An ninh thông tin trong quá trình hội nhập kinh tế quốc tế ở nước ta

Ảnh minh họa

Hội nhập kinh tế quốc tế là một trong những nội dung quan trọng hàng đầu trong quá trình hội nhập quốc tế của nước ta. Chúng ta đã thực sự bắt đầu triển khai mạnh việc tham gia hội nhập kinh tế với khu vực và quốc tế kể từ khi gia nhập ASEAN và các định chế kinh tế, tài chính thương mại của ASEAN như: Khu vực mậu dịch tự do ASEAN (AFTA), Khu vực đầu tư ASEAN (AIA); ký Hiệp định khung với EU (1995); tham gia Diễn đàn Hợp tác Á - Âu (ASEM) năm 1996, Diễn đàn APEC năm 1998; ký Hiệp định Thương mại với Hoa Kỳ (2000) dựa trên những nguyên tắc cơ bản của WTO và cuối năm 2006 đã chính thức trở thành thành viên thứ 150 của WTO. Nhìn tổng quát, tiến trình hội nhập kinh tế quốc tế (HNKTQT) của nước ta đã xúc tiến với bước đi khá vững chắc và đạt được kết quả bước đầu rất đáng khích lệ. Trước hết, Việt Nam đã mở rộng quan hệ kinh tế với hàng loạt quốc gia và khu vực, trở thành thành viên của các tổ chức kinh tế, thương mại chủ chốt, tạo điều kiện thuận lợi cho HNKTQT ngày càng hiệu quả hơn.

Việt Nam đã khắc phục được tình trạng khủng hoảng thị trường do các đối tác truyền thống ở Liên Xô và các nước Đông Âu bị thu hẹp đột ngột, và do tác động tiêu cực từ cuộc khủng hoảng tài chính tiền tệ khu vực bắt đầu từ năm 1997.. Một thành tựu nổi bật là đã thu hút được nguồn vốn đầu tư nước ngoài khá lớn, trước hết là FDI. Đến nay, nước ta đã có quan hệ ngoại giao chính thức với 175 nước, có quan hệ thương mại với hơn 200 nước và vùng lãnh thổ, thu hút được hơn 10 nghìn dự án FDI từ 85 nước và lãnh thổ với tổng số vốn đăng ký hơn 160 tỷ USD. Nhiều nhà đầu tư lớn, các tập đoàn xuyên quốc gia đã và đang đặc biệt quan tâm đến Việt Nam. Tại các Hội nghị tư vấn tài trợ cho Việt Nam, tổng cam kết tài trợ liên tục tăng với các kỷ lục mới, năm 2006 đạt hơn 4,4 tỷ USD, năm 2007 đạt 5,42 tỷ USD, năm 2009 đạt trên 8 tỷ, các năm 2010-2011 tổng cam kết tài trợ vẫn duy trì ở mức cao. Đây là sự thể hiện niềm tin và sự tín nhiệm của cộng đồng tài trợ quốc tế đối với Việt Nam, đồng thời phản ánh quyết tâm cao độ của Việt Nam trên đường cải cách và phát triển. Bên cạnh các thị trường chủ lực là Mỹ, Nhật Bản, ASEAN, Trung Quốc, Hàn Quốc, EU, Ôxtrâylia, hàng hoá Việt Nam đã vươn ra củng cố thế đứng trên nhiều thị trường khác như Nga, Trung Đông, Mỹ Latinh và châu Phi... Mặt khác, với việc mở rộng quan hệ kinh tế đối ngoại trong quá trình hội nhập, nước ta ngày càng năng động tiếp thu khoa học và công nghệ, kỹ năng quản lý, góp phần đào tạo một đội ngũ cán bộ quản lý và cán bộ kinh doanh. Hội nhập kinh tế quốc tế còn đưa lại một thành tựu đáng chú ý là từng bước đưa hoạt động của các doanh nghiệp và cả nền kinh tế vào môi trường cạnh tranh, tạo tư duy làm ăn mới, thúc đẩy chuyển dịch cơ cấu kinh tế nâng cao hiệu quả sản xuất kinh doanh.

Hệ thống thông tin được chia thành 3 phần chính: phần cứng, phần mềm và kết nối với mục đích giúp cho việc phân loại và áp dụng các chuẩn về an toàn thông tin dễ dàng, thuận lợi nhất. Thông thường, thủ tục hoặc chính sách bảo mật này được thực thi để nói với con người (quản trị, người dùng, người vận hành) rằng làm thế nào để sử dụng sản phẩm mà vẫn đảm bảo an toàn thông tin của cá nhân và trong cả tổ chức.

An toàn thông tin là bảo vệ thông tin và hệ thống thông tin nói chung khỏi các truy cập trái phép, sử dụng, làm lộ, làm hỏng, chỉnh sửa, ghi chép không được phép…

Khái niệm an toàn thông tin (information security), an toàn máy tính (computer security), đảm bảo thông tin (information assurance) được sử dụng hoán đổi cho nhau. Những lĩnh vực này liên quan với nhau, thường xuyên chia sẻ những mục đích chính của việc bảo vệ các khía cạnh tính bí mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability) của thông tin; tuy nhiên, lại có một số khác biệt giữa chúng. Sự khác nhau chính đó là cách tiếp cận vấn đề, phương pháp thực hiện và phạm vi quan tâm của mỗi lĩnh vực. An toàn thông tin quan tâm đến khía cạnh bí mật, toàn vẹn, sẵn sàng của dữ liệu không quan tâm đến hình thức của dữ liệu: điện tử, bản in, hoặc các dạng khác. An toàn máy tính tập trung vào việc đảm bảo tính sẵn sàng và hoạt động đúng đắn của hệ thống máy tính mà không quan tâm đến thông tin được lưu trữ, xử lý bởi chúng. Đảm bảo thông tin tập trung vào lý do đảm bảo rằng thông tin được bảo vệ và vì thế nó là lý do để thực hiện an toàn thông tin.

1- Vì sao cần an ninh thông tin?

Từ chính phủ, quân đội, các tập đoàn, bệnh viện, cơ sở kinh doanh… đến người dùng đều có những thông tin bí mật riêng về khách hàng, nhân viên, sản phẩm, nghiên cứu… Hầu hết các thông tin đó hiện nay đều được thu thập, xử lý và lưu trữ bởi máy vi tính, trung tâm dữ liệu. Dữ liệu đó cũng có thể được chuyển qua mạng để về trung tâm lưu trữ, đến các nhánh công ty con, hoặc gửi cho bạn bè, người thân… Nếu thông tin đó lọt vào tay đối thủ cạnh tranh thì cực kỳ nguy hiểm.

Vì thế, bảo vệ thông tin trở thành một yêu cầu không thể thiếu trong mọi hoạt động nói chung và hoạt động điện tử nói riêng. An toàn thông tin trong thời đại số là quan trọng hơn bao giờ hết.

2 - Các nguy cơ của an ninh thông tin

Nhìn từ quan điểm tin tặc (hacker), có vô số cách để tấn công, lấy cắp thông tin của một hệ thống. Lỗ hổng của ứng dụng, lỗ hổng dịch vụ trực tuyến (web, mail…), lỗ hổng hệ điều hành… Vì thế, rất khó để có thể thiết lập và duy trì bảo mật thông tin.

Rất nhiều các khai thác thành công đều bắt nguồn từ bên trong tổ chức (công ty). Theo những thống kê của Viện Nghiên cứu an toàn máy tính (Computer Security Institute), thì khoảng 60%-80% các hành động sử dụng sai mạng máy tính, phần mềm bắt nguồn từ bên trong các công ty. Vì thế, đào tạo nhận thức an ninh mạng cho các thành viên của công ty, thậm chí cho người quản trị là vô cùng quan trọng.

Lỗi và sự bỏ sót, cố tình bỏ qua

Nguy cơ này được xếp vào hàng nguy hiểm nhất. Khi lập trình, các cảnh báo và lỗi do trình biên dịch đưa ra thường bị bỏ qua và nó có thể dẫn đến những sự việc không đáng có, ví dụ như tràn bộ đệm, tràn heap. Khi người dùng vô tình (hay cố ý) sử dụng các đầu vào không hợp lý thì chương trình sẽ xử lý sai, hoặc dẫn đến việc bị khai thác, đổ vỡ (crash). Kỹ thuật lập trình đóng vài trò rất quan trọng trong mọi ứng dụng. Và lập trình viên phải luôn luôn cập nhật thông tin, các lỗi bị khai thác, cách phòng chống, sử dụng phương thức lập trình an toàn.

Một cách tốt nhất để phòng tránh là sử dụng chính sách “lease privilege” (có nghĩa là ít quyền hạn nhất có thể). Người dùng sẽ chỉ được xử lý, truy cập đến một số vùng thông tin nhất định.

Một chính sách khác nhất thiết phải có, đó là phải sao lưu dữ liệu thường xuyên.

Lừa đảo và lấy cắp thông tin

Tưởng tượng rằng có những đồng nghiệp trong công ty đi làm không phải để làm việc, mà để lấy cắp những thông tin quan trọng của công ty. Chuyện này hoàn toàn có thể xảy ra, đặc biệt là những công ty làm việc về quân sự, cơ quan nhà nước… Như đã thống kê ở trên, rất nhiều công ty bị lộ thông tin từ bên trong. Rất khó phát hiện kẻ tấn công từ bên trong. Việc lấy cắp có thể được thực hiện dưới nhiều hình thức: lấy cắp văn bản in hay lấy cắp thông tin số, cung cấp thông tin nội bộ cho bên ngoài.

Cách tốt nhất để phòng tránh nguy cơ này là: phải có những chính sách bảo mật được thiết kế tốt. Những chính sách có thể giúp người quản lý bảo mật thông tin thu thập thông tin, từ đó điều tra và đưa ra những kết luận chính xác, nhanh chóng. Khi đã có một chính sách tốt, người quản trị có thể sử dụng các kỹ thuật điều tra số (forensics) để truy vết các hành động tấn công.

Ví dụ như hình thức lấy cắp thông tin số, nếu một nhân viên truy cập vào khu vực đặt tài liệu bí mật của công ty, hệ thống sẽ ghi lại được thời gian, IP, tài liệu bị lấy, sử dụng phần mềm gì để truy cập, phần mềm bị cài đặt trái phép… từ đó, người quản trị sẽ chứng minh được ai đã làm việc này.

Hacker (Tin tặc)

Có rất nhiều cách hacker tấn công hệ thống. Mỗi kẻ tấn công đều có những thủ thuật, công cụ, kiến thức, hiểu biết về hệ thống. Và cũng có vô số các cuốn sách, diễn đàn đăng tải những nội dung này.

Trước tiên, hacker thu thập thông tin về hệ thống, nhiều nhất có thể. Càng nhiều thông tin, thì khả năng thành công của việc tấn công sẽ càng lớn. Những thông tin đó có thể là: tên ứng dụng, phiên bản ứng dụng, hệ điều hành, email quản trị… Bước tiếp theo là quét hệ thống để tìm lỗ hổng. Các lỗ hổng này có thể gây ra bởi ứng dụng xử lý thông tin hoặc do hệ điều hành, hoặc bất kỳ thành phần nào có liên quan. Từ đó, họ sẽ lợi dụng các lỗ hổng tìm được, hoặc sử dụng các tài khoản mặc định nhằm chiếm quyền truy cập vào ứng dụng. Khi đã thành công, hacker sẽ cài đặt các phần mềm, mã độc để có thể xâm nhập vào hệ thống trong các lần sau. Bước cuối cùng là xóa vết tấn công.

Lây lan mã độc

Có rất nhiều loại mã độc có thể kể đến như: virus, sâu máy tính, Trojan horse, logic bomb… Nguy cơ do chúng gây ra là hoàn toàn rõ ràng, và vô cùng phong phú. Khi đã xâm nhập vào máy nạn nhân, mã độc có thể: mở cổng hậu (back door) để kẻ tấn công có thể truy cập và làm mọi việc trên máy nạn nhân; ghi lại thông tin sử dụng máy tính (thao tác bàn phím, sử dụng mạng, thông tin đăng nhập…). Đã có rất nhiều công ty bị cài đặt mã độc. Mới đây, Facebook cũng bị một nhóm hacker tấn công^[2] do máy tính của một số nhân viên bị cài mã độc.

Cài mã độc vào máy tính có thể qua nhiều con đường: lỗ hổng phần mềm (điển hình như adobe Flash, rất nhiều lỗ hổng 0-days được phát hiện, hay Java Runtime Environment thời gian gần đây cũng liên tục đưa ra bản vá bảo mật); hệ thống đã bị hacker điều khiển; sử dụng phần mềm crack, không có giấy phép sử dụng;

Cách tốt nhất để tránh nguy cơ này là luôn cập nhật phần mềm xử lý dữ liệu, hệ điều hành và phần mềm an ninh mạng, diệt virus.

Tấn công từ chối dịch vụ

Nếu một hacker không thể cướp quyền truy cập vào một hệ thống, họ sẽ tìm cách tấn công từ chối dịch vụ (làm hệ thống không thể phục vụ người dùng được trong một khoảng thời gian, bằng cách truy cập đến hệ thống liên tục, số lượng lớn, có tổ chức)

3 - Báo động đỏ

Trong thời kỳ hội nhập kinh tế quốc tế hiện nay, công tác bảo đảm an toàn thông tin tại Việt Nam đang ngày càng được chú trọng hơn, thu hút được sự quan tâm của lãnh đạo cấp cao nhất, cũng như sự quan tâm của người sử dụng trong cộng đồng xã hội. Hiện nay đã có đơn vị quản lý nhà nước chuyên trách về an toàn thông tin là Cục An toàn Thông tin trực thuộc Bộ Thông tin và Truyền thông. Đối với lực lượng ứng cứu sự cố, Việt Nam cũng có Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT). Bên cạnh đó, các Bộ Quốc phòng và Bộ Công an cũng có những đơn vị chuyên trách cho công tác đảm bảo an ninh mạng, phòng chống chiến tranh mạng.

Tuy nhiên, một cách khách quan mà nói, công tác đảm bảo an toàn thông tin của chúng ta vẫn còn ở tình thế tương đối bị động, nhiều cơ quan tổ chức chưa có quy trình thao tác chuẩn để đối phó với các cuộc tấn công mạng. Thông thường, định kỳ hoặc đột xuất theo yêu cầu thực tế, Cục An toàn Thông tin sẽ có những cảnh báo về lỗ hổng, điểm yếu cũng như các sự cố trong hệ thống thông tin của các cơ quan, tổ chức Nhà nước. Tuy nhiên, cũng có một số cơ quan nhà nước chưa thực sự quan tâm tới việc này. Hiện tại, chúng ta chưa có hành lang pháp lý để xử lý các cơ quan tổ chức chưa tuân thủ nghiêm các quy định về bảo đảm an toàn thông tin.

Vừa qua, Quốc hội đã thông qua Luật An toàn thông tin mạng, trong đó, quy định rõ trách nhiệm tối thiểu của các cơ quan tổ chức trong việc đảm bảo an toàn thông tin. Bộ Thông tin và Truyền thông sẽ khẩn trương hoàn thiện văn bản hướng dẫn Luật để có cơ sở xử lý những hành vi vi phạm.

Nhận thức về vấn đề bảo vệ website của những nhà quản trị các trang web của các cơ quan nhà nước. Hầu như mọi người đưa thông tin lên website như một cổng thông tin nhưng chưa biết cách bảo vệ thông tin và chưa đánh giá được đúng mức độ cần thiết phải bảo vệ các thông tin đó. Đây là lý do lớn nhất làm cho các website của các cơ quan nhà nước dễ bị tấn công. Bên cạnh đó, có một vấn đề nữa là nhiều đơn vị chưa đầu tư đúng mức trong việc bảo vệ thông tin trên các website.

Người dùng chưa có ý thức bảo vệ máy tính của mình. Một ví dụ đơn giản là mọi người có thể thoải mái cài đặt phần mềm từ internet mà không cần quan tâm đến nguồn gốc của phần mềm đó. Trong khi đó, một khảo sát gần đây của BKAV cho thấy có tới 7/10 kết quả tìm kiếm những phần mềm phổ biến khi tìm kiếm trên internet là chứa mã độc.

Nguồn nhân lực về an ninh mạng còn thiếu và yếu. Con người là một trong những nhân tố quyết định về hiệu quả trong công tác bảo đảm an toàn thông tin. Tuy nhiên, nguồn nhân lực trong lĩnh vực này của Việt Nam còn rất hạn chế.

Vấn đề, đào tạo an ninh mạng nói riêng và đào tạo công nghệ thông tin nói chung, trong nhà trường của Việt Nam hiện nay còn thiếu tính thực tiễn gồm cả kiến thức và phương pháp học. Đầu tiên là cái chúng ta đã đề cập nhiều, học chưa đi đôi với hành, các trường chưa có điều kiện để sinh viên có thể thực hành. Nhưng với một ngành còn mới mà lại có tốc độ thay đổi chóng mặt như an ninh mạng thì cũng rất khó để các trường có thể cập nhật những công nghệ mới để cho sinh viên thực hành.

Theo số liệu của Hiệp hội An toàn thông tin - VNISA phía Nam thì số lượng website của các cơ quan nhà nước (.gov.vn) đã bị hack và xâm nhập là 250, tính từ đầu năm đến nay. Lưu ý, đây mới chỉ là con số công bố công khai. Cũng theo VNISA, trong khoảng thời gian từ 26-8-2014 đến 17-11-2014 có đến 2.500 website của các cơ quan nhà nước bị tấn công, tức trung bình mỗi ngày có 20 website. Và đây cũng chỉ là số công khai, con số thực tế cao hơn gấp nhiều lần. Rõ ràng, mất an toàn và an ninh thông tin đối với các tổ chức nhà nước không còn là nguy cơ, rủi ro nữa mà đã và đang hiện hữu với mức độ nghiêm trọng.

Chính vì vậy, chủ đề “An toàn, an ninh thông tin và chủ quyền quốc gia” được lựa chọn cho Ngày An toàn thông tin Việt Nam 2014 là nhằm thể hiện được tính cấp bách của công tác an toàn, an ninh thông tin trong việc bảo vệ chủ quyền quốc gia, theo lời ông Vũ Quốc Khánh - Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT): “An toàn, an ninh thông tin giờ đây không chỉ còn là việc riêng của các chuyên gia bảo mật nữa, mà còn là việc của các nhà chính trị, lãnh đạo quốc gia”.

Các trang mạng nổi tiếng như: The World Street Jounals, The NewYork Times mới đây đều công bố rằng mình đã bị hacker tấn công. Tuy nhiên, từ thay đổi nhận thức của cấp lãnh đạo cao nhất, cũng như tình trạng mất an toàn, an ninh thông tin hiện nay cho đến việc đưa ra và triển khai các giải pháp phòng chống cụ thể vẫn còn không ít trở ngại. Cũng chính từ đó, việc đầu tư, trang bị và triển khai hệ thống bảo mật không đúng mức hoặc không hiệu quả, dẫn tới hệ thống hoạt động kém. Đây là lý do lớn nhất làm cho hệ thống phòng chống kém, thậm chí không có khả năng phòng chống trước sự tấn công từ bên ngoài.

An ninh mạng phải là hoạt động thường xuyên, luôn luôn thay đổi và không có điểm dừng. Vì vậy, phải có thực hành, diễn tập an ninh mạng ít nhất một năm/lần; phải đánh giá, khảo sát về mức độ an toàn của website thường xuyên, ít nhất 1 năm một lần. Thường xuyên thực hiện các khóa đào tạo, nâng cao chuyên môn, kỹ năng và ý thức không chỉ cho người làm an toàn thông tin, mà cho cả nhân viên trong tổ chức nói chung. Tham khảo, tư vấn với các cơ quan, tổ chức bảo mật chuyên nghiệp.

An ninh thông tin thật sự là cuộc chiến, tham gia vào cuộc chiến phải là những người lính chuyên nghiệp. Vì chủ quyền quốc gia, chúng ta phải đảm bảo xây dựng được tổ chức, con người chuyên nghiệp với an toàn, an ninh thông tin.  Để phòng tránh nguy cơ này, các ứng dụng tương tác với người dùng, dữ liệu cần phải giấu đi những thông tin quan trọng (nếu có thể) như phiên bản, loại ứng dụng, các thành phần kèm theo… Sử dụng các phần mềm phát hiện truy cập trái phép, rà soát hệ thống thường xuyên xem có phần mềm lạ không, cấu hình tường lửa hợp lý, chính sách truy cập của từng nhóm người dùng, quản lý truy cập…