Muốn đảm bảo an ninh mạng (ANM) trong các cơ quan nhà nước, vấn đề chính không phải ở kỹ thuật cao siêu mà là ở ý thức của con người và phương pháp thực hiện. Giữ an toàn, bảo mật thông tin không phải nhiệm vụ riêng của người quản trị mạng mà còn là nhiệm vụ chung của người sử dụng. Ông Nguyễn Tử Quảng - Giám đốc Trung tâm An ninh mạng Đại học Bách khoa Hà Nội (BKIS) đã nhận định như vậy trong cuộc trao đổi với Tạp chí Tin học Tài chính về tình hình ANM tại Việt Nam.

PV: Ông có thể cho biết những lỗ hổng phổ biến của các website hiện nay là gì? Tại sao các website của các cơ quan nhà nước bị tấn công không ít?

Ông Nguyễn Tử Quảng: Theo thống kê và đánh giá của BKIS, hiện có khoảng 25% website, cổng giao tiếp điện tử và các trang thông tin của khối cơ quan nhà nước có lỗ hổng, tạo điều kiện cho hacker có thể kiểm soát, xâm nhập server dễ dàng.

Phổ biến nhất là các lỗi về lập trình như: SQL  Injection, Cross Site Scripting, File Inclusion,… đây là những lỗi cơ bản nhưng rất nghiêm trọng. Ngoài ra, việc người quản trị không có ý thức trong công tác quản lý máy chủ, không thường xuyên cập nhật bản vá cho các phần mềm, trong đó có phần mềm nguồn mở cho web như: forum, portal,… cũng là những nguyên nhân dẫn đến website tồn tại nhiều kẽ hở.

Sở dĩ có tình trạng như vậy là do các đơn vị chưa hiểu rõ tầm quan trọng của ANM, cũng chưa có khái niệm thuê tư vấn độc lập về ANM. Cuối năm 2006 đã xảy ra hàng loạt vụ hacker tấn công các website, qua những sự việc đó, các cơ quan nhà nước đã bước đầu quan tâm đến vấn đề này, tuy nhiên mới chỉ dừng ở mức sốt ruột, lo lắng, chứ chưa thực sự quyết tâm thực hiện, vì từ nhận thức tới hành động cần có thời gian.

PV: Theo ông, mục đích tấn công chủ yếu của các hacker hiện nay là gì? Vì sao loại tội phạm này không được kịp thời ngăn chặn?

Ông Nguyễn Tử Quảng: Nếu trước đây hacker tấn công chỉ để ghi điểm, để nổi danh, thì năm 2006 đã xuất hiện những cuộc tấn công hoặc xâm nhập có chủ đích để trục lợi. Với xu hướng này, hacker sẽ rút vào hoạt động bí mật, có tổ chức hơn và hình thức tấn công, cũng như phương thức đột nhập máy tính của người dùng sẽ phong phú, tinh vi hơn.

Một nguyên nhân khiến tội phạm mạng ngày càng gia tăng tại Việt Nam là do việc xứ lý còn quá nhẹ và ý thức của cộng đồng về vấn đề ANM chưa cao. Việt Nam còn thiếu khung pháp lý để truy tố hình sự loại tội phạm này, do đó chưa đủ sức mạnh để răn đe.

PV: Ông đánh giá thế nào về tình hình ANM của các cơ quan nhà nước?

Ông Nguyễn Tử Quảng: Có thể hình dung những bất cập của ANM trong các cơ quan nhà nước nói riêng và ở Việt Nam nói chung hiện nay giống như việc chúng ta xây dựng một ngôi nhà lớn nhưng lại không có bản thiết kế “tử tế”, quên “xây tường rào” hay “khóa cửa”. Mặc dù đến thời điểm này, hầu hết các cơ quan nhà nước đều có hệ thống thông tin và có sự đầu tư nhiều vào CNTT, nhưng họ vẫn chưa có cái nhìn tổng thể về ANM. Các đơn vị thường bắt đầu xây dựng hệ thống mạng từ việc mua sắm thiết bị của hãng này, hãng kia thay vì phải bắt đầu từ việc thuê thiết kế một hệ thống mạng đảm bảo hiệu năng sử dụng cũng như đảm bảo ANM. Hiện nay ở Việt Nam, dù chỉ là xây dựng một ngôi nhà với giá vài trăm triệu thì việc thuê tư vấn thiết kế, thuê kiến trúc độc lập với thi công cũng đã trở thành phổ biến. Nhưng với một hệ thống mạng trị giá nhiều tỷ đồng thì lại hiếm khi làm được điều đó, hoặc có làm thì cũng chỉ ở mức “làm cho có”, dường như nhà tư vấn với người triển khai chỉ là một.

Đặc biệt, gần như chưa có cơ quan nào, doanh nghiệp nào áp dụng chuẩn về quản lý an ninh thông tin mà trong đó ANM là một phần quan trọng, ví dụ như ISO 27001 - chuẩn quốc tế về quản lý an ninh thông tin, đề ra các yêu cầu trong xây dựng, áp dụng, điều hành, giám sát, kiểm tra và phát triển hệ thống quản lý an ninh thông tin một cách đầy đủ, khoa học, qua đó hạn chế tối thiểu nhất các nguy cơ mất an ninh thông tin của hệ thống.

PV: Ông có thể nói rõ hơn vai trò của các công ty tư vấn, giám sát độc lập về ANM?

Ông Nguyễn Tử Quảng: Ngay từ lúc thiết kế hệ thống CNTT, vấn đề ANM đã phải được đặt ra và đưa vào bản thiết kế. Nó cũng giống như việc xây tòa nhà, phải thiết kế ngay hàng rào ở đâu, vòi cứu hỏa ở chỗ nào v.v… để tiện cho việc đảm bảo an toàn, an ninh sau này. Sau khi xây xong tòa nhà còn phải đặt các quy định để đảm bảo công tác duy tu, an toàn an ninh được vận hành đúng cách… Tất cả các vấn đề trên cần những nhà tư vấn chuyên nghiệp và độc lập với nhà thầu triển khai thì mới thực sự có hiệu quả.

Tiền đầu tư mua sắm các thiết bị ANM không phải là vấn đề lớn, quan trọng là dùng cho đúng cách. Thực ra, trong các thiết bị cấu thành một hệ thống mạng đều đã chứa đựng các yếu tố đảm bảo an ninh rồi, ví dụ như switch, router, các phần mềm… đều đã có các cơ chế, công cụ về an ninh, vấn đề chính là chúng ta thiết kế, kết nối, thiết lập chế độ làm sao cho đúng thì các thiết bị mới phát huy hiệu quả.

Có nhiều đơn vị cho rằng cứ mua firewall về là giải quyết được tất cả các vấn đề ANM, nhưng đấy là cách tiếp cận ngược, firewall cũng chỉ là thiết bị phục vụ cho một phần việc trong vấn đề đảm bảo ANM. Các hãng bán thiết bị ANM thì lại ra sức marketing làm cho thông tin về vấn đề này bị nhiễu loạn. Thay vì thiết kế giải pháp, rồi sau đó chọn thiết bị, phần mềm cụ thể để triển khai theo thiết kế đó thì thời gian qua, chúng ta lại thường chỉ bàn luận về việc mua PIX của Cisco, hay chọn Checkpoint, Juniper, FireBox,… đó là một cách làm ngược! Về cơ bản, thiết bị của hãng nào thì cũng “kẻ tám lạng, người nửa cân” thôi, vấn đề là thiết kế hệ thống, giải pháp.

Trên thực tế mấy năm qua, BKIS tư vấn về ANM cho các cơ quan chính phủ và nhận thấy hiệu quả đầu tư khác hẳn. Trước đây, họ phải đầu tư 10 tỷ đồng cho việc mua sắm thiết bị, nhưng không được tư vấn đầy đủ nên giá trị sử dụng chỉ đáng 1 tỷ đồng; khi có tư vấn thì 10 tỷ lúc đó mới đúng là 10 tỷ, hệ thống mới phát huy hết hiệu quả.

Tuy nhiên hiện tại, Việt Nam chưa có công ty tư vấn theo đúng nghĩa, mà hầu hết các nhà tư vấn đều kiêm nhiều việc: mua thiết bị, triển khai, tự giám sát mình, tức là “vừa đá bóng vừa thổi còi”. Sở dĩ có tình trạng này là do chủ đầu tư chưa có ý thức tách các vai trò tư vấn, giám sát độc lập và chưa nghĩ đến việc phải trả khoản kinh phí cho việc thuê tư vấn, giám sát này, nó có thể chỉ là một phần nhỏ giá trị đầu tư nhưng lại rất quan trọng.

PV: ANM là vấn đề không mới, nhưng những bất cập trong ANM đã có rất nhiều quốc gia gặp phải, theo ông vì sao Việt Nam vẫn không tránh khỏi vết xe đổ đó?

Ông Nguyễn Tử Quảng: Đúng như vậy! Bất kỳ quốc gia nào trong quá trình phát triển CNTT cũng trải qua giai đoạn như ở Việt Nam hiện nay. Bản thân người “khổng lồ” như Microsoft, chỉ cách đây vài năm thôi họ đâu có nghĩ rằng sẽ phải định kỳ hàng tháng đưa ra các bản vá lỗi một cách nghiêm túc. Microsoft là “đại gia” dẫn dắt nền CNTT của thế giới mà còn có lúc chưa ý thức được như vậy, huống hồ chúng ta! Âu cũng vì “cuộc sống là thế”, nhưng nếu chúng ta sớm nhận ra và có những hành động quyết liệt thì sẽ tốt hơn.

PV: Những năm gần đây ở Việt Nam đã bắt đầu có khái niệm về Giám đốc CNTT (CIO), nhưng thực chất các CIO trong các cơ quan chính phủ vẫn chỉ là những cán bộ phụ trách về hệ thống CNTT, chứ chưa có tiếng nói quyết định trong việc đầu tư cho CNTT. Phải chăng vì vậy mà vấn đề ANM chưa thực sự được quan tâm đúng mức?

Ông Nguyễn Tử Quảng: Tôi đã làm việc với nhiều CIO trong các cơ quan chính phủ, có một anh trong số đó có nói với tôi như thế này: mình là lính nhưng mình lại phải “lãnh đạo” các sếp! Đúng là như vậy, CNTT là lĩnh vực mới mẻ, ngay cả những người đứng đầu cơ quan cũng ít người có hiểu biết thực sự về lĩnh vực này, vậy CIO phải “chỉ huy” cả các sếp là đúng rồi. Ở Việt Nam hiện nay lại càng cần như thế. Rõ ràng, vai trò của CIO rất quan trọng, như trong vấn đề ANM, họ không chỉ làm theo mệnh lệnh mà còn phải tư vấn cho sếp.

PV: Theo ông để giải quyết “tận gốc” lỗ hổng an ninh mạng, các cơ quan nhà nước cần phải làm gì?

Ông Nguyễn Tử Quảng: Tôi cho rằng chỉ cần làm tốt việc phân biệt rõ “anh” tư vấn giám sát với “anh” triển khai thì mọi việc sẽ đâu vào đấy cả thôi. Sau khi xây dựng xong hệ thống mới hoặc quy hoạch lại hệ thống cũ thì nên áp dụng ISO 27001 nếu có thể, hoặc ít ra thì cũng áp dụng một phần (không cần lấy chứng chỉ) để duy trì, đảm bảo hệ thống ANM luôn được vận hành đúng cách.

Về mặt quản lý nhà nước, cần bổ sung nền tảng pháp lý cho các hoạt động trong không gian mạng thông qua Luật CNTT, Luật Giao dịch điện tử, Luật Hình sự. Mặt khác, Nhà nước cũng cần khuyến khích thành lập nhiều công ty chuyên tư vấn ANM để có thể thúc đẩy lĩnh vực này hoạt động một cách chuyên nghiệp hơn, chất lượng hơn.

PV: Xin cảm ơn ông!

K.Hoa (Thực hiện)

Tạp chí Tin học Tài chính tháng 4-2007