Cách chúc mừng sinh nhật nhiều người cùng lúc trên Facebook chỉ sau một cú nhấp chuột

Nhận định về các nguy cơ mất an toàn an ninh trên môi trường mạng Việt Nam phải đối mặt trong cuộc cách mạng công nghiệp 4.0 năm 2018, ông Bùi Quang Minh, CEO công ty bảo mật SecurityBox nhận định cuộc cách mạng này sẽ mang lại nhiều lợi thế cho các doanh nghiệp nhưng cũng đặt ra hàng loạt thách thức.

Trong đó, thách thức về an toàn an ninh mạng sẽ là một trong những vấn đề khó khăn nhất mà các doanh nghiệp phải đối mặt.

Ông Bùi Quang Minh cho rằng, mức độ và quy mô tấn công sẽ mạnh mẽ hơn. Với sự bùng nổ của các thiết bị kết nối Internet (IoT - Internet kết nối vạn vật), không chỉ đơn thuần là máy tính mà bất cứ thiết bị nào cũng có thể trở thành mục tiêu tấn công.

Tấn công APT (Advanced Persistent Threat - tấn công dai dẳng và có chủ đích) sẽ gia tăng, trong đó, nạn nhân đầu tiên sẽ là các nhân viên trong công ty, vốn kiến thức và nhận thức về an ninh mạng còn thấp.

"Khi đó mỗi thành phần của hệ thống CNTT (thiết bị, ứng dụng, con người) đều có thể trở thành một mắt xích lỗi và là điểm bùng phát cho các cuộc tấn công diện rộng", ông Minh khuyến cáo.

Tuy nhiên, rất đáng lo ngại là nhận thức về an toàn thông tin của người dùng nhân viên các doanh nghiệp và thậm chí là nhiều lãnh đạo các tổ chức, doanh nghiệp về an toàn bảo mật vẫn chưa cao.

Tại Security Day 2017 diễn ra mới đây, các chuyên gia đánh giá: xét về mặt bằng chung so với thế giới và trong khu vực, mức độ an toàn thông tin của Việt Nam và các doanh nghiệp vẫn tương đối thấp. Việt Nam đang hướng tới cuộc cách mạng công nghiệp 4.0 nhưng nhiều tổ chức doanh nghiệp chưa có nhận thức và đầu tư tương xứng cho vấn đề an toàn thông tin.

Bằng chứng là năm 2017, chỉ số an toàn thông tin toàn cầu GCI của Việt Nam đứng thứ 101, tức là giảm 25 bậc so với năm 2016 và đứng thấp hơn rất nhiều nước trong khu vực như Singapore (đứng số 1), Malaysia (số 3), Thái Lan (thứ 20), Lào (đứng thứ 77) …

Để kích hoạt "Hey, Cortana", bạn click vào ô tìm kiếm nằm ở thanh tác vụ (Taskbar). Khi cửa sổ tìm kiếm hiện ra, bạn click vào biểu tượng Notebook ở bên trái cửa sổ. 

Tiếp theo, bạn click vào biểu tượng Settings bên trái cửa sổ. Bạn cần lưu ý rằng, nếu click vào biểu tượng Settings trước khi chọn Notebook sẽ mở trang cài đặt của hệ thống thay vì mở trang cài đặt của Cortana. 

“Tôi lo ngại Blank nhất”, Mata khẳng định. “Cậu ấy đang chơi rất tốt, và không giống như Peanut(Han Wang-ho), cậu ấy có vẻ như đã hòa nhập vào với đội.”

Tuyên bố của Mata dường như lại đối nghịch với đồng đội của anh trong màu áo KT, Song “Smeb” Kyung-ho, người trước đó đã nói cả anh lẫn Peanut vẫn đang “đánh mất mình” trong khi các cựu tuyển thủ khác của ROX Tigersđều đang thi đấu tốt.

Mối quan tâm tương tự cũng xuất hiện trong cộng đồng fan hâm mộ SKT khi họ đang chỉ trích màn trình diễn của Peanut không tương xứng với quãng thời gian anh còn chơi cho ROX. Trong khi Blank, mặc dù nhận được những lời phê bình nặng nề từ cuối mùa giải trước, đang kết hợp cùng với những người đồng đội tại SKT để tận dụng tối đa ưu điểm của anh.

Các thành viên của KT cũng đang tiến hành streaming trên Twitch. Xạ thủ Kim “Deft” Hyuk-kyu, đường giữa Heo “PawN” Won-seok cùng Smeb đều thực hiện những buổi livestream bắt đầu vào sáng ngày hôm qua (25/02), trong khi Mata và Đội trưởng Ko “Score” Dong-bin streaming sớm hơn vào hồi đầu tháng này. Liên quan tới chủ đề về tương lai streaming của đội, Mata có vẻ như không quá bận tâm tới nó.

“Nếu đội tuyển quyết định như vậy, chúng tôi phải stream thôi”, Mata nói. “Thậm chí nếu chúng tôi không quyết định nền tảng để stream, tôi cũng không có ý định stream thường xuyên.”

Với lần trở lại Hàn Quốc sau khi kết thúc thời gian làm việc tại Trung Quốc, Mata chia sẻ, thật vui khi được ở nhà.

“Ở Trung Quốc, tôi có một vài thứ khó chịu về thức ăn và đời sống”, cựu vô địch CKTG Mùa 4 nói. “Nhưng giờ tôi đang ở Hàn Quốc, điều tuyệt nhất là tôi đang cảm thấy thoải mái.”

Gamer(Theo Slingshot Esports)

LG G6 dùng màn hình 5.7 inch nhưng lại gọn nhẹ hơn LG G5 màn hình 5.3 inch. Tất cả là nhờ viền máy siêu mỏng trên G6. Nếu màn hình là thứ bạn quan tâm nhất, rất khó để chối từ G6. LG G4 dùng màn hình 5.5 inch, nhỏ hơn một chút so với G6 nhưng lại có kích thước gần như tương đương và cồng kềnh hơn.

G6 không chỉ nâng cấp ở thiết kế mà còn ở màn hình. Với flagship mới nhất, LG trang bị công nghệ màn hình cao cấp Dobly Vision và HDR 10, đồng nghĩa với độ tương phản tốt hơn, hiển thị chi tiết tốt hơn, mang lại hiệu ứng như thật, màu sắc rực rỡ hơn, tối ưu hóa theo từng cảnh phim. Màn hình lớn, màu sắc đẹp, thân máy nhỏ: nếu giải trí là ưu tiên hàng đầu của bạn, G6 một lần nữa lại rất khó bỏ qua.

Về cấu hình, LG G6 sử dụng chip Qualcomm Snapdragon 821, RAM 4GB. Trong khi đó, G5 dùng Snapdragon 820 và RAM 4GB. Vì vậy, về hiệu suất không có sự chênh lệch đáng kể giữa hai đời máy. Tuy nhiên, chip mới lại hỗ trợ Snapdragon VR SDK, đây chính là “thế lực” đứng sau nền tảng Google Daydream. Hiểu đơn giản, nếu đang háo hức với công nghệ thực tế ảo VR, bạn nên cân nhắc nâng cấp từ G5 lên G6.

Với người dùng G4, bước nhảy cấu hình dễ thấy hơn vì dù sao, G4 cũng là thiết bị 2 tuổi, chỉ dùng Snapdragon 808, RAM 3GB. Nếu lên G6, bạn sẽ thấy hiệu suất tổng thể mượt mà hơn và còn được tiếp cận nền tảng Daydream VR.

Điều thú vị là, cách đây vài năm, vào năm 2014 trên mạng từng xuất hiện thông tin rằng, Hiệp hội tâm thần Mỹ (APA) đã coi tình trạng nghiện selfie là một rối loạn tâm thần. Tất nhiên, đây hoàn toàn là thông tin bịa đặt.

Tuy nhiên, hiện các nhà nghiên cứu đã chính thức công nhận sự tồn tại của căn bệnh tâm thần có tên Selfitis. Nhóm tác giả gồm chuyên gia Janarthanan Balakrishnan thuộc Trường quản lý Thiagarajar School ở Madura, Ấn Độ và Mark D. Griffiths đến từ Đại học Nottingham Trent ở Nottingham, Anh vừa công bố báo cáo nghiên cứu về căn bệnh mới này trên Tạp chí Sức khỏe tâm thần và Chứng nghiện quốc tế.

Nghiên cứu đã đưa ra một Thang hành vi Selfitis (SBS) để phân loại những người "ghiền" chụp selfie theo các mức khác nhau, phụ thuộc vào mức độ nặng - nhẹ của "bệnh tình". Các chuyên gia sau đó đã áp dụng thang đánh giá nói trên để xem xét và phân chia 225 đối tượng nghiên cứu là sinh viên ở Ấn Độ vào 3 nhóm người chụp "tự sướng" khác nhau: những người bị bệnh selfitis nhẹ, cấp hoặc mạn tính.

Mọi thứ nghe có vẻ hài hước nhưng nghiên cứu thực sự phát hiện, 9% số người tham gia đã chụp hơn 8 bức ảnh selfie mỗi ngày và 25% chia sẻ ít nhất 3 bức ảnh trong số đó lên mạng xã hội.

"Xét một cách điển hình, những người mắc chứng Selfitis thường thiếu tự tin và tìm cách 'thích nghi' với những người xung quanh họ và có thể biểu hiện những triệu chứng tương tự nhưng các hành vi nghiện tiềm ẩn khác. Hiện, khi chúng ta đã công nhận sự tồn tại của chứng bệnh này, hy vọng rằng sẽ có thêm nhiều nghiên cứu nữa được tiến hành để hiểu rõ hơn về cách thức cũng như nguyên nhân tại sao mọi người lại mắc nó và những giải pháp có thể thực hiện để giúp những người bị ảnh hưởng nặng nề nhất", nhà nghiên cứu Balakrishnan phát biểu trên tờ New York Post.

Tuấn Anh(Theo Phonearena)

Facebook bổ sung tính năng "phớt lờ" bạn đăng ảnh selfie quá nhiều

Facebook vừa ra mắt tính năng mới, cho phép người dùng tạm thời "phớt lờ" các nội dung mới chia sẻ của những người bạn hay "dội bom" ảnh tự sướng. 

Buổi tọa đàm chủ đề “Làm gì để bảo đảm an toàn thông tin trong cơ quan nhà nước?” được chuyên trang ICTnews của báo điện tử Infonet tổ chức trong bối cảnh sức nóng của lĩnh vực an toàn thông tin mạng trên thế giới và tại Việt Nam đang có xu hướng ngày càng gia tăng. Nhiều chuyên gia đã đưa ra nhận định, trong năm 2018 và các năm tiếp theo an toàn thông tin mạng vẫn sẽ diễn biến phức tạp. Các cuộc tấn công mạng của tin tặc sẽ sử dụng các công nghệ thông minh hơn, tinh vi hơn và đặc biệt nguy hiểm với các cuộc tấn công có chủ đích nhằm vào các hạ tầng trọng yếu quốc gia. Bối cảnh đó đặt các cơ quan, tổ chức, doanh nghiệp Việt Nam phải đối mặt với vô vàn thách thức để bảo đảm an toàn cho các hệ thống thông tin, nhất là các hệ thống thông tin quan trọng.

Theo số liệu thống kê mới nhất của các cơ quan thuộc khối an toàn thông tin của Bộ TT&TT, trong năm nay, các hệ thống thông tin tại Việt Nam đã phải hứng chịu khoảng 14.000 cuộc tấn công mạng, gồm khoảng 3.000 cuộc tấn công lừa đảo (Phishing), 6.500 cuộc tấn công cài phần mềm độc hại (Malware) và 4.500 cuộc tấn công thay đổi giao diện (Deface). Trong đó, số cuộc tấn công vào hệ thống thông tin của các cơ quan nhà nước có tên miền “.gov.vn” cũng lên tới hàng trăm.

Tham gia buổi tọa đàm trực tuyến chủ đề “Làm gì để bảo đảm an toàn thông tin trong cơ quan nhà nước?” do ICTnews tổ chức chiều ngày 21/12/2017 có ông Nguyễn Khắc Lịch, Phó Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) – Bộ TT&TT; ông Nguyễn Huy Dũng, Phó Cục trưởng Cục An toàn thông tin - Bộ TT&TT; ông Triệu Trần Đức, Tổng giám đốc Công ty cổ phần an ninh an toàn CMC - CMC InfoSec; ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng Công ty Bkav; và ông Khổng Huy Hùng, Tổng Giám đốc Công ty cổ phần Công nghệ an ninh không gian mạng VIệt Nam – VNCS.

Tại tọa đàm trực tuyến này, các chuyên gia sẽ cùng trao đổi về những nguy cơ, thách thức trong việc đảm bảo an toàn thông tin cho hệ thống thông tin của các các cơ quan, tổ chức, đồng thời chia sẻ những kinh nghiệm cũng như đưa ra những khuyến nghị đối với cơ quan, tổ chức… để giúp cho công tác đảm bảo an toàn thông tin trong các cơ quan, tổ chức nhà nước ngày càng chuyên nghiệp hơn.

Buổi tọa đàm được triển khai bằng hình thức đưa ra câu hỏi mà độc giả quan tâm đến các chuyên gia trả lời và đăng tải trên ICTnews.vn. Trong thời gian diễn ra buổi tọa  đàm trực tuyến, độc giả vẫn có thể gửi câu hỏi cho các chuyên gia và gửi về cho Ban Tổ chức theo địa chỉ [email protected] hoặc [email protected].

Dưới đây là nội dung buổi tọa đàm trực tuyến:

MC: Theo một thống kê của Bộ Công an, các trang tên miền .gov bị tấn công nhiều (44% tổng số website), vấn đề nhận thức ATTT trong các cơ quan Nhà nước. Từ con số này, ông có nhận định gì về công tác đảm bảo an ninh, bảo mật thông tin tại các cơ quan nhà nước hiện nay? Phải chăng các cơ quan, tổ chức nhà nước còn lơ là, chưa nhận thức được các nguy cơ?

Ông Nguyễn Huy Dũng:Xin cảm ơn ông vì câu hỏi này. Trước hết chúng ta phải nhận định công tác đảm bảo ATTT trong các cơ quan Nhà nước trong 3 năm gần đây đã được chú trọng hơn trước. Nhưng có một thực tiễn là công nghệ luôn thay đổi do đó các nguy cơ, rủi ro luôn phát triển nhanh hơn cả những cố gắng mà chúng ta đã làm trong thời gian qua. Do đó, cần phải tiếp tục quan tâm hơn nữa tới công tác đảm bảo ATTT đặc biệt cần có sự tham gia chỉ đạo trực tiếp của người đứng đầu các cơ quan tổ chức Nhà nước.

Ông Ngô Tuấn Anh: Con số 40% các website có lỗ hổng theo tôi là con số khá sát thực tế, thống kê về an ninh bảo mật trên các hệ thống website toàn cầu mà chúng tôi đã thực hiện, số website tại Việt Nam có lỗ hổng là khoảng 40%, mức trung bình trong khu vực nhưng là cao so với thế giới. Con số này cần đặt ra những suy nghĩ vì website là cửa ngõ kết nối vào hệ thống thông tin của các cơ quan, tổ chức, hiện nay hầu như đơn vị nào cũng có website. Những trang web .gov.vn là những địa chỉ mà hacker luôn ngắm tới để tìm ra những lỗ hổng nhằm xâm nhập vào hệ thống. Khi xây dựng hệ thống, các tổ chức cần đảm bảo an toàn thông tin cho website, bao gồm khi đưa hệ thống mới vào sử dụng, cũng như khi nâng cấp, bổ sung các tính năng mới, ngoài ra cần có kế hoạch định kỳ thực hiện việc kiểm tra này. Việc phát hiện sớm lỗ hổng sẽ giúp chúng ta xử lý sớm, tránh bị hacker lợi dụng khai thác, xâm nhập vào hệ thống.

Ông Triệu Trần Đức: Theo CMC, nên nhìn nhận con số đó một cách khả quan. Nhìn vào con số 44% thì chúng ta cũng nên quay lại khi 5 năm trước đây con số này phải gấp đôi, khoảng 90%. Như vậy sau 5 năm đã giảm một nửa, đó là nỗ lực rất lớn. Vài năm trở lại đây, nhận thức đã tăng nhanh, đầu tư phù hợp hơn. Tuy nhiên vẫn cần tăng cường các giải pháp kỹ thuật, cần tăng cường nhận thức từ những người lãnh đạo, bộ phận quản trị mạng... để con số này ngày càng giảm hơn.

MC: Cả ở địa phương cũng như tại các bộ, ngành, nhiều cuộc diễn tập ứng cứu sự cố đã được tổ chức. Tuy nhiên, khi triển khai công tác ứng cứu xử lý sự cố tấn công mạng thực tế vẫn lúng túng, phản ứng chậm. Là cơ quan điều phối Mạng lưới ứng cứu sự cố quốc gia, ông bình luận gì về thực tế này?

Ông Nguyễn Khắc Lịch:Trong năm 2017, Trung tâm VNCERT đã tham mưu Lãnh đạo Bộ TT&TT, trình Thủ tướng Chính phủ ban hành Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia; và Tham mưu Bộ trưởng Bộ TT&TT ban hành Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 Quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc. Tại Quyết định số 05/2017/QĐ-TTg và Thông tư số 20/2017/TT-BTTTT đã yêu cầu Các cơ quan, đơn vị xây dựng và thực hiện kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng. Đồng thời, Quyết định số 05/2017/QĐ-TTg và Thông tư số 20/2017/TT-BTTTT đã đưa ra Đề cương Kế hoạch ứng phó sự cố ATTT mạng, trong đó có quy định về triển khai huấn luyện, diễn tập, phòng ngừa sự cố, giám sát phát hiện, bảo đảm các điều kiện sẵn sàng đối phó, ứng cứu, khắc phục sự cố. Yêu cầu về đảm bảo sẵn sàng, phản ứng nhanh và ứng cứu kịp thời khi sự cố xảy ra là một nội dung rất quan trọng trong công tác đảm bảo an toàn thông tin. Để làm tốt yêu cầu này, đòi hỏi các Bộ, ngành, địa phương và các chủ quản hệ thống thông tin cần chủ động nâng cao năng lực đội ngũ, tính sẵn sàng thông qua các hoạt động như đào tạo, huấn luyện, diễn tập ứng cứu sự cố về ATTT... Có thể nói, hoạt động diễn tập là rất cần thiết và cần được tổ chức thường xuyên để tăng tính sẵn sàng và năng lực của các cơ quan, đơn vị. Tuy nhiên, cùng với đó, yêu cầu nâng cao chất lượng của các cuộc diễn tập chưa cao và thiên về "Diễn là chính, tập là phụ”và yêu cầu trong thời gian tới diễn tập về ứng cứu sự cố phải là “Tập là chính diễn là phụ”. Do vậy, để khắc phục được tình trạng nêu trên, trong thời gian tới các Bộ, ngành và địa phương cần trọng triển khai hoạt động diễn tập gắn với thực tế và gắn với Kế hoạch ứng phó sự cố ATTT mạng của từng hệ thống và cơ quan đơn vị mình. Với vai trò là cơ quan được Lãnh đạo Bộ giao theo dõi, đôn đốc triển khai Quyết định số 05/2017/QĐ-TTg và Thông tư số 20/2017/TT-BTTTT, Trung tâm VNCERT sẽ tích cực đôn đốc, hướng dẫn các đơn vị tổ chức các hoạt động diễn tập theo đúng tinh thần trên để nâng cao hiệu quả trong công tác đảm bảo an toàn thông tin.

MC: Tôi muốn hỏi thêm câu hỏi khác, kết nối IoT đặt ra những bài toán bảo mật ra sao cho các cơ quan, tổ chức. Các vị khách mời đánh giá đâu là những nguy cơ nào các cơ quan, tổ chức cần phải quan tâm?

Ông Khổng Huy Hùng: Tôi cho rằng, chúng ta không nên quá hoang mang dẫn đến tâm lý dàn trải để bảo vệ các hệ thống IoT của cơ quan, tổ chức mình. Việc chúng ta cần làm là tập trung vào 2 hướng chính: thứ nhất nên khắc phục những lỗ hổng cơ bản trên hệ thống của mình, thứ hai là tập trung đầu tư để đảm bảo cho hệ thống IoT chính mà mình đang vận hành.

MC: Các doanh nghiệp như VNPT, Viettel… đã triển khai smartcity, đô thị thông minh, bệnh viên kết nối, giáo dục kết nối, vậy những kết nối đó có đặt ra bài toán bảo mật ra sao trong xu hướng 4.0 đang phát triển mạnh mẽ?

Ông Ngô Tuấn Anh:Rõ ràng khi có càng nhiều kết nối thì nguy cơ càng lớn. Gần đây, vào cuối 2016, hẳn chúng ta còn nhớ có mã độc Mirai, đây là loại mã độc thường lợi dụng thói quen không đổi mật khẩu mặc định từ nhà sản xuất của người dùng, để tự động dò tìm và lây nhiễm vào các thiết bị IoT. Cách đây 2 tháng, khi phân tích một biến thể mới của Mirai, chúng tôi cũng đã phát hiện hacker đang nhắm mục tiêu vào Việt Nam. Trong biến thể này, danh sách mật khẩu bị mã độc sử dụng để tấn công xuất hiện thông tin tài khoản mặc định của nhà mạng tại Việt Nam. Sự bùng nổ của IoT khiến vấn đề an ninh trên các thiết bị như Router Wifi, Camera IP… trở thành chủ đề nóng trong thời gian gần đây.

Kết quả nghiên cứu của Bkav năm 2016 cũng cho thấy có hơn 5,6 triệu router trên khắp thế giới có lỗ hổng, riêng tại Việt Nam con số này là 300 nghìn, tương đương với 300 nghìn hệ thống mạng đang trong tình trạng bỏ ngỏ. Sau khi tấn công, kiểm soát thiết bị IoT, hacker có thể huy động các thiết bị này trở thành botnet trong các cuộc tấn công từ chối dịch vụ DDoS hoặc kiểm soát toàn bộ truy cập của người dùng trong mạng, thực hiện các hình thức tấn công MitM, Phishing để ăn cắp tài khoản ngân hàng, mạng xã hội, email... Để phòng tránh nguy cơ bị truy cập trái phép, người sử dụng cần phải kiểm tra, thay đổi mật khẩu quản trị các thiết bị IoT đồng thời tắt tính năng cho phép truy cập thiết bị từ mạng Internet bên ngoài khi không sử dụng. Về phía nhà cung cấp dịch vụ, thiết bị cũng cần thông báo việc phải thay đổi mật khẩu mặc định cho khách hàng sau khi lắp đặt và đưa thiết bị vào sử dụng.

MC: Các chuyên gia đánh giá như thế nào về nguy cơ mất an toàn thông tin trong khối các cơ quan nhà nước hiện nay, nhất là trong xu hướng của cách mạng công nghiệp 4.0, với sự phát triển mạnh mẽ của IoT, Big Data…?

Ông Khổng Huy Hùng:Nhìn nhận lại một cách khách quan, với hệ thống máy tính truyền thống mà hiện chúng ta còn chưa làm tròn việc đảm bảo an toàn thông tin, thì đối với các hạ tầng IoT lại càng khó vì các thiết bị IoT vốn dĩ năng lực bảo mật rất hạn chế, được thiết kế để tập trung thực hiện các nhiệm vụ chuyên môn của nó hơn là quan tâm nhiều đến bảo mật. Quan điểm của tôi là việc cần tập trung, lo lắng trước tiên cho các hệ thống CNTT truyền thống (ứng dụng, hạ tầng DataCeter, thiết bị đầu cuối…) cùng các hệ thống mới manh nha thuộc về IoT của các cơ quan, tổ chức Việt Nam như trạm thu phí không dừng, camera giao thông… khi chúng ta biết rằng có gần 80% camera IP được lắp đặt ở Việt Nam có thể bị xem lén do vẫn dùng mật khẩu mặc định của nhà sản xuất thiết bị.

MC: Xu hướng tấn công mạng của các nhóm tin tặc trên thế giới và tại Việt Nam vào các tổ chức, doanh nghiệp đã và đang có những chuyển biến mới như thế nào và các cơ quan, tổ chức nhà nước cần làm gì để có thể ứng phó?

Ông Khổng Huy Hùng:Với xu hướng tấn công an ninh mạng hiện nay , các cuộc tấn công vào cơ quan tổ chức doanh nghiệp ngày càng tinh vi và có dấu hiệu tập trung vào các hệ thống thông tin trọng yếu quốc gia như hàng không, ngân hàng, viễn thông… Thực tế, các hệ thống này đã là mục tiêu bị phá hoại nghiêm trọng bởi các cuộc tấn công mạng, điển hình là là vụ tấn công mạng vào ngành hàng không Việt Nam hồi tháng 8/2016. Tôi cho rằng, các cơ quan nhà nước cần đề cao tính cấp thiết của an ninh mạng, đặt vấn đề an toàn thông tin lên ưu tiên cao, đưa ra các chính sánh ưu đãi cho yếu tố con người để chiêu mộ nhân tài và củng cố nhận thức về an toàn thông tin trong nội bộ.

MC: Dự báo về tình hình an toàn thông tin mạng thời gian tới, nhiều chuyên gia cho rằng tấn công có chủ đích APT sẽ tiếp tục gia tăng trong năm tới và các hạ tầng thông tin trọng yếu sẽ trở thành đích ngắm của nhiều nhóm tội phạm mạng. Ý kiến của các vị khách mời về vấn đề này như thế nào?

Ông Khổng Huy Hùng:Tôi hoàn toàn đồng ý với nhận định đó. Đặc biệt trong bối cảnh các hệ thống trọng yếu của chúng ta chưa được bảo vệ thích đáng, thì đó là miếng mồi ngon cho các hacker tấn công có tổ chức. Đảm bảo an toàn thông tin là vấn đề nóng hiện nay, tuy nhiên đầu tư cho an toàn thông tin của các cơ quan, tổ chức tại Việt Nam còn rất hạn chế, chiếm tỷ lệ rất nhỏ. Trong bối cảnh nguồn kinh phí hạn hẹp, các cơ quan, đơn vị cần phải làm sao để có thể triển khai nhiệm vụ này có hiệu quả, thưa các chuyên gia? Ông Khổng Huy Hùng: Theo thống kê của một tổ chức quốc tế của Mỹ, tỷ lệ đầu tư cho an toàn thông tin trong tổng ngân sách đầu tư cho CNTT nói chung trung bình trên thế giới là khoảng 30% doanh nghiệp đầu tư ở mức dưới 6%; trong khi con số này ở Việt Nam, theo thống kê của Hiệp hội An toàn thông tin Việt Nam (VNISA) la gần 50% doanh nghiệp. Thực ra không phải là kinh phí đầu tư cho CNTT thấp dẫn đến đầu tư cho an toàn thông tin thấp mà do bản thân các đơn vị chưa chú trọng ưu tiên đầu tư cho an toàn thông tin. Trong điều kiện như vậy, tôi cho rằng tốt nhất là không đầu tư dàn trải mà phương pháp đầu tư cho an toàn thông tin tiết kiệm nhất, hiệu quả nhất vẫn là thực hiện “may đo” cho từng đơn vị. Không có đơn vị, doanh nghiệp nào có thể triển khai đầu tư tất cả các biện pháp đảm bảo an toàn thông tin. May đo ở đây được hiểu là chúng ta phải biết được rủi ro về an toàn thông tin của tổ chức, doanh nghiệp mình nằm ở đâu và xếp thứ tự ưu tiên đối với chúng, từ đó thực hiện đầu tư các biện pháp nhằm giảm thiểu các rủi ro theo thứ tự ưu tiên. Để đánh giá được rủi ro, các tổ chức, doanh nghiệp có thể tự đánh giá cũng có thể mời các đơn vị tư vấn hỗ trợ đánh giá và đưa ra khuyến cáo nên tập trung vào những rủi ro nào để có biện pháp giảm thiểu trước.

MC: Là đơn vị đang cung cấp giải pháp cho nhiều bộ, ngành, ông đánh giá như thế nào về công tác đảm bảo an toàn thông tin của các cơ quan nhà nước hiện nay? Đâu là tồn tại, hạn chế lớn nhất của nhóm đối tượng này? (Minh Hương, Hà Nội)

Ông Triệu Trần Đức: Theo tôi trong 2 năm trở lại đây, năng lực ATTT của các cơ quan nhà nước đã tăng rõ rệt, nhận thức thay đổi nhanh. Tuy nhiên hạn chế lớn hiện nay là về hành lang pháp lý chưa đủ cơ sở để lập dự toán về thuê ngoài dịch vụ ATTT, dẫn đến chưa có đủ nguồn vốn đầu tư. Hy vọng thời gian tới sẽ có sự cải thiện.

MC: Năm 2016, lãnh đạo CMC từng nhận xét, nhiều cơ quan, tổ chức tại Việt Nam coi các sự cố về an ninh mạng là vấn đề “nóng” trong khoảng 2 tuần, sau đó lại nguội ngắt như chưa từng xảy ra, không nhận thức đây là vấn đề cần được quan tâm thường xuyên. Ông có thể cho biết đến nay tình trạng này đã được cải thiện hay chưa? (Mạnh Hùng – Hà Nội)

Ông Triệu Trần Đức: Chúng ta nhìn nhận vấn đề: trong 2 tuần đầu khi hậu quả rất rõ ràng, mọi người đều có nhận thức tốt, đặc biệt là nạn nhân của chính các sự vụ. Tuy nhiên sau đó, khi các hậu quả được xử lý thì độ nóng lại giảm dầntương ứng. Để giải quyết vấn đề luôn duy trì được nhận thức tốt, CMC đã ra mắt trung tâm giám sát an ninh mạng thế hệ mới. Khách hàng của CMC được giám sát và cảnh báo 24/7 về các mối đe dọa an toàn, an ninh thông tin. Từ đó những bộ phận an ninh, an toàn thông tin tại các cơ quan hàng ngày nhận được báo cáo thực tế về các sự kiện an ninh, an toàn thông tin mạng. Từ đó giúp họ giữ được độ “nóng” nhận thức về ATTT, góp phần rõ rệt tăng cường năng lực ATTT của tổ chức.

MC: Từ thực tế cung cấp giải pháp cho các đơn vị, tổ chức, ông đánh giá như thế nào về mức độ đảm bảo an toàn thông tin của các cơ quan, tổ chức tại Việt Nam? Và trong so sánh với khối doanh nghiệp, liệu có hay không sự chênh lệch về mức độ đầu tư, vấn đề nhận thức cũng như công tác thực thi các biện pháp đảm bảo an toàn thông tin tại các cơ quan nhà nước? (Hồng Hạnh, Hà Nội).

Ông Ngô Tuấn Anh: Qua thực tế triển khai cung cấp các giải pháp an ninh cho khách hàng, chúng tôi nhận thấy việc đầu tư nguồn lực cho đảm bảo an toàn an ninh thông tin ở các đơn vị tổ chức hầu như chưa tương xứng với mức độ quan trọng của các hệ thống cần bảo vệ. Một số tổ chức trong khối ngân hàng, tài chính thường có mức độ đầu tư cao hơn so với các nhóm còn lại. Điều này có thể giải thích bởi việc đảm bảo an toàn an ninh thông tin trong thời gian trước đây chưa phải là yêu cầu bắt buộc thực hiện đối với các cơ quan tổ chức. Việc triển khai giải pháp đảm bảo an toàn an ninh thông tin ở các đơn vị, chủ yếu phụ thuộc vào ý thức của đội ngũ lãnh đạo của các đơn vị đó. Tôi cũng hy vọng trong thời gian tới, khi luật an toàn thông tin mạng được triển khai sâu rộng trong cuộc sống, với những quy định rõ ràng về đảm bảo an toàn thông tin theo cấp độ cho từng đối tượng cũng như sự thay đổi nhận thức của các đơn vị tổ chức thì việc đầu tư cho an toàn an ninh thông tin sẽ có mức độ ưu tiên cao hơn, tương xứng với vai trò của nó trong việc đảm bảo an toàn hệ thống thông tin.

MC: Có thông tin chưa chính thức cho rằng các hacker có thể dùng phần mềm quét tự động vào các website.vn và .gov.vn để tìm ra các hệ thống đang mắc lỗi bảo mật, sau đó chỉ việc khai thác lỗ hổng để xâm nhập. Ông có bình luận gì về ý kiến này? (Nghiêm An, Quảng Ninh)

Ông Ngô Tuấn Anh:Thực tế đang diễn ra như vậy, và hacker sẽ tiến hành dò quét tất cả các website trên mạng Internet, chứ không chỉ dò quét vào các website .vn và .gov.vn để tìm lỗ hổng. Khi tìm ra lỗ hổng, hacker sẽ tiến hành khai thác để xâm nhập và điều nguy hiểm là hầu hết các đơn vị chủ quản không hề biết website của mình bị tấn công khai thác. Ghi nhận thực tế của chúng tôi, hàng tháng tại Việt Nam có khoảng 300 website .vn bị hacker khai thác tấn công, trong đó có ghi nhận các website với tên miền .gov.vn. Những lỗ hổng tồn tại trên website chủ yếu xuất phát từ việc thiếu quy trình kiểm tra đánh giá cũng như kinh nghiệm về lập trình an toàn của đội ngũ lập trình viên. Để khắc phục tình trạng này đòi hỏi sự thay đổi nhận thức từ các chính phủ, doanh nghiệp và việc nâng cao kiến thức của các lập trình viên. Trong một dự án IT, cần đầu tư ít nhất từ 5 đến 10% cho an ninh mạng, nếu không hệ quả tất yếu là hệ thống bị xâm nhập, bị đánh cắp dữ liệu. Việc khắc phục rất tốn kém và mất nhiều thời gian.

MC: Được biết năm 2017 CMC Infosec đã phát triển thành công cụ phát hiện và ngăn chặn WannaCry. Vậy đến nay công cụ đang được khối các cơ quan nhà nước đón nhận như thế nào? Năm 2018 công ty sẽ tiếp tục tung ra sản phẩm, giải pháp gì? (Lê Minh, Hà Nội)

Ông Triệu Trần Đức: Đến nay nhiều đơn vị sử dụng và có nhu cầu sử dụng giải pháp chống mã độc tống tiền của CMC. Điển hình là những máy tính quan trọng của lãnh đạo, kế toán trưởng, trưởng phòng… có nhu cầu lớn về chống mã hóa dữ liệu. Chúng tôi tin rằng thời gian tới nhu cầu này sẽ tăng cao. Thời gian tới chúng tôi dự kiến ra mắt sản phẩm, thiết bị hướng tới bảo vệ cho IoT dùng cho smarthome, smartcity…

MC: Hiện nay có nhiều công ty làm về dịch vụ an ninh thông tin nhưng chúng tôi lúng túng không biết chọn bên nào, chuyên gia có thể cho chúng tôi một lời khuyên? (Hoài Nam, Hà Nội)

Ông Triệu Trần Đức: Theo chúng tôi thì nên chọn những đơn vị lâu năm kinh nghiệm, có uy tín thương hiệu, có đầu tư lớn về đội ngũ nhân sự, kỹ sư an ninh, an toàn thông tin. Đặc biệt với các cơ quan nhà nước, đương nhiên phải chọn đơn vị được cấp phép hoạt động trong lĩnh vực AN, ATTT do Bộ TT&TT cấp. CMC là tập đoàn có hơn 20 năm kinh nghiệm tại VN trong lĩnh vực CNTT và hầu hết các khách hàng cơ quan Nhà nước của VN đều là khách hàng của CMC. Riêng CMC Infosec đã có hơn 10 năm hoạt động trong lĩnh vực AN, ATTT. Là công ty đầu tiên được Bộ TT&TT cấp phép hoạt động trong lĩnh vực ATTT tại Việt Nam. Chúng tôi đã giúp rất nhiều đơn vị tăng cường năng lực an ninh, an toàn thông tin. Bạn nên tránh thuê dịch vụ ATTT từ những công ty mới thành lập, bởi vì năng lực không đảm bảo và kể cả khi năng lực đảm bảo thì bạn cũng không thể biết được hộ làm gì với dữ liệu của tổ chức sau khi họ được tiếp cận để thực hiện các dịch vụ ATTT. 

MC: CMC Infosec nhận định đâu là những mối đe dọa về an ninh mạng chủ yếu đối với các cơ quan nhà nước trong năm 2018? Tình hình phát triển của mã độc tống tiền sẽ diễn biến như thế nào? (Tuấn Anh, Hà Nội)

Ông Triệu Trần Đức: Năm 2018 chúng tôi có dự báo các tấn công APT sẽ diễn ra với cường độ cao hơn rất nhiều. Các cơ quan nhà nước cần đặc biệt quan tâm đầu tư kịp thời cho các dịch vụ, giải pháp giám sát và phòng chống APT. Đương nhiên, các nguy cơ về IoT, Cloud, BigData… cũng sẽ đến rất nhanh, nhưng có thể ưu tiên đầu tư sau APT. Cần hết sức thận trọng trong việc mua sắm phần mềm và thiết bị khi kết nối vào hệ thống của cơ quan nhà nước. Các cơ quan nhà nước phải đảm bảo các phần mề, thiết bị này được kiểm tra về ATTT trước khi đưa vào hoạt động trong hệ thống.

MC: Thưa ông Nguyễn Khắc Lịch, VNCERT là đơn vị ứng cứu rất nhiều các sự cố, ông đánh giá thế nào về mức độ quan tâm đến an toàn thông tin trong cơ quan nhà nước?

Ông Nguyễn Khắc Lịch: Trên quan điểm VNCERT là cơ quan điều phối quốc gia, với trách nhiệm theo dõi, phân tích, phát hiện, điều phối và ứng cứu sự cố trên toàn quốc, trong năm qua phần sự cố mất an toàn thông tin trong cơ quan nhà nước giảm rõ rệt, nhận thức của cơ quan nhà nước tăng lên nhiều, các số liệu phản ánh rõ như vậy. Ví dụ, khi xảy ra sự cố WannaCry chúng tôi phát lệnh cảnh báo trước 3 tuần để vá 9 lỗ hổng của hệ điều hành Windows. Sau đó các đơn vị báo cáo về có hơn 1114.159 máy trạm và 3.522 máy chủ đã được vá, chỉ còn rất ít các máy trạm bị nhiễm (khoảng 500 máy) và 4 máy chủ. VNCERT đã tham mưu cho lãnh đạo Bộ TT&TT, trình Thủ tướng Chính phủ hoàn thiện hành lang pháp lý về điều phối ứng cứu sự cố mất an toàn thông tin. Đó là Quyết định 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia và Thông tư 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ TT&TT quy định về điều phối điều phối ứng cứu sự cố thông tin mạng trên toàn quốc. Các văn bản này đã hình thành tương đối đầy đủ các quy định về tổ chức bộ máy, điều phối, ứng cứu quốc gia từ Trung ương tới địa phương. Bao gồm các cơ quan nhà nước, các chủ quản hệ thống thông tin quan trọng quốc gia, các tổ chức, cá nhân liên quan tới hoạt động điều phối, ứng cứu sự cố an toàn thông tin mạng tại Việt Nam.

MC: Các chuyên gia đánh giá như thế nào về nguy cơ mất an toàn thông tin trong khối các cơ quan nhà nước hiện nay, nhất là trong xu hướng của cách mạng công nghiệp 4.0, với sự phát triển mạnh mẽ của IoT, Big Data…?

Ông Khổng Huy Hùng: Nhìn nhận lại một cách khách quan, với hệ thống máy tính truyền thống mà hiện chúng ta còn chưa làm tròn việc đảm bảo an toàn thông tin, thì đối với các hạ tầng IoT lại càng khó vì các thiết bị IoT vốn dĩ năng lực bảo mật rất hạn chế, được thiết kế để tập trung thực hiện các nhiệm vụ chuyên môn của nó hơn là quan tâm nhiều đến bảo mật. Quan điểm của tôi là việc cần tập trung, lo lắng trước tiên là cho các hệ thống CNTT truyền thống (ứng dụng, hạ tầng DataCeter, thiết bị đầu cuối…) cung các hệ thống mới manh nha thuộc về IoT của các cơ quan, tổ chức Việt Nam như trạm thu phí không dừng, camera giao thông… khi chúng ta biết rằng có gần 80% camera IP được lắp đặt ở Việt Nam có thể bị xem lén do vẫn dùng mật khẩu mặc định của nhà sản xuất thiết bị.

MC: Xu hướng tấn công mạng của các nhóm tin tặc trên thế giới và tại Việt Nam vào các tổ chức, doanh nghiệp đã và đang có những chuyển biến mới như thế nào và các cơ quan, tổ chức nhà nước cần làm gì để có thể ứng phó?

Ông Khổng Huy Hùng: Với xu hướng tấn công an ninh mạng hiện nay , các cuộc tấn công vào cơ quan tổ chức doanh nghiệp ngày càng tinh vi và có dấu hiệu tập trung vào các hệ thống thông tin trọng yếu quốc gia như hàng không, ngân hàng, viễn thông… Thực tế, các hệ thống này đã là mục tiêu bị phá hoại nghiêm trọng bởi các cuộc tấn công mạng, điển hình là là vụ tấn công mạng vào ngành hàng không Việt Nam hồi tháng 8/2016. Tôi cho rằng, các cơ quan nhà nước cần đề cao tính cấp thiết của an ninh mạng, đặt vấn đề an toàn thông tin lên ưu tiên cao, đưa ra các chính sánh ưu đãi cho yếu tố con người để chiêu mộ nhân tài và củng cố nhận thức về an toàn thông tin trong nội bộ.

MC: Từ thực tế cung cấp giải pháp cho các đơn vị, tổ chức, ông đánh giá như thế nào về mức độ đảm bảo an toàn thông tin của các cơ quan, tổ chức tại Việt Nam? Và trong so sánh với khối doanh nghiệp, liệu có hay không sự chênh lệch về mức độ đầu tư, vấn đề nhận thức cũng như công tác thực thi các biện pháp đảm bảo an toàn thông tin tại các cơ quan nhà nước? (Hồng Hạnh, Hà Nội).

Ông Ngô Tuấn Anh: Qua thực tế triển khai cung cấp các giải pháp an ninh cho khách hàng, chúng tôi nhận thấy việc đầu tư nguồn lực cho đảm bảo an toàn an ninh thông tin ở các đơn vị tổ chức hầu như chưa tương xứng với mức độ quan trọng của các hệ thống cần bảo vệ. Một số tổ chức trong khối ngân hàng, tài chính thường có mức độ đầu tư cao hơn so với các nhóm còn lại. Điều này có thể giải thích bởi việc đảm bảo an toàn an ninh thông tin trong thời gian trước đây chưa phải là yêu cầu bắt buộc thực hiện đối với các cơ quan tổ chức. Việc triển khai giải pháp đảm bảo an toàn an ninh thông tin ở các đơn vị, chủ yếu phụ thuộc vào ý thức của đội ngũ lãnh đạo của các đơn vị đó. Tôi cũng hy vọng trong thời gian tới, khi luật an toàn thông tin mạng được triển khai sâu rộng trong cuộc sống, với những quy định rõ ràng về đảm bảo an toàn thông tin theo cấp độ cho từng đối tượng cũng như sự thay đổi nhận thức của các đơn vị tổ chức thì việc đầu tư cho an toàn an ninh thông tin sẽ có mức độ ưu tiên cao hơn, tương xứng với vai trò của nó trong việc đảm bảo an toàn hệ thống thông tin.

MC: Dự báo về tình hình an toàn thông tin mạng thời gian tới, nhiều chuyên gia cho rằng tấn công có chủ đích APT sẽ tiếp tục gia tăng trong năm tới và các hạ tầng thông tin trọng yếu sẽ trở thành đích ngắm của nhiều nhóm tội phạm mạng. Ý kiến của các vị khách mời về vấn đề này như thế nào?

Ông Khổng Huy Hùng: Tôi hoàn toàn đồng ý với nhận định đó. Đặc biệt trong bối cảnh các hệ thống trọng yếu của chúng ta chưa được bảo vệ thích đáng, thì đó là miếng mồi ngon cho các hacker tấn công có tổ chức. Đảm bảo an toàn thông tin là vấn đề nóng hiện nay, tuy nhiên đầu tư cho an toàn thông tin của các cơ quan, tổ chức tại Việt Nam còn rất hạn chế, chiếm tỷ lệ rất nhỏ.

MC: Trong bối cảnh nguồn kinh phí hạn hẹp, các cơ quan, đơn vị cần phải làm sao để có thể triển khai nhiệm vụ này có hiệu quả, thưa các chuyên gia?

Ông Khổng Huy Hùng:Theo thống kê của một tổ chức quốc tế của Mỹ, tỷ lệ đầu tư cho an toàn thông tin trong tổng ngân sách đầu tư cho CNTT nói chung trung bình trên thế giới là khoảng 30% doanh nghiệp đầu tư ở mức dưới 6%; trong khi con số này ở Việt Nam, theo thống kê của Hiệp hội An toàn thông tin Việt Nam (VNISA) la gần 50% doanh nghiệp. Thực ra không phải là kinh phí đầu tư cho CNTT thấp dẫn đến đầu tư cho an toàn thông tin thấp mà do bản thân các đơn vị chưa chú trọng ưu tiên đầu tư cho an toàn thông tin. Trong điều kiện như vậy, tôi cho rằng tốt nhất là không đầu tư dàn trải mà phương pháp đầu tư cho an toàn thông tin tiết kiệm nhất, hiệu quả nhất vẫn là thực hiện “may đo” cho từng đơn vị. Không có đơn vị, doanh nghiệp nào có thể triển khai đầu tư tất cả các biện pháp đảm bảo an toàn thông tin. May đo ở đây được hiểu là chúng ta phải biết được rủi ro về an toàn thông tin của tổ chức, doanh nghiệp mình nằm ở đâu và xếp thứ tự ưu tiên đối với chúng, từ đó thực hiện đầu tư các biện pháp nhằm giảm thiểu các rủi ro theo thứ tự ưu tiên. Để đánh giá được rủi ro, các tổ chức, doanh nghiệp có thể tự đánh giá cũng có thể mời các đơn vị tư vấn hỗ trợ đánh giá và đưa ra khuyến cáo nên tập trung vào những rủi ro nào để có biện pháp giảm thiểu trước.

MC: Có thông tin chưa chính thức cho rằng các hacker có thể dùng phần mềm quét tự động vào các website.vn và .gov.vn để tìm ra các hệ thống đang mắc lỗi bảo mật, sau đó chỉ việc khai thác lỗ hổng để xâm nhập. Ông có bình luận gì về ý kiến này? (Nghiêm An, Quảng Ninh)

Ông Ngô Tuấn Anh: Thực tế đang diễn ra như vậy, và hacker sẽ tiến hành dò quét tất cả các website trên mạng Internet, chứ không chỉ dò quét vào các website .vn và .gov.vn để tìm lỗ hổng. Khi tìm ra lỗ hổng, hacker sẽ tiến hành khai thác để xâm nhập và điều nguy hiểm là hầu hết các đơn vị chủ quản không hề biết website của mình bị tấn công khai thác. Ghi nhận thực tế của chúng tôi, hàng tháng tại Việt Nam có khoảng 300 website .vn bị hacker khai thác tấn công, trong đó có ghi nhận các website với tên miền .gov.vn. Những lỗ hổng tồn tại trên website chủ yếu xuất phát từ việc thiếu quy trình kiểm tra đánh giá cũng như kinh nghiệm về lập trình an toàn của đội ngũ lập trình viên. Để khắc phục tình trạng này đòi hỏi sự thay đổi nhận thức từ các chính phủ, doanh nghiệp và việc nâng cao kiến thức của các lập trình viên. Trong một dự án IT, cần đầu tư ít nhất từ 5 đến 10% cho an ninh mạng, nếu không hệ quả tất yếu là hệ thống bị xâm nhập, bị đánh cắp dữ liệu. Việc khắc phục rất tốn kém và mất nhiều thời gian.

MC: Hiện nay, vẫn còn nhiều cơ quan nhà nước chưa nhận thức rõ tầm quan trọng của việc đảm bảo an ninh, an toàn cho thông tin mạng. Họ cho rằng hoạt động của họ không liên quan nhiều đến tài chính nên chẳng may mất dữ liệu thì cũng không có vấn đề gì quá nghiêm trọng. Các vị khách mời bình luận gì về tình trạng này?

Ông Khổng Huy Hùng: Theo tôi thì việc hệ thống website của họ bị tấn công và tin tặc đưa lên các thông tin bôi nhọ, chống phá Đảng và Nhà nước thì đôi khi còn để lại hậu quả nguy hiểm hơn là thiệt hại về tài chính.

MC: Từ kinh nghiệm của mình, các chuyên gia có thể đưa ra phương án gợi ý để các cơ quan, tổ chức nhà nước không chuyên về lĩnh vực an ninh mạng có thể đảm bảo tốt nhất về an toàn thông tin cho hệ thống của đơn vị mình?

Ông Khổng Huy Hùng: Việc nào mình không giỏi thì thuê, các cơ quan , tổ chức có thể thuê các dịch vụ, giai pháp bảo mật , phòng chống những nguy cơ tấn công mạng. Ngoài ra , các tổ chức cơ quan nhà nước cần đề cao tính cấp thiết của vấn đề an ninh mạng cũng như nâng cao nhận thức để tránh những rủi ro đáng tiếc. Ngoài ra theo báo cáo của tổ chức Ernst Young về thực trạng an toàn thông tin thế giới năm 2017, 2018, có đến 90% các lỗ hổng bảo mật là do các tổ chức chưa trang bị đầy đủ các giải pháp an toàn thông tin ở mức cơ bản. Việc cân bằng ngân sách trong việc đầu tư cho các hệ thông bảo mật cơ bản và các giải pháp bảo mật theo xu hướng công nghệ mới nhất là tối quan trọng. Để đảm bảo điều đó nên tập trung vào 2 việc: Thứ nhất, tìm hiểu thật kỹ các nguy cơ, lỗ hổng cơ bản trong hệ thống mạng hiện tại và tìm cách khắc phục chúng trước; Thứ hai, chỉ đầu tư cho các công nghệ an toàn bảo mật mới nếu nó là thực sự cần thiết trong hoạt động kinh doanh/ vận hành của cơ quan tổ chức, tránh đầu tư tràn lan theo số đông.

MC: Thực tế hiện nay, có ý kiến cho rằng một trong những lý do khiến không ít cơ quan, tổ chức còn e ngại, chưa triển khai thuê dịch vụ CNTT là do lo bị lộ lọt thông tin, dữ liệu, không đảm bảo an toàn thông tin. Các chuyên gia nghĩ sao về ý kiến này? Vấn đề an toàn, bảo mật thông tin, dữ liệu có thực sự là “rào cản” đối với chủ trương thuê dịch vụ CNTT hay không?

Ông Khổng Huy Hùng:Ý kiến này là hoàn toàn có cơ sở . Hiện nay, với thực trạng cơ sở hạ tầng và trình độ chưa được trang bị đầy đủ của các cơ quan, tổ chức tại Việt Nam thì việc để lộ các thông tin cho bên thứ 3 là rất quan ngại, nhất là các cơ quan đầu não về chính trị, tài chính. Tuy nhiên ở Việt Nam tôi được biết rào cản kỹ thuật không phải là vấn đề chính, rất nhiều cơ quan tổ chức sẵn sàng thuê dịch vụ CNTT nói chung và an toàn thông tin nói riêng nhưng vướng mắc chính là về mặt cơ chế thực thi.

MC: Các chuyên gia luôn nhấn mạnh yếu tố con người, nhân lực trong đảm bảo an toàn thông tin. Tuy nhiên, hiện nay vẫn chưa có chính sách ưu tiên nào cho đội ngũ những người làm an toàn thông tin, nhất là cho khối cơ quan nhà nước. Vậy xin các khách mời chia sẻ quan điểm đối với vấn đề này? Các cơ quan nhà nước phải làm sao để thu hút được những người giỏi trong lĩnh vực an toàn thông tin vào làm khi mức chênh lệch về thu nhập với vị trí tương tự ở doanh nghiệp hiện rất lớn?

Ông Khổng Huy Hùng:Theo thống kê, có tới 95% nguy cơ tấn công mạng xảy ra do yếu tố con người và quy trình, chứ không phải là trang thiết bị. Công tác bảo đảm an ninh, an toàn thông tin mạng về bản chất là vấn đề giữa con người với con người, giữa một bên tấn công và một bên phòng thủ, nên việc đảm bảo cơ chế, tạo động lực cho người làm an toàn thông tin là rất cần thiết. Có một vấn đề là đối với lĩnh vực an toàn thông tin, hiện việc tính toán giá trị đem lại của việc phòng chống, phát hiện sớm một cuộc tấn công mạng mà một nhân viên đem lại cho tổ chức chưa được chú trọng. Chừng nào các lãnh đạo các cơ quan, tổ chức còn chưa hiểu được nhờ có đội ngũ an toàn thông tin mạnh mà tổ chức mình đã tiết kiệm được bao nhiêu thiệt hại về mặt tài chính, uy tín, hình ảnh… thì chắc chắn rằng sẽ chưa thể đưa ra một cơ chế tốt cho người làm an toàn thông tin trong cơ quan, tổ chức mình.

MC: Việc mỗi tháng có hàng trăm, thậm chí hàng ngàn cuộc tấn công mạng nhằm vào các hệ thống thông tin của Việt Nam, trong đó có nhiều hệ thống của cơ quan nhà nước. Số liệu từ Sách Trắng CNTT&TT Việt Nam 2017 của Bộ TT&TT cũng cho thấy, dù đã có sự cải thiện so với năm 2015 nhưng trong năm 2016 tỉ lệ tổ chức có khả năng ghi nhận các hành vi tấn công mạng (kể cả chưa thành công) vào hệ thống thông tin của đơn vị mình là 62%. Theo đánh giá của các chuyên gia, nguyên nhân của tình trạng này là do đâu? Phải chăng ý thức bảo mật, bảo đảm an toàn thông tin của các tổ chức tại Việt Nam còn rất chủ quan, yếu kém?

Ông Khổng Huy Hùng:Theo nhận định của tôi, ý thức đảm bảo an toàn thông tin là yếu tố then chốt, ngoài ra còn các yếu tố khác như: - Các cổng thông tin điện tử, website, hệ thống mạng thông tin là một trong những hệ thống thiết yếu nhưng chưa được xây dựng theo một tiêu chuẩn thống nhất, thiếu sự kiểm định về an toàn thông tin thường xuyên. - Các phần mềm, ứng dụng và thiết bị phần cứng tồn tại lỗi bảo mật nhưng chưa được khắc phục kịp thời. - Tình trạng sử dụng phần mềm không có bản quyền còn phổ biến. - Nhiều cơ quan, tổ chức chưa có chính sách/ đầu tư các giải pháp cơ banr nhằm đảm bảo an ninh mạng hoàn chỉnh; - Chưa có hoặc có bộ phận chuyên trách về an toàn thông tin và đội ngũ quản trị viên các hệ thống thông tin còn hạn chế về kiến thức, kỹ năng.

MC: Thủ tướng đã phê duyệt danh mục 11 lĩnh vực quan trọng được ưu tiên đảm bảo an toàn thông tin, trong đó có lĩnh vực giao thông vận tải tôi đang công tác. Ông có thể cho biết, đâu là những nội dung công việc mà các đơn vị hoạt động trong những lĩnh vực này cần tập trung thực hiện để có thể bảo vệ an toàn thông tin, dữ liệu của cơ quan, tổ chức mình? (Phạm Hà - Bắc Ninh)

Ông Nguyễn Huy Dũng:Các cơ quan đơn vị có trách nhiệm trong hoạt động này cần tập trung thực hiện các công việc sau đây: Thứ nhất: Xác định và phân loại hệ thống thông tin theo cấp độ an toàn theo quy định của Luật ATTT mạng, Nghị định số 85 của Chính phủ và Thông tư hướng dẫn số 03 của Bộ TT&TT. Thứ hai: Thực thi các phương án bảo đảm an toàn hệ thống thông tin theo cấp độ trên cơ sở tham khảo tiêu chuẩn quốc gia TCVN11930:2017. Thứ ba: Định kỳ tổ chức đào tạo, tập huấn, tuyên truyền, diễn tập về ATTT. Tham gia mạng lưới chuyên trách về ATTT để chia sẻ thông tin, hỗ trợ xử lý tấn công mạng.

MC: Cơ quan tôi đã đầu tư mua phần mềm diệt virus bản quyền, nhưng mỗi key dùng cho 3 máy tính riêng lẻ. Cách thức này có được coi là hiệu quả trong việc chống virus không? (Lý Hoa, Hà Nội)

Ông Ngô Tuấn Anh: Thông thường, các hãng cung cấp phần mềm diệt virus sẽ chỉ cho phép một key (một bản quyền) cho một máy tính. Do vậy, bạn cần liên hệ với hãng để kiểm tra xem phần mềm và bản quyền mình mua có đúng do hãng cung cấp hay không, để tránh mua phải hàng không bản quyền và được sử dụng đầy đủ các tính năng. Tuy nhiên, bên cạnh việc sử dụng phần mềm diệt virus, bạn cần nâng cao ý thức của người sử dụng khi dùng Internet, trao đổi dữ liệu… để giảm thiểu nguy cơ bị lây nhiễm mã độc.

MC: Được biết, cùng với việc Câu lạc bộ chữ ký số và giao dịch điện tử Việt Nam thuộc VNISA được thành lập, ông đã được các bầu làm Chủ nhiệm Câu lạc bộ này. Xin ông cho biết tại sao các doanh nghiệp lại quyết định nhóm họp để cho ra đời Câu lạc bộ này và với vai trò Chủ nhiệm, ông có thể chia sẻ kế hoạch của CLB sẽ tập trung thực hiện những việc gì trong thời gian tới? (Mạnh Hùng, Hà Nội)

Ông Ngô Tuấn Anh: Câu lạc bộ Chữ ký số và giao dịch điện tử Việt Nam ra đời được đánh giá là dấu mốc quan trọng trong sự phát triển của lĩnh vực Chữ ký số, xác thực điện tử và giao dịch điện tử. Câu lạc bộ là tổ chức đại diện cho cộng đồng doanh nghiệp cung cấp dịch vụ chứng thực chữ ký số công cộng tại Việt Nam, với tôn chỉ và mục đích góp phần nâng cao hiệu quả các hoạt động kinh doanh, bảo vệ quyền và lợi ích hợp pháp của các thành viên tham gia; đẩy mạnh các hoạt động nghiên cứu công nghệ, thông tin kinh tế, thị trường, xúc tiến thương mại, thúc đẩy quan hệ hợp tác với cộng đồng doanh nghiệp trong nước và quốc tế. Đồng thời, Câu lạc bộ là cầu nối giữa các doanh nghiệp, giữa doanh nghiệp với chính quyền địa phương, các ban, ngành Trung ương. Câu lạc bộ cũng là nơi tập hợp nguyện vọng của các thành viên với cơ quan quản lý Nhà nước để tạo điều kiện tháo gỡ khó khăn trong hoạt động kinh doanh, đưa dịch vụ chứng thực chữ ký số trở thành dịch vụ CNTT quan trọng trong hạ tầng thông tin quốc gia, là công cụ hữu hiệu trong phát triển chính phủ điện tử, thương mại điện tử. Trong thời gian tới, CLB Chữ ký số và giao dịch điện tử Việt Nam sẽ tập trung đồng hành cùng cơ quan quản lý nhà nước để góp ý xây dựng các văn bản pháp luật liên quan trong lĩnh vực chữ ký số, đồng thời chuẩn hóa, thống nhất các tiêu chuẩn kỹ thuật trong triển khai giải pháp ứng dụng chữ ký số, góp phần tạo thuận lợi cho người sử dụng, đặc biệt là các ứng dụng chữ ký số trên thiết bị di động thông minh. Điều này cũng góp phần thúc đẩy, mở rộng thị trường trong tương lai.

MC: Nếu không đảm bảo an toàn thông tin điện tử thì sẽ rất khó có thể xây dựng được Chính phủ điện tử. Trong khi chúng ta lại đang hô hào xây dựng Chính phủ điện tử. Câu chuyện “con gà, quả trứng” cần gỡ từ đâu, thưa các chuyên gia?

Ông Khổng Huy Hùng: Quan điểm của tôi là làm song song chứ chờ đến khi hoàn hiện xong Chính phủ điện tử mới lo làm an toàn thông tin thì e là đã muộn.

MC: Luật An toàn thông tin mạng, văn bản pháp lý cao nhất trong lĩnh vực an toàn thông tin được Quốc hội thông qua tháng 11/2005 và có hiệu lực từ tháng 7/2016. Từ đó đến nay, các cơ quan quản lý nhà nước trong lĩnh vực an toàn thông tin (Cục An toàn thông tin, VNCERT) đã thực hiện những nội dung công việc gì để luật này thực sự đi được vào cuộc sống? (Mai Linh - Thái Nguyên)

Ông Nguyễn Huy Dũng: Luật ATTT mạng 2015 có hiệu lực từ 2016. Có thể nói ngay khi Luật được ban hành Bộ TT&TT, Bộ Công an, Hộ Quốc Phòng đã tích cực, chủ động xaayu dựng các Nghị định, Thông tư hướng dẫn Luật. Cho đến nay, Chính phủ đã ban hành 5 Nghị Định. Bộ TT&TT đã ban hannfh 3 Thông tư liên quan. Như vậy. Có thể nói toàn bộ các văn bản hướng dẫn Luật đã bnan hành và có hiệu lực. Bên cạnh đó, Bộ TT&TT đã xây dựng, Bộ KH&CN đã thẩm định và công bố tiêu chuẩn quốc gia TCVN11930: 2017 về yêu cầu cơ bản về bảo đảm an toàn hệ thống thông tin theo cấp độ. Trong năm 2018 tới đây, Cục ATTT sẽ đôn đốc, hướng dẫn các cơ quan tổ chức triển khai áp dụng các quy định và tiêu chuẩn kỹ thuật nói trên váo công tác đảm bảo ATTT.

MC: Các chuyên gia đánh giá như thế nào về nguy cơ mất an toàn thông tin trong khối các cơ quan nhà nước hiện nay, nhất là trong xu hướng của cách mạng công nghiệp 4.0, với sự phát triển mạnh mẽ của IoT, Big Data…? (Hà Phương - Hà Nội)

Ông Nguyễn Huy Dũng:Cuộc CMCN 4.0, dữ liệu lớn, IoT mang lại những cơ hội chưa từng có nhưng cũng kèm theo đó là nguy cơ rủi ro mất ATTT ngày càng gia tăng. Mỗi thiết bị IoT nếu được sử dụng tốt thì sẽ là một trợ thủ số đắc lực nhưng ngược lại nếu không đảm bảo ATTT thì lại chính là một gián điệp ngay bên cạnh chúng ta, ngay bên trong của mỗi cơ quan tổ chức. Vì vậy, tôi khuyến nghị các cơ quan tổ chức, đặc biệt là các cơ quan, tổ chức NN cần khẩn trương phân loại và xác định cấp độ ATT hệ thông thông tin để từ đó áp dụng bộ Tiêu chuẩn kỹ thuật TCVN11930:2017 vào hoạt động cúa cơ quan tổ chức mình.

MC: Năm 2017 sẽ được ghi nhớ là năm phát triển mạnh của các mối đe dọa tấn công mạng bằng Ransomware, với 3 đợt tấn công quy mô lớn WannaCry, Petya, Bad Rabbit. Việt Nam cũng đã được xác nhận là có chịu ảnh hưởng, tác động từ các cuộc tấn công này. Các chuyên gia dự báo gì về xu hướng tấn công mạng trong năm 2018, liệu Ransomware có tiếp tục là nguy cơ hàng đầu? Ngoài Ransomware, các cơ quan, tổ chức cần lưu ý về những xu hướng “nóng” nào khác trong năm tới?

Ông Khổng Huy Hùng:Theo dự báo của tôi thì thời gian tới có 3 xu hướng nóng trong lĩnh vực an toàn thông tin cần được quan tâm tại Việt Nam trong năm 2018: Một là, sang năm tới thì mã độc mã hóa dữ liệu tống tiền - Ransomware hay tấn công có chủ đích APT cũng sẽ mạnh mẽ và nguy hiểm hơn. Có lẽ thay vì chỉ tấn công vào hạ tầng máy tính truyền thống, việc hacker tấn công vào hạ tầng thông tin trọng yếu sẽ phổ biến hơn. Hai là, xu hướng khai thác lỗ hổng trên các hệ thống Cloud base ( hệ thống trên nền tảng điện toán đám mây – PV) hoặc thiết bị IoT nhằm lợi dụng các thiết bị này để tấn công từ chối dịch vụ cũng sẽ gia tăng. Ba là, thời đại công nghiệp 4.0 bùng nổ, thế giới và Việt Nam sẽ có rất nhiều ứng dụng giải quyết các vấn đề xã hội của các cá nhân, nhóm nhỏ được ra đời trên các Appstore (mà gần như không quan tâm đến ứng dụng của mình có bảo mật không), xu hướng tấn công khai thác lỗ hổng cài mã độc vào các ứng dụng này, qua đó gián tiếp lây nhiễm đến hàng triệu thiết bị đầu cuối của người dùng cũng sẽ trở nên phổ biến. Người dùng như chúng ta nên đặc biệt cẩn trọng trước khi download/cài đặt 1 phần mềm/ứng dụng chưa rõ nguồn gốc.

MC: Tâm lý “sính ngoại” được nhiều đơn vị cung cấp giải pháp CNTT cho biết đang là rào cản khiến cho họ khó mở rộng thị trường cho sản phẩm nội địa của đơn vị mình. Công ty VNCS có gặp tình trạng này không? Và nếu có, các ông đã làm gì để sản phẩm, giải pháp của VNCS thuyết phục được các lãnh đạo cơ quan, tổ chức đưa vào áp dụng, sử dụng để bảo vệ hệ thống của họ?

Ông Khổng Huy Hùng:Thực ra cũng vì tâm lý này mà bản thân Doanh nghiệp chúng tôi và nhiều doanh nghiệp ở Việt Nam vẫn phải làm theo cả 2 hướng, tức là vừa phân phối các sản phẩm bảo mật quốc tế và vừa phát triển sản phẩm nội địa. Từ kinh nghiệm của chúng tôi, để thuyết phục được các cơ quan, tổ chức sử dụng giải pháp của mình, điều quan trọng là phải làm cho họ hiểu về năng lực của công ty và giải pháp, phải chứng minh được giải pháp đó do mình hoàn toàn làm chủ được công nghệ và sở hữu toàn bộ mã nguồn. Nhiều người chưa nhận thức được rằng tạo ra 1 sản phẩm CNTT 100% do người Việt làm chủ công nghệ đã khó, tạo ra 1 sản phẩm an toàn thông tin nội địa còn khó gấp nhiều lần vì nguồn cung về chất xám trong lĩnh vực này ở Việt Nam vẫn còn rất giới hạn. Khi đã chứng minh được việc người Việt Nam hoàn toàn làm chủ về công nghệ, cộng với bối cảnh bất ổn về chính trị trên thế giới, việc người Việt Nam tin tưởng dùng sản phẩm của Việt Nam, đặc biệt trong 1 lĩnh vực nhạy cảm như an toàn thông tin, tôi cho là điều hết sức cần thiết trong việc đảm bảo an toàn, an ninh quốc gia.

MC: Xu hướng tấn công mạng của các nhóm tin tặc trên thế giới và tại Việt Nam vào các tổ chức, doanh nghiệp đã và đang có những chuyển biến mới như thế nào và các cơ quan, tổ chức nhà nước cần làm gì để có thể ứng phó? (Nam Anh - Hải Phòng)

Ông Nguyễn Huy Dũng:Xu hướng tấn công mạng diễn biến ngày càng phức tạp cả về quy mô lẫn hình thức. Trên thị trường chợ đen thậm chí xuất hiện cả những dịch vụ mua bán phần mềm độc hại hoặc thuê dịch vụ tấn công từ chối dịch vụ theo giờ vói giá thành ngày càng rẻ. Các lỗ hổng nghiêm trọng Zeroday năm 2017 được công bố rộng rãi, các đối tượng tấn công lợi dụng điều này để phát động các cuộc tấn công có quy mô toàn cầu mà mã độc tống tiền WannaCry là một ví dụ điển hình.

Các cơ quan tổ chức VN thời gian qua đã quan tâm hơn tới ATTT, đã đầu tư trang thiết bị, công cụ đảm bảo ATTT. Tuy nhiên, tôi cho rằng cần kết hợp hài hòa giữa việc đầu tư mua sắm máy móc trang thiết bị với việc đào tạo, huấn luyện con người, xây dựng quy trình. Một trong những vấn đề hiện nay của chúng ta là chúng ta vẫn tương đối bị động trong việc đối phó với các cuộc tấn công mạng. Chúng ta cần từng bước chuyển từ bị động đối phó sang chủ động xử lý, khắc phục sự cố.

Theo Đề án, trong giai đoạn 2017 - 2020, 9 lĩnh vực chính sẽ được tập trung triển khai là: Chính quyền số; Nông nghiệp thông minh; Giáo dục thông minh; Y tế thông minh; Du lịch thông minh; Giao thông thông minh; Thành phố an toàn; Quy hoạch đô thị thông minh; và lĩnh vực môi trường.

Cùng với đó, Đề án cũng đề xuất các chiến lược xây dựng đô thị thông minh về tăng cường sự tham gia của người dân trong hoạt động quản lý nhà nước; tăng cường sự kết nối giữa các lĩnh vực; nâng cao chất lượng sống và làm việc; quản trị đô thị thông minh hơn; chuẩn hóa, xây dựng các cơ sở dữ liệu quan trọng và xây dựng hệ thống cơ sở dữ liệu tích hợp trong các lĩnh vực; tối ưu hóa sự phối hợp, vận hành các bộ máy, hệ thống để phát triển kinh tế - xã hội giữa các sở, ban ngành...

VNPT cũng cho biết, trong Đề án “Xây dựng TP.Đà Lạt trở thành thành phố thông minh giai đoạn 2017 - 2020, tầm nhìn đến 2025”, nhóm giải pháp ưu tiên chính quyền số sẽ được thực hiện từ năm 2017 cho đến quý II/2018, thí điểm tại UBND tỉnh Lâm Đồng và TP.Đà Lạt.