Đảm bảo ATTT cho chính phủ điện tử: Cần một tiếp cận toàn diện

09:55 AM 10/07/2018 In bài viết

Dịch vụ công càng nhiều, nguy cơ mất an toàn thông tin càng lớn

Qua hơn hai năm triển khai Chính phủ điện tử (CPĐT) theo tinh thần nghị quyết 36a/NQ-CP ngày 14/10/2015 của Chính phủ, các cơ quan Trung ương và địa phương đã tích cực ứng dụng dụng công nghệ thông tin trong quản lý và cung cấp dịch vụ công, mở rộng kết nối liên thông tạo ra các chuyển biến rõ nét, đặc biệt chỉ số dịch vụ công trực tuyến năm theo xếp hạng của Liên Hợp Quốc 2016 đã tăng 8 bậc. Tuy nhiên, khi công tác triển khai CPĐT càng đi vào chiều sâu càng cho thấy sự cấp thiết trong triển khai các phương án để đảm bảo an toàn thông tin (ATTT) theo Nghị định 85/2016/NĐ-CP của Chính phủ, Quyết định 05/2017/QĐ-TTg, Quyết định 1622/QĐ-TTg của Thủ tướng Chính phủ và các thông tư hướng dẫn của Bộ Thông tin và Truyền thông.

Phát biểu tại Hội thảo quốc gia về Chính phủ Điện tử diễn ra mới đây, ông Nguyễn Trọng Đường, Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính (VNCERT) cho biết: “Việt Nam đã phát triển CPĐT được một thời gian. Chúng ta đã qua giai đoạn phát triển theo chiều rộng và đang phát triển theo chiều sâu. Khi CPĐT càng phát triển theo chiều sâu với nhiều dịch vụ công mức độ 4 và cao hơn được cung cấp, nhiều dịch vụ trực tuyến hơn thì mức độ, nguy cơ mất ATTT càng lớn”.

Ông Đường cho biết trong bối cảnh hiện nay, tấn công mạng ngày càng tinh vi và diễn biến phức tạp, mọi cơ quan đều có nguy cơ bị tấn công như nhau. Cơ quan nào có nhiều thông tin nhạy cảm sẽ dễ bị tin tặc tấn công hơn. Chính vì thế, việc đảm bảo ATTT cho CPĐT, các hệ thống dịch vụ công là vấn đề lớn trong thời gian vửa qua và được chính phủ đặc biệt quan tâm.

Theo thống kê của Securelist.com, trong giai đoạn từ quý IV/2016 đến quý I/2017, Việt Nam đứng thứ 6 trong số nhóm 10 quốc gia bị tấn công từ chối dịch vụ (DDoS) nhiều nhất. Còn nếu thống kê theo số lượng máy tính bị kiểm soát nằm trong mạng máy tính ma, thì Việt Nam đứng thứ 3 với 574.547 máy

Chỉ tính riêng từ đầu năm đến hết 25 tháng 6 năm 2018, VNCERT đã ghi nhận 5.179 sự cố tấn công mạng trong đó mã độc chiếm 857, thay đổi giao diện (deface) có 3.200 sự cố và Phishing có 1.122 sự cố, trong đó có không ít sự cố liên quan đến các trang thông tin điện tử của cơ quan nhà nước sử dụng tên miền .gov.vn. Đây chính là một thách thức rất lớn đối với việc bảo đảm an toàn cho hạ tầng CPĐT.

Một số chú ý trong đảm bảo ATTT phục vụ Chính phủ điện tử

Thực tế công tác giám sát và đảm bảo ATTT phục vụ CPĐT đã và đang được tích cực triển khai tại các cơ quan có chỉ số xếp hạng mức độ ứng dụng Công nghệ thông tin cao, nhưng các khó khăn về nguồn lực, thách thức về công nghệ, sự tinh vi trong các thủ đoạn tấn công công của tin tặc luôn đặt ra các yêu cầu tiếp tục nỗ lực hơn nữa trong công tác giám sát, đảm bảo ATTT, đáp ứng đầy đủ yêu cầu theo Nghị định 85/NĐ-CP của Chính phủ, Quyết định 05/2017/QĐ-TTg của Thủ tướng Chính phủ vàThông tư 31/2017/TT-BTTTT của Bộ Thông tin và Truyền thông.

Theo ông Ngô Quang Huy, Phó Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính, có 5 hình thức tấn công điển hình vào hạ tầng CPĐT trong thời gian qua. Đầu tiên là tấn công dò quét và khai thác lỗ hổng hệ quản trị nội dung Drupal CMS trên các website/Cổng thông tin điện tử. Từ cuối tháng 3 đến cuối tháng 4/2018, liên tục xuất hiện 03 lổ hổng ATTT, trong đó có 2 lỗ hổng hết sức nghiêm trọng cho phép tin tặc chiếm quyền quản trị và 1 lỗ hổng nguy hiểm của hệ quản trị nội dung Drupal. Ông Huy nhấn mạnh “Rủi ro ATTT trở nên nguy hiểm hơn khi “không ít chủ quản hệ thống thông tin có website được xây dựng trên nền tảng Drupal CMS nhưng không hề biết.” Lợi dụng các lỗ hổng có sẵn trên các website sử dụng nền tảng Drupal, tin tặc có thể trực tiếp tấn công, chiếm quyền điều khiển máy chủ và là bàn đạp cho các cuộc tấn công khác. Thứ hai là tấn công thiết bị di động cá nhân. Việc sử dụng thiết bị di động cá nhân và đặc biệt là điện thoại di dộng trong công việc dẫn đến các nguy cơ thất thoát dữ liệu rất lớn. Thực tế nhiều điện thoại cũ, không cập nhật bản vá hệ điều hành, sử dụng hệ điều hành không an toàn trên các thiết bị không được kiểm định phù hợp hoặc do cài đặt các phần mềm độc hại được cung cấp dưới dạng các ứng dụng đang đe dọa rất lớn nguy cơmất an toàn thông tin.

Bên cạnh đó, tin tặc còn tấn công khai thác lỗ hổng của phần mềm soạn thảo văn bản MicrosoftWord mã số CVE-2012-0158. Theo ông Huy, có những lỗ hổng tồn tại rất lâu rồi tuy nhiên đến nay nó vẫn là nguồn xuất phát điểm để tin tặc tấn công, ví dụ như CVE-2012-0158. Lỗ hổng này đã được cảnh báo từ năm 2012 nhưng do tại Việt Nam có rất nhiều máy tính sử dụng phần mềm không bản quyền hoặc các bản Office cũ nên gây mất an toàn lớn. Trong thời gian qua tiền ảo đã đem lại lợi nhuận lớn cho thế giới ngầm, vì thế sử dụng mã độc để đào tiền ảo trên máy tính người bị hại cũng trở thành một loại hình tấn công phổ biến. Cuối cùng là tấn công hệ thống Active Directory để ăn cắp dữ liệu và gửi thông tin ăn cắp về máy chủ nước ngoài. Khi dữ liệu của hệ thống Active Directory bị lộ dẫn đến tất cả các tài khoản do hệ thống này quản lý sẽ bị lộ và mất quyền điều khiển.

Theo ông Ngô Quang Huy, để đảm bảo ATTT cho CPĐT cần chú trọng tới 3 yếu tố là quy trình, công nghệ và con người. Công nghệ chính là hạ tầng cho CPĐT, con người là chủ thể vận hành và quy trình là các khung về luật pháp và các quy định riêng. Các cơ quan nhà nước cần có những biện pháp để giám sát ATTT, điều phối và ứng cứu sự cố, có chương trình diễn tập ứng cứu sự cố, đào tạo cán bộ kỹ thuật và nâng cao nhận thức người dùng. Các cơ quan nhà nước cần đầu tư cho hệ thống bảo mật, hệ thống giám sát, các hệ thống sẵn sàng ứng cứu sự cố máy tính, nhằm nhanh chóng khôi phục hoạt động hệ thống. 

Trong khi đó, ông Hà Thế Phương, Phó Tổng Giám đốc Công ty An ninh An toàn thông tin CMC (CMC InfoSec) việc triển khai CPĐT sẽ sinh ra rất nhiều dữ liệu số. Nó kéo theo trách nhiệm của các cơ quan chính phủ phải bảo vệ những dữ liệu đó. Đây là một việc tất yếu phải làm để tránh cho những dữ liệu mật không bị rò rỉ hoặc đánh cắp. Theo ông Phương, yếu tố rất quan trọng để bảo vệ hạ tầng cho CPĐT chính là nguồn lực con người. Bởi hạ tầng kỹ thuật nếu thiếu thì có thể bỏ tiền ra mua được, nhưng con người đủ giỏi để chuyên trách thì lại không nhiều.

Còn trong bài trình bày của mình về Kiến trúc toàn diện về ATTT phục vụ CPĐT, ông Trịnh Ngọc Minh, phụ trách giải pháp an ninh bảo mật tại Cisco Việt Nam, đã đưa ra tiếp cận của Cicso trong bài toán về ATTT, đặc biệt là CPĐT. Theo ông có 4 thành phần chính trong hệ thống CPĐT là các trung tâm dữ liệu (TTDL), mạng văn phòng, các hệ thống mạng chi nhánh (nơi tiếp xúc công dân) và người của chính phủ nhưng đi ra ngoài làm việc. Các dòng dữ liệu chính phát sinh trong quá trình làm việc bao gồm dữ liệu từ mạng chi nhánh kết nối tới TTDL qua mạng riêng, các mạng chi nhánh kết nối tới TTDL qua mạng Internet, các mạng chi nhánh kết nối với nhau, các nhân viên đi ra ngoài văn phòng và làm việc thông qua kết nối Internet.

Các dòng dữ liệu chính trong hệ thống CPĐT

Ông Minh cho biết: “Việc đảm bảo ATTT suy cho cùng là giám sát và kiểm soát các dòng dữ liệu này”. Theo cách gọi khác đó chính là kiểm soát truy cập và để kiểm soát truy cập cần có chính sách (policy); triển khai thực tế và đảm bảo việc triển khai, đưa ra phản hồi để điều chỉnh cho phù hợp với nhu cầu thực tế. Ba bước này hiện được các hệ thống của Ciso tuân thủ và thực hiện  theo nhiều mức độ và góc độ khác nhau.

TH