“Quy trình đảm bảo an ninh thông tin của Bộ Tài chính khá chặt chẽ”

Đó là nhận định của ông Vũ Quốc Khánh, Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Bộ Thông tin và Truyền thông trong cuộc trao đổi với phóng viên Tạp chí Tài chính điện tử. Để đối phó với tình trạng các cuộc tấn công mạng liên tiếp nhằm vào các cơ quan bộ/ngành, ngành Tài chính đang gấp rút tìm kiếm giải pháp đảm bảo an ninh thông tin toàn hệ thống.

“Quy trình đảm bảo an ninh thông tin của Bộ Tài chính khá chặt chẽ”
PV: Ông đánh giá thế nào về tình trạng an ninh thông tin và cơ chế đảm bảo an toàn thông tin của Bộ Tài chính?
Ông Vũ Quốc Khánh: Xét trong khối cơ quan bộ/ngành, không cơ quan nào bằng Bộ Tài chính trong việc ứng dụng công nghệ thông tin vào công tác nghiệp vụ, cũng như đảm bảo an toàn thông tin cho các hệ thống. Tuy nhiên, không riêng Bộ Tài chính, hiện hệ thống thông tin của các cơ quan bộ/ngành vẫn còn khá nhiều lỗ hổng, đặt các cơ quan vào nguy cơ bị tấn công mạng máy tính.

Theo thống kê của chúng tôi trong tháng 5/2014, đã có 989 vụ tin tặc tấn công vào các website Việt Nam, trong đó 62 vụ tấn công vào website cơ quan Nhà nước. Qua sàng lọc phát hiện 541 vụ do tin tặc Trung Quốc thực hiện, 16/541 vụ nhắm vào cơ quan Nhà nước. Số lượng vụ tấn công không quá lớn, chỉ tăng gấp rưỡi so với trung bình hàng tháng. Riêng vụ cắt cáp tàu Bình Minh năm ngoái, đã có hàng trăm website cơ quan Nhà nước bị tin tặc Trung Quốc tấn công. Năm nay, chỉ có 16 website của cơ quan Nhà nước cấp quận, huyện bị tin tặc Trung Quốc tấn công. Có thể thấy công tác phòng chống tấn công mạng trong các cơ quan Nhà nước đã được quan tâm hơn.

Tuy nhiên, về lâu dài, để phòng, tránh tin tặc, đảm bảo an ninh thông tin, theo tôi việc đầu tiên mỗi tổ chức phải làm là cần xây dựng cơ chế chính sách. Chính sách có bài bản nhưng triển khai mới quan trọng. Nghĩa là quy trình chặt chẽ nhưng đòi hỏi bộ máy con người, lãnh đạo, vận hành đầu cuối…đều phải tuân theo quy trình khắt khe. Có thể nói, quy trình đảm bảo an ninh thông tin mà Bộ Tài chính đề ra là khá chặt chẽ, không khác tiêu chuẩn ISO 9001, thậm chí có nhiều vấn đề còn chuyên sâu hơn. Do đó để người dùng hiểu và triển khai được cần một lộ trình. Trong ngành Tài chính, nguyên lý đánh giá rủi ro là bước quan trọng, do đó cần làm tốt công tác xác định giá trị tài sản, nguy cơ, năng lực hiện có, đánh giá rủi ro về mặt an toàn thông tin sắp tới….

PV: Mỗi đơn vị trong ngành Tài chính lại có một cơ chế, cũng như sử dụng phần mềm an toàn bảo mật khác nhau, việc áp dụng chuẩn chung cho toàn hệ thống nên được thực hiện như thế nào, thưa ông?

Ông Vũ Quốc Khánh: Chuẩn chung này không tùy thuộc vào công nghệ, mà là chuẩn quốc tế đã được kiểm chứng và thừa nhận rộng rãi. Trong mỗi chính sách có rất nhiều giải pháp và trong mỗi giải pháp lại có rất nhiều thủ tục, mẫu biểu, quy trình. Việc chi tiết hóa đối với từng đơn vị, ngành, lĩnh vực cụ thể…đòi hỏi bộ máy lãnh đạo và cán bộ được giao làm chính sách an toàn an ninh thông tin phải thực hiện.

Theo tôi cần phải có bộ phận chuyên trách theo dõi chính sách an toàn an ninh thông tin, từ đó mới kiến nghị lên lãnh đạo cách sử dụng các biện pháp đánh giá điểm yếu mạnh, để tìm ra rủi ro, nguy cơ cần ngăn chặn sớm; đánh giá rủi ro tài sản để xác định khi bị tấn công mất thông tin thì thiệt hại tài sản lớn đến đâu, đâu là nơi thiệt hại lớn nhất thì phải đầu tư nhiều vào. Từ đó mới đưa ra được chính sách cụ thể, định kỳ rà soát, kiểm tra, đánh gía lại khả năng đáp ứng yêu cầu, giúp điều chỉnh các chính sách cho phù hợp thực tiễn.
 
Qua đợt kiểm tra đánh giá về an toàn thông tin tại các cơ quan bộ/ngành, trong đó có Bộ Tài chính, chúng tôi phát hiện ra một lượng lớn thông tin bị mất, bị xâm nhập hệ thống…do các quy trình tối thiểu, sơ đẳng về an toàn an ninh thông tin không được tuân thủ. Chính vì thế, việc triển khai các ứng dụng lớn trên diện rộng lại càng khó kiểm soát.
Ví dụ như là quy trình quản lý mật khẩu, hệ thống tài khoản thư điện tử không được bảo mật nghiêm túc…đã để cho tin tặc lợi dụng phát tán Virus. Ngoài ra, cũng vì các cán bộ dùng máy công vụ nhưng lại sử dụng các phần mềm tự tải trên mạng về một cách tự do, hay tiến hành sao chép các phần mềm không có bản quyền có cài sẵn các mã độc, có khả năng phá khóa, chơi các trò chơi điện tử… Đây là những nguyên nhân gây lây nhiễm mã độc, khiến cho hệ thống rơi vào tình trạng mất an toàn an ninh thông tin.

Tình trạng này đặt ra cho mỗi cơ quan yêu cầu phải xây dựng chính sách chung, từ đó làm ra các quy định với lộ trình nhất định, bắt buộc tuân thủ ngay thì mới nâng cao được năng lực về an toàn thông tin.

PV: Hiện Bộ Tài chính đang triển khai thử nghiệm giải pháp internet an toàn, ông đánh giá như thế nào về giải pháp này?

Ông Vũ Quốc Khánh: Về nguyên tắc, việc dùng các biện pháp để tách nội dung nghiệp vụ của cơ quan, tổ chức Nhà nước ra khỏi mạng internet công cộng là chủ trương rất đúng đắn, việc còn lại phải là triển khai như thế nào để đạt được hiệu quả cao nhất.

Hiện các cơ quan Nhà nước đã nhận được khuyến cáo của Bộ Quốc phòng về việc các máy công vụ, mạng nội bộ của cơ quan Nhà nước không được kết nối internet mà phải sử dụng bằng máy riêng. Thật ra, về mặt đảm bảo an ninh thông tin, nếu thực hiện được giải pháp này là rất hay. Nhưng xét về mặt tiện dụng, tùy điều kiện từng cơ quan có thể thực hiện. Có những đơn vị có tính chất đặc thù, trong quá trình tác nghiệp không cần phải vào internet, thì kết nối internet lại là “con dao hai lưỡi”. Ngược lại, cũng có đơn vị có nhu cầu khai thác trên internet nhiều thì lại cần phải được kết nối.

Về nguyên tắc phải phân tích được mức độ rủi ro, khả năng mất mát thông tin khi kết nối vào mạng internet công cộng, lúc đó chỉ cần bảo vệ để tin tặc không chui vào phá hoại, lấy cắp dữ liệu. Với các dữ liệu mật có nguy cơ bị cài đặt mã độc khi kết nối internet công cộng thì cần có biện pháp bảo vệ toàn diện và tuyệt đối.

Thực tế hiện nay, người dùng khi vào internet nếu thiếu kỹ năng tự bảo vệ rất dễ vào các website đã lây nhiễm mã độc, nếu không có sự phân tách giữa 2 môi trường làm việc và internet công cộng thì việc lây nhiễm mã độc vào máy là điều có thể xảy ra. Theo đó, tin tặc sẽ sử dụng kịch bản tấn công leo thang để nâng dần quyền của mình trong hệ thống, đầu tiên chỉ lây nhiễm vào người dùng thấp nhất, trong quá trình truy cập sẽ chiếm quyền cao hơn trong hệ thống, lấy thông tin, mật khẩu, từ đó, cung cấp cho tin tặc khả năng có quyền sử dụng cao hơn mức đầu.

Dần dần từng bước, sau vài lần truy cập như vậy tin tặc có thể chiếm quyền quản trị (admin) đối với cả hệ thống mà ngay cả người dùng ban đầu cũng không có quyền admin. Cuối cùng máy tính cá nhân sẽ trở thành “bàn đạp” để tin tặc tấn công vào toàn bộ mạng nội bộ, sau đó lấy trộm thông tin, hoặc tấn công các máy khác, làm địa chỉ để lừa đảo những người dùng trong mạng nội bộ…

Do đó, việc phân tích, đánh giá tất cả rủi ro, nguy cơ, phân định rõ cái mất và được khi đưa vào sử dụng giải pháp internet an toàn là điều thực sự cần thiết với các tổ chức. Riêng với ngành Tài chính, là cơ quan có nhiều số liệu, nội dung, cơ sở dữ liệu quan trọng…đòi hỏi tính bảo mật tuyệt đối, thì việc áp dụng các biện pháp bảo mật nâng cao như này là rất quan trọng. Nếu áp dụng được các giải pháp để phân tách, đảm bảo máy tính công vụ khi kết nối internet không liên hệ với mạng nội bộ bên trong là điều tốt nhất.

PV: Hiện đang có một tình trạng là mặc dù Bộ Tài chính đã tách được 2 môi trường làm việc, nhưng môi trường không kết nối internet vẫn có thể mở được hệ thống mail nội bộ. Tuy nhiên, giải pháp này vẫn có hạn chế khi các loại virus giả mạo mail cá nhân để gửi thông tin và xâm nhập vào hệ thống. Theo ông, đây đã thực sự là giải pháp tối ưu cho ngành Tài chính?

Ông Vũ Quốc Khánh: Bộ phận làm công tác quản trị an ninh thông tin mạng phải nghiên cứu, xem xét, tìm ra con đường mà tin tặc sẽ tấn công vào tổ chức mạng của mình, từ đó sẽ tìm được câu trả lời để áp dụng biện pháp ngăn chặn. Nói một cách tổng quát, có rất nhiều con đường để tin tặc tấn công vào hệ thống mạng, ngay sơ xuất của người dùng, mở bất kỳ file đính kèm thư điện tử gửi đến hòm thư cá nhân…tưởng rằng vô hại nhưng có thể chứa mã độc bên trong, nếu phần mềm Office không có biện pháp ngăn chặn thì sẽ tự động “bung” ra một đoạn mã độc và gài vào máy, sau đó từng bước một sẽ tấn công leo thang hệ thống máy tính.

Tin tặc luôn chủ động gài mã độc vào các máy tính bởi đó là bước đầu tiên để chiếm lĩnh máy đó. Do đó, người dùng phải biết cảnh giác. Việc phát tán phần mềm gián điệp ẩn trong các file văn bản có thể đã được thực hiện từ trước đây rất lâu và có nhiều máy tính đã bị lây nhiễm, nhiều tài liệu bị mất mát mà cơ quan chủ quản không hề hay biết. Để hạn chế rủi ro, các cơ quan, doanh nghiệp cần cài đặt hệ thống phòng chống mã độc và rà soát với các máy tính quan trọng. Đối với từng người sử dụng, phải trang bị cho thiết bị của mình phần mềm phòng chống virus, phải cẩn trọng khi nhận file hoặc các đường dẫn qua chat, email hay mạng xã hội. Trong trường hợp đó là các file văn bản (.doc, .xls, .pdf…) buộc phải mở thì có thể dùng Google Docs để mở kiểm tra trước. Đặc biệt, Bộ Thông tin và Truyền thông đã có văn bản hướng dẫn phân biệt thư giả mạo và có biện pháp tránh lây nhiễm.

Ngoài ra, với trường hợp máy tính không kết nối internet nhưng vẫn có thể bị nhiễm mã độc, nếu kết nối với máy khác thông qua sao chép các văn bản bị nhiễm mã độc, các USB mở chế độ tự động chạy ứng dụng trong USB. Có thể nói, đưa cổng USB vào là hình thức kết nối cổng offline nên nguy cơ lây nhiễm vẫn tiềm tàng.
Trong USB có 2 loại virus có mã độc tự chép nó vào USB và đưa USB vào máy tính cá nhân, do máy tự động chạy phần mềm, chạy file ảnh, video và các phần mềm multi media khác…nên tôi khuyến cáo người dùng tắt hết chế độ chạy tự động này. Bên cạnh đó, trong quá trình xem người dùng cũng phải cẩn thận, tránh nháy đúp vào ứng dụng có mã độc. Nếu không có kiểm tra, rà soát thì người dùng phải thực sự rất giỏi mới có thể tránh được nguy cơ nhiễm mã độc và ngược lại, kể cả máy tính không được cài phần mềm chống mã độc, người dùng thông thái vẫn có thể tránh khỏi tình trạng nhiễm độc.

Về nguyên tắc, các máy công vụ, ngay cả các công ty nước ngoài cũng hủy các cổng USB ở máy tính. Còn chúng ta mua sao thì vẫn để nguyên, không bịt, không bỏ đi…Nếu tiếp tục sử dụng thì phải có quy chế sử dụng USB (sao chép, sử dụng, mang USB ra bên ngoài và từ ngoài vào trong cơ quan). Thậm chí phải có một cán bộ giỏi đủ khả năng kiểm tra máy công vụ, xác định các loại virus mã độc thông qua các định dạng đặc trưng đang tồn tại trong USB. Một số hệ điều hành, Office cũ có lỗ hổng bảo mật, khi mở file đã có sẵn virus, thông qua lỗ hổng này, virus sẽ chui vào máy tính.

Chính vì thế, cần có quy chế chặt chẽ kết nối qua cổng USB với các thiết bị lưu trữ từ bên ngoài, nhất là các thiết bị lưu trữ mua trôi nổi ở thị trường bên ngoài. Các chuyên gia xác định có nhiều thiết bị có khả năng bị cài sẵn mã độc được ẩn giấu mà người dùng không thể thấy được và chỉ hoạt động khi thiết bị được kích hoạt thông qua cổng USB. Quy chế sử dụng các thiết bị lưu trữ cũng là chính sách quan trọng để đảm bảo an ninh thông tin mạng máy tính.

PV: Hiện nay, Bộ Tài chính cũng đang xây dựng cơ chế duyệt thông tin vào – ra trên mạng máy tính, ông đánh giá thế nào về cơ chế này?

Ông Vũ Quốc Khánh:  Theo tôi, đây là một chính sách rất tốt nếu được thực hiện. Các thủ tục này phải được cơ quan, tổ chức, bộ máy, lãnh đạo…hiểu và nhận thức rõ về an toàn an ninh thông tin thì mới thực hiện tốt. Ngược lại, nếu an ninh thông tin bị người dùng coi thường, thì các chính sách này sẽ bị vi phạm phá vỡ ngay. Việc kiểm tra tính an toàn như file có chứa mã độc hay chưa đảm bảo an ninh thông tin trước khi nhận vào hay gửi ra cũng là biện pháp rất thiết thực. Ngoài ra, cơ chế này giúp tổ chức tránh được việc phần mềm gián điệp tự động gửi file ra ngoài, gây thất thoát thông tin. Trong trường hợp nếu gián điệp đến từ nội bộ tổ chức thì cần phải có thêm các chính sách riêng về bảo mật, kiểm soát con người.

Kinh nghiệm từ các doanh nghiệp lớn trong và ngoài nước cho thấy: Nhiều công ty áp dụng chính sách nhân viên đi làm không được mang theo bất cứ thiết bị điện tử, máy làm việc không được kết nối với internet, không có cổng USB, thậm chí tại máy tính không có đĩa cứng…để đảm bảo giữ bí mật thương mại. Còn ở Việt Nam, khi triển khai các biện pháp an toàn bảo mật thì khó có thể áp dụng tuyệt đối, vẫn cần được áp dụng phù hợp với tình hình thực tế và chính sách an ninh bảo mật của mỗi đơn vị.

PV: Việc sử dụng chữ ký số để đảm bảo an toàn bảo mật là chính sách khá hay, nhưng chưa đạt được những kết quả như mong đợi, theo ông, nguyên nhân là do đâu?

Ông Vũ Quốc Khánh: Chữ ký số là một khâu để có thể sử dụng hạ tầng khóa công khai nhằm xác thực cho người dùng, người phát hành văn bản, vừa để mã hóa và giải mã thông tin lưu trữ trên mạng. Việc áp dụng chữ ký số đòi hỏi nỗ lực từ nhiều phía.

Thứ nhất là công cụ để áp dụng tức là các sản phẩm về mã hóa phải được đưa vào ứng dụng đang dùng hiện thời. Việc đưa ứng dụng này đòi hỏi các nhà cung cấp chữ ký số phải đáp ứng được yêu cầu của người dùng.
Mặt khác, bản thân các tổ chức, cá nhân sử dụng chữ ký số phải lên quy trình chặt chẽ để người dùng tuân thủ mà không thấy quá phiền phức và không đồng bộ giữa cá nhân với cá nhân, tổ chức với tổ chức…Cho nên phải thông qua hệ thống quốc gia, quốc tế để xác thực chéo, liên kết hệ thống thông tin bằng các hạ tầng khóa công khai khác nhau. Đó cũng là vấn đề công nghệ đòi hỏi cần được nâng cao nhận thức và kỹ năng sử dụng. Như vậy, để đảm bảo an ninh thông tin mạng máy tính, chữ ký số cũng được coi là một giải pháp tạo “hàng rào” chặn nguy cơ rò rỉ thông tin ra bên ngoài cần được triển khai rộng khắp các cơ quan, tổ chức, doanh nghiệp.

PV: Xin cảm ơn ông!
 
(Bích Ngọc - thực hiện)