2.7.1. Xu thế gia tăng Spyware
Spyware đang trở nên phổ biến lấn dần các virus thuần túy. Năm 2003, theo kết quả nghiên cứu kiểm định của hãng phần mềm Webroot và hãng dịch vụ Internet Earthlink được thực hiện trên 1,5 triệu PC, trong đó đã phát hiện ra hơn 41 triệu phần mềm quảng cáo (adware), các cookies đánh dấu, spyware, trojans và rất nhiều phần mềm độc hại khác. Chúng theo dõi các tác vụ được thực hiện trên máy tính và ăn cắp thông tin về hoạt động của người dùng. Bình quân mỗi máy tính cá nhân chứa tới 28 phần mềm gián điệp (spyware).
Năm 2004, theo thống kê của tổ chức IDC có tới 67% máy tính trên thế giới bị nhiễm spyware. Chi phí cho việc chống lại những “kẻ xâm nhập” bất hợp pháp này sẽ tăng từ 12 triệu USD trong năm 2003 lên 305 triệu USD vào năm 2008.
Năm 2006, công ty Webroot cho biết có 89% máy tính của các khách hàng của họ bị “dính” trung bình tới 30 loại spyware khác nhau.
Malware là những hiểm hoạ mới từ Internet. Malware lây theo bầy đàn trở thành những mối nguy hiểm thực sự đối với người sử dụng Internet tại Việt Nam. Malware là cách gọi chung cho các loại phần mềm độc hại, bao gồm virus, trojans, spyware, adware…. Khi bị nhiễm malware loại này, nếu không được chữa chạy kịp thời, máy tính của nạn nhân sẽ nhanh chóng bị lây nhiễm hàng loạt malware khác từ Internet.
2.7.2. Tính đa dạng và phức tạp của vấn đề an ninh thông tin
Quan điểm về an toàn an ninh thông tin hiện nay đã khác xa thời kỳ đầu chỉ đơn thuần là bảo vệ máy tính cho người dùng phòng chống virus tin học. Ngày nay, các hành vi xâm phạm an ninh thông tin ngày càng đa dạng và phức tạp, xuất phát từ nhiều động cơ rất khác nhau như: 1) Đùa cợt, thể hiện cá nhân, thử nghiệm…; 2) Đánh cắp thông tin, lừa đảo trên mạng, gian lận, tống tiền, tấn công ngân hàng, tấn công dịch vụ thanh toán trực tuyến,…; 3) Phá hoại, phá hủy thông tin và các trang web, gây rối hệ thống mạng; tuyên truyền, phát tán thông tin không lành mạnh,… 4) Kích động bạo lực, tung tin phản động phá hoại chính trị quốc gia, quấy rối trật tự xã hội, gây mâu thuẫn quốc gia và tôn giáo sắc tộc, gây chiến tranh thông tin, khủng bố quốc tế, tấn công các
cơ sở lưu trữ dữ liệu quốc gia và các hệ thống điều khiển quốc gia…; 5) Phá hoại đối thủ kinh tế cạnh tranh, hoạt động tình báo kinh tế - chính trị, tấn công các trung tâm nghiên cứu lén lấy bí mật quốc gia… Mỗi động cơ lại biểu hiện với vô vàn hành vi và hình thức xâm phạm an toàn an ninh thông tin.
2.7.3. Tốc độ và quy mô phát triển của tấn công mạng
Cùng với sự phát triển như vũ bão của CNTT và TT, các hình thức tấn công xâm phạm an ninh thông tin tuy không phát triển nhanh bằng nhưng cũng gia tăng theo cấp số nhân. Theo thống kê sơ bộ của ICSA Labs ( thuộc Hiệp hội an ninh thông tin quốc tế ), số lượng phần mềm độc hại mỗi năm tăng thêm từ 50-100%. Theo thống kê của tổ chức Cipher Trust thì mỗi ngày có thêm tới hơn 180.000 máy tính bị nhiễm phần mềm độc hại. Đây mới chỉ là những thống kê không đầy đủ, vì khó có thể thống kê được hết và kể hết những thiệt hại do các phần mềm độc hại gây ra. Do CNTT và TT được ứng dụng rộng rãi nên qui mô các tấn công mạng ngày càng rộng khắp, phạm vi tác động của việc mất an toàn thông tin ngày càng lan rộng không chỉ còn đơn thuần ở mức thông tin cá nhân, tổ chức mà còn ở mức qui mô quốc gia, toàn cầu.
Các tổ chức bị ảnh hưởng bởi vấn đề an toàn mạng ngày càng tăng và đa dạng. Trong khi đó kỹ thuật tin tặc ngày càng cao hơn, thời gian để phản ứng ngắn lại.
2.7.4. Trình độ kỹ thuật, công nghệ của các loại hình tấn công mạng.
Các loại shình tấn công mạng ngày càng sử dụng công nghệ, kỹ thuật tinh vi xảo quyệt hơn. Công cụ cho các tội phạm mạng và tin tặc là những phần mềm do thám gián điệp truyền tới các máy tính nối mạng và có thể lây nhiễm tới kể cả những máy không nối mạng. Nguy cơ về tội phạm tin tặc sử dụng công nghệ cao ngày một gia tăng. Ví dụ như các vụ tấn công vào hệ thống dữ liệu của các công ty thông tin di động đánh cắp thẻ Sim, xâm nhập hệ thống ngân hàng đánh cắp tiền tài khoản, chuyển tiền trái phép, rút tiền trái phép qua máy tự động ATM, gây rối mất thông tin liên lạc, gây tắc nghẽn mạng lưới,…Tình hình gia tăng tấn công, các nguy cơ đe dọa.
2.7.5. Màu sắc chính trị của tấn công, xâm nhập mạng
Tấn công, xâm nhập mạng ngày càng được lợi dụng cho mục đích chính trị. Các công cụ tấn công, xâm nhập, nghe lén được tăng cường và được sử dụng ở nhiều cấp độ
khác nhau. Ví dụ như những hệ thống giám sát Internet, nghe lén thu trộm thông tin (bộ phận an ninh quốc gia của Bộ Quốc phòng Mỹ NSA đặt kênh thu thập thông tin ngầm từ hệ điều hành Windows – theo washingtonpost.com ngày 09/1/2007, hoặc hệ thống nghe lén ECHELON trên mạng Internet của NSA – theo hãng tin AP ngày 11/5/2006 ).
2.7.6. Nhận thức xã hội và nhu cầu đảm bảo an toàn thông tin:
Hầu hết các nước trên thế giới ngày càng có nhận thức thống nhất về sự cần thiết của chính sách an toàn an ninh thông tin quốc gia. Các nước phát triển sớm đưa ra chiến lược quốc gia và thành lập các tổ chức đảm bảo an ninh thông tin (ví dụ Mỹ ban hành “Chiến lược quốc gia bảo vệ không gian mạng” vào tháng 2/2003, thành lập Cục An ninh không gian mạng vào tháng 6/2003).
Các tổ chức ngày càng có nhận thức thống nhất về sự cần thiết của chính sách an ninh bảo mật và thực hành như một phần của chiến lược phòng ngừa rủi ro chung. Các nhà quản trị hệ thống hay mạng trở nên không thể một mình bảo vệ được các cơ cấu hệ thống cũng như tài sản thông tin. Có nhiều luật và quy định mới liên quan đến việc các tổ chức bảo vệ thông tin.
2.7.7. Xu hướng chung của thế giới đối với vấn đề an toàn thông tin
Xu hướng chung của thế giới đối với vấn đề an toàn thông tin bao gồm 4 hướng sau: 1) Các nước phát triển đang liên tục bổ sung, hoàn thiện hệ thống luật pháp, qui định mới, tiêu chuẩn và qui phạm về an toàn an ninh thông tin;
2) Thiết lập các tổ chức, chuẩn bị sẵn lực lượng phản ứng quốc gia; Bổ sung các qui trình phản ứng sự cố trên qui mô lớn; Tăng cường nâng cao nhận thức về nguy cơ mất an toàn thông tin trên mạng;
3) Thiết lập liên kết các tổ chức quốc gia và quốc tế về đảm bảo an toàn thông tin; Liên minh các cơ sở nghiên cứu, công nghiệp, các cơ quan quản lý quốc gia; Hình thành mạng lưới điều phối quốc gia về an toàn mạng;
4) Tăng cường hợp tác quốc tế, lập kênh liên lạc thường trực quốc tế về an ninh thông tin; Liên tục tăng cường các diễn đàn và hội nghị cấp cao về an ninh thông tin. Các tổ chức hoạt động trong lĩnh vực ATTT: các CERT, ITU,…Các hoạt động: hội nghị thượng đỉnh, hội nghị ITU, Mô hình phối hợp ở các nước.
CHƯƠNG 3: XÂY DỰNG CHIẾN LƯỢC ATTT VÀ MÔ HÌNH QUẢN LÝ ATTT CẤP TỈNH
3.1. Sự cần thiết phải có chiến lược an toàn thông tin
Chiến lược ATTT tạo thành một bộ khung cho việc tổ chức và thực hiện các trọng tâm về ATTT, là những định hướng cho các cơ quan, tổ chức xác định rõ vai trò và trách nhiệm của họ trong việc đảm bảo ATTT. Đồng thời, nó xác định các bước cần thiết cho các cơ quan, tổ chức trong việc thực thi công tác đảm bảo ATTT.
Xây dựng chiến lược bao trùm mọi lĩnh vực an toàn thông tin là một vấn đề khó. Nhiều vấn đề không thể đề cập đến một cách chi tiết, nhiều vấn đề không thể cụ thể hóa thành những chính sách an toàn thông tin. Mặt khác, CNTT phát triển hết sức nhanh chóng, kèm theo nó là lĩnh vực an toàn thông tin. Ngay các điểm yếu hệ thống và nguy cơ đe dọa cũng thay đổi nhanh theo thời gian. Kỹ thuật và công nghệ của tin tặc cũng phát triển nhanh với trình độ rất cao. Điều đó đòi hỏi xây dựng chiến lược cần có tính tổng thể, bao trùm và đón đầu cả một giai đoạn phát triển.
3.2. Cơ sở cho xây dựng chiến lược an toàn thông tin
Cơ sở cho xây dựng chiến lược an toàn thông tin trong phạm vi một tỉnh đều có mục tiêu chung đó là: Ngăn chặn các tấn công vào cơ sở hạ tầng thông tin; Giảm thiểu các nguy cơ, các điểm yếu trong hệ thống thông tin; Giảm thiểu thiệt hại và thời gian khôi phục lỗi.
Để xây dựng chiến lược ATTT cấp tỉnh cần xác định các nội dung sau: - Đánh giá hiện trạng: nguy cơ, hiểm họa và mối đe dọa tấn công như nhau.
- Xác định rõ vai trò quản lý nhà nước trong mối quan hệ với các cơ quan, tổ chức doanh nghiệp khác như nhau.
- Xác định các trọng tâm chiến lược.
Các trọng tâm trong bảo vệ an toàn thông tin được xác định theo thứ tự ưu tiên sau: - Củng cố và hoàn thiện môi trường pháp lý.
- Xây dựng hệ thống cảnh báo, xử lý sự cố
- Xây dựng chương trình đào tạo, nâng cao nhận thức - Xây dựng chương trình bảo vệ cơ sở hạ tầng thông tin - Xây dựng chương trình phối hợp xử lý sự cố.
3.3. Các nguyên tắc chủ yếu trong xây dựng chiến lược ATTT3.3.1. Các yêu cầu cơ bản trong xây dựng chiến lược ATTT 3.3.1. Các yêu cầu cơ bản trong xây dựng chiến lược ATTT
Để xây dựng được chiến lược an toàn thông tin một cách có hiệu quả nhất cần có các yêu cầu cơ bản sau:
- Xây dựng chính sách về ATTT: Bao gồm các cơ sở pháp luật, hành lanh pháp lý, các quy trình, quy định trong việc thực thi chiến lược ATTT.
- Xây dựng đội ngũ: Cần có các khoá đào tạo. bối dưỡng, nâng cao năng lực của cán bộ đảm nhiệm vai trò đảm bảo an toàn thông tin của đơn vị, đồng thời cần có nhóm hoặc chuyên gia chuyên trách được đào tạo nghiệp vụ về ATTT.Đối với các các cán bộ làm việc trong môi trường mạng cần qua đào tạo cơ bản để nâng cao nhận thức, tránh sai sót trong quá trình sử dụng các hệ thống CNTT.
- Xây dựng các biện pháp quản lý về ATTT: Bên cạnh việc xây dựng các chính sách, đội ngũ có nghiệp vụ về ATTT cần phải xây dựng các biện pháp quản lý về ATTT như: Rà soát, khảo sát hiện trạng, nhu cầu về đảm bảo nhu cầu ATTT; Xây dựng bộ khung, các quy trình, quy chế tuân thủ theo pháp luật, chính sách, tiêu chuẩn; Xây dựng quy chế quản lý, vận hành, khắc phục sự cố, phòng chống, sao lưu; Xây dựng quy trình kiểm tra, giám sát việc thực thi các biện pháp.
- Áp dụng các biện pháp kỹ thuật: Các dự án đầu tư CNTT cần tuân thủ pháp luật về ATTT, các tiêu chuẩn ATTT. Rà soát, kiểm tra, đánh giá hiện trạng các hệ thống CNTT, các quy trình quản lý, khai thác để bổ sung các biện pháp phù hợp. Kiểm tra định kỳ, theo dõi, giám sát, hiệu chỉnh kịp thời các lỗi hệ thống.
Đặc biệt đối với các cơ quan/tổ chức cung cấp dịch vụ Internet cần tăng cường bảo vệ dữ liệu, có cảnh báo, có hỗ trợ khách hàng, có bảo vệ nhiều lớp…
3.3.2. Các lĩnh vực liên quan trong quản lý ATTT
Lĩnh vực pháp lý: bao gồm chính sách, các văn bản pháp luật, các luật, nghị định, hành lang pháp lý đối với việc đảm bảo ATTT.
Các lĩnh vực khác gồm: Tổ chức, phân loại và kiểm soát tài sản, nhân lực, môi trường, quản trị hệ thống, kiểm soát truy nhập, phát triển và bảo dưỡng hệ thống, kế hoạch duy trì hoạt động, đảm bảo tuân thủ.
3.3.3. Các nguyên tắc chung trong xây dựng chiến lược ATTT
Các nguyên tắc chung trong xây dựng chiến lược ATTT gồm:
1- Đảm bảo an toàn thông tin là trách nhiệm của mỗi cá nhân, mỗi tổ chức.
Vai trò của các cơ quan quản lý nhà nước chỉ là hỗ trợ, thúc đẩy thông qua: sự tăng cường sự phối hợp, chia sẻ thông tin; Tăng cường hệ thống giám sát, phát hiện tấn công, cảnh báo sớm và hỗ trợ kỹ thuật, tư vấn xử lý sự cố, hỗ trợ nghiên cứu phát triển. 2- Bảo vệ quyền riêng tư và tự do cá nhân. Quyền riêng tư và tự do cá nhân được bảo
vệ thông qua hệ thống pháp lý. 3- Các quy định phù hợp với thực tế
4- Phân định trách nhiệm và kiểm tra giám sát
5- Đảm bảo tính mềm dẻo linh hoạt trong các hoạt động quản lý, xử lý ứng cứu. 6- Đảm bảo tính đón đầu công nghệ mới.
3.4. Nội dung chiến lược an toàn thông tin3.4.1. Mục tiêu của chiến lược 3.4.1. Mục tiêu của chiến lược
Chiến lược ATTT bao gồm các mục tiêu sau:
- Ngăn chặn các tấn công vào cơ sở hạ tầng thông tin
- Giảm thiểu các nguy cơ, các điểm yếu trong hệ thống thông tin - Giảm thiểu thiệt hại và thời gian khôi phục lỗi.
3.4.2. Đánh giá công tác đảm bảo an toàn an ninh thông tin
- Về môi trường pháp lý: Cơ sở pháp lý về an toàn an ninh thông tin đã được triển khai từng phần qua các văn bản pháp quy, song vẫn chưa khái quát và đầy đủ. Tương tự như các nước phát triển, hệ thống văn bản pháp quy cần thường xuyên cập nhật, thay đổi, bổ sung do sự phát triển nhanh của CNTT và TT. Bộ TT&TT đã xây dựng và chuẩn bị đệ trình bổ sung một số văn bản pháp lý, tiêu chuẩn.
- Về mặt công nghệ: CNTT phát triển rất nhanh nên phần mềm và kể cả phần mềm độc hại, các kẽ hở hệ thống ngày càng nhiều, tấn công mạng ngày càng đa dạng, tinh vi và
chuyên nghiệp hơn. Trong khi đó, cơ sở vật chất phục vụ hoạt động đảm bảo an toàn an ninh thông tin còn thiếu và yếu; Mức độ đầu tư về an ninh thông tin còn thấp so với thế giới. Đầu tư cho an toàn an ninh thông tin tại các quốc gia khác thường chiếm từ 8% - 10% tổng đầu tư cho CNTT.
- Về mặt quản lý Nhà nước: Công tác điều phối cấp quốc gia đã bước đầu được triển khai, song cần tăng cường và mở rộng hơn. Các tổ chức đảm bảo an toàn an ninh thông tin trong nước còn chưa triển khai ở mức độ và qui mô cần thiết, đội ngũ còn mỏng. Còn thiếu các tiêu chuẩn, quy trình quy phạm kỹ thuật về an ninh thông tin. Tổ chức ISO thế giới có trên 100 chuẩn về an ninh thông tin, trong khi đó Việt Nam mới ban hành 2 tiêu chuẩn và bắt tay nghiên cứu 12 tiêu chuẩn để chuẩn bị ban hành.
- Về nhận thức, đào tạo nhân lực: Nhận thức về nguy cơ mất an toàn thông tin có tăng nhưng cần đẩy mạnh hơn nữa với mọi đối tượng: người quản lý, quản trị mạng, người dùng. Còn nhiều cơ quan, tổ chức, doanh nghiệp chưa đánh giá đầy đủ nguy cơ mất an toàn thông tin và sự cần thiết của các biện pháp phòng chống, chưa có đầu tư đúng mức cho đảm bảo an toàn an ninh thông tin về mặt trang thiết bị kỹ thuật và đội ngũ. Hầu hết chương trình đào tạo CNTT ở các trường đại học trong nước còn chưa có