Hội thảo thu hút sự tham dự của hàng chục giám đốc CNTT (CIO), giám đốc công nghệ (CTO) đến từ các ngân hàng, các đơn vị trong lĩnh vực bảo hiểm, tài chính tại Việt Nam.

Tại hội thảo, ông Zulkfli Ahmad, CIO Văn phòng Thủ tướng Malaysia chia sẻ mối quan ngại với Chính phủ Việt Nam khi các cơ quan, tổ chức trong nước phải đối mặt với những hành động tấn công mãnh liệt của tin tặc, mà mới đây nhất là vụ tấn công hệ thống CNTT của Tổng Công ty Hàng không Việt Nam (Vietnam Airlines).

“Những năm 2013 – 2014, Malaysia cũng từng phải hứng chịu khá nhiều vụ hacker tấn công tương tự Vietnam Airlines. Tuy nhiên, từ khi triển khai giải pháp mới hỗ trợ nhiều cơ chế xác thực - mỗi người dùng hệ thống CNTT có thể sử dụng nhiều cơ chế xác thực như tên người dùng – mật khẩu (user name – password), chứng chỉ (certificate), mật khẩu đăng nhập một lần (OTP), token, mã vạch... nếu mức độ tin tưởng thấp thì phải trải qua thêm những bước xác thực cao hơn mới có thể đăng nhập hệ thống, thì đến nay chưa có sự cố bảo mật nào”, ông Zulkfli Ahmad chia sẻ kinh nghiệm.

Ông Edward Law, Tổng Giám đốc SecureMetric (công ty bảo mật Malaysia có uy tín) nhận định: Sự cố tin tặc tấn công hệ thống CNTT của Vietnam Airlines là một chủ đề rất nóng về an toàn bảo mật. Một trong những vấn đề có thể thấy qua sự cố này là những giải pháp xác thực đang được áp dụng tại Việt Nam hiện nay không đủ mạnh. Điều đó rất nguy hiểm trong bối cảnh sẽ không thể biết sẽ có những dạng tấn công mạng mới nào trong tương lai. Các cơ quan, tổ chức tại Việt Nam cần nghiên cứu, áp dụng những giải pháp công nghệ mới để cải thiện hiện trạng bảo mật các hệ thống CNTT. Đầu tư các cơ chế xác thực thực sự hiệu quả là một trong những yếu tố quan trọng để tránh những vụ bị tin tặc tấn công tương tự trường hợp Vietnam Airlines vừa rồi.

Ông Kang Siong, Trung tâm Nghiên cứu & Phát triển Quốc gia của Malaysia (MIMOS) cũng cho biết: Chính phủ Malaysia đã có chiến lược xây dựng hệ thống quy trình đảm bảo an toàn bảo mật cho các cơ quan Chính phủ, trong đó đề cao các cơ chế xác thực tốt là nhân tố quan trọng để nâng cao tính đảm bảo an toàn bảo mật. Dù rằng không phải cứ có biện pháp xác thực tốt là không bao giờ gặp phải các vụ tấn công bởi tin tặc.

Một điểm đáng chú ý đã được các chuyên gia CNTT Malaysia chỉ rõ, tên người dùng – mật khẩu (user name – password) đang là cơ chế xác thực có độ tin cậy thấp nhất trong số các cơ chế xác thực được áp dụng (một số cơ chế xác thực khác có mức độ tin cậy cao hơn như chứng chỉ, OTP – mật khẩu dùng một lần, token, mã vạch...), thế nhưng lại đang hiện diện phổ biến tại Việt Nam.

“Cần phải cân đối cẩn trọng giữa tính mở, sự thuận tiện cho người dùng với tính an toàn bảo mật của các hệ thống CNTT. Cơ chế xác thực tên người dùng – mật khẩu dù đơn giản, thuận tiện cho người sử dụng, nhưng lại có thể dễ dàng bị tin tặc vượt qua để tấn công các hệ thống CNTT”, ông Kiang Siong khuyến nghị.

Giải đáp sẻ thêm băn khoăn của các CIO, CTO của Việt Nam về hiện trạng và xu hướng ứng dụng cơ chế xác thực SMS OTP, ông Kang Siong cho biết: “Ngân hàng Nhà nước của Malaysia đã ra nghị định yêu cầu các ngân hàng trong nước ngừng sử dụng SMS OTP trong 1 năm tới vì tin tặc có thể dễ dàng vượt qua cơ chế xác thực này để nghe lén, nghe trộm, lấy trộm thông tin trong hệ thống các ngân hàng”.