“Miếng mồi ngon” của tội phạm mạng
Các nền tảng số Việt Nam cũng chính là không gian mạng quốc gia. Bảo đảm an toàn thông tin mạng cho các nền tảng số quốc gia cũng chính là bảo vệ không gian mạng quốc gia. Vì vậy, đây là nhiệm vụ trọng tâm, ưu tiên hàng đầu, không thể tách rời với việc thúc đẩy, phát triển, sử dụng các nền tảng số quốc gia. “Thúc đẩy chuyển đổi số dựa trên nền tảng số mà không gắn liền vào bảo đảm an toàn thông tin cũng giống như xây một ngôi nhà mà móng không vững chắc. Các nền tảng số sẽ không có khả năng chống chịu bền bỉ trước các cuộc tấn công với tần suất ngày càng tăng, quy mô ngày càng rộng, kỹ thuật ngày càng tinh vi và gây ra hậu quả ngày càng lớn như hiện nay”, Thứ trưởng Bộ Thông tin và Truyền thông nhấn mạnh.
Điểm lại một số vấn đề trong đảm bảo an toàn thông tin tại Việt Nam, ông Nguyễn Thành Phúc - Cục trưởng Cục An toàn thông tin, Bộ Thông tin và Truyền thông cho biết, tỷ lệ các hệ thống được xác định cấp độ và triển khai phương án bảo đảm an toàn thông tin trong cả nước theo cấp độ còn thấp, hiện mới chỉ khoảng 30%, trong khi chỉ tiêu đến tháng 12/2022 phải đạt 100%. Bên cạnh đó, lừa đảo trực tuyến ngày càng phổ biến; nhiều thiết bị số phục vụ Chính phủ điện tử đang sử dụng nhưng chưa được kiểm tra, đánh giá an toàn thông tin; diễn tập an toàn thông tin còn thiếu và chưa thực hiện…
Các khách mời tham dự hội thảo
Từ tháng 5/2019 đến nay đã xuất hiện các chiến dịch tấn công Phishing nhằm vào các ngân hàng tại Việt Nam như thu thập thông tin cá nhân, thông tin giao dịch thanh toán của khách hàng. Thống kê từ đầu năm đến nay, đã có 1.000 lượt phản ánh của người dân về các sự vụ lừa đảo trên không gian mạng. Trong 5 tháng đầu năm, Bộ Thông tin và Truyền thông đã phát hiện, xử lý 506 website lừa đảo giả mạo tổ chức tài chính, ngân hàng; hỗ trợ xử lý ngăn ngừa 1,5 triệu người dùng internet Việt Nam tránh truy cập vào các trang lừa đảo, vi phạm pháp luật. Phối hợp địa phương cảnh báo, tuyên truyền đến cơ sở hàng tuần danh sách website giả mạo.
Đại tá Nguyễn Ngọc Cương - Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) cũng thông tin: trong 6 tháng đầu năm 2022, Bộ Công an đã phát hiện xử lý 840 chuyên án, vụ việc liên quan đến lừa đảo, chiếm đoạt tài sản qua mạng, tăng đến 42% so với cuối năm 2021, đây là một con số đáng lo ngại. Dự báo 6 tháng cuối năm 2022 và năm 2023, tình hình an ninh mạng và xu hướng tội phạm mạng có một số xu hướng chính như: Tin tặc sẽ tăng tấn công có chủ đích nhằm vào các hệ thống thông tin trọng yếu, không chỉ nhằm đánh cắp dữ liệu cá nhân, khách hàng mà còn cả bí mật nhà nước; hoạt động thông tin sai sự thật trên không gian mạng sẽ tiếp tục gia tăng; xu hướng lừa đảo tài sản trên không gian mạng; lừa đảo thông qua các hoạt động thương mại điện tử, sàn giao dịch chứng khoán; giả mạo các dịch vụ trực tuyến lấy thông tin tài khoản của khách hàng để lấy tiền… Tình trạng mua bán, lộ lọt dữ liệu cá nhân cũng diễn biến phức tạp.
Đảm bảo an toàn thông tin theo cấp độ
Theo Thứ trưởng Nguyễn Huy Dũng, nếu như trước đây, các tổ chức, doanh nghiệp coi việc phát triển các ứng dụng với tính năng theo yêu cầu của người dùng là chính, còn an toàn thông tin là tính năng bổ sung, tăng thêm. Thì nay, bảo đảm an toàn thông tin cho nền tảng phải được thực hiện ngay từ khâu thiết kế. Các nền tảng số quốc gia khi xây dựng, phát triển cần xác định cấp độ an toàn thông tin và triển khai phương án bảo đảm an toàn hệ thống thông tin theo cấp độ.
Bên cạnh đó, nếu như trước đây, an toàn thông tin mới được nhắc đến nhiều khi có sự cố mất an toàn thông tin nghiêm trọng vừa xảy ra. Thì nay, an toàn thông tin phải luôn được chú trọng suốt vòng đời phát triển và vận hành nền tảng, bảo đảm tuân thủ theo quy trình phát triển - vận hành an toàn. Và để làm được điều này thì nhà phát triển nền tảng cần ưu tiên dành tỷ lệ kinh phí phù hợp (tối thiểu khoảng 20-30%) cho các tính năng về an toàn thông tin mạng. Có như vậy, việc bảo đảm an toàn thông tin mới được thực hiện một cách chuyên nghiệp, bài bản, không chắp vá.
Đồng quan điểm, ông Phương Nguyễn - Sáng lập viên của ECQ Global cho rằng, các doanh nghiệp “thương lượng từng đồng” cho một cuộc kiểm thử thâm nhập, siết chặt thời gian, hạn chế phạm vi và giới hạn nhiều kỹ thuật xâm nhập. Tuy nhiên, doanh nghiệp lại đang phải trả hàng triệu đôla cho Ransomware (Mã độc tống tiền) và trong từ điển đây là “kiểm thử xâm nhập ngược”. Khi bị tấn công, doanh nghiệp lại trả bằng bất kỳ giá nào mà hacker đưa ra, việc này vẫn lặp đi lặp lại thường xuyên. Vì vậy, cần có một hệ thống có thể đánh giá và kiểm tra đối với an toàn thông tin trong hệ thống công nghệ thông tin của doanh nghiệp. Từ đó, có thể siết chặt thời gian, hạn chế phạm vi và giới hạn nhiều kỹ thuật xâm nhập.
Ông Lê Quang Hà - Phó giám đốc Công ty An ninh mạng Viettel (Viettel Cyber Security) cũng nhận định, phải xem an toàn thông tin là điều kiện cần, không chỉ là điều kiện đủ khi xây dựng một dịch vụ, phần mềm. Đồng thời, trong mỗi doanh nghiệp, ngoài việc trang bị nhận thức về an toàn thông tin như trước, hiện tại cần phải trang bị cả kiến thức về an toàn thông tin cho các nhân viên. Họ phải được đào tạo kiến thức về an toàn thông tin nhất là nhân viên xây dựng phần mềm.
