17/12/2014 22:06

Lơ là bảo mật

Nếu không có biện pháp tăng cường bảo vệ thì các website sẽ có nguy cơ bị tấn công trong thời gian tới

Các chuyên gia dự báo tấn công mạng sẽ tiếp tục gia tăng và 2015 được cho là năm của an ninh mạng. Ước tính, năm 2014 có hàng ngàn cuộc tấn công vào website của các tổ chức và doanh nghiệp (DN) Việt Nam. Mới đây là vụ hacker Malaysia tấn công và “hạ gục” 50 website của Việt Nam chỉ chưa đầy 24 giờ. Trước đó, đã có hàng ngàn cuộc tấn công của hacker Trung Quốc và nhiều nhóm hacker chưa rõ danh tính khác. Các chuyên gia bảo mật nhận định các website của tổ chức, DN Việt Nam rất dễ bị xâm nhập do có nhiều lỗ hổng, sơ hở; đầu tư nhân lực, kỹ thuật về bảo mật kém. Chủ website cần phải thay đổi ngay nhận thức và giải pháp an toàn thông tin.

Xem nhẹ đầu tư nhân lực

Thống kê mới đây của Bộ Thông tin và Truyền thông cho thấy trong 9 tháng vừa qua, có gần 7.300 trường hợp các cổng, trang thông tin điện tử tại Việt Nam bị tấn công. Các cuộc tấn công vào các website Việt Nam trong năm qua diễn ra dưới các hình thức khai thác những lỗ hổng bảo mật chưa được vá của các nền tảng web nguồn mở như Drupal, Jooomla. Ngoài ra, còn có các hình thức tấn công phổ biến lợi dụng lỗi bảo mật của hệ thống như tấn công từ chối dịch vụ DDOS, APT (tấn công dai dẳng có chủ đích), khai thác lỗi dữ liệu ứng dụng web SQL injection…

Nhiều đơn vị chưa coi trọng bảo mật hệ thống thông tin
Nhiều đơn vị chưa coi trọng bảo mật hệ thống thông tin

 

Ông Ngô Trần Vũ, Ủy viên Chi hội An toàn thông tin phía Nam, cho biết: “Một trong những yếu tố khiến nhiều website của Việt Nam bị tấn công dễ dàng là chủ website chưa chú trọng đầu tư chuyên viên bảo mật hệ thống. Hầu hết các website DN nhỏ thường bỏ qua bước này mà phụ thuộc hoàn toàn vào nhà cung cấp hosting”.

Ông Võ Đỗ Thắng, Giám đốc Trung tâm Đào tạo An ninh mạng Athena TP HCM, phân tích: “Các DN thường quan tâm đến nội dung của website hơn giải pháp bảo mật. Nhiều website của tổ chức, DN do các công ty thiết kế trong nước xây dựng nhưng rất ít đơn vị đủ tiêu chuẩn hoặc có quy trình kiểm soát nghiêm ngặt vấn đề về bảo mật. Các thông tin nhạy cảm như danh sách khách hàng, nhân viên, tài liệu dự án... bị hacker đánh cắp và nguy hiểm hơn, hacker sẽ âm thầm khai thác mà người quản trị website không phát hiện được. Đa phần nhân lực quản lý website hiện nay yếu và thiếu, người có chuyên môn không nhiều và thường nằm ở các ngân hàng và tập đoàn lớn. Khu vực đáng báo động nhất là các tỉnh - thành, ban - ngành, cơ quan nhà nước. Cơ chế của nhà nước chưa có chức danh về quản lý an toàn thông tin nên chưa thu hút được chuyên gia”.

Đừng đợi nước đến chân

Điển hình cho việc không bảo đảm quy trình an toàn thông tin gây thiệt hại nặng về kinh tế và uy tín là trường hợp xảy ra với một DN ngành xuất khẩu tại

TP HCM. Một thời gian dài, DN này bỗng dưng bị vuột mất nhiều hợp đồng kinh tế quan trọng trị giá hàng trăm ngàn USD với khách hàng dù việc đàm phán kinh doanh đã hoàn tất và chỉ còn phần ký kết. Nghi ngờ thông tin, dữ liệu kinh doanh bị rò rỉ, DN đã nhờ một trung tâm an ninh mạng tư vấn. Các chuyên gia của trung tâm này điều tra và phát hiện hệ thống máy chủ của DN đã bị hacker cài mã độc. Website và hệ thống email của DN này lại nằm chung máy chủ nên sau khi tấn công vào website, hacker tiếp tục xâm nhập sang hệ thống email để đánh cắp rất nhiều thông tin quan trọng trong email trao đổi giữa DN và các khách hàng. Trước mức độ nguy hiểm của sự việc, các chuyên gia bảo mật đã yêu cầu DN này xây dựng hệ thống máy chủ mới, tách riêng hệ thống email và website. Việc mất dữ liệu bị ngăn chặn và DN đã ổn định trong việc kinh doanh.

“Các chủ website cần phải phòng chống, ngăn ngừa nguy cơ tấn công ngay từ đầu chứ không đợi bị xâm nhập rồi mới tìm cách khắc phục. Hacker đã tấn công website thì có thể quay lại nhiều lần. Các website cần được trang bị hệ thống sao lưu dự phòng (backup), các phần mềm chống virus mạnh cho máy chủ, xây dựng tường lửa mạng để cách ly máy chủ, tường lửa ứng dụng web để chặn tấn công. Ngoài ra, cần thiết phải thiết lập chính sách truy cập (quyền truy cập…) vào hệ thống máy chủ chặt chẽ” - ông Ngô Trần Vũ khuyến cáo.

Theo ông Võ Đỗ Thắng, các DN vừa và nhỏ hiện nay không có điều kiện đầu tư chuyên gia bảo mật thì nên thuê dịch vụ kiểm tra bảo mật website từ các đơn vị an ninh mạng với chi phí khoảng 1 triệu đồng/tháng. “Các tổ chức, DN cần triển khai ngay giải pháp phòng chống xâm nhập như: kiểm tra bảo mật website với các dịch vụ Blackbox testing và Whitebox testing (kiểm tra từ bên ngoài và bên trong), sửa chữa các lỗi tìm thấy, trang bị các hệ thống phát hiện và phòng chống xâm nhập như ModSecurity, tường lửa, phần cứng...” - ông Thắng tư vấn.

 

Chỉ số an toàn thông tin thấp

TS Vũ Quốc Thành, Phó Chủ tịch kiêm Tổng Thư ký Hiệp hội An toàn thông tin Việt Nam (VNISA), cho biết: Theo kết quả khảo sát 745 tổ chức, DN trong năm 2014, chỉ số an toàn thông tin (ATTT) chỉ đạt 39%, năm 2013 là 37,5%. Chỉ số này rất thấp so với các quốc gia khác. Hàn Quốc có chỉ số ATTT lên đến 62%. Chỉ số ATTT thấp đồng nghĩa với khả năng bảo đảm an ninh, bảo mật kém và rất dễ bị tấn công. Chỉ số ATTT được đánh giá với 2 tiêu chí chính là môi trường ATTT (gồm đào tạo - nhận thức; chính sách - kinh phí; tổ chức - nhân sự) và các biện pháp ATTT (quản lý, kỹ thuật).

 

Bài và ảnh: CHÁNH TRUNG

Viết bình luận

Rối với bảo hiểm thất nghiệp

Rối với bảo hiểm thất nghiệp

Lao động 06:41

Chính sách còn bất cập, các văn bản hướng dẫn thực hiện không thống nhất đã gây khó cho cả người lao động lẫn cơ quan chức năng trong quá trình thực thi

Đông Nam Á bùng nổ tội phạm mạng

Đông Nam Á bùng nổ tội phạm mạng

Quốc tế 06:40

Thống kê mới ở Thái Lan cho thấy chỉ trong năm 2023, người dân nước này đã nhận được tới 79 triệu tin nhắn và cuộc gọi lừa đảo

Khởi tố cựu bí thư huyện giả chữ ký, thâu tóm 138,4 ha đất rừng

Khởi tố cựu bí thư huyện giả chữ ký, thâu tóm 138,4 ha đất rừng

Thời sự 06:33

(NLĐO) – Để được giao 138,4 ha đất rừng, cựu Bí thư Huyện ủy Vĩnh Thạnh (Bình Định) Nguyễn Đình Kim đã tự viết đơn, giả chữ ký, làm giúp hồ sơ xin giao đất cho 5 trường hợp đều có quan hệ họ hàng với ông.

Giáo dục kỹ năng công dân số bậc tiểu học: Không thể chần chừ

Giáo dục kỹ năng công dân số bậc tiểu học: Không thể chần chừ

Giáo dục 06:33

Sự phát triển của cuộc cách mạng công nghiệp lần thứ tư cùng việc ứng dụng mạnh mẽ công nghệ thông tin, trí tuệ nhân tạo trong mọi ngành, mọi lĩnh vực… khiến ngành giáo dục và đào tạo không thể nằm ngoài sự phát triển đó

Nâng tầm "thung lũng Silicon" của Hà Nội

Nâng tầm "thung lũng Silicon" của Hà Nội

Hà Nội 06:24

Khu công nghệ cao Hòa Lạc được kỳ vọng trở thành đô thị khoa học - công nghệ, giáo dục hiện đại mang tầm khu vực, có ảnh hưởng trực tiếp, to lớn đến tăng trưởng kinh tế và phát triển của Hà Nội cũng như cả nước

Giá vàng hôm nay, 29-3: Tăng vọt, cao nhất mọi thời đại

Giá vàng hôm nay, 29-3: Tăng vọt, cao nhất mọi thời đại

Kinh tế 06:17

(NLĐO) – Sau khi tăng hàng chục USD/ounce trong phiên trước, giá vàng hôm nay, 29-3, tiếp tục tăng mạnh để thiết lập mức giá cao nhất mọi thời đại

CLIP xét xử Trương Mỹ Lan và đồng phạm (ngày thứ 18): Bị hại SCB nêu 10 yêu cầu

Video 06:02

(NLĐO) - Ngày 28-3, TAND TP HCM tiếp tục phiên xét xử vụ án xảy ra tại Công ty CP Tập đoàn Vạn Thịnh Phát và Ngân hàng SCB. Theo đó, thêm 15/86 bị cáo cùng bị hại SCB, 4 tổ chức có nghĩa vụ, quyền lợi liên quan vụ án và các luật sư tiếp tục phần bào chữa, trình bày ý kiến của mình.