảo mật có thể khiến công ty phải đóng cửa; 23% số vụ thất thoát dữ liệu có nguyên nhân chủ ý phá hoại.

		"Tình hình an ninh mạng sở dĩ ngày càng "nóng bỏng" là do các TC/DN chưa thực sự quan tâm đến an ninh mạng nên kinh phí đầu tư còn yếu. Mới đây, hiệp hội ATTT Việt Nam (VNISA) đã ra đời nhằm liên kết các TC/DN và cá nhân hoạt động trong lĩnh vực này. VNISA cam kết sẵn sàng hợp tác, hỗ trợ cung cấp các giải pháp đảm bảo ATTT dựa trên 3 yếu tố: Hạ tầng an toàn thông tin; chính sách và đội ngũ thực thi, giám sát". Ông Nguyễn Viết Thế, cục trưởng cục Tin Học Nghiệp Vụ, tổng cục Kỹ Thuật, bộ Công An

Tại Việt Nam, theo thống kê của trung tâm An Ninh Mạng BKIS, hơn 80% website của các tổ chức/doanh nghiệp (TC/DN) trong nước có nguy cơ bị tấn công. Năm qua, hơn 33 triệu máy tính bị nhiễm virus, gây thiệt hại tới 2.400 tỷ đồng. Không chỉ có vậy, các thiết bị di động và thiết bị nhúng cũng được báo cáo là đã xuất hiện virus lây lan và mã độc.

Ở thị trường chứng khoán, việc chuyển từ giao dịch truyền thống sang giao dịch điện tử đang tiềm ẩn những rủi ro về mất an ninh như tấn công vào hệ thống thông tin, thay đổi thông tin giao dịch, đưa tin thất thiệt gây rủi ro cho nhà đầu tư... Ông Trần Nguyên Vũ, phó cục trưởng cục Tin Học Thống Kê, bộ Tài Chính cho biết, 70-80% các hoạt động tài chính được diễn ra trên mạng cục bộ và mạng diện rộng, dẫn đến sự hình thành rất nhiều cơ sở dữ liệu tập trung. Việc xây dựng một hệ thống an toàn bảo mật cho các giao dịch nghiệp vụ trong lĩnh vực tài chính cũng vô cùng cần thiết. Song, nhiều bất cập về an toàn bảo mật còn tồn tại, đặc biệt là chưa có hệ thống quản lý rủi ro trong ngành.

Quản lý rủi ro và bảo mật từ bên trong

Theo ông Thomas Parenty, giám đốc tổ chức tư vấn Hills and Associates, các TC/DN lớn trên thế giới hiện đang tiếp cận vấn đề bảo mật theo hướng quản lý rủi ro. Trước khi triển khai các giải pháp và thiết bị bảo mật, tất cả các rủi ro về an toàn thông tin (ATTT) sẽ được phân tích, phân loại và tổng hợp thành một bức tranh toàn cảnh. Điều này có nghĩa là hầu hết các nguy cơ ATTT đều được lường trước và có giải pháp ngăn ngừa, dù đó là virus, spyware hay hacking. Ông Thomas Parenty cho biết "Rất nhiều TC/DN chọn giải pháp "hổng đâu bít đấy" để trám các lỗ hổng bảo mật. Đây là quan niệm sai lầm vì hệ thống vá víu sẽ không thể hoạt động trơn tru. Chúng tôi luôn khuyên DN chọn giải pháp tổng thể sau khi đã được phân tích, đánh giá toàn cảnh các nguy cơ. Đánh giá này sẽ giúp việc triển khai giải pháp và thiết bị bảo mật có hệ thống, an toàn và ít tốn kém."

	"DN nên xác định rõ vùng thông tin nào là quan trọng để xây dựng chính sách an ninh cho DN. Trong tương lai gần, lĩnh vực an ninh bảo mật sẽ mở rộng hơn khi các thiết bị như điện thoại thông minh được đưa vào cơ cấu quản lý an ninh bảo mật và được hỗ trợ chăm sóc, bảo mật tương đương như máy tính. Các biện pháp kiểm soát phương tiện liên lạc như email, IM... để phát hiện và ngăn chặn rò rỉ thông tin nhạy cảm cũng sẽ xuất hiện". Ông Don Ng., giám đốc Giải Pháp DN của Symantec

Phân tích sâu hơn về xu hướng và nguyên lý bảo mật hiện nay, ông Nicholas Vreugdenhil, giám đốc điều hành Nortel Vietnam cho biết: "Thiết lập an ninh bảo mật cũng giống như xây dựng những mạng lưới an toàn, tin cậy bằng cách dần gỡ bỏ các điểm yếu trong an ninh. Nguyên lý này đòi hỏi triển khai bảo mật theo từng tầng, thông qua các thiết bị và chu trình mạng lưới. Nếu nền tảng bảo mật thứ nhất bị phá vỡ, tầng thứ 2 hoặc tầng thứ 3 sẽ thế chỗ để ngăn chặn các cuộc tấn công.

Tăng cường hành lang pháp lý

Bên lề hội thảo, ông Nguyễn Tử Quảng, giám đốc trung tâm An Ninh Mạng (BKIS), nhìn nhận: "Chúng ta chưa có chế tài đủ mạnh để răn đe. Tội phạm mạng có thể gây thiệt hại lớn về kinh tế, thậm chí làm tê liệt cả hệ thống nhưng thường chỉ mới xử lý hành chính". Ông Nguyễn Viết Thế, cục trưởng cục Tin Học Nghiệp Vụ - tổng cục Kỹ Thuật, bộ Công An, cũng cùng nhận định này. Ông cho rằng, tuy năm qua xảy ra nhiều vụ việc liên quan tới tội phạm mạng và các tấn công ăn cắp dữ liệu nhưng việc xử lý quá nhẹ, chỉ một số ít đối tượng bị xử lý hình sự về hành vi trộm cắp tiền qua mạng hay đánh cắp mật khẩu tài khoản tín dụng.

Theo Pcworld