Chiều nay, 17/12/2015, ICTnews tổ chức buổi tọa đàm với chủ đề: “Làm gì để nâng cao an toàn thông tin của Việt Nam?”. Tham dự có đại diện của Bộ TT&TT, Báo Bưu điện Việt Nam, Bkav, CMC Infosec và Học viện Netpro.

Buổi tọa đàm được thực hiện trong bối cảnh, số lượng các cuộc tấn công mạng trên thế giới và tại Việt Nam đang ngày càng có xu hướng tăng cao với thủ đoạn tinh vi, tàn độc có thể gây ra nhiều hậu quả nghiêm trọng.

Ông Võ Đăng Thiên, Tổng biên tập báo Bưu điện Việt Nam phát biểu khai mạc buổi Tọa đàm.

Buổi tọa đàm được thực hiện trong bối cảnh, số lượng các cuộc tấn công mạng trên thế giới và tại Việt Nam đang ngày càng có xu hướng tăng cao với thủ đoạn tinh ti, tàn độc có thể gây ra nhiều hậu quả nghiêm trọng.

Tham gia buổi tọa đàm có ông Nguyễn Huy Dũng - Phó Cục trưởng Cục ATTT (Bộ TT&TT), ông Ngô Tuấn Anh, Phó Chủ tịch Phụ trách An ninh mạng của Tập đoàn BKAV, ông Triệu Trần Đức - Giám đốc Công ty CMC InfoSec, ông Nguyễn Tiến Quỳnh, Phó Giám đốc Phụ trách đào tạo Học viện NetPro, ông Hoàng Mạnh Đức người sáng lập IPSEC.vn.

Buổi tọa đàm sẽ xoay quanh các vấn đề như: Nguy cơ của Việt Nam trước những hành động tấn công mạng; khả năng bảo mật của Việt Nam trước những nguy cơ này cũng như lời giải về bài toán nhân lực cho bảo mật tại Việt Nam và thực trạng hoạt động bảo mật trong các cơ quan Nhà nước, doanh nghiệp...

Độc giả có bất cứ câu hỏi nào liên quan đến vấn đề này xin gửi vào địa chỉ email là thaikhang@ictnews.vn và ictnews@mic.gov.vn

Dưới đây là nội dung trực tuyến:

Hiện nay tôi thấy nhiều doanh nghiệp thông báo đã đạt chứng chỉ an ninh thông tin ISO 27001:2013. Nhưng tôi chưa rõ tiêu chuẩn này là gì và có tác động như thế nào tới khách hàng? (Bảo Trân, Đà Nẵng)

Ông Nguyễn Tiến Quỳnh: ISO 27001:2013 là tiêu chuẩn ISO 27001 phiên bản 2013. Đây là tiêu chuẩn quốc tế, đưa ra các yêu cầu cho một hệ thống quản lý an ninh toàn thông tin (ISMS). Để lấy được chứng chỉ này các tổ chức cần thoả mãn những yêu cầu liên quan đến chính sách, quy trình, quy định về ANTT, các yêu cầu về con người và công nghệ. Qua phụ lục của tiêu chuẩn tổ chức cũng được gợi ý áp dụng các biện pháp kiểm soát rủi ro về ANTT của tổ chức.

Tác động của tiêu chuẩn lên tổ chức/doanh nghiệp:

- Cung cấp cho công ty một lợi thế cạnh tranh. (Đôi khi đó còn là chìa khóa để tham gia một thị trường nào đó)

- Cung cấp cho khách hàng và các bên liên quan sự tin tưởng trong cách quản lý rủi ro an ninh thông tin.

- Đảm bảo công ty đang đáp ứng các nghĩa vụ pháp lý và các yêu cầu của các bên quan tâm cũng như các quy định khác của ngành nghề, hiệp hội...

- Thông tin luôn được bảo mật đúng mức, được đảm bảo về tính toàn vẹn chính xác và luôn sẵn sàng đáp ứng yêu cầu công việc.

- Quản lý và giảm thiểu rủi ro.

- Xây dựng văn hóa về ANTT trong tổ chức.

- Bảo vệ tài sản cho công ty.

Ông Nguyễn Tiến Quỳnh

Nhìn từ góc độ học viện an ninh mạng, ông có thể nhận xét thẳng thắn xem các cơ sở đào tạo an ninh mạng trong nhà trường còn thiếu những gì? (Minh Vũ, Hà Nội)

Ông Nguyễn Tiến Quỳnh: Về đào tạo an ninh mạng nói riêng và đào tạo CNTT nói chung, trong nhà trường của Việt Nam hiện nay còn thiếu tính thực tiễn gồm cả kiến thức và phương pháp học. Đầu tiên là cái chúng ta đã đề cập nhiều, học chưa đi đôi với hành, các trường chưa có điều kiện để sinh viên có thể thực hành. Nhưng với một ngành còn mới mà lại có tốc độ thay đổi chóng mặt như an ninh mạng thì cũng rất khó để các trường có thể cập nhật những công nghệ mới để cho sinh viên thực hành. Chính vì vậy, tôi cho rằng cái quan trọng hơn chính là vấn đề về phương pháp học. Phần lớn các em mới là “học” mà chưa biết “hỏi”. Các em đang học một cách thụ động mà chưa có kỹ năng học chủ động. Nếu học chủ động thì với những kiến thức nền tảng được học ở trường, các em hoàn toàn có thể tự bù đắp phần thực tiễn bằng việc tìm thông tin từ các nguồn khác, thậm chí từ những doanh nghiệp hàng đầu về lĩnh vực an ninh mạng nói riêng hay các ngành khác nói chung, ví dụ như thông qua việc xin thực tập ở các đơn vị đó.

Ở những đơn vị đào tạo như NetPro Academy, chúng tôi tạo cho học viên môi trường trải nghiệm giống như trong doanh nghiệp mà các em sẽ gặp khi đi làm. Ngoài ra, chúng tôi cũng cố gắng khơi gợi khả năng tìm tòi và tự giải quyết vấn đề. Chúng tôi quan niệm, trả lời được câu hỏi khó đã là tốt nhưng biết đặt các câu hỏi khó còn tốt hơn.

Năng lực chống đỡ khi xảy ra xung đột mạng, chiến tranh mạng của Việt Nam đã được chuẩn bị đến đâu? Tôi cũng rất tò mò muốn biết Việt Nam chúng ta liệu có một lực lượng phản ứng nhanh cho những tình huống xấu nhất hay chưa? (Anh Vũ Văn Phương, Đống Đa, Hà Nội)

Ông Nguyễn Huy Dũng: Về tổng thể mà nói thì các công tác bảo đảm an toàn thông tin không bao giờ đủ cả, không ai có thể đảm bảo hệ thống của mình được đảm bảo ATTT một cách tuyệt đối. Công tác đảm bảo ATTT tại VN thời gian qua ngày càng được chú trọng hơn, thu hút được sự quan tâm của lãnh đạo cấp cao nhất, cũng như sự quan tâm của người sử dụng trong cộng đồng xã hội. Tuy nhiên, một cách khách quan mà nói, công tác đảm bảo ATTT của chúng ta hiện nay vẫn còn ở tình thế tương đối bị động, nhiều cơ quan tổ chức chưa có quy trình thao tác chuẩn để đối phó với các cuộc tấn công mạng. Ở Việt Nam, hiện nay đã có đơn vị quản lý nhà nước chuyên trách về ATTT là Cục ATTT trực thuộc Bộ TT&TT. Đối với lực lượng ứng cứu sự cố, VN cũng có trung tâm ứng cứu khẩn cấp máy tính Việt Nam VNCERT. Bên cạnh đó, các Bộ Quốc phòng và Bộ Công an cũng có những đơn vị chuyên trách cho công tác đảm bảo an ninh mạng, phòng chống chiến tranh mạng.

Tôi là chủ một doanh nghiệp ở Hải Dương, nếu hệ thống của tôi bị tấn công DDoS thì liệu có đường dây nóng nào để tìm kiếm sự hỗ trợ nhanh chóng nhất?

Ông Triệu Trần Đức: Nếu là tổ chức nhà nước, bạn có thể liên hệ với Cục ATTT (Bộ TT&TT), còn nếu là khách hàng của CMC thì có thể liên hệ với đầu mối trong hợp đồng đã cung cấp. Nếu là một công ty đang bị tấn công có thể gọi điện thoại đến số 1900571244 để báo cáo tình trạng và được nhận trợ giúp.

Tôi thấy gần đây Cục ATTT của Bộ TT&TT thường có những báo cáo tháng cho thấy không ít trang web của các cơ quan nhà nước bị tấn công hoặc xâm nhập. Vậy cho đến nay những đơn vị, cơ quan nhà nước trong danh sách này đã có hành động gì để tăng cường bảo mật? Nếu không có hành động, liệu các đơn vị đó có bị xử phạt? Minh Phương (Cầu Giấy – Hà Nội).

Ông Triệu Trần Đức

Ông Nguyễn Huy Dũng: Định kỳ và đột xuất theo yêu cầu thực tế, Cục ATTT sẽ có những cảnh báo về lỗ hổng, điểm yếu cũng như các sự cố trong hệ thống thông tin của các cơ quan, tổ chức Nhà nước. Đối với những sự cố thông thường, trước hết, mỗi cơ quan tổ chức nhà nước sẽ có trách nhiệm tự khắc phục. Tuy nhiên, cũng có một số lỗ hổng, điểm yếu cần có thời gian khắc phục lâu hơn đòi hỏi những đầu tư bổ sung về nguồn lực và trang thiết bị.

Thực tiễn công tác cho thấy, khi nhận được cảnh báo của Cục ATTT, phần lớn các cơ quan tổ chức cũng đã nghiêm túc thực hiện những biện pháp khắc phục. Tuy nhiên, cũng có một số cơ quan nhà nước chưa thực sự quan tâm tới việc này. Hiện tại, chúng ta chưa có hành lang pháp lý để xử lý các cơ quan tổ chức chưa tuân thủ nghiêm các quy định về bảo đảm ATTT. Vừa qua, Quốc hội đã thông qua  Luật ATTT mạng, trong đó, quy định rõ trách nhiệm tối thiểu của các cơ quan tổ chức trong việc đảm bảo ATTT. Bộ TT&TT cũng sẽ khẩn trương hoàn thiện văn bản hướng dẫn Luật để có cơ sở xử lý những hành vi vi phạm.

Em đang học chuyên toán nhưng cảm thấy chuyên ngành an ninh mạng thú vị hơn và muốn nhảy sang ngang. Vậy em cần chuẩn bị những kiến thức nền tảng gì? (Tiến Thắng, Hà Nội)

Ông Nguyễn Tiến Quỳnh: Trước khi nói đến kiến thức, bạn cần chuyển từ “cảm thấy thú vị hơn” thành “yêu thích” hoặc thành “đam mê” thì càng tốt.

Việc bạn đang học chuyên toán chứng tỏ khả năng tư duy logic của bạn đã rất tốt, nếu bạn yêu thích/đam mê ngành an ninh mạng thì có thể nói đó là lợi thế chứ không phải khó khăn như khi người ta chuyển ngành/nhảy ngang. Với khả năng tư duy của bạn, có thêm sự yêu thích/đam mê thì với cá nhân tôi, bạn chỉ cần có ngoại ngữ là đủ.

Gần đây, lực lượng tội phạm mạng liên tục tấn công vào các website của cơ quan nhà nước và các doanh nghiệp. Chúng ta có những phương án gì để kịp thời ngăn chặn những cuộc tấn công kiểu này thay vì phải khắc phục hậu quả những cuộc tấn công giống như trường hợp của Sở GD-ĐT Đà Nẵng gần đây ? (Anh Tuấn Hùng - Quảng Nam)

Ông Nguyễn Tiến Quỳnh:  Đầu tiên là nhận thức về vấn đề bảo vệ website của những nhà quản trị các trang web của các cơ quan nhà nước. Hầu như mọi người đưa thông tin lên website như một cổng thông tin nhưng chưa biết cách bảo vệ thông tin và chưa đánh giá được đúng mức độ cần thiết phải bảo vệ các thông tin đó. Đây là lý do lớn nhất làm cho các website của các cơ quan nhà nước dễ bị tấn công. Bên cạnh đó, có một vấn đề nữa là nhiều đơn vị chưa đầu tư đúng mức trong việc bảo vệ thông tin trên các website.

 Chính vì thế biện pháp để khắc phục những điểm yếu này là phải nâng cao nhận thức của người dùng cũng như những người quản trị. Đồng thời cũng cần được đầu tư đúng mức những thông tin đã được đưa lên website. Ngoài ra, các cơ quan cũng luôn sẵn sàng chuẩn bị các giải pháp để phòng trước khi bị tấn công, và giải pháp đối phó khi đã bị tấn công.

Vấn đề an ninh mạng đang là vấn đề sống còn ở Việt Nam, tôi muốn biết Chính phủ chi bao nhiêu tiền cho vấn đề này? Hiện chúng ta có bao nhiêu nhân lực làm trong lĩnh vực ATTT? (Độc giả Mạnh Lê: Ninh Bình)

Ông Nguyễn Huy Dũng: Như tôi đã chia sẻ ở trên, Chính phủ rất quan tâm tới công tác đảm bảo ATTT và có phân bổ nguồn lực về đầu tư tài chính cho hoạt động quan trọng này. Hiện nay chưa có một con số thống kê tổng thể về việc Chính phủ đã phân bố bao nhiêu kinh phí cho hoạt động đảm bảo ATTT và thực tế cũng rất là khó để có một con số chính xác. Tuy nhiên, một cách khái quát mà nói, tại Quyết định số 63 QĐTTg ngày 13/1/2010 của Thủ tướng Chính phủ phê duyệt quy hoạch Bảo đảo ATTT số Quốc gia đến năm 2020 đã xác định 7 nhóm dự án trọng điểm với tổng kinh phí vào khoảng hơn 700 tỷ đồng, cho công tác bảo đảm ATTT.

Về nguồn nhân lực trong lĩnh vực ATTT thì cũng như vậy, một số nhân lực hiện nay tuy không học về ATTT nhưng đang tham gia vào lĩnh vực ATTT, vì vậy, rất khó có một con số thống kê chính xác là chúng ta đang có bao nhiêu nhân lực làm trong lĩnh vực này. Cuối năm 2014, Cục ATTT có tổ chức khảo sát thống kê số lượng kĩ sư cử nhân chuyên ngành ATTT tốt nghiệp từ 8 cơ sở đào tạo trọng điểm. Kết quả cho thấy, đến hết năm 2014 đã có khoảng 1500 kĩ sư, cử nhân chuyên ngành ATTT tốt nghiệp ra trường và tham gia thị trường lao động. Hiện nay, Cục ATTT đang chủ trì triển khai đề án đào tạo và phát triển nguồn nhân lực ATTT đến năm 2020. Hi vọng là chúng ta sẽ sớm phát triển được nguồn nhân lực đông đảo về số lượng và có chất lượng cao, đáp ứng tốt nhu cầu ứng dụng và phát triển CNTT của đất nước trong giai đoạn tới.

Là một phóng viên, tôi rất đồng ý với mục tiêu của Đề án tăng cường nâng cao nhận thức an toàn, an ninh thông tin đến năm 2020, nêu rõ ít nhất 90% phóng viên cần được phổ biến về vấn đề này. Vậy liệu trong năm 2016 tới chương trình đào tạo bồi dưỡng cho phóng viên sẽ bắt đầu từ đâu và làm như thế nào? (Hồng Nhung  -TP.HCM):

 

Ông Nguyễn Huy Dũng: Trong năm 2016, Cục ATTT sẽ sớm chủ trì tổ chức tối thiểu từ 1 – 2 lớp bồi dưỡng kiến thức phổ biến những vấn đề cơ bản trong lĩnh vực ATTT để các phóng viên nắm được, qua đó, góp phần thực hiện tốt hơn công tác tuyên truyền phổ biến nâng cao nhận thức và trách nhiệm của xã hội về ATTT.

Ông có thể chia sẻ nhận định chung của các chuyên gia quốc tế về tình hình ATTT của Việt Nam diễn ra tại Đà Nẵng vào đầu tháng 12 vừa qua? (Độc giả Nguyễn Anh - Gia Lai)

Ông Triệu Trần Đức: Nhận định chung của các chuyên gia quốc tế: mọi người đều đồng ý quan điểm chiến tranh mạng đã diễn ra và vẫn đang diễn ra, giữa chính phủ với chính phủ, giữa chính phủ với tội phạm mạng và giữa các tội phạm mạng với nhau. Tại AVA 2015, các chuyên gia đã bàn bạc và đưa ra cách thức mới để chia sẻ thông tin nhanh hơn tốt hơn, và hỗ trợ người dùng tốt hơn. AVA 2015 có sự góp mặt của ít nhất 50 công ty Antivirus vì vậy chúng ta sẽ thấy quan điểm về bảo mật sẽ được thể hiện trên nhiều sản phẩm hàng ngày ví dụ như Windows Defender, Avira, Bit Defender… hay là CMC.Vừa qua, công ty CMC InfoSec cùng với Cục ATTT vừa phối hợp mở khóa đào tạo ngắn hạn về nâng cao kỹ năng về ATTT. Ông thấy năng lực và trình độ của các học viên tham gia khóa học là như thế nào? (Độc giả Hải Khánh - Hà Tây)

Ông Triệu Trần Đức: Năng lực và trình độ của học viên khá đa dạng, trải rộng. Có những người có năng lực tốt và chỉ cần đào tạo trong thời gian ngắn đã có năng lực làm việc tốt. Nhưng ngược lại có những học viên không có nền tảng cơ bản đủ để tiếp thu những kiến thức cơ bản về ATTT. Theo tôi trong thời gian tới, ngoài đào tạo nâng cao kỹ năng cần tăng cường đào tạo cơ bản.

Vừa qua tôi nghe tin startup FPT lọt vào top 10 tiềm năng châu Á với giải pháp CyRadar có khả năng dự đoán khả năng bị tấn công. CMC và Bkav liệu có giải pháp nào tương tự? (Anh Đặng Thi - Kon Tum)

Ông Triệu Trần Đức: Theo như tôi biết sản phẩm CyRadar đang trong giai đoạn nghiên cứu phát triển, tham dự một số cuộc thi trong và ngoài nước để gây dựng uy tín. Như CMC Infosec, chúng tôi đang có giải pháp này từ một vài năm để đáp ứng nhu cầu khách hàng. Những công ty về an toàn an ninh thông tin như CMC đã có giải pháp CMC Anti Deface để chống lại vấn đề bị hack, ngăn chặn tấn công và dự báo một số hình thức tấn công thông dụng.

Em đang học chuyên toán nhưng cảm thấy chuyên ngành an ninh mạng thú vị hơn và muốn nhảy sang ngang. Vậy em cần chuẩn bị những kiến thức nền tảng gì? (Độc giả Ngô Mạnh - Hải Phòng)

Ông Hoàng Mạnh Đức: Bạn học chuyên Toán nên kiến thức về mặt thuật toán đã rất tốt, chắc chắn sẽ là ưu thế nếu bạn làm về lĩnh vực An toàn thông tin. Ngoài ra theo kinh nghiệm của tôi để làm về an toàn thông tin các bạn cần chuẩn bị tốt kiến thức về hệ điều hành, giao thức mạng.

Mới đây, Bộ TT&TT có đề xuất thuê dịch vụ an toàn thông tin? Ông bình luận gì về điều này?

Ông Triệu Trần Đức: Đây  là điều rất cần thiết, bởi cơ quan nhà nước cần có một bên độc lập, bên thứ 3 có uy tín và chuyên môn đủ tốt, cũng như kinh nghiệm đánh giá bảo mật với các hệ thống chính phủ để đánh giá hệ thống đang vận hành. Ví dụ như hệ thống ngân hàng hoặc Thương mại điện tử thì CMC đã đánh giá nhiều năm nay và một  năm được đánh giá khoảng 2-4 lần, dù hệ thống CNTT của chính phủ không liên quan trực tiếp đến tiền hay thương mại điện tử nhưng liên quan đến người dân và các vấn đề của nhà nước thì cần được đánh giá định kỳ, ít nhất 1 năm một lần.

Một lý do khác cần thuê ngoài đó là, vì thông thường dịch vụ tấn công đánh giá hệ thống đều đòi hỏi kiến thức liên tục cập nhật, và các công ty như CMC cũng cần đầu tư nhiều và thường xuyên để nâng cấp trình độ kỹ sư, và theo đánh giá của chúng tôi cơ quan nhà nước không thể đầu tư vào các hạng mục như vậy bởi vốn rất lớn, vì vậy thuê ngoài là hợp lý. Quan trọng là chọn đối tác nào.

Tôi có xem thông tin của CMC là số 1 về mảng bảo mật cho khối Chính phủ. Vậy khối khách hàng thường thì CMC là số mấy? (Độc giả Lê Nam, Hòa Bình)

Ông Triệu Trần Đức: Đối với người dùng thông thường, hiện nay CMC có sản phẩm CMC Antivirus miễn phí cho các máy chạy hệ điều hành Windows. Nếu tính về số lượng người dùng thì trong top từ 2 - 4 các sản phẩm Antivirus tại Việt Nam (số 1 thường là sản phẩm của nước ngoài như Kaspersky, hay Avast). Hy vọng tương lai sản phẩm của CMC sẽ là số 1.

Nghe báo đài đăng về các vụ việc mất cắp qua thẻ ATM mà tôi thấy hoang mang. Phải chăng năng lực bảo mật của các ngân hàng Việt Nam hiện nay chưa theo kịp với thế giới? (Độc giả Tiến Quang - Hoàn Kiếm - Hà Nội)

Ông Triệu Trần Đức: Nếu nói năng lực bảo mật của ngân hàng Việt Nam chưa theo kịp thế giới thì không thể đánh đồng, bởi có ngân hàng có độ bảo mật rất cao theo tiêu chuẩn thế giới. Các ngân hàng đều có chuẩn bảo mật, và nếu muốn kết nối với hệ thống của ngân hàng khác thì ngân hàng đó phải có hệ thống đạt chuẩn.

Nếu nói về các hệ thống như core banking (hệ thống lõi ngân hàng) thì đều được đầu tư và không kém so với thế giới. Vấn đề nằm ở ý thức ANTT của  nhân viên ngân hàng. Bản thân lãnh đạo ngân hàng hay bộ phận CNTT rất quan tâm đầu tư bám sát nhưng nếu ý thức người sử dụng không tốt sẽ là cửa ngõ để tin tặc đột nhập vào.

Câu chuyện về ATM thì đúng, không phải ngân hàng nào cũng đầu tư hệ thống chống đánh cắp thông tin thẻ rút tiền tại cây rút tiền bởi đây là đầu tư lớn. Cần phải nói rằng đã có ngân hàng đầu tư bảo vệ cây ATM nhưng ý thức người dùng rất quan trọng bởi nếu thẻ cứ để bừa bãi thì việc bẻ khóa mã PIN cũng không phải quá phức tạp. Nếu rơi vào tay người có  ý đồ xấu và có kỹ năng thì việc mất cắp thông tin như mật khẩu, mã thẻ là rất dễ. Vì mọi thứ vẫn nằm chính trên ý thức người dùng nên người dùng cần phải cẩn thận hơn.

Doanh nghiệp của tôi có làm ăn với các đối tác nước ngoài nên tôi rất quan tâm đến bảo mật thông tin. Tôi thấy trên báo nói rằng nhiều máy tính của DN bị tấn công đánh cắp dữ liệu. Làm sao tôi biết mình có bị đánh cắp hay không? CMC khuyên tôi làm gì? (Độc giả Nam Dương - Nam Định)

Ông Triệu Trần Đức: Doanh nghiệp làm ăn với đối tác nước ngoài thông thường có ý thức bảo mật rất tốt. Không chỉ là đọc báo, thấy thế, mà chính đối tác nước ngoài yêu cầu đối tác trong nước cần phải đạt độ an toàn thông tin nhất định.

Nếu như thực sự không có chuyên gia về an toàn thông tin trong công ty thì việc phát hiện đánh cắp dữ liệu rất khó do tin tặc tinh vi. Để biết hiện trạng an toàn thông tin của doanh nghiệp mình, tốt nhất nên thuê công ty như CMC cung cấp dịch vụ kiểm định bảo mật (Security Audit). Sau khi thực hiện xong dịch vụ, công ty của bạn sẽ được chúng tôi cung cấp cho báo cáo chi tiết và toàn cảnh về hiện trạng an toàn thông tin của doanh nghiệp bạn.

Từ đó có kế hoạch để khắc phục những vấn đề còn tồn tại trong hệ thống CNTT trong doanh nghiệp. Thậm chí, nếu doanh nghiệp của bạn là doanh nghiệp lớn, giống như doanh nghiệp lớn ở nước ngoài, thì chiến lược về ATTT phải được lập 5 năm một lần, song hành với chiến lược phát triển của doanh nghiệp.

Mới đây tôi được biết, NetPro hỗ trợ Bộ TT&TT diễn tập phòng chống tấn công. Tôi muốn hỏi khả năng chống đỡ của Việt Nam khi có tấn công mạng? (Độc giả Mạnh Huy - Hà Nội)

Ông Nguyễn Tiến Quỳnh: Theo một số quan điểm, chiến tranh mạng là đang diễn ra, luôn có nguy cơ xảy ra bất cứ lúc nào, chứ không phải là sẽ xảy ra. Trong các cuộc thi hay diễn tập được tổ chức mang tầm cỡ khu vực hoặc quốc tế, đội Việt Nam luôn đạt được thứ hạng cao.

Nhưng việc diễn tập này chỉ trong một quy mô nhỏ, còn nếu chiến tranh mạng xảy ra thì sẽ ở tầm cỡ quốc gia điều này sẽ đòi hỏi sự kết hợp của nhiều cơ quan, tổ chức phối hợp. Hiện nay, cái khó nhất của Việt Nam là sự phối hợp của các đơn vị chưa kịp thời.

Tuy nhiên, tháng 11/2015, Quốc hội cũng đã thông qua Luật An toàn thông tin. Và theo đánh giá của các chuyên gia, Việt Nam có nhiều chuyên gia xuất sắc về an ninh mạng. Nên tôi tin rằng, khi có chiến tranh mạng ở quy mô quốc gia xảy ra chúng ta cũng có khả năng chống đỡ ít nhất là trong các hệ thống thông tin trọng yếu.

Tôi đã có bằng Đại học và đang đi làm ở một doanh nghiệp tư nhân. Tuy nhiên tôi muốn học thêm về an toàn thông tin vì tôi yêu thích lĩnh vực này. Các anh có khóa nào cho đối tượng như tôi không? Chi phí thế nào? (Độc giả Lâm Bình - Hà Nội)

Ông Hoàng Mạnh Đức: Theo tôi được biết Phòng Thương mại và Công nghiệp Việt Nam - VCCI hiện đang có chương trình nâng cao năng lực CNTT cho các doanh nghiệp vừa và nhỏ. Trong tương lai gần, chương trình này sẽ tập trung vào vấn đề an toàn thông tin. Bạn có thể theo dõi thông tin về chương trình qua VCCI hoặc trên hệ thống IPSEC.vn vì tôi cũng đang là giảng viên của chương trình này.

Một trong những vấn đề nổi cộm của ngành ATTT Việt Nam trong năm 2015 là vấn nạn thư rác. Hiện VN đang thứ 2 thế giới về tình trạng phát tán thư rác sau Mỹ. Theo ông, liệu chúng ta có thể cải thiện tình trạng này ngay trong năm tới hay không ? (Trần Quang Minh, 22 tuổi, Học viện CNBCVT)

Ông Ngô Tuấn Anh: Về mặt kỹ thuật, việc phát tán thư rác chủ yếu được thực hiện qua các máy tính bị nhiễm mã độc mà chúng ta hay gọi là máy tính ma (botnet). Thông qua một mạng lưới các máy tính ma, những kẻ phát tán thư rác sẽ tiến hành gửi hàng loạt thư rác tới người dùng. Như vậy, để ngăn chặn và giảm bớt lượng thư rác được phát tán, giải pháp cốt lõi là làm sao bảo vệ được những máy tính khỏi nguy cơ lây nhiễm mã độc.

Thực trạng hiện nay tại Việt Nam, tỷ lệ người dùng bị nhiễm mã độc vẫn còn ở mức cao. Điều này xuất phát từ việc người dùng chưa có ý thức bảo vệ máy tính của mình. Một ví dụ đơn giản là mọi người có thể thoải mái cài đặt phần mềm từ Internet mà không cần quan tâm đến nguồn gốc của phần mềm đó. Trong khi đó, một khảo sát gần đây của BKAV cho thấy có tới 7/10 kết quả tìm kiếm những phần mềm phổ biến khi tìm kiếm trên Internet là chứa mã độc.

Như vậy, điều đầu tiên người sử dụng cần phải thay đổi nhận thức của mình trong việc bảo vệ máy tính, không tùy tiện cài đặt phần mềm khi không rõ nguồn gốc, hạn chế bấm vào các đường link nhận được qua chat, mạng xã hội,…Ngoài ra, để bảo vệ trước những nguy cơ luôn thay đổi từ Internet cũng cần trang bị thường trực các phần mềm an ninh, phòng chống virus cho máy tính và các thiết bị cầm tay thông minh.

Hỏi: Tại sao nhiều người dùng đã tải phần mềm, ứng dụng bảo mật nhưng thiết bị vẫn bị nhiễm mã độc, virus...? (Độc giả Phi Tuấn - Hà  Nội)

Ông Triệu Trần Đức: Vấn đề này có hai lý do. Thứ nhất, virus mới hàng ngày phát triển rất nhanh, số lượng nhiêu, cần xuyên phải cập nhật phần mềm diệt virus. Có nhiều phần mềm miễn phí, kể cả của hãng tên tuổi, việc cập nhật sẽ chậm so với phiên bản trả tiền. Do đó, không tự dưng có sự khác biệt giữa phần mềm trả phí và miễn phí.

Với nhiều hệ thống trọng yếu, cài nhiều phần mềm bảo vệ vẫn có thể bị tấn công vì đối tượng tấn công sở hữu lỗi của chính phần mềm bảo vệ đó. Tuy rằng chỉ chiếm 0,1% nhưng đặc thù rất lớn.

Tôi xài máy tính ở công ty, máy tính tôi luôn bật Antivirus đột nhiên chương trình xuất hiện thông báo đã diệt virus liên tục dẫn đến máy chạy rất chậm? Nguyên nhân do đâu? (Độc giả Bình Minh - Thái Bình)

Ông Triệu Trần Đức: Do chương trình diệt virus không đủ mạnh để tiêu diệt đám virus đó, vì thông thường virus không đi một mình mà đi theo đàn. Phần mềm không đủ mạnh nên không diệt được tất cả. Vì vậy bạn nên sử dụng phần mềm diệt virus khác
Bộ TT&TT đề xuất thuê dịch vụ bảo mật. Bkav nhận thấy thị trường này thế nào? (Hoàng Sơn, TP.HCM)

Bộ TT&TT đề xuất thuê dịch vụ bảo mật. Bkav nhận thấy thị trường này thế nào? (Hoàng Sơn, TP.HCM)

Ông Ngô Tuấn Anh: Chủ trương thuê dịch vụ CNTT nói chung và dịch vụ an toàn an ninh mạng nói riêng là chủ trương đúng đắn nhằm xã hội hóa các dịch vụ, huy động khả năng của các công ty hoạt động chuyên nghiệp trong lĩnh vực an ninh mạng nhằm cung cấp dịch vụ tốt hơn với chi phí hợp lý hơn cho các đơn vị, tổ chức. Như chúng ta biết, việc đầu tư an toàn bảo mật của các đơn vị, tổ chức theo các dự án hiện nay đa phần chưa có hiệu quả cao. Vì nhiều lý do, trong đó có các yếu tố như năng lực của đơn vị tư vấn xây dựng dự án; việc thiếu hụt nhân lực có trình độ và kỹ năng của đơn vị vận hành sử dụng hệ thống... Điều này gây ra hiện trạng đầu tư lớn nhưng việc đảm bảo cho hệ thống CNTT chưa được tốt. Việc thuê dịch vụ bảo mật, an toàn an ninh mạng sẽ giúp tạo ra thị trường cho các công ty cung cấp dịch vụ chuyên nghiệp có thể cung cấp dịch vụ có chất lượng tốt hơn, chi phí thấp hơn cho các đơn vị, tổ chức, doanh nghiệp thuê dịch vụ. Khi thuê dịch vụ an toàn an ninh mạng, các cơ quan, tổ chức sẽ giảm bớt việc đầu tư các hệ thống riêng biệt, giảm bớt nhân sự chuyên trách trong việc giám sát, vận hành hệ thống, trong khi chất lượng an toàn an ninh mạng lại tốt hơn vì đơn vị cung cấp dịch vụ chuyên nghiệp có kỹ năng, kinh nghiệm nhiều hơn so với khi các cơ quan, tổ chức, doanh nghiệp tự làm.

Nhưng hiện nay, Việt Nam chưa có thị trường dịch vụ bảo mật an toàn an ninh mạng đúng nghĩa. Trong hầu hết các dự án đầu tư CNTT hiện nay, các công ty cung cấp thiết bị lại là đơn vị tư vấn dịch vụ kèm theo luôn. Đa phần những công ty này lại không phải chuyên nghiệp trong lĩnh vực an ninh an toàn mạng. Các đơn vị này thường là đại lý cung cấp 1 vài sản phẩm nào đó, và họ thường tư vấn luôn cho chủ đầu tư sử dụng các sản phẩm, giải pháp mà họ phân phối. Điều này làm mất tính khách quan trong việc lựa chọn các sản phẩm, giải pháp an toàn ninh mạng cho hệ thống CNTT. Và ngoài ra, do chưa có một yêu cầu cụ thể nào về việc bắt buộc phải xây dựng các hệ thống an toàn bảo mật nên có nhiều đơn vị bỏ qua hạng mục này khi đầu tư xây dựng các hệ thống CNTT.
Một điều đáng mừng là trong Luật An toàn thông tin mạng mà Quốc hội vừa thông qua đã có những quy định bắt buộc các cơ quan, tổ chức khi xây dựng các hệ thống CNTT cần có hệ thống bảo vệ tương ứng tùy theo mức độ quan trọng của hệ thống CNTT. Điều này sẽ góp phần tạo ra được thị trường dịch vụ bảo mật an toàn thông tin đúng nghĩa.

Tôi nghe nói hacker Trung Quốc tấn công vào rất nhiều máy tính của các tổ chức, doanh nghiệp của Việt Nam. Làm sao tôi có thể biết máy tính của mình có bị tấn công, đánh cắp dữ liệu hay không? (Tri Thức, Hà Nội).

Ông Ngô Tuấn Anh: Việc tấn công đánh cắp dữ liệu vào các cơ quan tổ chức đã được Bkav ghi nhận từ những năm 2012. Rất nhiều cơ quan nhà nước, tổ chức, doanh nghiệp, tập đoàn, tổng công ty lớn đều có ghi nhận về các cuộc tấn công này.
Trước tiên, bạn cần phải tự bảo vệ máy tính của mình bằng cách nâng cao ý thức trong việc không tùy tiện cài đặt những phần mềm không rõ nguồn gốc trên mạng; không tùy tiện bấm vào những đường link nhận được qua chat, mạng xã hội; sử dụng thường trực tường lửa, các phần mềm an ninh phòng chống mã độc trên cả máy tính cũng như các thiết bị di động.

Nếu nghi ngờ máy tính, thiết bị di động của mình bị tấn công, đánh cắp dữ liệu, bạn nên nhờ các đơn vị chuyên nghiệp, chuyên gia tư vấn để kiểm tra, vì những mã độc đánh cắp dữ liệu này thường hoạt động rất tinh vi, có những biện pháp ẩn giấu mà người sử dụng bình thường rất khó phát hiện.

Tôi từng là một hacker mũ đen. Giờ tôi muốn đội mũ trắng thì ai sẽ tiếp nhận những kinh nghiệm mà tôi đang có. Tôi phải gửi tới ai? (Độc giả giấu tên ở Hải Phòng)

Ông Ngô Tuấn Anh: Câu hỏi của bạn thì đã có  đáp án ở trong đó. Trước hết, tôi muốn khuyên các bạn trẻ đã và đang có niềm đam mê trong lĩnh vực bảo mật, ATTT cần nhận thức rõ con đường đi của mình để lựa chọn cho đúng. Bởi vì, con đường này có rất nhiều cám dỗ khiến cho bạn khó có cơ hội làm lại.

Còn đối với những bạn đã trót mắc sai lầm và muốn đem năng lực, khả năng của mình để cống hiến cho lĩnh vực ATTT của đất nước, thì việc sửa sai không bao giờ là muộn. Nhu cầu về nhân lực về an ninh mạng hiện nay rất lớn. Bạn có thể tham gia vào các bộ phận chuyên trách về bảo mật ATTT tại các công ty, tổ chức hoặc chia sẻ kỹ năng kiến thức của mình trên các diễn đàn và cộng đồng an ninh mạng.

Tôi có sử dụng hình thức bảo mật hai lớp cho Facebook nhưng đôi khi tôi không nhận được tin nhắn SMS để đăng nhập trên một thiết bị lạ khác? Tại sao như vậy? (Độc giả Minh Đăng - Hà Nam)

Ông Triệu Trần Đức: Bạn nên thử lại vì số lượng tin nhắn để gửi mật khẩu động cho Facebook và Google rất nhiều và có thể xảy ra tình trạng tin nhắn đi lạc.
Nếu tin nhắn của Google không đến bạn có thể chuyển sang chế độ cuộc gọi.
Gần đây em có nghe rất nhiều thông tin về lỗ hổng bảo mật trên Flash Player và biết rằng nhiều trình duyệt như Chrome hay Edge đã thay hẳn trình xem video này bằng HTML5. Vậy em có nên bỏ hẳn Flash Player hay không? (Độc giả Vũ Anh, Sóc Trăng)
Ông Triệu Trần Đức: Nếu như bạn đã hỏi câu hỏi này thì bạn đã có kiến thức về an toàn thông tin. Lời khuyên của tôi là bạn nên bỏ hẳn đi, vì nó có quá nhiều zerodays.

Lưu trữ trên đám mây như thế nào để tránh bị rò rỉ thông tin cá nhân? (Độc giả Tiến Đạt - Đà Nẵng)

Ông Triệu Trần Đức: Phải mã hóa dữ liệu trước khi đưa lên Cloud. Có khá nhiều phần mềm hỗ trợ mã hóa file trước khi tải lên Cloud. Với những phần mềm đó, việc sử dụng file trên máy tính sẽ cảm giác trong suốt không bị mã hóa nhưng không được quên mật khẩu. Vì có khả năng sẽ bị mất hết.

Gần đây tôi thường xuyên gặp những đường link lạ, ngụy trang bài viết của những tờ báo điện tử lớn. Làm thế nào để phân biệt bài viết thật và giả được ngụy trang? (Huỳnh Ánh - Cần Thơ)

Ông Triệu Trần Đức: Bạn cần đọc kỹ đường liên kết, ví dụ số 1 có thể biến thành chữ l hoặc số 0 đổi thành chữ O… nên bạn cần đọc kỹ. Hoặc bạn có thể sử dụng chế độ Safe browsing của Chrome hoặc Firefox. Tốt  nhất bạn nên tránh dùng trình duyệt của Microsoft.

Cháu là một học sinh không có tiền. Cháu dùng phần mềm diệt virus của Bkav bản miễn phí. Nhưng nghe nói bản này quét không tốt. Bkav có chính sách gì cho bọn cháu hay không? (Lê Mai, Vũng Tàu).

Ông Ngô Tuấn Anh: Các bản miễn phí hay có phí của Bkav đều sẵn sàng đáp ứng các nhu cầu cơ bản của người dùng. Tuy nhiên, nếu có điều kiện thì bạn nên mua bản có phí để có thể được hỗ trợ trực tiếp từ các chuyên gia khi gặp những vấn đề về virus máy tính trong quá trình sử dụng. Với đề nghị của bạn về chính sách miễn phí dành cho đối tượng học sinh, Bkav xin tiếp thu và sẽ nghiên cứu, triển khai trong thời gian tới.

 Năm ngoái, tôi thấy có công ty bán phần mềm nghe lén. Tôi muốn hỏi Bkav rằng làm sao tôi phát hiện và chống được phần mềm này? (Mỹ Bình, TP.HCM)

Ông Ngô Tuấn Anh: Nếu trên điện thoại của bạn có một số hiện tượng lạ như: máy thường xuyên nóng, dung lượng Internet nếu sử dụng 3G nhanh hết, tính năng định vị tự động bật lên dù không dùng... thì có khả năng điện thoại của bạn đã bị cài phần mềm nghe lén. Bạn có thể kiểm tra trong danh sách các phần mềm cài đặt trên điện thoại để xem có phần mềm nào nghi ngờ, không do mình cài đặt hay không. Nếu có thì cần gỡ bỏ. Tuy nhiên, một số phần mềm nghe lén có khả năng ẩn giấu và người dùng không dễ phát hiện được. Khi này, cần sử dụng các phần mềm an ninh để dò quét và gỡ bỏ.

Hiện nay, có một số quan điểm của người dùng cho rằng, các phần mềm bảo mật thường làm giảm hiệu năng của thiết bị (cả PC lẫn di động) khiến trải nghiệm người dùng bị ảnh hưởng ? Ông đánh giá sao về ý kiến này? (Độc giả Trung Kiên - Phú Yên)

Ông Ngô Tuấn Anh: Đây là quan điểm cũ, đã khá lâu rồi. Trước đây, khi cấu hình của các máy tính cá nhân còn thấp thì việc cài thêm một phần mềm bất kỳ trên máy tính đều ảnh hưởng tới hiệu năng của máy tính đó và  phần mềm diệt virus chỉ là một phần mềm được cài đặt. Tuy nhiên, đa số máy tính cá nhân của người dùng hiện nay thuộc đều có thể cài đặt các phần mềm diệt virus mà không lo lắng về việc hiệu năng bị ảnh hưởng. Bởi vậy, người dùng không nên e ngại vấn đề này mà phải nhận thức rằng việc sử dụng các giải pháp bảo mật là cần thiết để bảo vệ sự an toàn cho chính bản thân mình.

Hiện tại, có nhiều người dùng Việt Nam đang không quan tâm đến các biện pháp bảo mật cho thiết bị động. Theo ông, cách nhìn nhận này có đúng không? Và tại sao lại như vậy? (Độc giả Hữu Bình - Quy Nhơn)

Ông Ngô Tuấn Anh: Hiện nay, các thiết bị di động như smartphone, máy tính bảng ngày càng đóng vai trò quan trọng đối với người dùng. Sự phát triển của công nghệ làm cho các thiết bị này dần thay thế các máy tính truyền thống. Người dùng lưu trữ dữ liệu quan trọng, sử dụng các dịch vụ như email, duyệt web, truy cập mạng xã hội thường xuyên trên các thiết bị này. Và như vậy, chúng ta cũng cần phải bảo vệ các thiết bị này tương tự như bảo vệ máy tính cá nhân. Mọi người không nên tùy tiện cho mượn các thiết bị này, cẩn trọng khi cài đặt các phần mềm không rõ nguồn gốc, trang bị thường trực các phần mềm an ninh cho các thiết bị di động.

Trách nhiệm của cá nhân và tổ chức đối với thị trường, dịch vụ ATTT được quy định như thế nào trong luật ATTT mạng mới được Quốc hội thông qua vào tháng 11 vừa qua? (Độc giả Hải Thanh - Nam Định)

Ông Nguyễn Huy Dũng: Trách nhiệm của tổ chức cá nhân đã được quy định rõ trong 54 điều của Luật ATTT mạng. Trong thời gian tới, chúng tôi sẽ tổ chức phổ biến nội dung  này để các tổ chức cá nhân trong xã hội biết và thực hiện. Một cách khái quát và ngắn gọn nhất, tổ chức, cá nhân cần lưu ý 2 nguyên tắc khi tham gia hoạt động ATTT như sau:
- Thông tin cũng là một loại tài sản. Vì vậy, giống như các tài sản hữu hình khác, tổ chức cá nhân trước hết phải có trách nhiệm tự bảo đảm ATTT đối với thông tin và hệ thống thông tin của mình.
- Khi tham gia vào tiến trình ứng dụng và phát triển CNTT, tổ chức cá nhân không được xâm phạm ATTT của tổ chức, cá nhân khác.
Đồng thời, tổ chức, cá nhân phải lưu ý 6  nhóm hành vi bị nghiêm cấm. Cụ thể:
1. Ngăn chặn việc truyền tải thông tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên mạng trái pháp luật.
2. Gây ảnh hưởng, cản trở trái pháp luật tới hoạt động bình thường của hệ thống thông tin hoặc tới khả năng truy nhập hệ thống thông tin của người sử dụng.
3. Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng của hệ thống thông tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống thông tin.
4. Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.
5. Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân.
6. Xâm nhập trái pháp luật bí mật mật mã và thông tin đã mã hóa hợp pháp của cơ quan, tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc.

Mới đây, các hãng công nghệ lớn trên thế giới như Google, Microsoft, CISCO… cam kết sẽ hỗ trợ chính phủ và doanh nghiệp Việt Nam trong việc đảm bảo ATTT trong thời gian tới ? Vậy cụ thể, bước đầu các hãng đã có những động thái như thế nào để thực hiện cam kết này? (Độc giả Nguyễn Thành Tâm - Bình Phước)

Ông Nguyễn Huy Dũng: Cục ATTT hiện cũng đang làm việc chặt chẽ với các hãng trên trong việc tăng cường đảm bảo ATTT tại Việt Nam. Những hoạt động hiệu quả đã được triển khai trong thời gian vừa qua có thể kể ra như: Chia sẻ thông tin về lỗ hổng, nguy cơ, hỗ trợ chuyên gia trong việc đào tạo phát triển tập huấn kỹ năng...
Tuy nhiên, do ATTT là lĩnh vực đặc thù nên chúng ta cần thúc đẩy phát triển thị trường, sản phẩm, dịch vụ ATTT trong nước, qua đó thúc đẩy phát triển các doanh nghiệp trong nước và từng bước nâng cao năng lực làm chủ công nghệ để đảm bảo ATTT, trong thời gian tới.

Công ty tôi muốn tuyển dụng 1 nhân viên về an ninh mạng. Tôi muốn nhờ ông tư vấn sẽ tuyển người học ở trường nào thì tốt, thế nào là người có chuyên môn tốt về an ninh mạng? (Độc giả Nguyễn Lê Thúy, Hà Nội)

Ông Nguyễn Tiến Quỳnh: Tôi không thể đánh giá sinh viên trường nào tốt hơn sinh viên trường khác. Về lĩnh vực an ninh mạng sinh viên các trường có truyền thống về kỹ thuật hoặc CNTT sẽ ưu thế hơn. Trong Đề án 99 của Thủ tướng Chính phủ cũng đã lựa chọn một số trường đào tạo trọng điểm về an toàn an ninh thông tin. Ví dụ: Đại học Bách Khoa Hà Nội, Đại học Quốc gia Hà Nội, Học viện Công nghệ Bưu chính Viễn thông, Học viện Kỹ thuật Quân sự, Học viện Kỹ thuật mật mã… Ngoài việc học trường nào thì năng lực cá nhân của người học là yếu tố quyết định. Về mặt tuyển dụng hiện nay, có một số đơn vị không dựa vào bằng cấp, khi phỏng vấn ứng viên yêu cầu ứng viên phải giải quyết bài toán thực tế của doanh nghiệp.

Người có chuyên môn tốt là người năng lực đáp ứng được yêu cầu công việc và sự phát triển của công việc đó. Tùy theo từng vị trí công việc cụ thể, đòi hỏi những kỹ năng khác nhau. Do đó, tùy vào vị trí công việc mà đơn vị bạn muốn tuyển, bạn sẽ có những tiêu chí đánh giá phù hợp.

Nhóm phóng viên ICT