An ninh mạng: Bị động trong ứng phó sự cố
Vấn đề bảo mật chưa được các đơn vị quản lý của các website chú trọng, vẫn còn quá nhiều lỗ hổng để các hacker dễ dàng khai thác.
Tiếp sau vụ báo điện tử Vietnamnet liên tục bị đánh sập hồi cuối năm 2010 và đầu năm nay, chỉ trong vòng chưa đầy 20 ngày đầu tháng 6 vừa qua, có tới gần 450 trang web của Việt Nam bị tấn công. Vì sao lại có tình trạng này, các chuyên gia công nghệ thông tin đánh giá điều này ra sao? Liệu các máy chủ của Việt Nam có phải là “sân tập” cho các tin tặc - hacker quốc tế hay không?
Hàng trăm trang web tiếng Việt có tên miền .vn và .com bị tấn công dồn dập vào những ngày đầu tháng 6. Điển hình là riêng trong đêm 6/6, có tới 200 trang web bị các hacker “hỏi thăm”. Điều đáng nói là sau khi tấn công, chúng còn cài thêm một file chứa mã độc vào trang web. Ngoài việc tấn công đơn thuần vào các diễn đàn, trang thông tin điện tử có số lượng truy cập lớn, như rongbay.com, enbac.com, kênh14…, các hacker còn tấn công cả những địa chỉ có tên miền gov.vn của các cơ quan thuộc Chính phủ như website của Bộ Ngoại giao Việt Nam, Cổng Thông tin điện tử quận Cầu Giấy (Hà Nội), và thật trớ trêu, chúng còn “hỏi thăm” cả website của Sở Thông tin - Truyền thông Hà Nội - một cơ quan quản lý Nhà nước về truyền thông.
Đến như trang web của Sở Thông tin - Truyền thông Hà Nội cũng bị tấn công thì quả là điều hết sức đáng lo ngại và chúng ta cần xem lại một cách nghiêm túc. Rõ ràng là do đơn vị quản lý của các website này chưa thực sự chú trọng đến việc đầu tư cho vấn đề bảo mật, vẫn còn nhiều lỗ hổng để các hacker dễ dàng khai thác. Sự hiểu biết về chuẩn, về ích lợi khi áp dụng chuẩn an toàn thông tin còn quá yếu kém.
Xin đưa ra một vài tư liệu để hiểu thêm về điều này: theo kết quả khảo sát của Chi hội An toàn thông tin phía Nam mới được công bố cuối năm 2010, có đến 65% trong tổng số 300 doanh nghiệp được khảo sát trả lời là họ không tuân theo các chuẩn an toàn thông tin quốc tế. Bên cạnh đó, hơn 2/3 doanh nghiệp không có quy trình để phản ứng lại các cuộc tấn công máy tính. Ngoài ra, việc đầu tư vào thiết bị và giải pháp của doanh nghiệp chưa đồng bộ và chưa đầy đủ, chỉ đầu tư mua phần mềm, chương trình ngăn chặn tường lửa mà quên đầu tư vào nhân sự vận hành và sử dụng hệ thống.
Máy móc - thiết bị là hết sức quan trọng, nhưng con người vận hành các máy móc thiết bị đó còn quan trọng hơn nhiều. Họ chính là nhân tố quyết định, đảm bảo sự an toàn cho trang web của các doanh nghiệp. Một điều đáng mừng là thời gian gần đây, các cơ sở đào tạo công nghệ thông tin đã bắt đầu chú trọng đào tạo các chuyên gia quản trị mạng - hay còn gọi là các “hacker mũ trắng”. Không như các “hacker mũ đen” - chuyên tấn công các trang mạng với mục đích xấu, phá hoại, các “hacker mũ trắng” tìm ra lỗ hổng trong website của các doanh nghiệp, thông báo để các doanh nghiệp biết và có biện pháp khắc phục, phòng tránh sự tấn công của các “hacker mũ đen”.
Ở Việt Nam, khá nhiều bạn trẻ yêu thích công việc này và số người ghi tên tham dự các khoá đào tạo “hacker mũ trắng” ngày càng tăng lên. Đây là tín hiệu rất tốt đẹp. Tuy nhiên, ranh giới giữa “hacker mũ đen” và “hacker mũ trắng” khá mong manh. Một bạn trẻ sau khi học xong khoá đào tạo “hacker mũ trắng” sẽ biết cách “thử tấn công” để tìm ra lỗ hổng của các doanh nghiệp. Nhưng nếu bạn trẻ đó không có cái tâm trong sáng, không có lập trường thật sự vững vàng, sẽ rất dễ trở thành kẻ tấn công mạng - những “hacker mũ đen” xấu xa. Mặt khác, chỉ một chút sơ sểnh là các bạn trẻ này có thể “lỡ tay” tấn công các trang web yếu kém về kỹ thuật và năng lực trình độ an toàn, an ninh thông tin. Như vậy các bạn đó đã vô tình vi phạm pháp luật mà không biết.
Vì vậy, bên cạnh việc đào tạo nghiệp vụ cho các “hacker mũ trắng” tương lai, các Trung tâm Đào tạo công nghệ thông tin cần chú trọng rèn luyện đạo đức nghề nghiệp và nâng cao kiến thức về pháp luật cho họ. Việt Nam đã có những bước chuẩn bị nhất định về an toàn, an ninh thông tin. Chúng ta cũng đã ban hành nhiều Luật, Nghị định để tạo hành lang pháp lý trong lĩnh vực này. Nhưng để hạn chế các vụ tấn công trên mạng, hạn chế thiệt hại, vấn đề không chỉ dừng lại ở các văn bản quy định, mà phải nâng cao hơn nữa nhận thức của người dân, doanh nghiệp, các cơ quan chủ quản các trang web, trang thông tin điện tử trong việc áp dụng các chuẩn an toàn quốc tế trong đào tạo, sử dụng nhân sự và đặc biệt hơn nữa là tính chủ động sẵn sàng ứng phó với các sự cố an ninh mạng./.