Lời cảnh báo về an ninh thông tin

E-mail | Bản in | Lưu xem sau

Ông Freddy Tan trong hội thảo "Các giải pháp bảo đảm an ninh và rủi ro công nghệ". Ành: Thanh Thương

Cho đến nay, chức danh CSO (Chief Security Officer – lãnh đạo an ninh thông tin) vẫn còn khá mới tại Việt Nam, dù nhiều doanh nghiệp đã phải đối mặt với việc thông tin bị đánh cắp. Theo nhiều chuyên gia trong ngành công nghệ thông tin thì đã đến lúc coi trọng vai trò của các CSO.

Càng phát triển càng thiếu an toàn

Theo số liệu của Bkis Telecom đưa ra tại hội thảo "Các giải pháp bảo đảm an ninh và rủi ro công nghệ" được tổ chức trong tuần qua, năm 2009, tại Việt Nam đã có đến gần 1.100 website bị tấn công, trong khi con số này ở năm 2008 chỉ hơn 460 website. Số lượng virus mới cũng tăng mạnh với gần 50.000 loại, hơn năm 2008 đến 15.000 loại.

Trong số các website bị hack có nhiều website chính thức của các tỉnh, thành phố, các cơ quan hành chính nhà nước như bộ, ngành, sở… Bên cạnh đó là các công ty cung cấp dịch vụ internet, tập đoàn tài chính,ngân hàng.

Theo ông Ngô Tuấn Anh, giám đốc Bkis Telecom, nguyên nhân của việc này là do các đơn vị khi thuê viết website, phần mềm, thiết kế hệ thống, không đặt ra yêu cầu phải đảm bảo an ninh. Một lý do khác nữa là có nhiều đơn vị thực hiện xây dựng website không biết về an ninh nên không chú trọng.

Hiện nay chưa có hành lang pháp lý bắt buộc phải đưa an ninh vào hệ thống thông tin nên các doanh nghiệp còn lơ là, chỉ khi website bị tấn công, thông tin bị đánh cắp thì mới vỡ lẽ ra và xem xét thực hiện.

Theo ông Freddy Tan, tư vấn trưởng An ninh bảo mật của Microsoft châu Á, ông đã từng biết nhiều doanh nghiệp bị tổn thất tiền của do bị đánh cắp thông tin. Một ví dụ cụ thể là một doanh nghiệp đã mất 1,1 triệu đô la Mỹ khi không bảo vệ được dữ liệu của khách hàng. Khi lưu trữ hồ sơ mà bị đánh cắp thì việc khôi phục lại là rất tốn kém do phải thực hiện hàng loạt công nghệ khác nhau. Bên cạnh đó, nhiều công ty cũng bị khách hàng kiện tụng dẫn đến phá sản do không thực hiện bảo mật thông tin.

Có mặt tại hội thảo, diễn giả Trần Nguyên Vũ, đến từ Cục tin học thống kê Bộ Tài chính, cho biết tại bộ này hiện nay đang ứng dụng nhiều công nghệ để hiện đại hóa nghiệp vụ ngành tài chính, đẩy mạnh các dịch vụ tài chính công trực tuyến như thủ tục hải quan điện tử, nộp tờ khai thuế qua mạng, đồng thời cũng tạo nên mối liên kết chia sẻ thông tin từ các đơn vị trong và ngoài ngành. Điều này đặt ra một thách thức là tính mở của hệ thống cao hơn, hệ thống có nhiều điểm kết nối internet nên sẽ là nguồn gốc cho các hiểm họa đe dọa sự mất an toàn thông tin.

CSO - Người bảo vệ thông tin

Theo ông Lê Mạnh Hà, Giám đốc Sở Thông tin Truyền thông TPHCM, trong nhiều năm qua, công nghệ thông tin đã phát triển mạnh mẽ ở Việt Nam song sự thực là chưa có sự chú trọng đúng mức đến an ninh thông tin. Cũng có nhiều công ty trang bị hệ thống bảo mật nhưng không có sự kiểm soát chặt chẽ từ các CSO nên thông tin vẫn bị đánh cắp.

Chức danh CSO không có nhiều tại các doanh nghiệp hay cơ quan hành chính Việt Nam. Đa phần việc bảo đảm an ninh thông tin tại một số cơ quan là những CIO, giám đốc Công nghệ thông tin thực hiện và vì "kiêm" toàn bộ việc quản lý công nghệ thông tin nên việc kiểm soát an ninh thông tin dễ bị lơ là.

Vì vậy, việc thay đổi cách nghĩ là giao toàn bộ việc bảo mật thông tin cho một CSO đang được khuyến khích để việc bảo mật được chú trọng hơn. Để nhiều người biết đến chức danh CSO - lãnh đạo an ninh thông tin, năm nay Sở Thông tin Truyền thông TPHCM đã chủ động phối hợp với IDG Việt Nam để tổ chức ra giải thưởng CSO tiêu biểu.

Theo ông Hà, CSO phải là người định hướng, xây dựng chiến lược và các chương trình bảo mật an toàn thông tin nên bản thân những người này phải có những nhận thức sâu rộng về bảo mật thông tin và điều lệ an ninh bảo mật của tổ chức họ làm việc. Họ cũng là người phân tích và thiết kế chương trình bảo mật sao cho phù hợp với các chính sách được nhà nước quy định.

Nhưng không chỉ dừng lại ở đó, nhiệm vụ của các CSO còn là giám sát các hoạt động hàng ngày, tình trạng an ninh trong tổ chức. Cụ thể là nghiên cứu, tìm hiểu các lỗ hổng bảo mật, theo dõi, kiểm tra, phản hồi, đánh giá và báo cáo hoạt động cho lãnh đạo công ty. CSO còn là người chịu trách nhiệm cung cấp, duy trì, chấm dứt, quản lý quyền truy cập của người dùng.

Nói về chức danh CSO, ông Trần Nguyên Vũ cho rằng, đây là một bước đi muộn của nền công nghệ thông tin Việt Nam. Cụ thể là đã để cho internet phát triển những bước vượt bậc rồi mới thấy rõ những lỗ hổng của nó, và lúc đó mới tính chuyện sửa chữa và mới nghĩ đến vai trò của CSO.