Bảo mật: Không phải cứ nhiều tiền là xong

Một lần nữa gióng lên hồi chuông cảnh báo: Khả năng bảo mật hệ thống thông tin của các tổ chức, doanh nghiệp Việt Nam đang “có vấn đề”.

Chỉ sau 2 ngày kể từ khi thông báo khẩn của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), thuộc Bộ TT&TT, phát đi (ngày 23/7/2008) với thông điệp đang xuất hiện một nguy cơ lớn đối với hệ thống máy chủ phân giải tên miền (DNS server) của Việt Nam trên diện rộng, thì trang web của Ngân hàng Kỹ thương (Techcombank) đã bị hacker (tin tặc) tấn công. Rất may mà kẻ đột nhập chỉ để lại lời nhắn cảnh báo mà không gây ra hành vi phá hoại gì nghiêm trọng.

Trước đó cũng chỉ vài ngày (20/7), phải kể đến trường hợp địa chỉ website của Truyền hình cáp Việt Nam (www.vctv.vn và http://vctv.vn) cũng đã bị hacker tấn công kèm theo những lời nhắn cảnh báo để lại trên trang chủ.

Rồi trong sáng ngày 27/7, website của P.A Việt Nam – một trong những nhà cung cấp dịch vụ lưu ký (hosting) tên miền lớn nhất tại Việt Nam đã bị hacker nước ngoài tấn công và làm tê liệt khoảng hàng nghìn tên miền của các tổ chức, doanh nghiệp Việt Nam, khiến các website và hệ thống email của các tổ chức, doanh nghiệp này hoàn toàn nằm trong quyền kiểm soát của các hacker. Đến nay, vẫn chưa thể thống kê hết thiệt hại gây ra từ vụ việc nghiêm trọng này.

Tuy chưa có những thông báo chính thức từ các cơ quan chức năng về mối liên quan giữa các vụ hacker tấn công vừa qua với cảnh báo khẩn về lỗ hổng DNS của VNCERT, song những thông tin xấu dồn dập về tình hình an ninh mạng chỉ trong một thời gian ngắn vừa qua đã một lần nữa gióng lên hồi chuông cảnh báo rằng: Khả năng bảo mật hệ thống thông tin của các tổ chức, doanh nghiệp Việt Nam đang “có vấn đề”.

Nhiều chuyên gia an ninh mạng đã nhận xét rằng việc xây dựng hệ thống mạng tại Việt Nam mới chỉ thiên về xây dựng hạ tầng về kết nối, mà chưa nghĩ tới vấn đề bảo mật, cũng giống như chuyện xây đường giao thông trước, còn an toàn giao thông thì chưa chú ý đến trước khi thiết kế, do đó chi phí cho vấn đề bảo mật ở nhiều tổ chức, doanh nghiệp là rất khó khăn.

Có người thì lý giải rằng phần lớn các hệ thống mạng của chúng ta xây dựng dựa trên nền tảng những công nghệ mạng của thế giới và cũng thừa hưởng luôn những điểm yếu của những công nghệ đó. Mặt khác, khi xây dựng hệ thống mạng, các tổ chức, doanh nghiệp Việt Nam sử dụng rất nhiều công nghệ khác nhau, của những hãng khác nhau, nên việc vấp phải rất nhiều yếu điểm trong đó cũng là điều không khó lý giải.

Một điểm nữa cũng rất đáng chú ý là việc xây dựng website cũng cần sử dụng những công cụ lập trình đúng cách để hacker không thể lợi dụng. Nhưng trên thực tế ở Việt Nam, không phải kỹ sư CNTT nào cũng được đào tạo đầy đủ về vấn đề này ở các trường đại học. Rõ ràng, nếu những người thiết kế, xây dựng không có kiến thức hoặc được đào tạo đầy đủ về lĩnh vực đó thì những website mà họ xây dựng sẽ có xác suất bị tấn công cao.

Cũng phải thẳng thắn thừa nhận rằng nhiều tổ chức, doanh nghiệp Việt Nam đã có ý thức về bảo mật, nhưng có ý thức là một chuyện, còn thực tế triển khai thế nào lại là chuyện khác. Họ thực sự chưa có chiến lược nào để đảm bảo an toàn, an ninh cho chính họ. Hầu như những công ty đó chưa hình dung được một bức tranh tổng thể về làm thế nào để bảo mật cả.

Rõ ràng, còn rất nhiều việc mà các tổ chức, doanh nghiệp Việt Nam cần phải làm trong quá trình ứng dụng CNTT vào các hoạt động của đơn vị mình. Bảo mật không phải là một thiết bị đơn lẻ, cũng không phải là có tiền nhiều là xong, mà bảo mật là một giải pháp tổng thể, một quy trình bảo mật từ người sử dụng tới các thiết bị đầu cuối của từng người. Đây là điều cần phải được nhận thức lại.