“Người Việt có thể ghi dấu ấn trong lĩnh vực bảo mật”
-Trước khi có BKAV, thị trường đã xuất hiện nhiều sản phẩm bảo mật của Việt Nam như D2, FAV, TAV…, nhưng đến thời điểm này dường như chỉ còn BKAV trụ lại?
Đúng vậy, sản phẩm diệt virus nội hiện nay chỉ có BKAV là cập nhật thường xuyên. Phát triển phần mềm diệt virus là cuộc chiến chứ không đơn thuần như các phần mềm từ điển có thể cập nhật mỗi năm hoặc thậm chí vài năm một lần. Phần mềm virus cần cập nhật hàng giờ và đòi hỏi dịch vụ hỗ trợ tốt. Rất khó duy trì bộ máy làm việc đó nếu không có đủ nhân lực, trình độ và niềm đam mê. Trước đây, BKAV phải sống dựa trên các dịch vụ khác như đào tạo, tư vấn. Nhưng từ khi có bản thương mại, BKAV có thể nuôi lại dịch vụ khác. Xuất phát ban đầu của BKAV là làm miễn phí nhưng nếu tiếp tục sẽ không thể bền vững. Phải cung cấp bản thương mại, để có tiền tái đầu tư cung cấp dịch vụ.
-Anh đánh giá thế nào về sản phẩm BKAV so với các hãng tên tuổi như Symantec, McAffee?
Phần mềm của BKAV đã phát triển được hơn chục năm. Tôi tự tin khẳng định đây là sản phẩm tốt. Bkis đã thành lập bộ phận test (kiểm tra), thường xuyên test so sánh với sản phẩm nổi tiếng khác. Đến nay, có thể khẳng định về mặt xử lý là tốt hơn nhiều sản phẩm tên tuổi thế giới. Chúng tôi sẽ chứng minh điều này trong thời gian tới dựa trên những đánh giá độc lập. Dự kiến trong năm nay sẽ kêu gọi một tổ chức độc lập làm việc này.
-Nhưng dường như người dùng Việt Nam chưa có được niềm tin này?
Đó là thách thức lớn nhất với Bkis. Trước đây, tôi cũng nghĩ lợi thế của mình là “nước xa không cứu được lửa gần”, cập nhật sớm những mẫu virus nội. Anh em ở bộ phận test phản ánh, nhiều trường hợp virus khó chỉ có BKAV diệt được, những phần mềm tên tuổi khác hoặc xóa file hoặc không tiêu diệt được. Bkis đã có kinh nghiệm bắt đầu từ khi sơ khai, thâm niên hơn các hãng khác như Kaspersky. Lĩnh vực an ninh mạng cần nhiều chất xám, con người mới là chính chứ không phải máy móc, công nghệ. Chúng ta tự ti dân tộc quá lớn, luôn nghĩ cái này, cái kia mình không làm được.
Tôi nghĩ người Việt Nam mình có nhiều khả năng. Nếu coi virus là cuộc chiến, người Việt rất thiện chiến, đã từng thắng nhiều đế quốc sừng sỏ. Người Việt hoàn toàn có thể ghi dấu ấn trong lĩnh vực này và tôi sẽ chứng minh điều đó. Ngoài ra, người dùng Việt Nam không đánh giá cao BKAV có phần do nó được tải miễn phí thoải mái. Nếu Bkis không cập nhật, đảm bảo tình hình virus sẽ loạn cả lên.
Một phần mềm diệt virus tốt cần có những yếu tố gì?
Yếu tố chính là công nghệ đảm bảo tích hợp diệt được các loại virus, tiêu diệt triệt để các loại malware (phần mềm mã ác) cả dễ và khó. Phải cập nhật kịp thời, có hỗ trợ kỹù thuật, có công cụ lấy mẫu trên cơ sở người dùng rộng khắp.
Không có chuyện nói vống nguy cơ với các trang web
Mới đây tại hội thảo bảo mật, anh nói có tới 80% trang web Việt có thể đột nhập nếu muốn. Con số này có quá cao không?
Con số này đưa ra dựa trên những thống kê, khảo sát các trang web và trên cơ sở Bkis tham gia tư vấn, đánh giá trang web cho các tổ chức, doanh nghiệp ở Việt Nam. 80% là con số an toàn, cẩn thận. Thực tế thì tỷ lệ này cao hơn. Việc thâm nhập có thể qua hệ thống mạng nội bộ, thâm nhập vật lý như truy cập đường cáp. Nếu đặt ra yêu cầu thâm nhập vào hệ thống của cơ quan và cho thời hạn, nhiều là một tháng thì có thể thâm nhập thành công vào bất kỳ hệ thống nào.
Anh có thể lý giải vì sao các trang web lại có nguy cơ mất an toàn cao như vậy?
Lý do chính là các trang web tồn tại rất nhiều điểm yếu. Lỗi khởi phát ngay từ khâu lập trình của nhà sản xuất phần mềm do họ không chú trọng bảo mật từ khi viết dòng lệnh. Các lỗi phổ biến như lỗi SQL Injection, lỗi tràn bộ đệm, không kiểm tra định dạng file upload xuất hiện trong rất nhiều trang web. Quản trị hệ thống máy chủ chưa chặt chẽ, không cập nhật bản vá và phần mềm như hệ điều hành, máy chủ web và máy chủ cơ sở dữ liệu; phân quyền chưa tốt; đặt mật khẩu quản trị yếu; mở nhiều dịch vụ không cần thiết.
Phải chăng các tổ chức, doanh nghiệp chưa nhận thức và đánh giá đúng vấn đề bảo mật trang web?
Trước đây, nói về nguy cơ họ không tin, giờ thì thấy đó là sự thật. Qua những vụ cụ thể, ý thức đã nâng lên. Nhưng nhận thức đó chưa đủ biến thành hành động, không phải lãnh đạo cơ quan nào cũng biết vận hành khoa học hệ thống thông tin như thuê tư vấn chuyên nghiệp chẳng hạn. An ninh mạng là lĩnh vực rất khác với mua sắm đơn thuần, cần kiến thức chuyên môn sâu. Mua cái khóa có thể nhờ người bán tư vấn, an ninh mạng thì cần người hiểu sâu, tư vấn độc lập. Tư vấn là người bán hàng thì thiên lệch về thiết bị, phần mềm.
Các cơ quan/doanh nghiệp nên làm gì khi trang web bị hacker tấn công?
Trước tiên, nên có quy trình xử lý các tình huống khủng hoảng như bị hack. Nếu vụ việc nghiêm trọng, phải giữ được hiện trường, các log file, tạm thời ngắt hệ thống. Liên lạc các cơ quan chức năng như đơn vị phòng chống tội phạm công nghệ cao (Bộ Công an), Trung tâm phản ứng nhanh sự cố máy tính quốc gia (Vncert) và những tổ chức tư vấn độc lập như Bkis nhằm tìm ra thủ phạm và cách khắc phục. Để chủ động trước tình huống, tốt nhất nên áp dụng tiêu chuẩn bảo mật như ISO 27001.
Tình trạng bảo mật của các trang web là rất yếu. Nhưng số lượng trang web bị tấn công được công khai báo chí không nhiều, nhất là những vụ gây thiệt hại lớn về tài chính. Liệu có khả năng nguy cơ an ninh mạng với các trang web ở Việt Nam bị nói vống lên?
Như tôi đã nói, các con số Bkis cảnh báo được dựa trên khảo sát, đánh giá thực tế. Số lượng trang web bị tấn công có thể chưa thể hiện hết, còn nhiều cuộc tấn công chưa được công bố. Nên biết là bảo mật web không ai nhìn thấy, vì vậy rất khó phát hiện nếu doanh nghiệp bị tấn công không muốn công khai.
Đạo đức rất quan trọng với người làm bảo mật
Bkis thường xuyên tổ chức khảo sát, đánh giá mức độ an toàn của các trang web. Việc đó được thực hiện như thế nào?
Bkis có chuyên gia thường xuyên đi khảo sát các trang web quan trọng và không quan trọng. Xem trên đó có lỗ hổng không, nếu có thì gửi cảnh báo và hướng dẫn chủ trang web khắc phục. Đây là cách rất hiệu quả. Nếu chỉ cảnh báo chung chung thì ai cũng nghĩ là ông nào đấy dính lỗ hổng chứ không phải mình. Vì thế, có tình huống sau khi Bkis gửi công văn cảnh báo họ mới cuống cuồng lên cho xử lý và có biện pháp đề phòng. Năm qua, Bkis đã cảnh báo lỗ hổng cho 140 cơ quan, sẽ tiếp tục làm trong thời gian tới.
Đi dò lỗ hổng web của người khác, Bkis có tính đến khả năng bị pháp luật “thổi còi”?
Chúng tôi đã nghĩ đến việc này và tìm hiểu rất kỹ. Tôi khẳng định là mọi việc khảo sát của Bkis đều tuân thủ các luật hiện có. Bản thân trung tâm cũng đặt ra quy định đạo đức nghề nghiệp, trong đó có quy định rất cụ thể liên quan đến việc khảo sát. Hơn nữa, tất cả những người tham gia khảo sát được sàng lọc và đào tạo rất kỹ, đặc biệt là đánh giá về đạo đức. Làm việc này là những người nắm trong tay công nghệ, nếu cái tâm không trong sáng thì rất nguy hiểm. Bkis có cơ chế giám sát cả về kỹ thuật và quản lý. Đến nay, không có gì đáng tiếc xảy ra. Mặc dù, phải nói là trong quá trình kiểm tra các công ty chứng khoán, họ hoàn toàn có thể trục lợi, chắc chắn có thể làm được, kể cả ngay tại thời điểm này.
Xin cảm ơn ông!
Đỗ Duy - Quang Minh
.svg){kind=icon}
