Hàng trăm website .vn đã bị hacker hỏi thăm trong hơn 1 tháng gần đây. Tuy nhiên, các chuyên gia bảo mật cảnh báo cuộc tấn công âm thầm còn đáng sợ và gây hậu quả lớn nhiều.
>>> Tăng cường an toàn thông tin các trang tin điện tử
Mối nguy hiểm tiềm ẩn
Từ đầu tháng 6 đến nay đã có hàng trăm website của Việt Nam bị tấn công thông qua 2 hình thức chính bao gồm: Tấn công deface thay đổi giao diện ban đầu của các trang web nhỏ bảo mật kém và tấn công từ chối dịch vụ DDoS đối với các trang web quan trọng, trang thông tin, báo điện tử mà tin tặc không thể khai thác. Theo các chuyên gia trong lĩnh vực bảo mật, các cuộc tấn công này chủ yếu là những hành động đơn lẻ, mang tính chất tự phát và mức độ nguy hiểm của các cuộc tấn công chưa cao. Do đó, chỉ đến khoảng giữa tháng 6, chiều hướng các cuộc tấn công đã giảm đi rõ rệt.
Tuy nhiên, ông Nguyễn Phố Sơn, Giám đốc CisLab thuộc Công ty cổ phần An ninh An toàn thông tin CMC (CMC Infosec) cho rằng, điều đáng lo ngại nhất hiện nay chính là những cuộc tấn công tiềm ẩn chưa để lộ ra bên ngoài và vào sâu bên trong của hệ thống để xoá hay ăn cắp dữ liệu, thông tin nhạy cảm...
Cùng quan điểm với ông Sơn, theo ông Nguyễn Minh Đức, Giám đốc Bộ phận an ninh mạng BKAV, những cuộc tấn công nhiều người biết đến trong thời gian qua không gây ra thiệt hại lớn, chúng ta cần phải đề phòng cuộc tấn công âm thầm, thậm chí đã xảy ra nhưng vẫn chưa được biết đến. Đó là các cuộc tấn công với mục đích khác chứ không đơn thuần “ghi điểm” như xâm nhập vào hệ thống của cơ quan quan trọng để ăn cắp dữ liệu trên đó hay dùng máy chủ website đó làm bàn đạp để chiếm đoạt máy chủ email, máy chủ DNS... “Vì thế, các đơn vị phải luôn luôn đề cao cảnh giác và thường xuyên rà soát, kiểm tra lại hệ thống của mình”, ông Đức cho biết thêm.
Tại buổi hội thảo “An toàn an ninh mạng tại Việt Nam - Nguy cơ và giải pháp” được tổ chức chiều ngày 20/6 vừa qua, ông Lê Trung Nghĩa, Trưởng Ban Thúc đẩy ứng dụng CNTT, Bộ KH&CN cho biết, cách thức tấn công “deface” rất nguy hiểm do không loại trừ khả năng tin tặc có thể “ngồi” trong máy chủ và có thể quản lý điều hành ảo thay vì chỉ đơn thuần thay đổi giao diện trang web. Mặt khác, còn có một mối nguy khác lớn hơn đó là rất nhiều website dù không bị đánh nhưng thực chất đã bị kẻ lạ lọt vào.
Thờ ơ với việc bảo đảm an ninh mạng
Tại buổi hội thảo, chỉ bằng những thao tác đơn giản, ông Triệu Trần Đức, Tổng giám đốc CMC InfoSec đã khiến mã nguồn của một số trang tin điện tử của cơ quan nhà nước, công ty viễn thông… xuất lộ những thông tin nhạy cảm như đường dẫn của quản trị, đăng nhập của phần xuất bản nội dung... Với những lỗi cơ bản này, chỉ cần tin tặc trình độ bình thường cũng có thể dễ dàng khai thác và thay đổi nội dung website. Điều này cho thấy ý thức về đảm bảo an ninh mạng trong việc xây dựng và thiết kế hệ thống đã không được quan tâm và không khác gì việc mở cửa mời các tin tặc tấn công vào hệ thống. “Chính vì thế, máy chủ của Việt Nam cứ dựng lên là trở thành “sân tập” cho hacker thế giới”, ông Đức nói.
Điều đáng nói là tình trạng thờ ơ với công tác đảm bảo an ninh mạng của các cơ quan tổ chức ở Việt Nam đã diễn ra trong một thời gian dài mà hầu như không có sự thay đổi, bởi vì cách thức tấn công thông qua lỗi SQL Conjection, lỗi tràn bộ đệm… đã có từ năm 2002 – 2003, nhất là khi ngày càng có nhiều công cụ hỗ trợ được tự động hoá.
Cần có chuẩn an toàn thông tin
Khi được hỏi về việc cơ quan quản lý Nhà nước có thể đưa ra chuẩn về an toàn thông tin (ATTT), trong đó đưa ra cấp độ cụ thể đòi hỏi hệ thống cơ sở hạ tầng và trang bị quy chuẩn tương đối khi cấp phép xây dựng, ông Ngô Quang Huy, Trưởng phòng hệ thống Trung âm Ứng cứu khẩn cấp máy tính VNCERT (Bộ TT&TT) cho biết, năm 2008, đơn vị này đã xây dựng xong hệ thống tiêu chuẩn ATTT phù hợp tiêu chuẩn ISO 27001 và được Bộ KHCN ban hành năm 2009. Hiện VNCERT đang xây dựng một loạt tiêu chuẩn khác để các cơ quan bắt buộc phải áp dụng. Đối với từng ngành cũng cần có tiêu chuẩn riêng, đặc biệt trong lĩnh vực tài chính ngân hàng, lưu trữ... VNCERT khuyến khích các ngành sớm có tiêu chuẩn về ATTT.
Còn theo ông Vũ Quốc Thành, Tổng Thư ký Hiệp hội An toàn thông tin Việt Nam, trong khi chưa có chuẩn ATTT, các doanh nghiệp có thể áp dụng tiêu chuẩn xuất phát từ thực tế đã được công nhận trên thế giới hoặc trong ngành hay áp các khuyến cáo nếu chưa có chuẩn, ví dụ ngành tài chính ngân hàng tuân theo khuyến cáo ATTT của ngành.