Tọa đàm về An toàn thông tin số

Phát biểu tại buổi tọa đàm, Thứ trưởng Nguyễn Minh Hồng đã ghi nhận đóng góp của Microsoft trong việc phát triển CNTT trong thời gian qua tại Việt Nam. Thứ trưởng Nguyễn Minh Hồng cũng đánh giá cao việc Microsoft đã mời chuyên gia cao cấp về bảo mật của Microsoft tham gia với tư cách là diễn giả chính của buổi Tọa đàm hôm nay. Thứ trưởng cũng khẳng định An toàn thông tin là vấn đề đang được nhiều nước trên thế giới, nhiều tổ chức và cộng đồng đặc biệt quan tâm. Việc xâm nhập hay tấn công các hệ thống CNTT ngày càng phổ biến, tinh vi và phức tạp không chỉ ở Việt Nam mà trên toàn thế giới. Chính phủ Việt Nam rất quan tâm đối với Quy hoạch An toàn thông tin 2020, Tiêu chuẩn quốc gia TCVN 27001:2013, nhiều văn bản khác và nhiều hoạt động tuyên truyền an toàn thông tin số. Hiện Bộ Thông tin và Truyền thông được chính phủ giao chủ trì xây dựng Luật An toàn thông tin số. Bộ đã và sẽ phối hợp với các tổ chức doanh nghiệp, trong và ngoài nước để trao đổi, chia sẻ kinh nghiệm trong lĩnh vực an toàn thông tin để giúp xây dựng dự thảo Luật.
 

Tại buổi Tọa đàm Ông Pierre Noel, Giám đốc kiêm cố vấn An ninh thông tin Microsoft châu Á cho biết Việt Nam có 3 hạng mục nguy cơ cao. Hạng mục phổ biến nhất tại Việt Nam là những phần mềm không mong muốn, có ảnh hưởng tới 64% máy tính đã phát hiện trong Quý II năm 2012, giảm 58,8% trong quý I/ 2012. Hạng mục phổ biến thứ hai là mã độc cửa sau (Trojans) có ảnh hướng tới 41,3% máy tính đã phát hiện trong quý II/2012, tăng 40,3% so với quý I/2012. Hạng mục phổ biến thứ 3 là sâu/virus máy tính (worm), có ảnh hưởng tới 30,1% máy tính đã phát hiện trong quý II/2012, tăng so với 28,2% trong Quý I/2012.

Theo ông Pierre Noel, nguy cơ đến từ con người nội bộ là nguy cơ cao nhất. Ngày nay người trẻ tuổi mang virus từ các thiết bị cá nhân đến văn phòng. Thay vì để cho họ truy cập mở lại cơ quan lại để họ mang nguy cơ vào từ “cửa hậu” tạo ra hàng ngàn rủi ro. Nguyên nhân gây ra các sự cố nội bộ 90% là do những người quản trị CNTT và những quyền ưu tiên cao. Trong khi chính sách bảo mật thường được viết ra cho người dùng thông thường mà bỏ trống hai đối tượng là người làm CNTT và những người có quyền ưu tiên cao. Hiểm họa từ nội bộ có thể là người làm CNTT không cảnh giác cao do làm đi làm lại một việc thường ngày nên bỏ qua một số rủi ro. Một ví dụ khác là một nhân viên bình thường được giao một việc phải vào CSDL nhạy cảm của công ty và được cấp quyền ưu tiên để làm việc. Khi người này làm xong đến cả một tuần người quản trị vẫn không tước quyền truy cập ưu tiên.

Có 5 điểm yếu được tổng kết là: thiếu giám sát tổng thể đối với hạ tầng bảo mật thông tin, quản lý thay đổi không đúng cách, phân quyền trách nhiệm không đầy đủ, thiếu kiểm soát truy nhập, quyền truy cập quá mức vào các hệ thống và cơ sở dữ liệu.

Để khắc phục, ông Pierre cho rằng một hệ thống hoàn hảo đến mấy vẫn luôn phải đối mặt với những rủi ro dù tường lửa mạnh, chính sách bảo mật tốt… nhưng chỉ cần một đồng nghiệp mượn USB cắm vào máy tính là có thể rủi ro cho cả hệ thống. Ông cho rằng, chúng ta nên thay đổi tư duy sang xây dựng hệ thống kháng cự có khả năng tình báo. Việc xây dựng hệ thống kháng cự để khi không may bị tấn công thì vẫn đảm bảo một số máy tính tối thiểu an toàn và có khả năng phục hồi. Các ngành điện lực, tài chính, giao thông vận tải, viễn thông… nên xây dựng các hệ thống theo hình thức kháng chịu.