Quá nửa hệ thống không có khả năng ghi nhận tấn công

Tại tại Hội thảo xây dựng chính sách đảm bảo an toàn thông tin (ATTT) trong việc phát triển Chính phủ điện tử (CPĐT) tại Việt Nam ngày 25/5, ông Vũ Quốc Khánh, GĐ Trung tâm VNCERT (Bộ TT&TT) đã nêu thực trạng triển khai Quy hoạch phát triển ATTT quốc gia. Theo đó, các Bộ, ngành, UBND các tỉnh, TP đều xây dựng kế hoạch ứng dụng CNTT và kế hoạch đầu tư cho ứng dụng CNTT giai đoạn 2011-2015. Tuy nhiên, theo ông Khánh, dự kiến tỷ lệ đầu tư cho ATTT trong ngân sách đầu tư cho CNTT tại các đơn vị (cơ quan, tổ chức, DN trong và ngoài Nhà nước) còn thấp.

Đối với cơ quan Nhà nước, 29% đơn vị dự kiến đầu tư 10 - 15% ngân sách (trong khi tỷ lệ chung của cả nước ở mức 19% ngân sách), 16% đơn vị đầu tư  5 - 9,9% ngân sách (thấp hơn mức tỷ lệ 19% chung của cả nước), 24% sẽ đầu tư dưới 5% ngân sách (thấp hơn tỷ lệ 38% của cả nước).

Ngoài ra, theo khảo sát của VNCERT, 53% đơn vị có hệ thống ATTT không ghi nhận hành vi tấn công, trong khi con số này đối với cơ quan Nhà nước là 54%. Điều này đồng nghĩa với việc quá nửa các website ở Việt Nam dù "xây nhà" đã trang bị "khóa" song kẻ trộm vẫn có thể đột nhập mà chủ nhà không hề hay biết. Bên cạnh đó, 63% đơn vị không ước lượng được tổn thất tài chính khi bị tấn công - đối với cơ quan Nhà nước, tỷ lệ này ở mức 64%.

Cũng tại buổi Hội thảo, đại diện Hiệp hội ATTT Việt Nam (VNISA) cho biết, đơn vị này đã đánh giá ngẫu nhiên 100 website tên miền cơ quan Nhà nước (.gov.vn), kết quả cho thấy khoảng 80% website không có biện pháp bảo vệ tối thiểu chống lại việc dò quét như hệ thống ngăn ngừa xâm nhập... và khoảng 78% website có thể bị tấn công thay đổi nội dung hoặc "đánh sập" bất cứ lúc nào.

Các điểm yếu phổ biến như lộ thông tin từ lỗi ứng dụng ASP.NET của Microsoft (chiếm khoảng 15%), các lỗi liên quan đến SQL Injection (11%), XSS (kỹ thuật tấn công bằng cách chèn vào các website những thẻ HTML hay những đoạn mã script nguy hiểm có thể gây nguy hại cho người sử dụng) chiếm 9%...

Việt Nam chưa thể chống lại chiến tranh mạng

Trước đó, tại Hội thảo - Triển lãm Quốc gia Điện toán đám mây và An ninh bảo mật 2012 (22-23/3) tại Hà Nội, ông Nguyễn Viết Thế, nguyên Cục trưởng Cục Công nghệ Tin học nghiệp vụ (Bộ Công an) nhận định, tội phạm mạng ngày càng chuyên nghiệp và có kỹ thuật cao hơn, vì thế an ninh mạng trong năm 2012 tiếp tục nóng, bùng nổ nguy cơ chiến tranh mạng, chiến tranh điện tử. 

Ông Khánh cho rằng, các website Việt Nam chứa khá nhiều lỗ hổng và nếu có một đợt tấn công nhắm đồng loạt đến các website của Việt Nam thì rất khó đảm bảo cho tất cả hệ thống cùng hoạt động được. Mặc dù vậy, đối với những website không quan trọng và không cần đầu tư nhiều, sau khi bị tấn công, người quản trị sớm khôi phục lại được hệ thống sau một khoảng thời gian ngắn thì ở chừng mực nào đó "vẫn có thể coi là chống được". Còn đối với những website rất quan trọng và phải được online 24/24 thì đều đã có biện pháp bảo đảm ATTT. "Thực tế cho thấy có đến 20% các hệ thống không phát hiện được lỗi và tin tặc rất khó tấn công", ông Khánh dẫn chứng. Còn với các cuộc tấn công từ chối dịch vụ (DDoS), chúng ta phải cần đến sự giúp đỡ của bên ngoài như những biện pháp tăng băng thông…

Để chống lại các cuộc chiến tranh mạng, theo ông Khánh, cũng giống như chiến tranh ngoài đời thực, chúng ta phải bảo vệ những mục tiêu quan trọng, trọng điểm thay vì "bảo vệ bất kỳ mảnh đất nào trên đất nước". "Với những website không quan trọng sẽ có khuyến cáo, cảnh báo về lỗ hổng. Đặc biệt, rất cần sự đoàn kết, sức mạnh tổng hợp của toàn dân từ nhà nước, các cơ quan, đơn vị cho đến từng người dân" , ông Khánh cho biết thêm.

Cùng quan điểm với ông Khánh, ông Vũ Quốc Thành, Tổng thư ký VNISA cho biết, với việc có đến 78% website .gov.vn có thể bị đánh sập bất cứ lúc nào, khi chiến tranh mạng xảy ra, Việt Nam không thể chống lại được các cuộc tấn công. Tuy nhiên, vấn đề đặt ra là khi các website Việt Nam bị chiếm quyền điều khiển, bị tấn công thì có ảnh hưởng lớn đến hệ thống thông tin và nền kinh tế nói chung hay không, khi mà đa phần website hiện mới dừng lại ở cung cấp, công bố thông tin trên đó và chưa gắn với hệ thống lõi ở bên trong như những dịch vụ công mức 3, 4. "Khi website đã cung cấp dịch vụ công mà chúng ta vẫn lơ là công tác ATTT thì hậu quá mới thực sự trầm trọng vì tin tặc có thể phá hoại cơ sở dữ liệu bên trong website”, ông Thành nhấn mạnh.