Báo động bảo mật trong cơ quan nhà nước

E-mail | Bản in | Lưu xem sau

Theo khảo sát của Bkis, từ đầu năm tới nay có gần 440 trang web của Việt Nam bị hacker (những kẻ tấn công trên mạng) trong và ngoài nước tấn công, trong đó, phần lớn là các trang web thuộc các cơ quan nhà nước (org.vn, edu.vn hoặc gov.vn). Điều này cũng đồng nghĩa với việc còn nhiều lỗ hổng an ninh và tình hình an ninh-bảo mật thông tin tại các cơ quan nhà nước đang ở mức báo động.

Ông Nguyễn Minh Đức, Giám đốc Bộ phận An ninh mạng của Bkis (Bkis Security), cho biết bản báo cáo Ghostnet của một tổ chức khá uy tín của Canada được công bố mới đây cũng cho thấy, Việt Nam là một trong những quốc gia có lượng máy tính tại các cơ quan nhà nước bị lây nhiễm virus cao nhất, đứng thứ hai trong các quốc gia mà tổ chức này có khảo sát. Ông Đức cũng cho biết các cơ quan bị cảnh báo trong bản báo cáo này đã kiểm tra lại hệ thống mạng của họ và thấy đúng như cảnh báo.

Sự quan tâm chưa đúng mức

Ông Đức cho rằng, sở dĩ tồn tại những lỗ hổng về bảo mật tại các cơ quan nhà nước là bởi các cơ quan này chưa quan tâm nhiều đến vấn đề an ninh-bảo mật thông tin. “Có thể do hệ thống mạng của các cơ quan này chưa có nhiều hoạt động, hoặc cũng có thể do họ cho rằng những dữ liệu trên hệ thống không quan trọng nên không chú ý nhiều đến vấn đề bảo vệ… Vì thế, hệ thống mạng của một số cơ quan nhà nước có những lỗ hổng mà hacker có thể lợi dụng để tấn công, xâm nhập”, ông Đức nói.

Chưa chú trọng đến vấn đề an ninh- bảo mật nên khi trang web bị tấn công, thay đổi giao diện hoặc đánh sập (tê liệt) thì các cơ quan này chỉ việc… thiết kế lại trang web mới, hoặc khi máy tính bị nhiễm virus thì chỉ quét máy tính đó là xem như giải quyết xong, chứ chưa trang bị các biện pháp bảo vệ.

Hiện nay, nhiều cơ quan nhà nước chưa nhận thức rõ tầm quan trọng của việc đảm bảo an ninh-an toàn cho thông tin. Họ cho rằng hoạt động của họ không liên quan nhiều đến tài chính nên chẳng may mất dữ liệu thì cũng không có vấn đề gì quá nghiêm trọng.

Trên thực tế, tại các cơ quan nhà nước, khi bị hacker tấn công hệ thống có nguy cơ bị mất dữ liệu quan trọng liên quan đến các kế hoạch, quyết định, thậm chí là các tài liệu bí mật quốc gia.

Con người là yếu tố hàng đầu

Theo ý kiến của nhiều chuyên gia về an ninh-bảo mật thông tin, hiện phần lớn các cơ quan nhà nước các cấp đã triển khai mạng máy tính và hệ thống cơ sở dữ liệu. Các cơ quan này cũng có đầu tư về thiết bị an ninh-bảo mật như tường lửa, phần mềm bảo vệ… nhưng khi triển khai thường chỉ cài đặt sao cho máy tính chạy tốt chứ chưa bảo đảm đúng chức năng bảo vệ hệ thống mạng. Họ chỉ chú ý đầu tư thiết bị, trong khi để bảo đảm an ninh thì không chỉ cần thiết bị mà còn cần cả con người và quy trình bảo đảm an ninh. Do đó, các chuyên gia cho rằng việc phải làm đầu tiên là về nhân lực. Cần đầu tư, xây dựng một đội ngũ thực hiện việc cấu hình và tinh chỉnh lại hệ thống mạng nhằm giảm bớt các nguy cơ.

Còn về hệ thống mạng, cần lưu ý sao cho tường lửa phải có cấu hình tốt để bảo đảm tính năng bảo mật. Ngoài ra cần thường xuyên cập nhật bản vá lỗ hổng phần mềm...

Ngoài vấn đề con người và hệ thống, nếu các cơ quan nhà nước đạt được tiêu chuẩn an ninh thông tin ISO 27001 thì sẽ hạn chế được nhiều nguy cơ cũng như bảo đảm an toàn cho hệ thống mạng. Hiện có rất ít đơn vị của Việt Nam có được chứng chỉ ISO 27001 do các yêu cầu cao về tài chính, tính bức thiết và yêu cầu khắt khe về an ninh với quy trình nghiêm ngặt, nên chủ yếu là các doanh nghiệp mới có chứng chỉ này. Theo các chuyên gia, các cơ quan nhà nước có thể không nhất thiết phải áp dụng các quy trình an ninh thông tin để đạt được chứng chỉ ISO 27001 nhưng cũng nên tự thực hiện theo quy trình bảo mật mà chuẩn ISO 27001 đã quy định để việc bảo đảm an ninh thông tin được tốt hơn.

Ngoài ra, cần thường xuyên khảo sát để nhìn thấy nguy cơ và đưa ra những giải pháp an ninh-bảo mật kịp thời. Ông Đức cho biết, khi phát hiện ra những lỗ hổng an ninh mạng tại các cơ quan nhà nước, Bkis gửi công văn cảnh báo cho bộ phận phụ trách hệ thống mạng của các cơ quan này. Sau đó họ có thể tự xử lý hoặc nhờ Bkis tư vấn hoặc phối hợp xử lý các lỗ hổng.

Mới đây, Thủ tướng Chính phủ vừa phê duyệt quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020. Các chuyên gia nhận định thời gian tới các cơ quan nhà nước sẽ phải quan tâm hơn đến vấn đề an ninh-bảo mật thông tin và đây không phải là chuyện một sớm một chiều.