Hầu hết doanh nghiệp, cơ quan, tổ chức tại Việt Nam (81%) đều cho phép nhân viên được sử dụng thiết bị di động cá nhân như smartphone và tablet để truy cập mạng nội bộ. Điều nguy hiểm là ở chỗ 74% trong số này chưa hề có giải pháp nào để đảm bảo an toàn thông tin cũng như để quản lý các thiết bị nói trên.


{keywords}
Phần mềm nghe lén smartphone Ptracker từng được lén lút cài lên 14.000 smartphone tại Việt Nam.

Con số đáng lo ngại này vừa được Hiệp hội An toàn Thông tin Việt Nam (VNISA) công bố trong "Báo cáo Kết quả điều tra Thực trạng An toàn Thông tin năm 2014" tại Ngày An Toàn Thông tin 2014. Rõ ràng, vấn đề nhận thức đầy đủ về an toàn thông tin tại Việt Nam còn khá thấp, bất chấp những nỗ lực tuyên truyền từ phía cơ quan quản lý cũng như các quy định, hành lang pháp lý đã có liên quan đến vấn đề này. Điều này tiềm ẩn những nguy cơ lớn, vì các hình thức tấn công nhằm vào smartphone đã bắt đầu xuất hiện tại Việt Nam, chẳng hạn như vụ phần mềm theo dõi - nghe lén Ptracker lén cài vào 14.000 smartphone.

Trong số 74% tổ chức nói trên, chỉ có 41% đang mong muốn tìm kiếm một giải pháp để quản lý, trong khi con số trả lời "Không có kế hoạch" vẫn lên tới 33%. Đây là một tâm lý mà nhiều chuyên gia bảo mật đã gọi tên là "coi như chuyện của nhà hàng xóm chứ không phải việc của mình", hay "chỉ đến khi sự cố xảy ra mới giật mình thấy bảo mật thông tin là quan trọng".

Cũng theo ông Vũ Quốc Thành, Phó Chủ tịch VNISA thì trong Khảo sát được thực hiện với 475 tổ chức nói trên, có tới 28% số đơn vị không xác định được mình có bị tấn công trong năm 2014 hay không. Chỉ có 13,3% biết mình bị tấn công và có ghi nhận, theo dõi đầy đủ. Tỷ lệ này tuy có cải thiện so với năm 2013 nhưng thực chất lại là bước lùi so với năm 2012 (19%) và 2011 (17%).

"Trước đây, các tổ chức rất tự tin khẳng định mình có khả năng ghi nhận các cuộc tấn công, nhưng 2 năm trở lại đây, cách trả lời của họ dè dặt hơn hẳn. Điều này có thể xuất phát từ 2 lý do: hoặc là mức độ nguy hiểm của tin tặc ngày một cao, hoặc là ý thức của các tổ chức về vấn đề này có tăng lên", VNISA phân tích. Đặc biệt, có tới 20% tổ chức tỏ ra lo ngại về việc tình hình căng thẳng tại Biển Đông có thể gây mất an toàn thông tin cho đơn vị mình.

Liên quan đến các khâu chuẩn bị, ứng phó của cơ quan, tổ chức cho ATTT, Khảo sát đã chỉ ra một số phương diện đáng chú ý như nhân sự, phần mềm bảo mật, chính sách quản lý ATTT, tỷ lệ đầu tư cho ATTT....

Cụ thể, theo khảo sát, hơn 45% cơ quan, tổ chức có cán bộ chuyên trách về CNTT , tăng nhẹ so với mức 43% của năm ngoái, tuy nhiên tỷ lệ cơ quan không có cán bộ chuyên trách đã giảm từ 28% xuống còn 22%. Phần mềm diệt virus Kaspersky đang được phổ biến nhất tại VN (32%), kế đến là BKAV (25%), Symantec (10%) và các hãng khác như McAfee, BitDefender, CMC, Trend Micro...

Đối với chính sách quản lý ATTT cho việc sử dụng các dịch vụ đám mây, chỉ có 15% số tổ chức cho biết họ tách riêng những dịch vụ này để quản lý. 27% có quản lý nhưng vẫn nằm trong khuôn khổ chung của cả tổ chức trong khi có tới 58% cho biết họ không hoặc chưa có chính sách quản lý đối với đám mây.

45% có tỷ lệ đầu tư thấp cho ATTT (dưới 5%). Chỉ có 16% có tỷ lệ đầu tư 10-15% ngân sách và đây chủ yếu là các doanh nghiệp ngân hàng, tài chính. Trong khi đó, tỷ lệ khuyến nghị của các chuyên gia bảo mật là khoảng 10%.

Tấn công từ chối dịch vụ tăng mạnh

Khảo sát cho thấy, có những xu hướng tấn công tăng đều đặn như từ chối dịch vụ (tăng mạnh lên 37% trong năm 2014), trong khi mã độc và xâm nhập luôn là hình thức tấn công thường gặp nhất.

Tình huống không rõ động cơ tấn công ngày càng nhiều, thay vì chỉ chiếm 25% các cuộc tấn công trong năm 2011. Giờ đây, những vụ tấn công kiểu này đã chiếm 44% số vụ việc phát hiện được. Sau 4 năm tuyên truyền, nỗ lực nâng cao nhận thức về an toàn thông tin, số cơ quan, tổ chức không có quy trình thao tác chuẩn để ứng phó, xử lý các cuộc tấn công vẫn không giảm mấy (52% vào năm 2011 và 48.2% vào năm 2014). Điều đáng nói là số tổ chức dám khẳng định "Có quy trình" không hề tăng lên, thay vào đó là "Không rõ" (từ 10% năm 2011 lên 28,6%).

Nhận định chung về thực trạng bảo mật tại Việt Nam trong năm qua, ông Thành cho rằng việc mất an toàn thông tin xét theo độ nóng mà các phương tiện truyền thông đại chúng phản ánh là không cao. Tuy nhiên, vào cuối năm có đợt tấn công trực diện vào hệ thống của VCCorp gây thiệt hại nặng về kinh tế cũng như uy tín của doanh nghiệp. Thậm chí, ngay cả khi cơ quan an ninh điều tra vào cuộc thì cuộc tấn công vẫn diễn ra.

  • Trọng Cầm