Hiện trạng An toàn thông tin năm 2010
1. Số liệu khảo sát hiện trạng ATTT của VNISA
Nhận thức về ATTT
Phần lớn các tổ chức cho rằng họ không bị tin tặc tấn công (38%, tỉ lệ này năm 2009 là 34%) hoặc không biết là có bị tấn công hay không (chiếm 26%, năm 2009 là 36%). Tỉ lệ các tổ chức biết mình bị tấn công mạng nhưng không biết số lần bị tấn công là 26%, số tổ chức biết đã bị tấn công và các cuộc tấn công đều được theo dõi đầy đủ là 11%.
Hình 1: Biểu đồ các dạng tấn công về ATTT
Các tấn công hay gặp phải vẫn là mã độc hại, tuy nhiên tỉ lệ này đã giảm so với năm 2009. Hầu hết các tổ chức đều không biết rõ động cơ tấn công của hacker hoặc cho rằng không có động cơ rõ ràng (43%), tỉ lệ này cũng giảm so với năm 2009 (47%). Có đến 42% số người được hỏi đã trả lời rằng không rõ nguồn gốc của các địa chỉ IP tấn công vào mạng của mình (năm 2009, tỉ lệ này là 34%), số người biết được nguồn gốc tấn công là 32%, trong đó các cuộc tấn công có nguồn gốc từ trong nước là 17%, có nguồn gốc từ nước ngoài là 15%.
Cũng như những năm trước đây, đa số các tổ chức đều không thể ước lượng được tổn thất về mặt tài chính mà các cuộc tấn công đó gây ra (63%), số tổ chức ước lượng được tổn thất mới chỉ là 26%. Điều này cho thấy trong lĩnh vực ATTT rất khó định lượng được về mặt tài chính, chỉ khi nào tấn công xảy ra trên diện rộng với các tổ chức thì họ mới tính toán đến phần thiệt hại và đánh giá lại chi phí đầu tư cho ATTT của tổ chức mình, điều này đã là quá muộn và thiệt hại thì tổ chức phải gánh chịu.
Các biện pháp đảm bảo ATTT
Để bảo vệ hệ thống thông tin, các tổ chức phải đầu tư xây dựng các biện pháp phản ứng lại sự cố ATTT, báo cáo với các cơ quan chức năng để điều tra làm rõ nguyên nhân.... Tuy nhiên, khi được hỏi về vấn đề này thì các tổ chức đều cho biết là “đang” có ý định xây dựng một quy trình thao tác chuẩn để phản ứng lại các cuộc tấn công vào mạng máy tính, phần lớn câu trả lời là chưa xác định được khi nào bắt đầu xây dựng quy trình này. Khi bị tấn công mạng, các tổ chức mới chỉ báo cáo nội bộ mà không báo cáo với người có thẩm quyền và cơ quan pháp luật. Nguyên nhân là do quan niệm cho rằng sự việc không nghiêm trọng tới mức phải báo cáo hoặc không nhận dạng được thủ phạm tấn công. Chính điều này đã tạo thêm cơ hội cho hacker tấn công, gây khó khăn cho công tác điều tra và không nhận dạng được hacker là ai để loại trừ. Nhưng mặt khác cũng có thể thấy rằng hệ thống luật pháp của chúng ta chưa đủ mạnh để răn đe các đối tượng và khi các tổ chức báo cáo với cơ quan chức năng thì cũng ít khi giải quyết triệt để mà sự việc lại có thể bị “chìm đi”.
Hình 2: Biểu đồ tình hình sử dụng
các công nghệ ATTT
Các biện pháp được áp dụng để chống lại các tấn công chủ yếu mới dừng lại ở mức thấp và chưa đồng bộ. Các tổ chức hầu hết mới chỉ sử dụng firewall (70%) và sử dụng phần mềm diệt virus (hơn 90%) để chống lại các tấn công, còn các biện pháp khác như kiểm soát truy cập, lọc nội dung web, mã hóa, kiểm soát người dùng... thì chỉ sử dụng ở mức ít hoặc chưa sử dụng.
Vấn đề tiêu chuẩn ATTT và đầu tư tài chính cho ATTT
Hiện nay, đa số các tổ chức chỉ biết đến các tiêu chuẩn ISO thông dụng, còn các tiêu chuẩn khác thì chưa được đẩy mạnh áp dụng do nhiều yếu tố về kinh tế, môi trường.... Nhiều tổ chức chưa đạt về chuẩn ISO nói chung nên khó có thể áp dụng chuẩn ISO cho ATTT. Vấn đề theo dõi hệ thống thông qua việc thu thập các sự kiện an ninh mạng còn thực hiện tùy tiện, đa số không biết rõ cần phải lưu trữ thông tin trong bao lâu (tỉ lệ này tăng 40% so với năm 2009).
Riêng với phía Nam, có tới 65% tổ chức trả lời không tuân theo chuẩn (so với 47% của 2009). Con số này chứng tỏ sự hiểu biết về tiêu chuẩn ATTT, hiểu biết về ích lợi khi áp dụng chuẩn còn yếu, hoặc do ngại khó, ngại tốn kém khi triển khai áp dụng chuẩn....
Hình 3: Tỉ lệ các đơn vị trả lời về quy chế ATTT
Về chi tiêu cho CNTT và ATTT, có tới 49% các tổ chức đã tăng chi tiêu cho CNTT nói chung và ATTT nói riêng, tỉ lệ này tăng so với năm 2009 (43%). Điều này cho thấy lãnh đạo các tổ chức đã nhận thức rõ hơn về nguy cơ mất ATTT và các thiệt hại về kinh tế nếu bị tấn công và họ đã tăng phần chi tiêu cho ATTT. Các tổ chức phía Nam thì tỉ lệ này thấp hơn khi 47% đơn vị khẳng định tăng chi phí đầu tư cho ATTT trong năm 2010 (năm 2009 là 39%).
Theo số liệu thống kê cho thấy, phần lớn các tổ chức cho rằng vấn đề khó khăn nhất của tổ chức gặp phải trong việc thực thi chính sách bảo vệ ATTT cho hệ thống CNTT là do lãnh đạo chưa hỗ trợ đúng mức cần thiết cho ATTT (39%), sự thiếu hiểu biết về ATTT trong tổ chức (44%), nâng cao trình độ nhận thức cho người sử dụng về bảo mật và ATTT (48%).
Hình 4: Vấn đề khó khăn khi thực thi ATTT
Đào tạo nhân lực cho ATTT
Các ý kiến về đào tạo nguồn nhân lực nói chung vẫn không có thay đổi lớn so với 2009, đa số các tổ chức cho biết cần triển khai đào tạo nhân lực phục vụ ATTT với các hình thức đào tạo nhanh (2- 3 ngày) hoặc kéo dài nhưng với thời lượng 2- 3 lần/tuần.
Nguồn nhân lực ATTT có trình độ cao vẫn trong tình trạng cung không đủ cầu. Đa số các nhân sự chịu trách nhiệm đảm bảo ATTT trong tổ chức là quản trị hệ thống kiêm nhiệm, phần lớn tự đào tạo, tích lũy kinh nghiệm và không được đào tạo chính quy về ATTT. Hiện vẫn có rất ít các tổ chức, doanh nghiệp tại Việt Nam có Giám đốc phụ trách ATTT (CSO).
Hiện nay mới chỉ có duy nhất Khoa An toàn thông tin – Học viện Kỹ thuật mật mã – Ban Cơ yếu Chính phủ là nơi đào tạo kỹ sư ATTT chính quy trong cả nước từ năm 2005, tuy nhiên số lượng sinh viên đang được đào tạo là rất ít (khoảng 200 sinh viên/1 khóa). Còn các khóa học ngắn hạn của nhiều cơ sở chưa đủ để thành một chương trình đào tạo chuyên gia hoàn thiện. Các cơ sở đào tạo chủ yếu sử dụng các chương trình sẵn có của nước ngoài để giảng dạy, thiếu tính chuyên sâu và chủ yếu dạy về kỹ năng, sử dụng công nghệ “Hacking”.
Hệ thống đào tạo còn thiếu chương trình cho chuyên gia CISSP, CCIE security; vấn đề đào tạo nguồn nhân lực về ATTT còn chưa được các tổ chức quan tâm đúng mức. Bên cạnh đó, vai trò “thầm lặng” của những người làm quản trị và an ninh mạng chưa được đánh giá cao, mặc dù chính đội ngũ này mới là người đảm bảo được hệ thống thông tin ổn định, góp phần đảm bảo hoạt động ổn định của tổ chức/ doanh nghiệp.
2. Tình hình ATTT tại Việt Nam và thế giới
Tình hình ATTT tại Việt Nam
Năm 2010, Việt Nam bị xếp thứ 5 trong bảng xếp hạng các nước có mức độ rủi ro, ở đó người sử dụng mạng tin học có thể bị tấn công, xu hướng này tăng lên so với 2009 (đứng thứ 6).
Xu hướng tội phạm tin học tại Việt Nam trong năm 2010 phát triển với đích tấn công đang ngày càng trở nên đa dạng hơn: Tấn công vào hệ thống thẻ tín dụng để trục lợi vẫn là hình thức tấn công phổ biến; xuất hiện người nước ngoài phối hợp với người Việt Nam thực hiện các hành vi lừa đảo qua mạng; sử dụng hệ thống mạng internet để lừa đảo, tống tiền, khủng bố, xâm phạm danh dự nhân phẩm, uy tín của doanh nghiệp và cá nhân; tấn công vào các hệ thống dịch vụ với mục đích chiếm đoạt tài sản như hệ thống viễn thông, hệ thống máy chủ game...; Bên cạnh các tấn công vào máy chủ là tấn công qua trò chơi điện tử, qua tin nhắn SMS, vào smart phone. Ngoài ra, tội phạm truyền thống nhưng sử dụng công nghệ mạng như đánh bạc, cá độ bóng đá đang có xu hướng gia tăng....
Chỉ tính riêng 3 tháng đầu năm 2010 đã có trên 300 website của các cá nhân và tổ chức có tên miền .vn bị hacker nước ngoài tấn công và thăm dò. Các website bị tấn công chủ yếu là website thanh toán trực tuyến, ngân hàng, các tổ chức cung cấp dịch vụ. Đồng thời, ước tính đã có hơn 150 nghìn máy tính bị nhiễm virus và Trojan.
Theo báo cáo về bảo mật của McAfee, Việt Nam nằm trong nhóm dẫn đầu về tấn công “SQL Injection” chỉ sau Mỹ và Trung Quốc. Số lượng phần mềm độc hại được phát hiện hoạt động nhiều hơn bao giờ hết trong sáu tháng đầu năm 2010. Đáng chú ý là trong báo cáo này, Việt Nam nằm trong TOP 15 quốc gia phát tán mã độc nhiều nhất trên thế giới.
Tình hình ATTT trên thế giới
Theo nghiên cứu của 7Safe – trang web chuyên về các sự cố ATTT, công bố năm 2010 cho thấy: lấy cắp thông tin thẻ tín dụng để trục lợi vẫn là tấn công phổ biến nhất với tỷ lệ “áp đảo” 85% trong các loại tấn công xâm nhập, lấy cắp dữ liệu; 80% các tấn công này là từ phía người ngoài tổ chức; môi trường dịch vụ hosting tỏ ra không an toàn khi gần 90% sự cố xảy ra với các hệ thống được hosting; ứng dụng Web là mục tiêu tấn công lớn nhất với tỷ lệ 86% (14% là tấn công vào hệ thống hạ tầng mạng và máy chủ).... Một số nghiên cứu khác cho thấy, nhiều tấn công có nguồn gốc từ các máy tính ở Việt Nam, điều này có thể là do các máy chủ của Việt Nam có sơ hở và bị hacker khai thác biến thành thành viên của botnet.
Theo SecureList thì số lượng mã độc khai thác sơ hở của các phần mềm đọc văn bản dạng .pdf của Adobe Acrobat chiếm đa số với 47,5% lượng mã độc. Nguyên nhân có thể là do tính phổ biến của văn bản dạng .pdf và mức độ bảo mật của Adobe Acrobat chưa cao. Web là một ứng dụng quan trọng và thường là mục tiêu tiếp cận đầu tiên của các tin tặc. Theo điều tra của Ponemon Institute vào tháng 4/2010 thì 70% người trả lời cho rằng kinh phí để bảo vệ ứng dụng Web quan trọng của tổ chức là không đủ; 34% sơ hở cấp thiết chưa được sửa chữa kịp thời; 38% cho rằng cần trên 20 giờ để sửa một lỗi bảo mật; 55% cho rằng người lập trình chưa đủ thời gian để quan tâm sửa chữa lỗi ATTT.
3. Xu hướng công nghệ
Theo báo cáo của Check Point, hiện nay ưu tiên đầu tiên đối với các nhà quản lý IT là ảo hóa, tiếp theo là điện toán đám mây, rồi mới tới web 2.0. Check Point cho rằng tới năm 2012, một nửa năng lực tính toán của doanh nghiệp sẽ chạy trên môi trường ảo hóa. Nhưng quá nửa (60%) nhà quản lý IT cho rằng an ninh cho máy ảo là một vấn đề khó khăn và rất khó để kiểm soát các truy cập trên môi trường này.
Bên cạnh đó, một nghiên cứu khá toàn diện về ATTT tại Anh của Infosecurity Europe and PricewaterhouseCoopers cho thấy 34% doanh nghiệp sử dụng phần mềm quan trọng bằng hình thức thuê dịch vụ (SaaS) qua mạng Internet; 32% doanh nghiệp cho rằng sử dụng mạng xã hội có vai trò quan trọng với kinh doanh của họ; 92% doanh nghiệp lớn, 83% doanh nghiệp vừa và nhỏ có sự cố ATTT trong năm 2010; 46% doanh nghiệp có nhân viên bị mất/rò rỉ dữ liệu nhạy cảm. Trong số đó, 45% sự cố mất dự liệu được đánh giá là nghiêm trọng hoặc cực kỳ nghiêm trọng; khách hàng quan tâm nhiều tới mức độ ATTT của đối tác khi 68% trong số họ yêu cầu đối tác phải minh chứng sự tuân thủ theo các chuẩn về ATTT.
Kết luận
Năm 2010 đi qua với rất nhiều những biến động về kinh tế ở Việt Nam và trên toàn thế giới. Năm 2010 cũng là năm có nhiều sự kiện nổi bật về An toàn thông tin (ATTT) như: Thủ tướng Chính phủ ký ban hành quy hoạch ATTT quốc gia giai đoạn 2010 – 2020; hệ thống CA công cộng được hình thành; Các website tiếp tục bị tấn công; bảo vệ người dùng đầu cuối các mạng thông tin và viễn thông đang trở thành vấn đề nóng; lừa đảo trực tuyến qua các email tiếng việt bắt đầu xuất hiện; Việt Nam liên tục có tên trong nhiều danh sách quốc tế về các vấn đề liên quan đến ATTT; cuộc thi Sinh viên với ATTT lần đầu tiên được tổ chức trên quy mô toàn quốc.... Những sự kiện trên cho thấy, ATTT bây giờ không còn là khái niệm xa lạ với mọi người, bởi các vấn đề ăn cắp qua tài khoản, lừa đảo trực tuyến, ăn cắp thông tin cá nhân... đã làm ảnh hưởng trực tiếp tới lợi ích của các tổ chức, doanh nghiệp và cá nhân. Bởi vậy, các tổ chức cần tiếp tục đẩy mạnh ứng dụng CNTT nhằm tạo sức cạnh tranh và phát triển bền vững, đồng thời nâng cao nhận thức cho mọi thành viên rằng ATTT là tài sản của doanh nghiệp. Bởi vậy, phải có chiến lược đầu tư dài hạn về công nghệ, trang thiết bị và đào tạo nhân lực đảm bảo ATTT; xây dựng qui trình đảm bảo ATTT, áp dụng hệ thống quản lý ATTT theo tiêu chuẩn (ISO 27001, 27002...); có nhận định và đánh giá đúng đắn vai trò của bộ phận đảm bảo ATTT trong doanh nghiệp.
ATTT đang là một vấn đề toàn cầu và nó đòi hỏi phải có sự chung tay của tất cả các quốc gia, lãnh thổ. Với Việt Nam, bên cạnh việc xây dựng hệ thống luật pháp về ATTT đầy đủ, chặt chẽ, nghiêm khắc xử lý theo pháp luật đối với tội phạm công nghệ cao nhằm răn đe và phòng ngừa; tăng cường công tác tuyên truyền về ATTT tới cộng đồng để mọi người chủ động phòng chống các nguy cơ về ATTT thì Nhà nước cần có sự đầu tư thích đáng cho các hoạt động trong lĩnh vực ATTT như: đầu tư cho công tác nghiên cứu về ATTT, đào tạo nguồn nhân lực ATTT, xây dựng hạ tầng đảm bảo ATTT