Sau vụ việc hacker Thổ tấn công hàng loạt website Việt Nam, giới chức và số đông công chúng mới tập trung nhiều sự chú ý vào thực trạng an ninh mạng gần như bỏ ngỏ của IT Việt. Song trên thực tế, những vấn đề đó đã được giới CNTT và báo chí bàn đến rất nhiều từ trước, chỉ có điều bàn luận mãi rồi cứ để đó, hoặc có làm cũng chưa làm đến nơi đến chốn…

Nguyên nhân chính nằm ở nhận thức

Hình dung về những bất cập của an ninh mạng Việt Nam hiện nay, giống như việc chúng ta xây một ngôi nhà, lúc đào móng xây tường thì chưa nghĩ đến làm hàng rào, xây xong rồi mới nhận ra giá trị ngôi nhà mình lớn quá, kẻ xấu lúc nào cũng có thể chạy vào bê mất cái chậu cảnh hay vẽ bậy lên tường… Lúc đó người ta mới nghĩ đến bảo vệ tài sản. Cái vốn dĩ phải được quan tâm đầu tư ngay từ đầu thì lại chỉ được nói đến như một vấn đề phát sinh ngoài ý muốn!

Vài năm trở lại đây, chúng ta quá vui mừng trước sự phát triển vũ bão của CNTT trong nước mà quên đi những bất cập trong việc bảo mật thông tin và đảm bảo an ninh mạng. Thực chất, đây là vấn đề không mới, những bất cập này đã rất nhiều quốc gia khác gặp phải. Chỉ có điều trong khi họ nhanh chóng khắc phục một cách hiệu quả thì Việt Nam đã không tránh được vết xe đổ, lại chậm chạp trong nhận thức và sửa sai.

Một hacker thiện chí là thành viên ban quản trị forum Viethacker.org khẳng định với VietNamNet rằng sau vụ hacker Thổ hạ hàng loạt site VN, tình hình vá lỗi bảo mật của quản trị mạng Việt Nam vẫn chưa được chú trọng đúng mức: “Chúng tôi thường xuyên quét lỗi ở nhiều website Việt Nam và báo cho người có thẩm quyền xử lý, xong hàng tháng sau vào vẫn thấy hiện trạng y như cũ”, anh này nói.

Vấn đề lớn nhất vẫn nằm ở việc nhận thức, anh Nguyễn Tử Quảng – giám đốc trung tâm an ninh mạng BKIS – ĐHBK HN cho biết: "Có một sai lầm rất phổ biến trong suy nghĩ của giới lãnh đạo các website Việt Nam là không đánh giá đúng giá trị bảo mật thông tin. Họ cho rằng thông tin trên website của họ không đáng giá, không thực sự quan trọng và cũng ít lượng truy cập nên không cần thiết phải làm bảo mật một cách chuyên nghiệp. Họ không lường được rằng có thể thông tin bình thường họ đưa ra không thật quan trọng, nhưng nếu bị kẻ xấu lợi dụng thay đổi, xuyên tạc chẳng hạn, thì hậu quả sẽ vô cùng lớn…"

Anh Đỗ Ngọc Duy Trác – giám đốc điều hành Mạng an toàn thông tin VSEC thì đưa ra một lý giải khác. Anh cho rằng những bất cập của an ninh mạng Việt Nam hiện nay nhìn nhận cụ thể hơn một chút, có hai nguyên nhân chính: quản trị mạng các site nhìn thấy và đánh giá đúng các nguy cơ về an ninh mạng nhưng không đủ điều kiện, cụ thể là tiền - để khắc phục. Số còn lại có điều kiện nhưng không đủ khả năng chuyên môn mà sửa sai. Hơn nữa những suy nghĩ hẹp hòi về uy tín và chỗ đứng khiến họ không dám nhờ cậy, thậm chí đi thuê người khác giúp đỡ.

Nhân lực cho công tác bảo mật – an ninh mạng cũng là một câu hỏi lớn. Hiện nay chúng ta chưa có các hệ đào tạo chính quy Đại học và sau đại học cho các mục tiêu này. Những người có khả năng hiện nay trong lĩnh vực này hầu như là tự học hỏi, tự rèn luyện thực tế. Những người Việt  có chứng chỉ bảo mật của nước ngoài còn quá ít và chưa hẳn đã đáp ứng được nhu cầu công việc cụ thể trên mạng Việt. (Nó cũng giống như việc sử dụng giải pháp đi kèm trang thiết bị và công nghệ của các công ty tổ chức nước ngoài cung cấp không giải quyết nhiều những vướng mắc trong hoàn cảnh cụ thể của Việt Nam).

Kiếm tìm giải pháp

Với các vấn đề trước mắt, anh Nguyễn Tử Quảng đưa ra một giải pháp khá thực tiễn, là thay vì giao nhiệm vụ bảo mật cho các nhân viên chuyên trách của mỗi website, thì trong điều kiện còn thiếu nhân lực mà vấn đề dặt ra quá cấp bách như hiện nay, thì nên đi thuê các tổ chức có uy tín làm bảo mật giúp. “Như vậy sẽ khả thi hơn nhiều” - anh Quảng nhận xét.

Tuy nhiên những tổ chức chuyên đứng ra làm dịch vụ bảo mật ở Việt Nam hiện nay chưa nhiều, và đó là công việc không hề đơn giản chút nào dù khả năng và trình độ có vững đến đâu chăng nữa. VSEC là một trong số rất ít các tổ chức làm dịch vụ bảo mật ở Việt Nam, anh Đỗ Ngọc Duy Trác, giám đốc điều hành trung tâm này cho biết hiện nay VSEC chỉ làm dịch vụ cho một số cơ quan tổ chức đặc biệt, chứ không thể làm dịch vụ rộng rãi. “Làm dịch vụ bảo mật rất phức tạp, không giống như khi bạn làm các loại hình dịch vụ khác, giao dịch xong là chấm dứt, làm bảo mật nghĩa là phải có trách nhiệm vĩnh viễn với khách hàng. Trong một cuộc tấn công không có nhiều dấu vết, ở bất kỳ thời điểm nào ngay cả khi hợp đồng đã chấm dứt, người ta vẫn có thể đổ trách nhiệm cho người làm bảo mật”. Anh Trác nói. Mặt khác, làm bảo mật không những cần khả năng, kỹ thuật là những thứ dễ dàng nhận biết, quan trọng hơn còn cần có niềm tin và đạo đức nghề nghiệp, đây là điều không thể nắm chắc.

Trong cuộc trao đổi với chúng tôi anh Trác nhiều lần khẳng định một điều kiện tiên quyết trong giải pháp an ninh mạng Việt Nam chính là vấn đề con người: “Viết và phát tán virus, tấn công và phòng vệ, tất cả đều là sự tham gia của các cá nhân. Công nghệ và kỹ thuật chỉ là công cụ. Vì thế con người cũng chính là bản chất của giải pháp an ninh mạng. Chúng ta cần những lãnh đạo thông tin (CIO) có tầm nhìn, từ đó đưa ra những chính sách hợp lý, tạo điều kiện cho các cá nhân nắm vững kĩ thuật công nghệ và có năng lực lao vào giải quyết. Đó là điều kiện cần, tuy chưa đủ - để giải quyết tận gốc vấn đề”.

Về nhân lực,  hiện nay trên mạng Việt Nam, cố một số diễn đàn lớn của các hacker thiện chí và nhiều cá nhân tậm huyết tổ chức ra, với tham vọng đóng góp cho sự lớn mạnh của an ninh mạng trong nước. Trên website của các tổ chức này, luôn có một trang giới thiệu các lỗi bảo mật mà họ tình nguyện dò tìm được trên mạng. Mỗi ngày cập nhật hằng trăm lỗi lớn nhỏ, thậm chí có những bài còn chỉ rõ cách khai thác và khắc phục, song dường như còn quá ít người quan tâm. Tranh thủ sự hợp tác, thái độ thiện chí và khả năng chuyên môn của những cá nhân tổ chức như trên cũng là một giải pháp mà chúng ta hoàn toàn có thể làm được.

·         Thế Phong