Bảo mật không phải là khóa mọi cánh cửa thông tin

E-mail | Bản in | Lưu xem sau

Ông Raymond Goh.

TBVTSG đã trao đổi với ông Raymond Goh, Giám đốc kỹ thuật, người phụ trách thiết kế hệ thống và dịch vụ tư vấn khách hàng khu vực Nam Á của hãng bảo mật Symantec, về các nguy cơ bị tấn công hệ thống và xu hướng bảo mật trong doanh nghiệp.

- TBVTSG: Là người quản lý đội ngũ thiết kế hệ thống, ông nhận thấy có những xu hướng mới gì trong an ninh thông tin khi ngày càng có những dự báo xấu?

- Ông Raymond Goh: Các hoạt động tấn công mạng đã tiếp tục phát triển kỷ lục trong năm 2008, điển hình nhất là các hoạt động tấn công chủ yếu nhắm tới những thông tin quan trọng từ người sử dụng cuối.

Như chúng ta đã biết, nguồn xuất phát các nguy cơ bị tấn công liên quan tới nhiều yếu tố: từ việc hacker chủ động tấn công tìm kiếm thông tin rồi phát tán; từ các yếu tố nội bộ trong công ty vô tình hay cố ý làm ảnh hưởng đến kiến trúc của hệ thống; từ lỗ hổng của hệ thống do không được thiết kế tốt… Phương thức tấn công ngày nay nguy hiểm hơn bởi hacker không còn nhằm vào việc đánh sập hệ thống mà chủ đích là đánh cắp thông tin và phát tán ra bên ngoài.

Thống kê năm 2008 cho thấy có hơn 5.000 lỗ hổng về an ninh phần mềm, trong đó có đến 80% dễ dàng bị hacker xâm nhập. Mỗi ngày có hơn 75.000 máy tính luôn trong tình trạng bị kiểm soát và dễ dàng bị hacker điều khiển. Có đến 285 triệu bản ghi thông tin của doanh nghiệp bị đánh cắp, trong khi từ năm 2004 đến 2007 chỉ mới 230 triệu, và con số của năm 2007 cũng đã gấp đến 200 lần so với cách đây 20 năm.

- Vậy các doanh nghiệp cần những tiêu chí an ninh mới ra sao để giải quyết những vấn đề của mình, thưa ông?

- Với hiện trạng an ninh thông tin như nói trên cùng với vô số những nguy cơ mới thì doanh nghiệp cũng cần một mô hình mới trong việc xây dựng hệ thống.

Giải pháp mà họ ứng dụng phải bảo vệ hạ tầng và thông tin theo một cách chủ động, có cơ chế kiểm soát việc truy cập, chia sẻ và chuyển tải thông tin; xây dựng các chính sách bảo mật theo tiêu chuẩn, sao cho việc quản trị theo từng người sử dụng có hiệu quả chứ không phải là để hạn chế thông tin.

Hoạt động kinh doanh ngày nay đòi hỏi sự chia sẻ thông tin và duy trì các hoạt động trong mọi điều kiện. Vấn đề là phải đánh giá được nguy cơ để chuẩn hóa quy trình hoạt động và chủ động phòng tránh các cuộc tấn công. Càng chia sẻ càng gặp nhiều rủi ro, nhưng không phải vì thế mà chúng ta khóa mọi cánh cửa thông tin, vấn đề là có cơ chế kiểm soát chặt chẽ và bảo vệ thông tin.

Tôi lấy ví dụ, có 80% các vụ tấn công vào các công ty tài chính là do các doanh nghiệp này không tuân thủ tiêu chuẩn bảo mật. Theo tôi, doanh nghiệp cần định nghĩa tiêu chuẩn an ninh thông tin theo tiêu chuẩn quốc tế tùy theo ngành công nghiệp họ đang hoạt động. Sau khi định nghĩa được tiêu chuẩn cho mình thì mới áp dụng giải pháp cho toàn bộ hệ thống, tiếp đó là giám sát quy trình và tuân thủ quy trình để đáp ứng tính an toàn đến tận người sử dụng cuối.

- Theo kinh nghiệm của Symantec thì ông thấy mức độ sẵn sàng về an ninh thông tin tại các doanh nghiệp Việt Nam hiện nay ra sao?

- Tại Việt Nam chúng tôi nhận thấy doanh nghiệp ở các ngành chính yếu như tài chính, ngân hàng hay bảo hiểm đã và đang đầu tư thích đáng cho hệ thống CNTT cũng như an ninh bảo mật, nghĩa là họ đã sẵn sàng cho phương thức bảo vệ mới trong việc quản lý thông tin. Khó khăn nằm ở các doanh nghiệp nhỏ hiện nay, có thể họ đã nhận biết những vấn đề thiết yếu về an ninh nhưng còn gặp trở ngại ở việc đầu tư.

Các doanh nghiệp có quy mô nhỏ thường không có người phụ trách chuyên biệt về CNTT, do vậy còn thiếu những kỹ năng triển khai hệ thống. Rồi có doanh nghiệp đã sẵn sàng về CNTT và an ninh nhưng vẫn chưa tiên lượng được vấn đề khi sự cố xảy ra để có thể đầu tư đúng hướng. Phải nhìn vấn đề theo hướng khi chúng ta bị chiếm băng thông thì có thể mua thêm nhưng nếu mất thông tin thì chúng ta có thể bất lực trong cách giải quyết vấn đề, như vậy mới đặt đúng tầm tính sẵn sàng về an ninh thông tin.

- Ông nói rằng giải pháp bảo mật phải giảm thiểu độ phức tạp trong việc điều hành hệ thống cho doanh nghiệp, vậy cụ thể là gì?

- Ví dụ đơn giản như chúng tôi đưa ra giải pháp bảo vệ cho người sử dụng đầu cuối phiên bản dành riêng cho các doanh nghiệp nhỏ (Symantec Endpoint Protection Small Business Edition). Phiên bản này tích hợp bảy giải pháp bảo mật vào một thiết bị đầu cuối trên cùng một màn hình giao diện quản lý chung, có thời gian triển khai chỉ trong vòng 20 phút và ảnh hưởng ít nhất đến các hoạt động của người sử dụng trên chương trình của Microsoft.

Song song với đó là trình ứng dụng được sắp xếp hợp lý, để việc triển khai được dễ dàng đối với bất cứ người sử dụng nào mà không đòi hỏi kiến thức về quản lý CNTT. Chúng tôi nhắm tới việc giảm thiểu các yêu cầu phức tạp với từng người sử dụng cuối đồng thời giảm áp lực lên người quản lý CNTT trong doanh nghiệp.

Chẳng hạn khi trên Internet công bố một bản lỗi Windows thì hacker đã biết trước ít nhất bảy ngày trong khi một doanh nghiệp với khoảng một trăm nhân viên phải mất hàng tháng để cập nhật bản vá lỗi. Vì thế hacker luôn có nhiều thời gian hơn. Giải pháp mới phải bảo đảm việc cập nhật nhanh hơn để khắc phục hệ thống cho doanh nghiệp kịp thời. Việc tích hợp các công cụ khác nhau trong một giải pháp như thế tập trung vào yếu tố tự động hóa quy trình quản lý trong doanh nghiệp, ngay từ người sử dụng đầu cuối đã có thể quản lý máy tính của mình một cách hữu hiệu và cập nhật nhanh chóng hơn.

- Ông có thể tư vấn gì cho các doanh nghiệp khi đầu tư vào giải pháp của Symantec?

- Quan tâm đến vấn đề bảo mật có nghĩa là bảo vệ thông tin chứ không chỉ đơn thuần là bảo vệ hệ thống. Điều quan trọng để đầu tư có hiệu quả là doanh nghiệp phải hiểu rõ và tiên lượng được những nguy cơ xảy ra, xác định được nguy cơ đến từ đâu, từ khách hàng, từ người trong công ty hay từ hacker, nguy cơ đó sẽ ảnh hưởng thế nào đến hoạt động của mình, sau đó phân loại những nguy cơ theo thứ tự ưu tiên để giải quyết; quy trình của mình phải được chuẩn hóa và có cơ chế giám sát để hệ thống luôn luôn được bảo vệ và hoạt động có hiệu quả.

(Theo Tuyết Ân thực hiện // Thời báo kinh tế Sài Gòn)