Vietnamnet – một trong những tờ báo điện tử hàng đầu đã bị tin tặc tấn công
Một điều có thể thấy rõ ràng rằng, như các chuyên gia đầu ngành về công nghệ thông tin Việt Nam đánh giá, trình độ của người lập trình web tại Việt Nam còn thấp.
Quản trị và bảo mật chưa tốt
Hiện nay, các website của doanh nghiệp thường được một số công ty chuyên về lập trình web thiết kế hoàn toàn về nội dung, mã nguồn sau đó sẽ chuyển giao lại cho người quản trị website của doanh nghiệp quản lý. Như vậy, vô hình chung, người quản trị web của doanh nghiệp hoàn toàn bị động vì được giao một sản phẩm mà mình không được tham gia thiết kế ngay từ đầu. Mặc dù có mã nguồn nhưng chưa chắc người quản trị đã biết nó được hình thành theo cách nào, và trên hết, có chắc rằng đây không phải là một sản phẩm lấy từ Internet hay không.
Theo M., quản trị viên diễn đàn hvaonline – một trong những nơi quy tụ của các hacker Việt Nam, phần nhiều các công ty thiết kế web sử dụng các mã được cung cấp sẵn trên mạng để “chế biến” lại một chút cho phù hợp với yêu cầu của các doanh nghiệp. Ngoài ra, đội ngũ lập trình web đôi khi là những sinh viên vừa ra trường hoặc tự học, tự đào tạo nên chất lượng sản phẩm của họ không được cao. Trên các diễn đàn về công nghệ, thường có nhiều trường hợp thành viên đăng đàn cầu cứu mọi người giúp đỡ về chuyện “website em thiết kế cho công ty kia bị hack và thay đổi toàn bộ nội dung mà (em) không biết cách khắc phục”...
Cho đến nay, thế giới công nghệ Việt Nam vẫn chưa quên được vụ việc PAvietnam - nhà cung cấp dịch vụ hosting lớn nhất Việt Nam bị hack. Tại thời điểm đó, website của hơn 8.000 tên miền đăng ký tại công ty này đã lần lượt gục ngã. Ngay chính trang chủ của PAvietnam cũng không thoát khỏi số phận. Sự kiện PAvietnam đã gióng lên hồi chuông cảnh báo thật sự đối với cộng đồng thiết kế web ở Việt Nam. Tuy thế, do hạn chế về năng lực, kỹ thuật nên việc phát triển một quy trình kỹ thuật nhằm tăng mức bảo mật cho các website Việt Nam và hỗ trợ lập trình viên web của các công ty vẫn chưa được triển khai đúng mức.
Một trong những lý do khác khiến Việt Nam luôn có nguy cơ cao bị hacker tấn công là vì liên tục nằm trong danh sách đen của các hãng bảo mật. Khi một quốc gia bị đưa vào danh sách ấy thì gần như ngay lập tức, toàn bộ website ở quốc gia đó bị hacker khắp thế giới lên lịch càn quét để tấn công ngay khi có cơ hội. Trường hợp của Vietnamnet và Saigonminhluat ngay sau bản báo cáo của McAfee và Kaspersky là một ví dụ cụ thể.
Đối phó với sự cố
Theo ông Vũ Quốc Khánh, giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - VNCERT (Bộ Thông tin và Truyền thông), khoảng 30% website lớn, quan trọng và có tiềm lực ở Việt Nam bị tấn công trong năm vừa qua; ông khuyến cáo “có nhiều giải pháp khác nhau để cân nhắc thiết lập hệ thống an toàn. Tuy nhiên, việc sẵn sàng móc hầu bao để có hệ thống bảo mật chưa hẳn đã hiệu quả”. Còn ông Nguyễn Minh Đức, giám đốc bộ phận an ninh mạng của Trung tâm An ninh mạng (Bkis), nhận định “nhiều website trong nước chưa có các giải pháp tổng thể từ kỹ thuật đến quy trình quản trị web”.
Đó là lời của những người thuộc cơ quan chức năng, riêng trên các diễn đàn, sẽ không khó để tìm được rất nhiều chủ đề trò chuyện mà các thành viên hỏi nhau kinh nghiệm lập trình web, chia sẻ các code và cả việc giúp nhau tháo gỡ các khó khăn khi bị... tấn công. Tuy thế, có một thực tế dễ nhận thấy, đó là các quản trị web khi bị tấn công, cách họ hay làm (và khuyên người khác) là remove – giấu website đi. Điều đó cho thấy một khiếm khuyết trong công tác đào tạo lập trình web hiện nay và cho cả người tự học đó là cách đối phó với sự cố.
Theo Hiệp hội An toàn thông tin Việt Nam, phần lớn doanh nghiệp và tổ chức ở Việt Nam đều tăng hoặc duy trì đầu tư ổn định cho vấn đề an toàn thông tin. Tuy nhiên, họ không có quy trình chuẩn để phản ứng lại các cuộc tấn công vào hệ thống máy tính. Bên cạnh đó, nhiều doanh nghiệp và tổ chức không nhận biết hệ thống đã từng bị tấn công hay không hoặc đã bị tấn công bao nhiêu lần. Đặc biệt, 70% doanh nghiệp và tổ chức bị tấn công không thông báo cho cơ quan chức năng.
Theo ông Đức, ngoài việc quan tâm đến an ninh mạng thì các doanh nghiệp còn phải có giải pháp tổng thể từ công nghệ đến con người. Ông Khánh cho biết, điều tra về an toàn thông tin cho thấy các website có nguy cơ bị tấn công rất cao vì số đông chủ sở hữu chưa có quy trình quản lý an toàn thông tin một cách đúng đắn và triệt để. Muốn khắc phục, người quản trị hệ thống phải đi trước một bước so với hacker - ông Khánh nói. Vì thế, đã đến lúc các tổ chức đào tạo hoặc cơ quan chức năng cần tổ chức các lớp tập huấn về công nghệ khắc phục hậu quả sau khi bị hack, hoặc tổ chức các lớp học online cho những người đang cần được hỗ trợ để nhanh chóng đưa Việt Nam ra khỏi danh sách đen để tránh các trường hợp tương tự trong tương lai.
