Hiện trạng về an toàn thông tin khu vực phía Nam năm 2016

“Ngày An toàn Thông tin Việt Nam” lần thứ 9 năm nay là: “Kỷ nguyên mới của An ninh mạng” diễn ra trong bối cảnh tình hình an toàn, an ninh thông tin trên thế giới, khu vực và trong nước tiếp tục có những diễn biến hết sức phức tạp, không chỉ đe dọa trực tiếp đến hoạt động và tài sản của các cá nhân, tổ chức và doanh nghiệp mà còn ảnh hưởng đến hệ thống nền tảng của một xã hội hiện đại như điện, nước, giao thông… cũng như an toàn an ninh Quốc gia. Như vậy, có thể nói vai trò của an ninh mạng đã có những chuyển biến, thay đổi cơ bản sang một kỷ nguyên mới, khi mà tấn công trên mạng đã trở thành một phương thức giải quyết mâu thuẫn, xung đột giữa một số quốc gia; phá hoại, khống chế, làm tê liệt hệ thống thông tin của đối phương có thể bằng những phương tiện CNTT thay vì dùng vũ khí quân sự thông thường… mà không bị lộ mặt. Với kỷ nguyên mới này, công tác phòng thủ trên không gian số ngày càng được tất cả các quốc gia, doanh nghiệp ghi nhận như một việc cần làm ngay để có được một sự phát triển bền vững, tương tự như công tác bảo vệ môi trường trong đầu tư, sản xuất.

 Trong năm qua nổi lên việc xuất hiện Mã độc – công cụ không thể thiếu của các tấn công mạng – được phát triển với tốc độ “vũ bão”. Mã độc zero-day được tìm thấy hàng tuần. Zero-day là những sơ hở được phát hiện bởi một cá nhân hay tổ chức nào đó nhưng hoàn toàn không công bố các thông tin này. Đặc biệt là nhà sản xuất sản phẩm, công ty sản xuất công cụ bảo vệ và người dùng đầu cuối hoàn toàn không biết đến những sơ hở đã được khám phá này. Vì vậy, tấn công một mạng máy tính sử dụng mã độc dạng Zero-day có khả năng thành công rất lớn với xác suất bị phát hiện hầu như không có. Vì vậy, giá của một mã độc khai thác sơ hở dạng Zero-day trên thị trường đen thường rất lớn. Với 54 mã độc (tăng 125%) khai thác sơ hở Zero-day được tìm thấy trong năm qua, đặc biệt có 6 mã độc được tìm thấy nhân vụ công ty ATTT “The Hacking Team” bị sự cố rò rỉ thông tin, chúng ta có thể thấy nguy cơ một hệ thống quan trọng bị tấn công đã tăng lên đáng kể. Đây là cũng là một rủi ro lớn với tất cả các mạng máy tính trên thế giới. Mã độc zero-day đặc biệt nguy hiểm đối với điện thoại thông minh và máy tính bảng có gắn SIM điện thoại. Trong năm 2016 chứng kiến nhiều loại tấn công được gọi là Zero-click khi mã độc được kích hoạt tự động chỉ bằng một tin nhắn Mutimedia SMS.

Các đại biểu tham dự “Ngày an toàn thông tin phía Nam”

Theo báo cáo, Số lượng mã độc mới tăng 36% và đạt 430 triệu mã độc không trùng lắp trong năm qua.  Với số lượng mã độc lớn và tỷ lệ phát hiện mã độc luôn dưới 100% của các phần mềm antivirus thì chỉ cần “lọt lưới” 0,5% ta cũng thấy đến trên 2 triệu mã độc sẽ không được phát hiện kịp thời. Vì vậy, các biện pháp như phát hiện tấn công theo hành vi, phát hiện các kết nối ra ngoài đến các địa chỉ đáng ngờ hoặc không liên quan tới công việc của tổ chức, phát hiện các trao đổi nội bộ giữa các thành phần bình thường không có quan hệ trong công việc với nhau... nhằm phát hiện các mã độc đã vượt qua hệ thống phòng thủ và đang âm thầm lây lan là rất quan trọng đối với một hệ thống bảo vệ hiện đại. Một phát hiện khác: Một bộ khai thác (exploit kit) Angler có thể mang lại thu nhập trên 60 triệu USD/năm bằng hình thức ransomware. Mã hoá dữ liệu để lấy tiền chuộc (hay ransomware)  ngày càng phổ biến trên thế giới cũng như tại Việt Nam. Chúng ta có thể thấy xu hướng này sẽ chỉ ngày càng phát triển vì lợi nhuận của nó rất lớn. Một tính toán của nghiên cứu hiện trạng ATTT cho thấy thu nhập cho loại hình tấn công này chỉ đối với một loại kit lên tới 60 triệu USD/năm. Một tính toán khác cho thấy tin tặc có thể đầu tư 5.900 USD và thu về 84.100 USD sau 30 ngày – một hiệu quả (ROI) vượt bậc!

Mặc dù khả năng phát hiện bị tấn công được cải tiến, nhưng còn xa với mong đợi và ngày càng khó khăn hơn với sự phổ cập của mã hóa thông tin. Với các cuộc tấn công ngày càng có chủ đích hơn như kiếm tiền; phá hoại vì lý do chính trị, kinh tế; ẩn náu để lấy cắp thông tin lâu dài… khả năng phát hiện ra mình bị tấn công, bị xâm nhập đóng một vai trò cực kỳ quan trọng của hệ thống phòng thủ. Việc xây dựng các Security Operation Center (SOC) đắt đỏ cũng có một mục tiêu chính là phát hiện sớm tấn công trước khi tin tặc chuyển qua giai đoạn lấy cắp tài sản hoặc phá hoại. Median của số ngày mà một tổ chức có thể phát hiện được tấn công là 80,5 hay trong vòng từ 100 đến 200 ngày theo một số nguồn khác. Tấn công có chủ đích thường chỉ có thể bị phát hiện dựa vào thông tin của nhiều hệ thống khác nhau như phát hiện tấn công theo định danh; theo hành vi bất thường; từ các hệ thống thành phần như truy cập Web, nhận email; từ quan sát khi truy cập ra máy tính có độ tin cậy thấp.  Nếu tin tặc sử dụng các phương pháp như Diffie-Helman để tạo khoá và mã hoá mã độc chuyển giao giữa trung tâm và máy nạn nhân thì các hệ thống phát hiện mã độc trên đường truyền sẽ hoàn toàn bị loại bỏ. Vì vậy chúng ta không ngạc nhiên trước con số 41% cuộc tấn công được bản thân nạn nhân phát hiện ra (khi mà thiệt hại đã xảy ra ). 

Ngoài ra, việc tấn công vào hệ thống hạ tầng được điều khiển bởi hệ thống CNTT (ICS/SCADA) là một xu hướng tấn công rất đáng lo ngại trong thời gian tới. Cuộc sống hiện đại của chúng ta ngày càng không thể thiếu được ứng dụng của CNTT. Một danh sách rất dài các hệ thống dịch vụ trong đời sống kinh tế, xã hội của chúng ta sẽ ngưng hoạt động, hoặc chỉ còn hoạt động “cầm chừng” nếu hệ thống CNTT phục vụ nó bị ngưng trệ như gửi tiền, rút tiền, thanh toán tiền qua ngân hàng; đi lại bằng hàng không, đường thuỷ, đường bộ; cung ứng hàng hoá trong các siêu thị; xuất nhập khẩu hàng hoá giữa các quốc gia... Với những nước phát triển, các hệ thống sản xuất và cung cấp điện nước cũng được tự động hoá, tối ưu hoá bởi hệ thống CNTT. Tấn công làm mất điện tại Ucraina chỉ qua mã độc trong tập tin Excel hay kế hoạch khống chế đập kiểm soát nước tại Bowman Avenue Dam (Mỹ) bởi Iran’s Islamic Revolutionary Guard cùng đợt tấn công hệ thống phục vụ mặt đất tại một số sân bay tại Việt Nam là những sự kiện cho thấy tấn công mạng đã trở thành vũ khí thực sự, có thể gây những thiệt hại không thua kém gì những vũ khí thông thường. 

Kết quả khảo sát tình trạng ATTT năm 2016

Đánh giá hiện trạng ATTT của các tỉnh phía Nam và qua đó có một bức tranh toàn cảnh về tình hình ATTT Việt nam trong năm qua luôn là một hoạt động quan trọng của VNISA phía Nam. Vừa qua, VNISA phía Nam đã tiến hành đợt khảo sát trên cơ sở thông tin thu thập được thống nhất toàn quốc. Đối tượng  tiến hành khảo sát tình trạng ATTT là các tổ chức cơ quan, doanh nghiêp trên địa bàn khu vực phía Nam.

Qua khảo sát, ATTT đều được các cơ quan đơn vị ngày càng quan tâm hơn. Bộ máy tổ chức đã có các lãnh đạo phụ trách CNTT, các tổ chức xây dựng, ban hành các chính sách về ATTT trong đó có chú ý đến bảo vệ thông tin cá nhân, tổ chức đã có chính sách về ATTT tăng mạnh với 83,5% so với 23,7% của năm 2015 và tổ chức có chính sách bảo vệ thông tin cá nhân tăng 79,9% (so với 22,7% của 2015). Theo bộ tiêu chuẩn về ATTT của Việt Nam mới được ban hành, qua khỏa sát đã có trên 50% các cơ quan, tổ chức triển khai áp dụng ngay, làm nền tảng cho việc đáp ứng công tác ATTT trong cơ quan đơn vị. Mặc dù   một số doanh nghiệp, công ty viễn thông đang xem xét đầu tư và triển khai để trở thành nhà cung cấp MSS. Tuy nhiên, trên thực tế, khả năng nhận biết, phát hiện tấn công vẫn là một vấn đề cần đáng lưu ý khi mà 43,7% tổ chức không rõ mình có bị tấn công hay không và 18,9% doanh nghiệp tự tin là các tấn công được theo dõi đầy đủ. Về động cơ tấn công, năm 2016  ghi nhận sự tăng đột biến về tấn công xuất phát từ các đối thủ cạnh tranh (chiếm 41,3%) so với 13,7% năm 2015. Việc cạnh tranh không lành mạnh đã dẫn tới những hành vi khó chấp nhận  như: có những  doanh nghiệp sử dụng CNTT để có thể lấy được những thông tin kinh doanh, công nghệ của đối thủ trên thương trường. Do đó, cũng cần lưu ý rằng: việc bảo vệ tài sản thông tin, bảo vệ sở hữu trí tuệ cần được các doanh nghiệp chú ý hơn nữa trong yêu cầu đối với hệ thống ATTT của mình. Một công việc khác đáng được nhắc đến như một sự khởi động tích cực của năm 2016 là vấn đề  đầu tư  từ ngân sách cho ATTT cũng có xu hướng tăng với tỷ lệ công ty đầu tư trên 5% cho ATTT trên tổng đầu tư về CNTT là 52,4% ở các công ty, cơ quan và doanh nghiệp.

TS Võ Văn Khang (bìa trái)- Phó Chủ tich VNISA phía Nam báo cáo thực trạng ATTT phía Nam năm 2016.

Năm 2016, công tác đào tạo cũng đã được các cơ quan, đơn vị quan tâm, có đến 80,3% tổ chức dự kiến sẽ đào tạo nhân lực, trong đó đào tạo về cán bộ quản lý ATTT, quản lý ATTT cấp cao (59,8%) ; Nhu cầu cần đào tạo ngay là các kỹ năng phòng thủ, xử lý sự cố, phân tích mã độc (chiếm 50,4%); Nhu cầu được đào tạo các kỹ năng về bảo vệ ứng dụng và hệ thống (chiếm 43,3%);  đào tạo kỹ năng đánh giá (audit) và quản lý rủi ro (chiếm 44.1%).

Báo cáo cho thấy  một dấu hiệu quan trọng khác là sự chuyển biến từ chỗ chỉ coi trọng các biện pháp kỹ thuật sang cách tiếp cận một cách tổng thể đối với bài toán đảm bảo ATTT, khi mà qui trình và con người là những yếu tố có tầm quan trọng được quan tâm hơn trước đây. Bên cạnh đó là giải pháp kỹ thuật, như: Các biện pháp kiểm soát truy cập (access control) từ vật lý như khoá, thẻ từ, sinh trắc học... đến lý luận (logical) tường lửa, lọc lưu lượng mạng, chống tấn công từ chối dịch vụ DDoS, chữ ký số đều được sử dụng rộng rãi tại đa số các tổ chức, có thể phản ảnh qua bảng dưới đây:

Qua khảo sát đánh giá công tác ATTT, VNISA đã đưa ra một số khuyến nghị:

Đối với cơ quan quản lý Nhà nước:  

Nhanh chóng ban hành các văn bản dưới luật và giám sát công tác thực thi Luật An toàn thông tin mạng đã có hiệu lực từ 1/7/2016 để đảm bảo luật này đi vào cuộc sống và mang lại môi trường an toàn an ninh trong không gian số của Việt  Nam, phục vụ hữu hiệu phát triển kinh tế xã hội.

Tăng cường công tác đảm bảo ATTT cho các dịch vụ công một cách đồng bộ để phát triển mạnh mẽ và vững chắc chính phủ điện tử, tạo một môi trường thuận lợi nhất cho phát triển

Sử dụng hiệu quả các đầu tư về thao trường an ninh mạng phục vụ đào tạo nhân lực và phát triển mạnh mẽ hơn nữa công tác diễn tập ATTT, đưa diễn tập ATTT thành một kênh đánh giá khả năng phòng thủ hữu hiệu và khách quan.

Đối với doanh nghiệp:

Quan tâm phát triển về chiều sâu công tác đảm bảo ATTT, trong đó chú trọng khả năng phát hiện và xử lý các tấn công có chủ đích: Đầu tư cho ATTT một cách hợp lý, phù hợp với nhu cầu hoạt động sản xuất kinh doanh.

Đánh giá chính xác về hiệu quả đầu tư ATTT để đảm bảo sự phát triển của ATTT lâu dài và bền vững. Tiến tới, biến đầu tư cho ATTT như một đầu tư cho kinh doanh.

Tăng cường khả năng phối hợp, chia sẻ thông tin giữa các doanh nghiệp, giúp cho khả năng rút bài học kinh nghiệm và tránh các sai sót đã xảy ra được tốt hơn...