DN quá chủ quan về an toàn thông tin

E-mail | Bản in | Lưu xem sau

Công tác bảo đảm an ninh thông tin cốt lõi bên trong doanh nghiệp (DN) chưa được quan tâm đúng mức. 85% DN phía Nam hiện không có chính sách an toàn thông tin

Tình trạng an toàn thông tin tại các DN VN hiện đang ở mức dưới trung bình do thực trạng đầu tư vào hệ thống phòng thủ an ninh mạng của các DN còn rất yếu. Đó là nhận định của ông Ngô Vi Đồng, Chủ tịch Chi hội An toàn thông tin phía Nam (VNISA), tại hội thảo An toàn thông tin là bảo vệ tài sản DN, diễn ra ở TPHCM ngày 18-11.

Đã có nhiều vụ tấn công nguy hiểm

Mặc dù không nằm trong nhóm những nước phát triển nhất về công nghệ thông tin nhưng VN đã bị xếp hạng vào top 5 nước phát tán thư rác (spam) nhiều nhất thế giới. Theo các chuyên gia tại hội thảo, có thể nói năm 2008 là năm có nhiều website có tên tuổi ở VN bị tấn công nhất.

Điển hình là vụ tấn công chiếm quyền kiểm soát máy chủ của PA VN gây hậu quả đến gần 10.000 tên miền do PA VN quản lý. Đây được xem là sự cố an ninh mạng gây hậu quả nghiêm trọng nhất trong lịch sử Internet VN. Tiếp đến là sự cố tấn công từ chối dịch vụ vào các trang web 5 giây Nhất Nghệ hay vụ website của Techcombank bị tấn công làm thay đổi giao diện, mất tài khoản của khách hàng...

Theo HPT Corp, năm 2008 xảy ra nhiều sự kiện liên quan đến bảo mật thông tin của thế giới nói chung và VN nói riêng. Người ta có thể thống kê được 90% e-mail gửi đến là spam, trong đó có hơn 80% chứa link đến website nguy hiểm. Từ đầu năm đến nay, cứ mỗi ngày có khoảng 6.000 website bị nhiễm malware, cứ 14 giây lại có một trang trở thành nạn nhân.

Trong khi đó, 80% chủ nhân website này hoàn toàn không hay biết việc website của mình đã bị hack. Nguy hại là thế nhưng không phải DN nào cũng sẵn sàng xây dựng chính sách an toàn thông tin do không đầu tư các thiết bị có khả năng phát hiện, ghi nhận sự cố. Đến khi sự cố xảy ra DN lại loay hoay, không biết các quy trình xử lý nên thiệt hại là không nhỏ.

DN thụ động

Theo nghiên cứu của Công ty VietPace, các DN VN hiện nay hầu hết chỉ quan tâm đến an ninh ngoại mạng, tập trung đầu tư vào thiết bị tường lửa, giám sát mạng. Trong khi đó, công tác bảo đảm an ninh thông tin cốt lõi bên trong DN thì chưa được quan tâm đúng mức.

Các chuyên gia tại hội thảo cho rằng: Muốn có an toàn thông tin thì DN phải kết hợp được 3 yếu tố: Công nghệ, con người và quy trình, nhưng nhiều DN VN còn mơ hồ, thụ động trước cả 3 yếu tố. Tình hình ứng dụng an toàn thông tin tại VN chưa thực sự đủ mạnh để có thể ngăn ngừa và chống lại các cuộc tấn công đơn giản. Theo VNISA, các DN hiện chỉ chú trọng vào thiết bị và phần mềm bảo mật, rất ít DN hiểu được tầm quan trọng của việc xây dựng quy trình an toàn thông tin, hệ thống quản lý an toàn thông tin tổng thể theo tiêu chuẩn ISO-17799. Mặt khác, tỉ lệ DN có hệ thống anti-virus có bản quyền còn thấp (đa số sử dụng hệ thống anti-virus không có bản quyền hợp pháp).

Tại hội thảo, một số DN cũng nêu ra những khó khăn trong vấn đề phát hiện và xử lý sự cố an toàn thông tin. Nguyên nhân chính, theo các DN là việc thiếu đầu tư các thiết bị có khả năng phát hiện, ghi nhận sự cố đi đôi với sự thiếu vắng của các quy trình thủ tục xử lý sự cố và tâm lý e ngại liên hệ với cơ quan luật pháp.

Trong chuyên đề “Đào tạo và chuẩn hóa an toàn thông tin”, các chuyên gia cũng nêu ra một thực tế các DN VN đang thiếu trầm trọng đội ngũ nhân viên an ninh thông tin. DN ít có nhân viên chuyên về bảo mật, đa số là kiêm nhiệm, phần lớn do tự đào tạo hoặc do tích lũy kinh nghiệm và không được đào tạo chính quy về bảo mật thông tin. Mỗi năm, Khoa Công nghệ thông tin - Trường ĐH Khoa học Tự nhiên TPHCM cũng chỉ mới đào tạo được trung bình 30 sinh viên, số lượng này không đủ nguồn nhân lực cung cấp cho các DN, nên vấn đề đầu tư cho đào tạo nguồn nhân lực an toàn thông tin phải được DN quan tâm đúng mức.

( theo báo người lao động )