Trong nước

Một phần của tài liệu Phân tích tác động của chính sách KH&CN đối với sự phát triển các sản phẩm an toàn và bảo mật cho hệ thống thông tin điện tử từ trong tiến trình hội nhập quốc tế (Trang 34)

9. Kết cấu của Luận văn

2.1.2 Trong nước

Trong những năm qua, ở nước ta nhiều Hệ thống HTTT đã được triển khai rộng khắp và đã mang lại những lợi ích đáng kể. Chính phủ cũng đã đưa ra những chính sách nhằm thúc đẩy mạnh mẽ hơn nữa việc ứng dụng CNTT trong khu vực Chính phủ và kinh tế - xã hội. Đây là một trong những hướng ưu tiên nhằm sớm đưa nước ta thoát khỏi nhóm các nước nghèo và nhanh chóng thực hiện thành công sự nghiệp công nghiệp hóa, hiện đại hóa đất nước. Tuy nhiên, vấn đề nào cũng có tính hai mặt của nó, bên cạnh những lợi ích có thể thu được thì cũng tiềm ẩn vô vàn những hiểm họa đối với các

33

HTTT này. Trong khi đó, nhận thức về vấn đề AT&BM ở nước ta hiện nay vẫn còn rất hạn chế, nhất là trong khu vực kinh tế - xã hội.

Những thống kê gần đây cho thấy các vụ xâm phạm AT&BM ngày càng gia tăng cả về lượng và về chất, đặc biệt là các vụ tấn công qua Internet nhằm vào các ứng dụng web. Nhiều website có tiếng ở Việt nam rất dễ và cũng đã bị thâm nhập. Kiểu tấn công này đặc biệt nguy hiểm vì chúng có khả năng gây ảnh hưởng tới các máy tính của người dùng cuối.

Một điều cần quan tâm nữa là các website bị tấn công vẫn hoạt động cập nhật dữ liệu bình thường, thậm chí người quản trị không hay biết trong khi nguồn tài nguyên thông tin đã bị sao chép, đánh cắp, sửa đổi... Không chỉ dừng ở việc đột nhập website, nhiều kẻ tấn công còn chuyển sang các hoạt động trục lợi như tấn công vào hệ thống lưu trữ cước phí Internet của các ISP để xoá cước phí, đánh cắp thông tin của các doanh nghiệp để bán cho đối thủ của họ, ăn cắp mật khẩu của các tài khoản nhằm biển thủ tiền…, thông tin tại các website đã bị sửa đổi vì mục đích xấu, khiến người truy cập website hiểu sai nội dung thông tin dẫn đến những hậu quả không tốt.

Theo đánh giá của các chuyên gia trong nước và nước ngoài, HTTT của Việt nam còn nhiều lỗ hổng, thiếu sự tin cậy. Đây là một cản trở lớn cho quá trình phát triển các giao dịch điện tử.

Hiện nay, điểm mất an toàn nhất của các Công ty chứng khoán nằm ở website. Hacker có thể thâm nhập qua đường website rồi sau đó tiến vào các hệ thống có liên quan, đưa thông tin thất thiệt, âm thầm thay đổi kết quả giao dịch, sửa chỉ số chứng khoán, lấy cắp hay sửa đổi thông tin tài khoản của nhà đầu tư… được quản lý trên đó. Điều này nguy hiểm ở chỗ chúng ta không thể xác định nhanh chóng và chính xác được công ty nào bị tấn công vì hacker không dại gì đánh sập website để mọi người dễ nhận thấy, hơn nữa hacker có thể tạo ra hàng loạt tin sai giống nhau ở một loạt các website để các nhà đầu

34 tư không nghi ngờ.

Tháng 04/2007, Trung tâm An ninh mạng BKIS đã đưa ra một báo cáo về việc tồn tại các lỗ hổng ở 12/22 website chứng khoán, nếu không được vá lỗi kịp thời, hacker dễ lợi dụng các lỗ hổng này để chiếm quyền kiểm soát bất kỳ lúc nào. BKIS đã gửi Công văn cho Ủy Ban Chứng khoán nhà nước về vấn đề này.

Sau đó, vào cuối năm 2007, BKIS tiến hành một cuộc khảo sát mới đối với gần 150 website về chứng khoán hiện đang hoạt động thì có tới 40% website có lỗi và hacker có thể đăng nhập hệ thống quản trị website dễ dàng [15, tr. 52]. Đây là loại lỗi của Hệ thống và có thể xảy ra ở nhiều điểm khác nhau của Hệ thống. Nó là hậu quả của việc doanh nghiệp không quan tâm tới vấn đề AT&BM đúng mức. Nguyên nhân thì có nhiều, chẳng hạn, khi đưa một phần mềm vào Hệ thống, doanh nghiệp đã không yêu cầu các nhà sản xuất đảm bảo rằng chương trình nguồn của phần mềm đã tuân theo các tiêu chí AT&BM chưa, cũng như không thuê tư vấn độc lập để kiểm tra về mức độ AT&BM của phần mềm.

Tính riêng năm 2007, thiệt hại do virus gây ra ước khoảng 2.300 tỷ đồng, 6.752 virus mới xuất hiện trong năm (trung bình là 18,49 virus/ngày) với hơn 33 triệu lượt máy tính nhiễm virus. Năm 2007 cũng là năm “báo động đỏ” của AT&BM cho HTTT Việt Nam khi có tới 342 website của Việt Nam bị hacker trong và ngoài nước tấn công [8, trg. 16 và 9, tr. 38] .

Bên cạnh những thiệt hại có thể thống kê được bằng các con số thì có những thiệt hại không thể thống kê được như lòng tin của người sử dụng dịch vụ, của thị trường vào hệ thống mạng cũng như các dịch vụ cung cấp qua mạng bị giảm sút. Viễn cảnh thiếu AT&BM cũng khiến không ít các cơ sở ngừng triển khai việc kinh doanh trực tuyến.

35

nam: website ngân hàng Techcombank bị tấn công sau khi chính hacker đã gửi cảnh báo tới Ngân hàng này mà không được hồi âm; 03 tên miền quan trọng của PAvietnam (PA vietnam.net, PA vietnamcom và dotvndns.com) - nhà cung cấp dịch vụ thuê chỗ (Hosting) lớn tại Việt Nam đã bị hacker chiếm quyền điều khiển, khiến khoảng 8.000 website khách hàng đang sử dụng máy chủ tên miền PAvietnam bị tê liệt; hệ thống quảng cáo liên kết www.lienket247.com đã bị hacker tấn công và xoá sạch toàn bộ cơ sở dữ liệu của hơn 2.000 websites thành viên liên kết… Dù chưa có thống kê thật đầy đủ nhưng có thể ước tính con số thiệt hại lên tới nhiều tỷ đồng, chưa kể đến những doanh nghiệp lâm vào tình thế phá sản hoặc kéo theo những vụ khiếu kiện.

Theo bản tin An ninh mạng của BKIS tháng 01/2009 thì trong năm 2008, BKIS đã tiến hành khảo sát và phát hiện ra lỗ hổng nguy hiểm tại 140 website của các cơ quan, doanh nghiệp quan trọng tại Việt Nam. BKIS cũng đã kiểm tra website của 26 Ngân hàng tại Việt Nam và phát hiện 8 website có những lỗ hổng nghiêm trọng về AT&BM. Theo đó, tin tặc có thể lợi dụng những kẽ hở này để thay đổi, xóa nội dung website hoặc toàn bộ cơ sở dữ liệu làm ảnh hưởng tới khách hàng và cả uy tín của Ngân hàng. Sau khi phát hiện các lổ hổng, BKIS đã gửi Công văn cảnh báo và hướng dẫn khắc phục tới 8 ngân hàng nói trên đồng thời cũng hướng dẫn Nhà cung cấp dịch vụ di động Mobifone tại Việt Nam vá lỗ hổng trên website.

Đến cuối năm 2008, hơn một nửa các lỗ hổng bảo mật được khám phá có liên quan đến ứng dụng Web và trong đó hơn 74% do không được vá kịp thời; số lượng các tấn công đã cao gấp 30 lần số lượng tấn công được phát hiện trong nửa đầu của năm. Theo thống kê của BKIS, tổng cộng trong năm 2008, đã có 33.137 dòng virus máy tính mới xuất hiện tại Việt Nam, trong đó 33.101 dòng có xuất xứ từ nước ngoài và 36 dòng có xuất xứ từ Việt Nam;

36

khoảng 60 triệu lượt máy tính trong cả nước bị nhiễm Virus gây thiệt hại khoảng 30.000 tỷ đồng, gấp 10 lần năm 2007. Ngoài ra, có 210 website Việt Nam bị hacker trong nước tấn công, 251 website Việt Nam bị hacker nước ngoài tấn công.

Sự lây lan virus và các loại mã độc trên mạng tại các cơ quan, doanh nghiếp là rất lớn và rất khó để có thể ngăn chặn triệt để. Các hacker không chỉ nhắm tới các HTTT của doanh nghiệp mà còn tấn công cả các HTTT của Chính phủ.

Theo ghi nhận của VnExpress, có khá nhiều trang web có tên miền đuôi .gov.vn hiện diện tại zone-h, trang web nêu "công trạng" của hacker trên khắp thế giới, như: namdinh.gov.vn, haiphong.gov.vn, dalat.gov.vn, cantho.gov.vn, mot.gov.vn (Bộ Thương Mại), conganphutho.gov.vn (Công an Phú Thọ) ... [19].

Nghiêm trọng hơn, một số website tên miền .gov.vn đã bị hacker nước ngoài kiểm soát và gắn mã độc phát tán virus. Nếu tình trạng này còn tiếp diễn thì an ninh quốc gia cũng có thể sẽ bị ảnh hưởng. Hiện tại, chưa có thống kê chính thức về thiệt hại kinh tế, chính trị và xã hội liên quan đến vấn đề này.

Theo điều tra của VNCERT và VNISA tiến hành năm 2008, khi tiến hành tấn công thử một số website của các cơ quan nhà nước, thì chỉ có 23% trong số đó nhận biết được là có cuộc tấn công. Chính phủ cũng đã có một số Công văn nhắc nhở cho các cơ quan, bộ, ngành để cảnh báo về việc này.

Trong báo cáo tại hội thảo An ninh, Bảo mật Việt Nam lần thứ 4, thiếu tướng Nguyễn Viết Thế - Cục trưởng Cục Tin học nghiệp vụ, Bộ Công an cho biết, trong 3 tháng đầu năm 2009 có tới 42 website (trong đó có nhiều website của các cơ quan, tổ chức của nhà nước) bị tấn công.

Việc cung cấp các dịch vụ công trên mạng (phục vụ mục tiêu xây dựng Chính phủ điện tử) bắt đầu được triển khai ở một số website và Cổng thông

37

tin điện tử của Chính phủ, Bộ, ngành và các tỉnh thành. Tuy nhiên, hầu hết các dịch vụ công trực tuyến mới chỉ ở mức cung cấp thông tin về dịch vụ, một số ít có cung cấp các Biểu mẫu điện tử cho phép doanh nghiệp và người dân tải về sử dụng. Việc chậm triển khai ứng dụng này một phần do năng lực triển khai, khả năng đầu tư cũng như nhận thức của người sử dụng, tuy nhiên, một rào cản khá lớn và không thể phủ nhận là lo lắng về mất AT&BM không chỉ từ phía người dân mà còn cả từ phía các cơ quan, đơn vị này.

Sự việc một học sinh cấp 3 hack thành công website của Bộ Giáo dục và Đào tạo, thay chân dung Bộ trưởng Nguyễn Thiện Nhân đã tạo sự chú ý dư luận với những tranh cãi theo nhiều luồng ý kiến, quan điểm khác nhau. Ngay sau đó, các website Liên đoàn bóng đá Việt Nam VFF và Bộ Giao thông vận tải... liên tiếp bị nhòm ngó và bẻ khóa. Sự việc xới lên một vấn đề, dù không mới nhưng vẫn nóng bỏng và đầy tính thời sự: tình trạng AT&BM website cũng như HTTT trong các cơ quan Bộ, ngành, cơ quan trọng yếu trực thuộc Trung ương là đáng báo động.

Sau những gì đã xẩy ra với AT&BM cho các HTTT năm 2007 - 2008, các chuyên gia đã bắt tay tìm nguyên nhân dẫn đến tình trạng này. Có thể thống kê một số nguyên nhân chính:

- Các tổ chức chưa thực sự quan tâm đến vấn đề này, kinh phí đầu tư cho AT&BM còn hạn chế, có những đơn vị chỉ dành 3% ngân sách của mình cho AT&BM - đó là con số quá nhỏ so với tốc độ gia tăng tấn công của hacker.

- Trên website còn nhiều lỗ hổng, các bản vá lỗ hổng không thường xuyên được cập nhật.

- Chính sách, văn bản pháp luật của Việt Nam về loại tội phạm mới này còn ít và nghèo nàn, chưa có đủ sức mạnh để răn đe.

38

định về AT&BM, tạo kẽ hở để kẻ xấu khai thác, lợi dụng, tấn công. Để có được bức tranh đầy đủ về công tác AT&BM, Trung tâm Bảo mật thông tin kinh tế - xã hội của Ban Cơ yếu Chính phủ đã tiến hành khảo sát tại các cơ quan nhà nước và hơn 50 doanh nghiệp lớn. Từ kết quả khảo sát đã rút ra một số kết luận về hiện trạng công tác AT&BM cho các HTTT ở nước ta như sau [nguồn từ Ban Cơ yếu Chính phủ]:

1- AT&BM đang thật sự cần thiết đối với nhiều cơ quan, tổ chức và doanh nghiệp, đặc biệt trong giai đoạn nước ta ngày càng hoà nhập sâu vào kinh tế thị trường và gia nhập WTO. Tuy nhiên, hoạt động triển khai thực tế không tương xứng với yêu cầu đặt ra, nhiều cơ quan, doanh nghiệp chưa thật sự coi trọng vấn đề này do một số nguyên nhân sau: chưa thấy rõ tác hại của việc thiếu biện pháp AT&BM; các cấp lãnh đạo và quản lý chưa nhận thức được đầy đủ nên chưa quan tâm đến vai trò của AT&BM.

2- Một số tổ chức, doanh nghiệp đã triển khai các giải pháp AT&BM song lại thiếu đồng bộ, chắp vá.

3- Trong nước đã xuất hiện các tổ chức nghiên cứu, áp dụng các công nghệ AT&BM song nói chung quy mô còn nhỏ, thiếu cơ bản, sản phẩm AT&BM phần lớn được chuyển giao từ nước ngoài và trong nhiều trường hợp chưa làm chủ được công nghệ. Hoạt động kinh doanh, xuất nhập khẩu sản phẩm AT&BM còn thiếu kiểm soát từ các cơ quan có thẩm quyền.

4- Nhà nước đã bước đầu xây dựng được cơ sở luật pháp cho hoạt động AT&BM, song nhìn chung hệ thống cơ sở pháp lý vẫn còn thiếu, nhất là các hướng dẫn và quy định cụ thể cho nhiều lĩnh vực khác nhau. Việc tuyên truyền, phổ biến cũng chưa được chú trọng.

Thực tế trên đã đặt ra nhiệm vụ ngày một nặng nề cho công tác AT&BM, đòi hỏi cần phải nhanh chóng triển khai các giải pháp nhằm tạo ra các sản phẩm AT&BM có chất lượng và độ tin cậy cao. Để làm được điều đó,

39

việc triển khai đồng bộ các hoạt động nghiên cứu, chế tạo, sản xuất, kiểm định/đánh giá và chứng nhận sản phẩm trên cơ sở hành lang pháp lý đủ mạnh là rất cần thiết, trong đó việc xây dựng và hoàn thiện các chính sách KH&CN để phát triển các sản phẩm AT&BM cho các HTTT có ý nghĩa vô cùng quan trọng.

Một phần của tài liệu Phân tích tác động của chính sách KH&CN đối với sự phát triển các sản phẩm an toàn và bảo mật cho hệ thống thông tin điện tử từ trong tiến trình hội nhập quốc tế (Trang 34)

Tải bản đầy đủ (PDF)

(144 trang)