Xây dựng Chính phủ điện tử khó vì tràn ngập lỗ hổng
Mục tiêu đẩy mạnh xây dựng Chính phủ điện tử cần phải được “rào tường” từ những “vòng ngoài” với hàng trăm các lỗ hổng
Cuối tuần trước, hội thảo về xây dựng chính sách đảm bảo an toàn thông tin trong việc phát triển Chính phủ điện tử cho thấy, công cuộc này vẫn còn nhiều việc phải làm trước mắt.
Tràn ngập lỗ hổng, nguy cơ
Ông Vũ Quốc Khánh, Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - VNCERT (thuộc Bộ Thông tin và Truyền thông) đã nhiều lần cảnh báo về nguy hiểm mất an toàn thông tin, nhiều lỗ hổng an ninh mạng trong các tổ chức, cơ quan nhà nước, nhưng mức độ chuyển biến tại các đơn vị này rất chậm chạp.
Mặc dù các Bộ, ngành, UBND các tỉnh, thành phố đều đã xây dựng kế hoạch ứng dụng công nghệ thông tin và kế hoạch đầu tư cho ứng dụng công nghệ thông tin giai đoạn 2011-2015, song theo ông Khánh, vẫn còn 53% đơn vị có hệ thống an toàn thông tin không có khả năng ghi nhận các hành vi thử tấn công (kể cả chưa thành công), trong khi đối với các cơ quan nhà nước tỷ lệ này là 54%.
Có 63% đơn vị không ước lượng được tổn thất tài chính khi bị tấn công, và tỷ lệ này với các cơ quan nhà nước là 64%.
“Nhiều đơn vị báo cáo rằng “chúng tôi đã đảm bảo an toàn thông tin” nhưng khi các cơ quan chức năng khảo sát, kiểm tra thì sự thật lại không như vậy, còn rất nhiều vấn đề nguy cơ an toàn thông tin mà các đơn vị này không kiểm soát được”, ông Khánh cho biết.
Trong một đợt đánh giá ngẫu nhiên 100 webstite tên miền cơ quan nhà nước "gov.vn" của Hiệp hội An toàn thông tin (VNISA), thì có tới 78% số website có thể bị tấn công thay đổi nội dung hoặc có thể bị đánh sập bất cứ lúc nào.
Cụ thể hơn, trong số hơn 3.690 lỗi trên 100 website "gov.vn" mà VNISA phát hiện thì có 489 điểm yếu (lỗi) ở mức độ nghiêm trọng (chiếm 13%), 396 điểm yếu ở mức cao (chiếm 11%) và 2.812 điểm yếu ở mức trung bình/thấp (chiếm 76%). Trong đó, có 2.012 lỗi được phát hiện trên ứng dụng web và 1.685 lỗi được phát hiện trên ứng dụng hệ thống.
Thứ trưởng Bộ Thông tin và Truyền thông Nguyễn Minh Hồng cho biết, năm 2011, mới chỉ có khoảng 35% cơ quan, tổ chức xây dựng và áp dụng chính sách an toàn thông tin. Các cổng, trang thông tin điện tử của những cơ quan nhà nước còn tồn tại nhiều lỗ hổng, chưa áp dụng giải pháp đảm bảo an toàn thông tin phù hợp.
Theo ông Khánh, hiện có những lỗi sơ đẳng nhưng khá phổ biến hiện nay là trên hệ thống thư của nhiều đơn vị cơ quan nhà nước chỉ có một mật khẩu, nhưng sử dụng cho hàng trăm tài khoản khác nhau, vì thế chỉ cần một, hai nhân viên để lộ mật khẩu là tin tặc có thể tấn công, chiếm quyền điều khiển.
“Những vụ việc mất an toàn thông tin, vấn nạn thư rác, tấn công xâm nhập gia tăng ở mức báo động về số lượng, đa dạng về hình thức và ngày càng tinh vi hơn”, Thứ trưởng Nguyễn Minh Hồng cảnh báo.
Phải “rào từ vòng ngoài”
Chỉ thị 15 mà Thủ tướng Chính phủ ban hành tuần trước yêu cầu các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND các tỉnh, thành phố trực thuộc TW cần tăng cường sử dụng văn bản điện tử trao đổi giữa các cơ quan nhà nước với nhau, hoặc giữa cơ quan nhà nước với các cơ quan, tổ chức, doanh nghiệp, cá nhân khác.
Đồng thời, chỉ thị yêu cầu các đơn vị từng bước triển khai ứng dụng chữ ký số trong các hệ thống thông tin theo nhu cầu thực tế, nhằm thay thế dần việc bắt buộc gửi văn bản giấy có chữ ký và dấu qua đường bưu điện, bằng việc gửi văn bản điện tử có chữ ký số qua mạng.
Nhưng với những thực trạng về an toàn thông tin hiện nay, việc xây dựng Chính phủ điện tử cần ưu tiên tổ chức “rào chắn”, lấp những lỗ hổng nguy cơ mất an toàn thông tin bắt đầu từ “vòng ngoài”.
Ông Đào Đình Khả, Giám đốc Trung tâm Chứng thực chữ ký số quốc gia cho rằng, an toàn thông tin có ý nghĩa sống còn đối với Chính phủ điện tử, vì thế cần một hạ tầng kỹ thuật và phi kỹ thuật để tạo ra sự tin cậy.
Theo quan điểm của Giám đốc VNCERT Vũ Quốc Khánh, trước hết, cần phải phân loại tài sản thông tin của tổ chức trên Internet bao gồm phần cứng, phần mềm, dữ liệu, tài liệu hệ thống, các tài sản khác trên Internet và áp dụng các biện pháp quản lý thích hợp. Đồng thời phải kiểm soát bảo mật, mã hóa thông tin trong hệ thống và trên đường truyền; quản lý sự cố, cảnh báo sớm các nguy cơ, các điểm yếu gây mất an toàn thông tin, kiểm soát các lỗ hổng bảo mật.
Thực hiện nhiệm vụ trên có vai trò cốt yếu của đội ngũ nhân lực, cán bộ đảm bảo an toàn thông tin. Theo ông Khánh, đội ngũ này phải được tuyển chọn, đào tạo, bồi dưỡng nghiệp vụ thường xuyên. Cán bộ sử dụng mạng phải nắm vững các quy định pháp lý và của nội bộ về an toàn thông tin, đảm bảo an ninh khai thác và vận hành hệ thống, bao gồm các biện pháp kiểm soát hệ thống, kiểm soát mạng, sao lưu dữ liệu, quản lý thiết bị kết nối, quản lý trao đổi thông tin, kiểm soát truy cập thông tin, truy cập mạng và các ứng dụng mạng.
Thứ trưởng Nguyễn Minh Hồng cho rằng, bên cạnh việc đảm bảo an toàn thông tin về mặt kỹ thuật thì môi trường pháp lý, hệ thống cơ chế, chính sách về an toàn thông tin cần được hoàn thiện, quy định rõ hơn quyền và trách nhiệm của đối tượng liên quan.
“Nếu đảm bảo an toàn thông tin được từ “vòng ngoài” thì mục tiêu xây dựng Chính phủ điện tử sẽ ngày càng có cơ sở thúc đẩy phát triển nhanh và tạo độ tin cậy cao với người dân”, nhiều chuyên gia công nghệ nhìn nhận.
Tràn ngập lỗ hổng, nguy cơ
Ông Vũ Quốc Khánh, Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - VNCERT (thuộc Bộ Thông tin và Truyền thông) đã nhiều lần cảnh báo về nguy hiểm mất an toàn thông tin, nhiều lỗ hổng an ninh mạng trong các tổ chức, cơ quan nhà nước, nhưng mức độ chuyển biến tại các đơn vị này rất chậm chạp.
Mặc dù các Bộ, ngành, UBND các tỉnh, thành phố đều đã xây dựng kế hoạch ứng dụng công nghệ thông tin và kế hoạch đầu tư cho ứng dụng công nghệ thông tin giai đoạn 2011-2015, song theo ông Khánh, vẫn còn 53% đơn vị có hệ thống an toàn thông tin không có khả năng ghi nhận các hành vi thử tấn công (kể cả chưa thành công), trong khi đối với các cơ quan nhà nước tỷ lệ này là 54%.
Có 63% đơn vị không ước lượng được tổn thất tài chính khi bị tấn công, và tỷ lệ này với các cơ quan nhà nước là 64%.
“Nhiều đơn vị báo cáo rằng “chúng tôi đã đảm bảo an toàn thông tin” nhưng khi các cơ quan chức năng khảo sát, kiểm tra thì sự thật lại không như vậy, còn rất nhiều vấn đề nguy cơ an toàn thông tin mà các đơn vị này không kiểm soát được”, ông Khánh cho biết.
Trong một đợt đánh giá ngẫu nhiên 100 webstite tên miền cơ quan nhà nước "gov.vn" của Hiệp hội An toàn thông tin (VNISA), thì có tới 78% số website có thể bị tấn công thay đổi nội dung hoặc có thể bị đánh sập bất cứ lúc nào.
Cụ thể hơn, trong số hơn 3.690 lỗi trên 100 website "gov.vn" mà VNISA phát hiện thì có 489 điểm yếu (lỗi) ở mức độ nghiêm trọng (chiếm 13%), 396 điểm yếu ở mức cao (chiếm 11%) và 2.812 điểm yếu ở mức trung bình/thấp (chiếm 76%). Trong đó, có 2.012 lỗi được phát hiện trên ứng dụng web và 1.685 lỗi được phát hiện trên ứng dụng hệ thống.
Thứ trưởng Bộ Thông tin và Truyền thông Nguyễn Minh Hồng cho biết, năm 2011, mới chỉ có khoảng 35% cơ quan, tổ chức xây dựng và áp dụng chính sách an toàn thông tin. Các cổng, trang thông tin điện tử của những cơ quan nhà nước còn tồn tại nhiều lỗ hổng, chưa áp dụng giải pháp đảm bảo an toàn thông tin phù hợp.
Theo ông Khánh, hiện có những lỗi sơ đẳng nhưng khá phổ biến hiện nay là trên hệ thống thư của nhiều đơn vị cơ quan nhà nước chỉ có một mật khẩu, nhưng sử dụng cho hàng trăm tài khoản khác nhau, vì thế chỉ cần một, hai nhân viên để lộ mật khẩu là tin tặc có thể tấn công, chiếm quyền điều khiển.
“Những vụ việc mất an toàn thông tin, vấn nạn thư rác, tấn công xâm nhập gia tăng ở mức báo động về số lượng, đa dạng về hình thức và ngày càng tinh vi hơn”, Thứ trưởng Nguyễn Minh Hồng cảnh báo.
Phải “rào từ vòng ngoài”
Chỉ thị 15 mà Thủ tướng Chính phủ ban hành tuần trước yêu cầu các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND các tỉnh, thành phố trực thuộc TW cần tăng cường sử dụng văn bản điện tử trao đổi giữa các cơ quan nhà nước với nhau, hoặc giữa cơ quan nhà nước với các cơ quan, tổ chức, doanh nghiệp, cá nhân khác.
Đồng thời, chỉ thị yêu cầu các đơn vị từng bước triển khai ứng dụng chữ ký số trong các hệ thống thông tin theo nhu cầu thực tế, nhằm thay thế dần việc bắt buộc gửi văn bản giấy có chữ ký và dấu qua đường bưu điện, bằng việc gửi văn bản điện tử có chữ ký số qua mạng.
Nhưng với những thực trạng về an toàn thông tin hiện nay, việc xây dựng Chính phủ điện tử cần ưu tiên tổ chức “rào chắn”, lấp những lỗ hổng nguy cơ mất an toàn thông tin bắt đầu từ “vòng ngoài”.
Ông Đào Đình Khả, Giám đốc Trung tâm Chứng thực chữ ký số quốc gia cho rằng, an toàn thông tin có ý nghĩa sống còn đối với Chính phủ điện tử, vì thế cần một hạ tầng kỹ thuật và phi kỹ thuật để tạo ra sự tin cậy.
Theo quan điểm của Giám đốc VNCERT Vũ Quốc Khánh, trước hết, cần phải phân loại tài sản thông tin của tổ chức trên Internet bao gồm phần cứng, phần mềm, dữ liệu, tài liệu hệ thống, các tài sản khác trên Internet và áp dụng các biện pháp quản lý thích hợp. Đồng thời phải kiểm soát bảo mật, mã hóa thông tin trong hệ thống và trên đường truyền; quản lý sự cố, cảnh báo sớm các nguy cơ, các điểm yếu gây mất an toàn thông tin, kiểm soát các lỗ hổng bảo mật.
Thực hiện nhiệm vụ trên có vai trò cốt yếu của đội ngũ nhân lực, cán bộ đảm bảo an toàn thông tin. Theo ông Khánh, đội ngũ này phải được tuyển chọn, đào tạo, bồi dưỡng nghiệp vụ thường xuyên. Cán bộ sử dụng mạng phải nắm vững các quy định pháp lý và của nội bộ về an toàn thông tin, đảm bảo an ninh khai thác và vận hành hệ thống, bao gồm các biện pháp kiểm soát hệ thống, kiểm soát mạng, sao lưu dữ liệu, quản lý thiết bị kết nối, quản lý trao đổi thông tin, kiểm soát truy cập thông tin, truy cập mạng và các ứng dụng mạng.
Thứ trưởng Nguyễn Minh Hồng cho rằng, bên cạnh việc đảm bảo an toàn thông tin về mặt kỹ thuật thì môi trường pháp lý, hệ thống cơ chế, chính sách về an toàn thông tin cần được hoàn thiện, quy định rõ hơn quyền và trách nhiệm của đối tượng liên quan.
“Nếu đảm bảo an toàn thông tin được từ “vòng ngoài” thì mục tiêu xây dựng Chính phủ điện tử sẽ ngày càng có cơ sở thúc đẩy phát triển nhanh và tạo độ tin cậy cao với người dân”, nhiều chuyên gia công nghệ nhìn nhận.