Không có hệ thống bảo vệ mạng

Tấn công DoS/DDoS là dạng tấn công thường thấy tại Việt Nam và đang trở thành vấn đề nhức nhối của các cơ quan/tổ chức/doanh nghiệp trên cả nước. Tại Việt Nam, theo thống kê của Cục An toàn thông tin (Bộ Thông tin – Truyền thông) trong tháng 8/2015 đã có 907 máy chủ và 2.088 website bị tấn công DDoS. Theo thống kê của VNCERT thì riêng quý 1 năm nay đã ghi nhận 365.644 lượt địa chỉ IP Việt Nam thuộc các mạng Botnet tham gia tấn công DDoS vào rất nhiều mục tiêu trên thế giới, trong đó có rất nhiều địa chỉ IP trực thuộc các cơ quan nhà nước.

Nguyên nhân một phần khiến vấn nạn tấn công từ chối dịch vụ DDoS hoành hành nhiều năm qua tại Việt Nam là do các doanh nghiệp vẫn còn rất ít quan tâm đến vấn đề này. Theo báo cáo của Chi hội An toàn Thông tin phía Nam tại Ngày An toàn thông tin Việt Nam lần thứ 8 ngày 19/11/2015 cho thấy, chỉ có 6,6% doanh nghiệp tham gia khảo sát tình trạng ATTT (trong hơn 200 đơn vị) có hệ thống phòng chống tấn công DoS/DdoS, trong khi con số đó năm 2014 là 16,06%.

Bên cạnh đó, các biện pháp kỹ thuật bảo vệ hệ thống mạng khác cũng rất yếu kém. Cụ thể, chỉ có hơn 10% doanh nghiệp có hệ thống phát hiện xâm nhập (IDS/IPS); lọc nội dung web là 17,1%; bộ lọc chống thư rác (Anti-Spam) là 19,4%; kiểm soát truy cập là 13,7%; bảo mật mạng không dây là 26,1%; hệ thống quản lý sự kiện an toàn thông tin (SIEM-Sercurity Inciden&EVent Management) là 7,1%... Tất cả các chỉ số này đều giảm hơn một nửa so với năm 2014.

Hai biện pháp kỹ thuật có chỉ số sử dụng cao nhất là phần mềm chống virus mức mạng (Anti-Virus) cũng chỉ chiếm khoảng 48,8% (chưa đến một nửa số doanh nghiệp tham gia khảo sát) hay hệ thống tường lửa (Network Firewall) cũng chỉ chiếm 39,8%...

Hơn 50% doanh nghiệp không có kế hoạch triển khai hệ thống quản lý ATTT

Không chỉ không có các biện pháp bảo vệ an ninh mạng mà ngay cả việc triển khai hệ thống quản lý ATTT tại các doanh nghiệp cũng bị bỏ ngỏ. Theo khảo sát, chỉ khoảng 1/10 doanh nghiệp tham gia khảo sát đã triển khai hệ thống quản lý ATTT. Các tổ chức không có kế hoạch triển khai hệ thống quản lý ATTT chiếm 53,1%. Số lượng các tổ chức có kế hoạch triển khai ISMS và tuân thủ ISO 27.00x là 18,5%.

Các tổ chức đã thực hiện phân loại thông tin, xác định trách nhiệm, sở hữu là 29,9%, quản lý cán bộ vận hành khai thác, sử dụng hệ thống có tuân thủ các chính sách về ATTT là 33,2%. Đây là các biện pháp quản lý đơn giản nhất nhưng nhiều doanh nghiệp vẫn chưa làm cho thấy các doanh nghiệp chưa quan tâm đến sự an toàn của dữ liệu một cách đúng mức.

Khi có sự cố xảy ra, các doanh nghiệp cũng khá lúng túng khi xử lý. Chỉ có 15% doanh nghiệp có quy trình báo cáo sự cố. Trong đó, chủ yếu các doanh nghiệp báo cáo trong nội bộ, rất ít đơn vị báo cáo cho các cơ quan chức năng như VNCERT hay Cục ATTT. Nguyên nhân chủ yếu là do có báo cáo cũng rất ít khi được hỗ trợ. Tất cả các chỉ số này cho thấy độ an toàn thông tin ở các doanh nghiệp hiện nay rất thấp. Đôi khi chỉ vì sự cố phần cứng cũng có thể gây thiệt hại lớn cho doanh nghiệp mà chưa cần có sự can thiệp của hacker từ bên ngoài.