Ảnh: ecliptic.

Theo Trung tâm BKIS, con số trên phản ánh nguy cơ xảy ra sự cố lớn do mất an ninh mạng rất rõ rệt. Một vấn đề quan trọng không kém là việc nhìn nhận và đánh giá đúng tầm quan trọng về vị trí của người làm quản trị mạng.

Những ngày qua, sự việc học sinh cấp 3 Bùi Minh Trí hack thành công website của Bộ Giáo dục và Đào tạo, thay chân dung Bộ trưởng Nguyễn Thiện Nhân bằng hình ảnh ở trần của chính mình, đã tạo sự chú ý dư luận với những tranh cãi theo nhiều luồng ý kiến, quan điểm khác nhau. Sự việc xới lên một vấn đề, dù không mới nhưng vẫn nóng bỏng và đầy tính thời sự: tình trạng bảo mật website cũng như hệ thống mạng trong các cơ quan Bộ, ngành, đơn vị trọng yếu trực thuộc Trung ương.

Theo Trung tâm An ninh mạng Đại học Bách khoa HN (BKIS), có tới 90 site (chiếm 26%) trên tổng số 340 trang web thuộc các cơ quan chính phủ và tổng công ty lớn mà BKIS rà soát trong năm qua có lỗ hổng kỹ thuật cho phép hacker dễ dàng xâm nhập.

Theo ghi nhận của VnExpress, có khá nhiều trang web có tên miền đuôi .gov.vn hiện diện tại zone-h, trang web nêu "công trạng" của hacker trên khắp thế giới, như: namdinh.gov.vn, haiphong.gov.vn, dalat.gov.vn, cantho.gov.vn, mot.gov.vn (Bộ Thương Mại), conganphutho.gov.vn (Công an Phú Thọ), hanamtrade.gov.vn (Sở Thương mại và du lịch Hà Nam)... 

Ngay sau sự việc của Bùi Minh Trí, các website Liên đoàn bóng đá Việt Nam VFF và Bộ Giao thông vận tải... liên tiếp bị nhòm ngó và bẻ khóa. Nhiều bạn đọc VnExpress nghi ngại, dù hầu hết những vụ hack ở VN đều mang tính chất bột phát, nghịch ngợm với ý định "khoe tài", nhưng không thể không lường đến những kẻ xấu, phá hoại có mục đích. "Các trang web thuộc cơ quan Chính phủ mang nhiều nội dung về kinh tế, chính trị cùng những văn bản pháp luật, hay quy định hiện hành. Nếu ai đó có thể ra vào dễ dàng và thay đổi thông tin, dù chỉ là một vài câu, chữ, hậu quả thật khó lường", Giám đốc BKIS Nguyễn Tử Quảng nhận định. "Những điều đó có thể tác động đến cả trăm nghìn hay cả triệu con người". Nhiều chuyên gia và admin cũng thừa nhận đây là nguy cơ hoàn toàn có thể xảy ra bất kỳ lúc nào.

Khi bàn đến tính an toàn của website, trách nhiệm được quy cho người làm quản trị mạng. Không ít ý kiến cho rằng để xảy ra sự cố bị xâm nhập là do admin bất tài, thờ ơ với công việc, thiếu tinh thần trách nhiệm... Tuy nhiên, những người làm quản trị mạng cũng có khá nhiều áp lực khác. "Tôi thấy nghề quản trị mạng, đặc biệt là ở các cơ quan hành chính, chẳng khác nào làm dâu trăm họ. Ngoài việc chăm nom máy chủ, hệ thống mạng chính, nhiều admin còn phải lo cho từng PC, cái hỏng, cái bị virus, phần mềm trục trặc... trong khi vẫn phải đối phó với các lỗ hổng bảo mật và vô vàn vấn đề khác", Trần Thanh Tùng, một nhân viên văn phòng cơ quan nhà nước ở Hà Nội, nhận xét.

Có một thực tế là chính khả năng chuyên môn hạn chế đã khiến nhiều quản trị mạng thiếu tự tin. Điều đó dẫn đến những "bi kịch" bắt đầu bằng việc xâm nhập của hacker. "Trong phần lớn trường hợp bị deface (xâm nhập thành công và thay đổi hoặc xóa dữ liệu), khi liên lạc được với hacker, một số admin lại có thái độ e ngại chính thủ phạm của vụ việc. Và do không có sự hiểu biết tốt, họ quay ra làm thân với hacker, thậm chí nhờ những người này bảo vệ cho mình để rồi rước họa vào thân", Giám đốc BKIS cho biết. "Mọi người hay nói đến hacker thiện chí. Nhưng thú thật, ở VN gần như không có khái niệm đó mà thường là hack để ghi dấu ấn và cứ mặc nhiên cho đó là cảnh báo".

Theo ông Quảng, người nắm giữ cương vị quản trị mạng tại các cơ quan, đơn vị lớn, tối thiểu phải có trình độ là kỹ sư công nghệ thông tin chính thống và qua 3 năm kinh nghiệm làm việc ở vị trí thấp hơn, từng kinh qua những khóa học chuyên về quản trị mạng, security...

Ông Nguyễn Như Sơn, quản trị mạng của Bộ Kế hoạch Đầu tư, cũng thừa nhận hầu hết admin trong nước có kinh nghiệm là do làm việc lâu năm chứ ít ai có được bằng cấp chính thống trong khi lĩnh vực an ninh mạng cần có sự hiểu biết kỹ thuật trên bình diện rộng. "Tiền lương của nhà nước so với các đơn vị bên ngoài có thấp hơn nhưng đó không phải là nguyên nhân chính cho vấn đề lỏng lẻo trong an ninh của các website bộ, ngành", ông Sơn nói. "Tôi cho rằng ở bất kỳ quốc gia nào cũng có giai đoạn kiểu như ở Việt Nam bây giờ. Và tôi tin không quá 1% số người trong nước biết các thủ thuật hack lại thực hiện tấn công như những vụ việc vừa qua".

Theo người chịu trách nhiệm hệ thống mạng của Bộ Kế hoạch Đầu tư, hầu hết các cơ quan tổ chức ở Việt Nam chưa quan tâm nhiều đến bảo mật mạng, và nguồn nhân lực chịu trách nhiệm về hệ thống. "Ngoài việc mua sắm các thiết bị thì điều quan trọng hơn rất nhiều là quan tâm đến những người làm bảo mật. Thiết bị có tốt và hiện đại đến đâu cũng chỉ giúp con người được một phần", ông Sơn nhận định.

Ông Nguyễn Tử Quảng cũng cho rằng trong lúc hành lang pháp lý chưa được chặt chẽ, hình phạt cho các loại tội phạm công nghệ thông tin chưa đủ tính răn đe thì các cơ quan cần phải đầu tư rất nhiều so với hiện nay cho vấn đề an ninh mạng, mà chủ yếu là về con người. "Ngay từ lúc thiết kế hệ thống, vấn đề an ninh mạng đã phải được lưu tâm và đưa vào cùng với quy trình cụ thể về kiểm tra, update thông tin", Giám đốc BKIS tư vấn. "Đối với những tổ chức rất quan trọng như ngân hàng hay cơ quan chính phủ trực thuộc trung ương, trong tương lai gần phải áp dụng được bộ ISO 27001 chuyên về an ninh thông tin, trong đó có vấn đề an ninh mạng".

Trong một cuộc trao đổi gần đây với giới báo chí, Thứ trưởng Bộ Bưu chính Viễn thông Vũ Đức Đam nhận định vấn đề an toàn an ninh mạng sẽ rất "nóng" trong năm 2007 khi mà các hoạt động hành chính công cùng nhiều ứng dụng mạng khác sẽ được đẩy mạnh. "Mới đây, Thủ tướng đã có chỉ thị về việc hình thành những đơn vị chống tội phạm trên mạng và làm đầu mối nhằm xác định văn bản pháp quy nào cần làm, cơ quan nào cần thành lập và những khoản đầu tư nào cần được ưu tiên cho vấn đề an ninh mạng được đảm bảo", ông Đam cho biết.

Đại diện Bộ Bưu chính Viễn thông cũng cho rằng những băn khoăn về hình phạt quá thấp hay không đủ tính chất răn đe đối với một số đối tượng tội phạm công nghệ cao không chỉ là vấn đề của riêng Việt Nam mà là của cả thế giới. Ông Đam đã viện dẫn trường hợp xảy ra tại Mỹ, khi một người trẻ tuổi hack vào mạng thành phố làm tê liệt cả hệ thống điện khiến mọi hoạt động bị đình trệ trong vòng 6 tiếng. Thiệt hại vô cùng lớn nhưng cuối cùng nhà chức trách chỉ có thể phạt thủ phạm một số tiền không đáng kể vì đó là trẻ vị thành niên.

"Theo tôi, việc đảm bảo an ninh thông tin của các doanh nghiệp, cơ quan nhà nước không phải là vấn đề cao siêu mà nằm trong chính thói quen sử dụng và ý thức của từng người. Đừng cho rằng nhiệm vụ giữ an toàn, bảo mật thông tin chỉ của riêng người làm kỹ thuật", Thứ trưởng Bộ Bưu chính Viễn thông nói.

Nguyễn Hằng

(Theo VNExpress)