Các cơ quan chính phủ lơ là bảo mật

Một nửa trong số hơn 40 trang web của Việt Nam (.vn) bị tấn công từ đầu năm đến nay là những trang web của cơ quan chính phủ (.gov.vn) - theo trang web Zone-H (www.zone-h.org), nguồn thông tin thống kê những trang web bị tấn công uy tín trong giới bảo mật.

Tháng 8.2006, Trung tâm An ninh mạng Bách khoa (Bkis) đã thực hiện một khảo sát đánh giá mức độ an toàn của 200 trang web ở Việt Nam. Kết quả cho thấy khoảng 50 trang web này mắc những lỗi nghiêm trọng. Trong số những trang web bị phát hiện mắc lỗi nghiêm trọng có nhiều trang web có tên miền .gov.vn. Phải chăng là các cơ quan chính phủ không quan tâm đến bảo mật thông tin?

Một website bị tấn công. (Hình chỉ mang tính chất minh hoạ).

Theo ông Phùng Văn Ổn, Giám đốc Trung tâm tin học, Bộ Giao thông Vận tải, bảo mật là vấn đề được Bộ GTVT rất chú trọng. Ngoài các biện pháp bảo mật ở khía cạnh kỹ thuật, đơn vị phụ trách tin học đã đưa ra và thực thi các chính sách bảo mật chặt chẽ. Thường xuyên đề cập đến vấn đề bảo mật trong các cuộc họp giao ban của Trung tâm tin học.

Những người được giao phụ trách phải cập nhật các bản vá lỗi, thường xuyên đổi mật khẩu, hàng tuần phải dò các lỗ hổng trong các ứng dụng và toàn bộ hệ thống. Việc cập nhật thông tin lên trang web chỉ được thực hiện ở cơ quan, không được cập nhật qua mạng từ bên ngoài.

Bên cạnh đó, nhiều cơ quan chính phủ có xu hướng thuê máy chủ và dịch vụ bảo mật từ các tổ chức chuyên nghiệp. Ông Ổn cho biết, hệ thống tin của Bộ GTVT được chia thành hai phần: trang web thông tin của Bộ và cơ sở dữ liệu chuyên ngành.

Trang web là phần giao tiếp thường xuyên được đặt chỗ trên hệ thống máy chủ của Công ty Phần mềm và Truyền thông (VASC) và thuê luôn đội ngũ chuyên nghiệp của công ty này lo phần bảo mật. Còn cơ sở dữ liệu chuyên ngành gồm hệ thống thư điện tử, hệ thống hồ sơ, công văn được lưu trong máy chủ đặt tại trụ sở của Bộ GTVT.

Theo ông Nguyễn Hải Hà, Giám đốc Trung tâm Tin học, Bộ Công nghiệp, thuê dịch vụ bảo mật của các doanh nghiệp bên ngoài vừa chuyên nghiệp lại vừa rẻ hơn. Ngay từ khi xây dựng hệ thống thông tin, Bộ Công nghiệp đã mua máy chủ, thuê chỗ tại FPT và thuê luôn đơn vị này lo việc bảo mật cho máy chủ đó với giá hiện nay chỉ có 1,5 triệu đồng/ tháng.

Tuy nhiên, việc trang web hay hệ thống cơ sở dữ liệu bị tấn công có thể do nhiều nguyên nhân. Các hệ thống thông tin thường có khá nhiều điểm yếu có thể bị hacker lợi dụng để tấn công. Nếu hệ thống thông tin không được thường xuyên cập nhật, như cập nhật ứng dụng, hệ điều hành hay cơ sở dữ liệu, hệ thống đó rất dễ bị hacker sử dụng các công cụ tự động dò quét điểm yếu để tấn công. Đây cũng là công cụ dùng để tấn công các trang web Việt Nam liệt kê trên Zone-H. Những cuộc tấn công này có thể tránh được nếu quản trị mạng cập nhật thường xuyên các bản vá lỗi.

Thế nhưng, điểm yếu đáng lo ngại nhất trong hệ thống mạng của cơ quan chính phủ theo những người quản trị không phải ở khía cạnh kỹ thuật, mà chính là từ việc thực thi các chính sách từ phía người dùng đối với những yêu cầu của người quản trị. Ví dụ về cách dùng đặt mật khẩu: tối thiểu 4 ký tự, và phải có cả ký tự và số, nhưng nhiều người không thực hiện, thậm chí còn để trống và cũng không thường xuyên thay đổi mật khẩu.

Hơn nữa, tại các bộ, ngành, thông tin được đưa lên web chủ yếu là công văn, văn bản, thư điện tử phục vụ cho nhân viên tác nghiệp hàng ngày. Thực tế thông tin được đưa lên trang web chưa nhiều và chưa đến mức quan trọng. Chính vì thế, theo ông Hà, với Bộ Công nghiệp, mục tiêu quan trọng nhất là làm sao chống tấn công làm nghẽn mạng ảnh hưởng đến công việc của nhân viên chứ không phải là áp dụng các biện pháp bảo mật quá chặt chẽ làm ảnh hưởng đến người sử dụng.

Thứ Tư, 01/11/2006 12:49
31 👨 42