TẠP CHÍ ĐIỆN TỬ
Chuyện bảo mật thông tin trong ngành tài chính
Bảo mật thông tin đang và sẽ tiếp tục là một điểm nóng trong ngành tài chính - ngân hàng
Bảo mật thông tin đang và sẽ tiếp tục là một điểm nóng trong ngành tài chính - ngân hàng.
Hội thảo - triển lãm “Thế giới an ninh bảo mật”, do Tổng cục Kỹ thuật thuộc Bộ Công an phối hợp với Tập đoàn Dữ liệu Quốc tế (IDG Vietnam) tổ chức sẽ diễn ra tại Hà Nội vào ngày 19-20/3/ 2008.
Chúng tôi xin giới thiệu một số ý kiến đáng chú ý của các chuyên gia bảo mật thông tin trước thềm sự kiện này.
Vai trò của bảo mật thông tin
(Ông Nguyễn Viết Thế, Cục trưởng Cục Tin học nghiệp vụ, Tổng cục Kỹ thuật, Bộ Công an)
"Theo dõi vấn đề an ninh mạng năm 2008, chúng tôi thấy, hầu hết các website của các cơ quan doanh nghiệp đều bị hackers tấn công. Theo thống kê của BKIS, trên 60% website đã bị hacker tấn công, hacker Việt Nam trình độ, thủ thuật tinh vi hơn. Chính vì thế mà việc lây lan virus, và tấn công trở nên nguy hiểm hơn.
Vừa qua, một loạt website bị thay đổi nội dung thông tin, chiếm quyền điều khiển, thậm chí bị thay đổi tên miền, bị chiếm quyền sử dụng. Trong hướng của lây lan virus và các mã độc thì đã lây lan sang các thiết bị di động. Trên sách báo công khai cũng đã nói đến hệ thống di động bị xâm nhập. Một số thiết bị nhúng cũng đã xuất hiện lây lan virus.
Sự xuất hiện virus trong năm 2008 còn thiệt hại nguy hiểm hơn năm 2007. Người ta thống kê tới hàng vạn máy tính bị nhiễm virus và con số thiệt hại theo thống kê của BKIS lên tới nhiều tỷ đồng.
Đây là một cuộc đấu tranh không có hồi kết, bởi vì kẻ xấu luôn lợi dụng những không gian mạng để làm việc rửa tiền, ăn cắp tài khoản hay thực hiện những mục đích cạnh tranh không lành mạnh.
Báo chí thời gian gần đây đều đề cập đến an ninh, an toàn của hệ thống chứng khoán, những rủi ro trong đầu tư, là những điểm nóng. Thị trường chứng khoán nước ta phát triển những năm gần đây đang có hướng tiêu cực, tức là xuống dốc rất nhanh. Nếu hệ thống thông tin cho thị trường chứng khoán không an toàn, sẽ rất nguy hiểm, và có thể đi đến sập đổ thị trường."
Cần sử dụng dịch vụ an ninh mạng
(Ông Nguyễn Tử Quảng, Giám đốc BKIS)
"Nguy cơ về an toàn bảo mật thông tin rất đa dạng, trong đó có nguy cơ do virus máy tính phá. Nếu để virus máy tính xâm nhập vào máy có thể sinh ra rất nhiều vấn đề. Trên thực tế, người ta có thể cài đặt vào đó các back door để kiểm soát hệ thống của mình, mình làm gì họ biết. Họ cần lấy thông tin gì, họ cần xoá cái gì, cũng làm được.
Nếu trên các website của các cơ quan, doanh nghiệp có những lỗ hổng, thì từ xa, trên mạng Internet bất kỳ ở đâu người ta cũng có thể xâm nhập và kiểm soát được hệ thống website đó, tiến tới xâm nhập và kiểm soát toàn bộ hệ thống bên trong.
Chúng ta phải bao quát tất cả mọi nguy cơ. Khó có thể nói được đầu tư về bảo mật thông tin là thấp hay cao. Theo tôi hiện nay, ở Việt Nam có một tình trạng là với những cơ quan, những doanh nghiệp lớn có tiềm lực tài chính dồi dào thì đầu tư rất thừa, nhưng vẫn rất thiếu. Còn những cơ quan doanh nghiệp nhỏ thì có thể nói là chưa đầu tư gì. Vấn đề là ở chỗ, người ta chưa biết cách sử dụng các dịch vụ an ninh mạng.
Có nhiều nơi vì không biết, cho rằng việc đó họ không thể làm được, nên họ để nguyên, không làm gì. Nhưng có những nơi như ngành ngân hàng, tài chính, họ sẵn sàng chi tiền nhưng lại không biết tìm đến đơn vị tư vấn chuyên về an ninh mạng. Kết quả là, thiết bị mua về thì rất nhiều, nhưng lại không giải quyết được vấn đề an ninh mạng, gây lãng phí rất lớn.
Thực ra, sử dụng dịch vụ an ninh mạng không tốn kém lắm, nó là chất xám chứ không phải mua thêm các thiết bị mấy tỷ đồng. Trên thực tế, các doanh nghiệp đang thừa phần lớn thiết bị mà họ đã mua, nhưng không biết cách dùng nó như thế nào, bởi nó không được thiết kế trong một hệ thống tổng thể.
Trên thực tế, khi một máy tính bị nhiễm virus, người sử dụng lại loay hoay đi tìm phần mềm này, phần mềm kia để diệt. Do không có chuyên môn, nên kết quả là máy lại càng nhiễm virus nặng hơn, thậm chí dữ liệu bị virus phá. Cuối cùng máy phải cài lại, mất rất nhiều thời gian, gây thiệt hại cả thời gian và vật chất.”
An toàn, bảo mật cho hệ thống thông tin
(Ông Trần Nguyên Vũ, Phó cục trưởng Cục Tin học và Thống kê tài chính, Bộ Tài chính)
"Hệ thống thông tin ngành tài chính hoạt động trên hạ tầng mạng diện rộng của ngành, cho đến nay hầu hết các cơ quan tài chính đều có kết nối với Internet, điều đó đồng nghĩa với việc mạng WAN ngành tài chính liên thông ở rất nhiều điểm với Internet.
An toàn bảo mật cho hệ thống thông tin ngành tài chính được đặt ra từ rất sớm, nhưng để triển khai một cách hệ thống, từ 2002, Cục Tin học thống kê tài chính đã chủ trì xây dựng đề án “thiết kế tổng thể giải pháp an toàn bảo mật hệ thống thông tin thống nhất ngành tài chính”, được Bộ Tài chính phê duyệt và triển khai trong 5 năm, 2002-2006.
Bên cạnh những việc đã làm được, những việc chưa thực hiện được là chưa có hệ thống chính sách và các quy định thống nhất trong toàn ngành về an toàn bảo mật thông tin, chưa có hệ thống quản lý rủi ro, việc triển khai cho các cơ quan tài chính địa phương còn hạn chế.
Lúng túng lớn nhất là sự phức tạp và các mối đe doạ về sự mất an toàn bảo mật hệ thống thông tin ngày càng tăng. Tìm được một giải pháp tổng thể với chi phí hợp lý là điều không dễ cho các doanh nghiệp nói chung, trong đó có các doanh nghiệp trong lĩnh vực tài chính. Mặt khác, nhiều dự án về phía Nhà nước triển khai chậm cũng gây khó dễ cho các tổ chức và doanh nghiệp trong lĩnh vực tài chính.
Chẳng hạn, theo Nghị định 26/2007/NĐ-CP về chữ ký số, giao dịch của cơ quan tài chính với cá nhân, doanh nghiệp phải dùng dịch vụ chứng thực chữ ký số công cộng. Hiện nay các doanh nghiệp muốn triển khai dịch vụ này cần chờ Bộ Thông tin truyền thông xây dựng xong chương trình gốc quốc gia. Việc chậm trễ này cũng làm việc triển khai chữ ký số cho các dự án như thủ tục hải quan điện tử... bị ảnh hưởng.
Năm 2008-2009 là những năm bản lề trong việc triển khai các dự án của ngành thuế, kho bạc, hải quan.. Việc xây dựng hệ thống an toàn bảo mật cho các giao dịch nghiệp vụ như thanh toán kho bạc, quản lý và thanh toán tín trái phiếu, khai hải quan điện tử, khai thuế điện tử. Các công ty chứng khoán chuyển mạnh sang giao dịch trực tuyến, các sàn Hà Nội, Tp.HCM chuyển dần sang mô hình giao dịch qua mạng (“giao dịch không sàn”).
Cho nên, vấn đề sống còn cho việc triển khai thành công những hoạt động trên là phải đảm bảo an toàn bảo mật cho các giao dịch, cho hệ thống thông tin của ngành, và của các doanh nghiệp.”
Hội thảo - triển lãm “Thế giới an ninh bảo mật”, do Tổng cục Kỹ thuật thuộc Bộ Công an phối hợp với Tập đoàn Dữ liệu Quốc tế (IDG Vietnam) tổ chức sẽ diễn ra tại Hà Nội vào ngày 19-20/3/ 2008.
Chúng tôi xin giới thiệu một số ý kiến đáng chú ý của các chuyên gia bảo mật thông tin trước thềm sự kiện này.
Vai trò của bảo mật thông tin
(Ông Nguyễn Viết Thế, Cục trưởng Cục Tin học nghiệp vụ, Tổng cục Kỹ thuật, Bộ Công an)
"Theo dõi vấn đề an ninh mạng năm 2008, chúng tôi thấy, hầu hết các website của các cơ quan doanh nghiệp đều bị hackers tấn công. Theo thống kê của BKIS, trên 60% website đã bị hacker tấn công, hacker Việt Nam trình độ, thủ thuật tinh vi hơn. Chính vì thế mà việc lây lan virus, và tấn công trở nên nguy hiểm hơn.
Vừa qua, một loạt website bị thay đổi nội dung thông tin, chiếm quyền điều khiển, thậm chí bị thay đổi tên miền, bị chiếm quyền sử dụng. Trong hướng của lây lan virus và các mã độc thì đã lây lan sang các thiết bị di động. Trên sách báo công khai cũng đã nói đến hệ thống di động bị xâm nhập. Một số thiết bị nhúng cũng đã xuất hiện lây lan virus.
Sự xuất hiện virus trong năm 2008 còn thiệt hại nguy hiểm hơn năm 2007. Người ta thống kê tới hàng vạn máy tính bị nhiễm virus và con số thiệt hại theo thống kê của BKIS lên tới nhiều tỷ đồng.
Đây là một cuộc đấu tranh không có hồi kết, bởi vì kẻ xấu luôn lợi dụng những không gian mạng để làm việc rửa tiền, ăn cắp tài khoản hay thực hiện những mục đích cạnh tranh không lành mạnh.
Báo chí thời gian gần đây đều đề cập đến an ninh, an toàn của hệ thống chứng khoán, những rủi ro trong đầu tư, là những điểm nóng. Thị trường chứng khoán nước ta phát triển những năm gần đây đang có hướng tiêu cực, tức là xuống dốc rất nhanh. Nếu hệ thống thông tin cho thị trường chứng khoán không an toàn, sẽ rất nguy hiểm, và có thể đi đến sập đổ thị trường."
Cần sử dụng dịch vụ an ninh mạng
(Ông Nguyễn Tử Quảng, Giám đốc BKIS)
"Nguy cơ về an toàn bảo mật thông tin rất đa dạng, trong đó có nguy cơ do virus máy tính phá. Nếu để virus máy tính xâm nhập vào máy có thể sinh ra rất nhiều vấn đề. Trên thực tế, người ta có thể cài đặt vào đó các back door để kiểm soát hệ thống của mình, mình làm gì họ biết. Họ cần lấy thông tin gì, họ cần xoá cái gì, cũng làm được.
Nếu trên các website của các cơ quan, doanh nghiệp có những lỗ hổng, thì từ xa, trên mạng Internet bất kỳ ở đâu người ta cũng có thể xâm nhập và kiểm soát được hệ thống website đó, tiến tới xâm nhập và kiểm soát toàn bộ hệ thống bên trong.
Chúng ta phải bao quát tất cả mọi nguy cơ. Khó có thể nói được đầu tư về bảo mật thông tin là thấp hay cao. Theo tôi hiện nay, ở Việt Nam có một tình trạng là với những cơ quan, những doanh nghiệp lớn có tiềm lực tài chính dồi dào thì đầu tư rất thừa, nhưng vẫn rất thiếu. Còn những cơ quan doanh nghiệp nhỏ thì có thể nói là chưa đầu tư gì. Vấn đề là ở chỗ, người ta chưa biết cách sử dụng các dịch vụ an ninh mạng.
Có nhiều nơi vì không biết, cho rằng việc đó họ không thể làm được, nên họ để nguyên, không làm gì. Nhưng có những nơi như ngành ngân hàng, tài chính, họ sẵn sàng chi tiền nhưng lại không biết tìm đến đơn vị tư vấn chuyên về an ninh mạng. Kết quả là, thiết bị mua về thì rất nhiều, nhưng lại không giải quyết được vấn đề an ninh mạng, gây lãng phí rất lớn.
Thực ra, sử dụng dịch vụ an ninh mạng không tốn kém lắm, nó là chất xám chứ không phải mua thêm các thiết bị mấy tỷ đồng. Trên thực tế, các doanh nghiệp đang thừa phần lớn thiết bị mà họ đã mua, nhưng không biết cách dùng nó như thế nào, bởi nó không được thiết kế trong một hệ thống tổng thể.
Trên thực tế, khi một máy tính bị nhiễm virus, người sử dụng lại loay hoay đi tìm phần mềm này, phần mềm kia để diệt. Do không có chuyên môn, nên kết quả là máy lại càng nhiễm virus nặng hơn, thậm chí dữ liệu bị virus phá. Cuối cùng máy phải cài lại, mất rất nhiều thời gian, gây thiệt hại cả thời gian và vật chất.”
An toàn, bảo mật cho hệ thống thông tin
(Ông Trần Nguyên Vũ, Phó cục trưởng Cục Tin học và Thống kê tài chính, Bộ Tài chính)
"Hệ thống thông tin ngành tài chính hoạt động trên hạ tầng mạng diện rộng của ngành, cho đến nay hầu hết các cơ quan tài chính đều có kết nối với Internet, điều đó đồng nghĩa với việc mạng WAN ngành tài chính liên thông ở rất nhiều điểm với Internet.
An toàn bảo mật cho hệ thống thông tin ngành tài chính được đặt ra từ rất sớm, nhưng để triển khai một cách hệ thống, từ 2002, Cục Tin học thống kê tài chính đã chủ trì xây dựng đề án “thiết kế tổng thể giải pháp an toàn bảo mật hệ thống thông tin thống nhất ngành tài chính”, được Bộ Tài chính phê duyệt và triển khai trong 5 năm, 2002-2006.
Bên cạnh những việc đã làm được, những việc chưa thực hiện được là chưa có hệ thống chính sách và các quy định thống nhất trong toàn ngành về an toàn bảo mật thông tin, chưa có hệ thống quản lý rủi ro, việc triển khai cho các cơ quan tài chính địa phương còn hạn chế.
Lúng túng lớn nhất là sự phức tạp và các mối đe doạ về sự mất an toàn bảo mật hệ thống thông tin ngày càng tăng. Tìm được một giải pháp tổng thể với chi phí hợp lý là điều không dễ cho các doanh nghiệp nói chung, trong đó có các doanh nghiệp trong lĩnh vực tài chính. Mặt khác, nhiều dự án về phía Nhà nước triển khai chậm cũng gây khó dễ cho các tổ chức và doanh nghiệp trong lĩnh vực tài chính.
Chẳng hạn, theo Nghị định 26/2007/NĐ-CP về chữ ký số, giao dịch của cơ quan tài chính với cá nhân, doanh nghiệp phải dùng dịch vụ chứng thực chữ ký số công cộng. Hiện nay các doanh nghiệp muốn triển khai dịch vụ này cần chờ Bộ Thông tin truyền thông xây dựng xong chương trình gốc quốc gia. Việc chậm trễ này cũng làm việc triển khai chữ ký số cho các dự án như thủ tục hải quan điện tử... bị ảnh hưởng.
Năm 2008-2009 là những năm bản lề trong việc triển khai các dự án của ngành thuế, kho bạc, hải quan.. Việc xây dựng hệ thống an toàn bảo mật cho các giao dịch nghiệp vụ như thanh toán kho bạc, quản lý và thanh toán tín trái phiếu, khai hải quan điện tử, khai thuế điện tử. Các công ty chứng khoán chuyển mạnh sang giao dịch trực tuyến, các sàn Hà Nội, Tp.HCM chuyển dần sang mô hình giao dịch qua mạng (“giao dịch không sàn”).
Cho nên, vấn đề sống còn cho việc triển khai thành công những hoạt động trên là phải đảm bảo an toàn bảo mật cho các giao dịch, cho hệ thống thông tin của ngành, và của các doanh nghiệp.”
