“Làm gì để nâng cao an toàn thông tin của Việt Nam?”

Chiều nay, 17/12/2015, ICTnews tổ chức buổi toạ đàm với chủ đề: “Làm gì để nâng cao an toàn thông tin của Việt Nam?”. Tham dự có đại diện của Bộ TT&TT, Báo Bưu điện Việt Nam, Bkav, CMC Infosec, Học viện Netpro, IPSEC.vn.

Ông Võ Đăng Thiên, Tổng biên tập báo Bưu điện Việt Nam phát biểu khai mạc buổi Tọa đàm.

Buổi tọa đàm được thực hiện trong bối cảnh, số lượng các cuộc tấn công mạng trên thế giới và tại Việt Nam đang ngày càng có xu hướng tăng cao với thủ đoạn tinh vi, tàn độc có thể gây ra nhiều hậu quả nghiêm trọng.

Tham gia buổi tọa đàm có ông Nguyễn Huy Dũng – Phó Cục trưởng Cục ATTT (Bộ TT&TT), ông Ngô Tuấn Anh, Phó Chủ tịch Phụ trách An ninh mạng của Tập đoàn BKAV, ông Triệu Trần Đức – Giám đốc Công ty CMC InfoSec, ông Nguyễn Tiến Quỳnh, Phó Giám đốc Phụ trách đào tạo Học viện NetPro, ông Hoàng Mạnh Đức người sáng lập IPSEC.vn.

Buổi tọa đàm sẽ xoay quanh các vấn đề như: Nguy cơ của Việt Nam trước những hành động tấn công mạng; khả năng bảo mật của Việt Nam trước những nguy cơ này cũng như lời giải về bài toán nhân lực cho bảo mật tại Việt Namthực trạng hoạt động bảo mật trong các cơ quan Nhà nước, doanh nghiệp.

Độc giả có bất cứ câu hỏi nào liên quan đến vấn đề này xin gửi vào địa chỉ email là thaikhang@ictnews.vn và ictnews@mic.gov.vn

Dưới đây là nội dung trực tuyến:

Hiện nay, tôi thấy nhiều doanh nghiệp thông báo đã đạt chứng chỉ an ninh thông tin ISO 27001:2013. Nhưng tôi chưa rõ tiêu chuẩn này là gì và có tác động như thế nào tới khách hàng? (Bảo Trân, Đà Nẵng)

Ông Nguyễn Tiến Quỳnh: ISO 27001:2013 là tiêu chuẩn ISO 27001 phiên bản 2013. Đây là tiêu chuẩn quốc tế, đưa ra các yêu cầu cho một hệ thống quản lý an ninh toàn thông tin (ISMS). Để lấy được chứng chỉ này các tổ chức cần thoả mãn những yêu cầu liên quan đến chính sách, quy trình, quy định về ANTT, các yêu cầu về con người và công nghệ. Qua phụ lục của tiêu chuẩn tổ chức cũng được gợi ý áp dụng các biện pháp kiểm soát rủi ro về ANTT của tổ chức.

Tác động của tiêu chuẩn lên tổ chức/doanh nghiệp:

– Cung cấp cho công ty một lợi thế cạnh tranh. (Đôi khi đó còn là chìa khóa để tham gia một thị trường nào đó)

– Cung cấp cho khách hàng và các bên liên quan sự tin tưởng trong cách quản lý rủi ro an ninh thông tin.

– Đảm bảo công ty đang đáp ứng các nghĩa vụ pháp lý và các yêu cầu của các bên quan tâm cũng như các quy định khác của ngành nghề, hiệp hội…

– Thông tin luôn được bảo mật đúng mức, được đảm bảo về tính toàn vẹn chính xác và luôn sẵn sàng đáp ứng yêu cầu công việc.

– Quản lý và giảm thiểu rủi ro.

– Xây dựng văn hóa về ANTT trong tổ chức.

– Bảo vệ tài sản cho công ty.

Ông Nguyễn Tiến Quỳnh

Nhìn từ góc độ học viện an ninh mạng, ông có thể nhận xét thẳng thắn xem các cơ sở đào tạo an ninh mạng trong nhà trường còn thiếu những gì? (Minh Vũ, Hà Nội)

Ông Nguyễn Tiến Quỳnh: Về đào tạo an ninh mạng nói riêng và đào tạo CNTT nói chung, trong nhà trường của Việt Nam hiện nay còn thiếu tính thực tiễn gồm cả kiến thức và phương pháp học. Đầu tiên là cái chúng ta đã đề cập nhiều, học chưa đi đôi với hành, các trường chưa có điều kiện để sinh viên có thể thực hành. Nhưng với một ngành còn mới mà lại có tốc độ thay đổi chóng mặt như an ninh mạng thì cũng rất khó để các trường có thể cập nhật những công nghệ mới để cho sinh viên thực hành. Chính vì vậy, tôi cho rằng cái quan trọng hơn chính là vấn đề về phương pháp học. Phần lớn các em mới là “học” mà chưa biết “hỏi”. Các em đang học một cách thụ động mà chưa có kỹ năng học chủ động. Nếu học chủ động thì với những kiến thức nền tảng được học ở trường, các em hoàn toàn có thể tự bù đắp phần thực tiễn bằng việc tìm thông tin từ các nguồn khác, thậm chí từ những doanh nghiệp hàng đầu về lĩnh vực an ninh mạng nói riêng hay các ngành khác nói chung, ví dụ như thông qua việc xin thực tập ở các đơn vị đó.

Ở những đơn vị đào tạo như NetPro Academy, chúng tôi tạo cho học viên môi trường trải nghiệm giống như trong doanh nghiệp mà các em sẽ gặp khi đi làm. Ngoài ra, chúng tôi cũng cố gắng khơi gợi khả năng tìm tòi và tự giải quyết vấn đề. Chúng tôi quan niệm, trả lời được câu hỏi khó đã là tốt nhưng biết đặt các câu hỏi khó còn tốt hơn.

Năng lực chống đỡ khi xảy ra xung đột mạng, chiến tranh mạng của Việt Nam đã được chuẩn bị đến đâu? Tôi cũng rất tò mò muốn biết Việt Nam chúng ta liệu có một lực lượng phản ứng nhanh cho những tình huống xấu nhất hay chưa? (Anh Vũ Văn Phương, Đống Đa, Hà Nội)

Ông Nguyễn Huy Dũng: Về tổng thể mà nói thì các công tác bảo đảm an toàn thông tin không bao giờ đủ cả, không ai có thể đảm bảo hệ thống của mình được đảm bảo ATTT một cách tuyệt đối. Công tác đảm bảo ATTT tại Việt Nam thời gian qua ngày càng được chú trọng hơn, thu hút được sự quan tâm của lãnh đạo cấp cao nhất, cũng như sự quan tâm của người sử dụng trong cộng đồng xã hội. Tuy nhiên, một cách khách quan mà nói, công tác đảm bảo ATTT của chúng ta hiện nay vẫn còn ở tình thế tương đối bị động, nhiều cơ quan tổ chức chưa có quy trình thao tác chuẩn để đối phó với các cuộc tấn công mạng. Ở Việt Nam, hiện nay đã có đơn vị quản lý nhà nước chuyên trách về ATTT là Cục ATTT trực thuộc Bộ TT&TT. Đối với lực lượng ứng cứu sự cố, Việt Nam cũng có trung tâm ứng cứu khẩn cấp máy tính Việt Nam VNCERT. Bên cạnh đó, các Bộ Quốc phòng và Bộ Công an cũng có những đơn vị chuyên trách cho công tác đảm bảo an ninh mạng, phòng chống chiến tranh mạng.

Tôi là chủ một doanh nghiệp ở Hải Dương, nếu hệ thống của tôi bị tấn công DDoS thì liệu có đường dây nóng nào để tìm kiếm sự hỗ trợ nhanh chóng nhất?

Ông Triệu Trần Đức: Nếu là tổ chức nhà nước, bạn có thể liên hệ với Cục ATTT (Bộ TT&TT), còn nếu là khách hàng của CMC thì có thể liên hệ với đầu mối trong hợp đồng đã cung cấp. Nếu là một công ty đang bị tấn công có thể gọi điện thoại đến số 1900571244 để báo cáo tình trạng và được nhận trợ giúp.

Ông Triệu Trần Đức (bên phải)

Tôi thấy gần đây Cục ATTT của Bộ TT&TT thường có những báo cáo tháng cho thấy không ít trang web của các cơ quan nhà nước bị tấn công hoặc xâm nhập. Vậy cho đến nay những đơn vị, cơ quan nhà nước trong danh sách này đã có hành động gì để tăng cường bảo mật? Nếu không có hành động, liệu các đơn vị đó có bị xử phạt? Minh Phương (Cầu Giấy – Hà Nội)

Ông Nguyễn Huy Dũng: Định kỳ và đột xuất theo yêu cầu thực tế, Cục ATTT sẽ có những cảnh báo về lỗ hổng, điểm yếu cũng như các sự cố trong hệ thống thông tin của các cơ quan, tổ chức Nhà nước. Đối với những sự cố thông thường, trước hết, mỗi cơ quan tổ chức nhà nước sẽ có trách nhiệm tự khắc phục. Tuy nhiên, cũng có một số lỗ hổng, điểm yếu cần có thời gian khắc phục lâu hơn đòi hỏi những đầu tư bổ sung về nguồn lực và trang thiết bị.

Thực tiễn công tác cho thấy, khi nhận được cảnh báo của Cục ATTT, phần lớn các cơ quan tổ chức cũng đã nghiêm túc thực hiện những biện pháp khắc phục. Tuy nhiên, cũng có một số cơ quan nhà nước chưa thực sự quan tâm tới việc này. Hiện tại, chúng ta chưa có hành lang pháp lý để xử lý các cơ quan tổ chức chưa tuân thủ nghiêm các quy định về bảo đảm ATTT. Vừa qua, Quốc hội đã thông qua  Luật ATTT mạng, trong đó, quy định rõ trách nhiệm tối thiểu của các cơ quan tổ chức trong việc đảm bảo ATTT. Bộ TT&TT cũng sẽ khẩn trương hoàn thiện văn bản hướng dẫn Luật để có cơ sở xử lý những hành vi vi phạm.

Em đang học chuyên toán nhưng cảm thấy chuyên ngành an ninh mạng thú vị hơn và muốn nhảy sang ngang. Vậy em cần chuẩn bị những kiến thức nền tảng gì? (Tiến Thắng, Hà Nội)

Ông Nguyễn Tiến Quỳnh: Trước khi nói đến kiến thức, bạn cần chuyển từ “cảm thấy thú vị hơn” thành “yêu thích” hoặc thành “đam mê” thì càng tốt.

Việc bạn đang học chuyên toán chứng tỏ khả năng tư duy logic của bạn đã rất tốt, nếu bạn yêu thích/đam mê ngành an ninh mạng thì có thể nói đó là lợi thế chứ không phải khó khăn như khi người ta chuyển ngành/nhảy ngang. Với khả năng tư duy của bạn, có thêm sự yêu thích/đam mê thì với cá nhân tôi, bạn chỉ cần có ngoại ngữ là đủ.

Gần đây, lực lượng tội phạm mạng liên tục tấn công vào các website của cơ quan nhà nước và các doanh nghiệp. Chúng ta có những phương án gì để kịp thời ngăn chặn những cuộc tấn công kiểu này thay vì phải khắc phục hậu quả những cuộc tấn công giống như trường hợp của Sở GD-ĐT Đà Nẵng gần đây ? (Anh Tuấn Hùng – Quảng Nam)

Ông Nguyễn Tiến Quỳnh: Đầu tiên là nhận thức về vấn đề bảo vệ website của những nhà quản trị các trang web của các cơ quan nhà nước. Hầu như mọi người đưa thông tin lên website như một cổng thông tin nhưng chưa biết cách bảo vệ thông tin và chưa đánh giá được đúng mức độ cần thiết phải bảo vệ các thông tin đó. Đây là lý do lớn nhất làm cho các website của các cơ quan nhà nước dễ bị tấn công. Bên cạnh đó, có một vấn đề nữa là nhiều đơn vị chưa đầu tư đúng mức trong việc bảo vệ thông tin trên các website.

Chính vì thế biện pháp để khắc phục những điểm yếu này là phải nâng cao nhận thức của người dùng cũng như những người quản trị. Đồng thời cũng cần được đầu tư đúng mức những thông tin đã được đưa lên website. Ngoài ra, các cơ quan cũng luôn sẵn sàng chuẩn bị các giải pháp để phòng trước khi bị tấn công, và giải pháp đối phó khi đã bị tấn công.

Vấn đề an ninh mạng đang là vấn đề sống còn ở Việt Nam, tôi muốn biết Chính phủ chi bao nhiêu tiền cho vấn đề này? Hiện chúng ta có bao nhiêu nhân lực làm trong lĩnh vực ATTT? (Độc giả Mạnh Lê – Ninh Bình)

Ông Nguyễn Huy Dũng: Như tôi đã chia sẻ ở trên, Chính phủ rất quan tâm tới công tác đảm bảo ATTT và có phân bổ nguồn lực về đầu tư tài chính cho hoạt động quan trọng này. Hiện nay chưa có một con số thống kê tổng thể về việc Chính phủ đã phân bố bao nhiêu kinh phí cho hoạt động đảm bảo ATTT và thực tế cũng rất là khó để có một con số chính xác. Tuy nhiên, một cách khái quát mà nói, tại Quyết định số 63 QĐTTg ngày 13/1/2010 của Thủ tướng Chính phủ phê duyệt quy hoạch Bảo đảo ATTT số Quốc gia đến năm 2020 đã xác định 7 nhóm dự án trọng điểm với tổng kinh phí vào khoảng hơn 700 tỷ đồng, cho công tác bảo đảm ATTT.

Về nguồn nhân lực trong lĩnh vực ATTT thì cũng như vậy, một số nhân lực hiện nay tuy không học về ATTT nhưng đang tham gia vào lĩnh vực ATTT, vì vậy rất khó có một con số thống kê chính xác là chúng ta đang có bao nhiêu nhân lực làm trong lĩnh vực này. Cuối năm 2014, Cục ATTT có tổ chức khảo sát thống kê số lượng kỹ sư cử nhân chuyên ngành ATTT tốt nghiệp từ 8 cơ sở đào tạo trọng điểm. Kết quả cho thấy, đến hết năm 2014 đã có khoảng 1.500 kỹ sư, cử nhân chuyên ngành ATTT tốt nghiệp ra trường và tham gia thị trường lao động. Hiện nay, Cục ATTT đang chủ trì triển khai đề án đào tạo và phát triển nguồn nhân lực ATTT đến năm 2020. Hi vọng là chúng ta sẽ sớm phát triển được nguồn nhân lực đông đảo về số lượng và có chất lượng cao, đáp ứng tốt nhu cầu ứng dụng và phát triển CNTT của đất nước trong giai đoạn tới.

Là một phóng viên, tôi rất đồng ý với mục tiêu của Đề án tăng cường nâng cao nhận thức an toàn, an ninh thông tin đến năm 2020, nêu rõ ít nhất 90% phóng viên cần được phổ biến về vấn đề này. Vậy liệu trong năm 2016 tới chương trình đào tạo bồi dưỡng cho phóng viên sẽ bắt đầu từ đâu và làm như thế nào? (Hồng Nhung – TP.HCM)

Ông Nguyễn Huy Dũng: Trong năm 2016, Cục ATTT sẽ sớm chủ trì tổ chức tối thiểu từ 1 – 2 lớp bồi dưỡng kiến thức phổ biến những vấn đề cơ bản trong lĩnh vực ATTT để các phóng viên nắm được, qua đó, góp phần thực hiện tốt hơn công tác tuyên truyền phổ biến nâng cao nhận thức và trách nhiệm của xã hội về ATTT.

Ông có thể chia sẻ nhận định chung của các chuyên gia quốc tế về tình hình ATTT của Việt Nam diễn ra tại Đà Nẵng vào đầu tháng 12 vừa qua? (Độc giả Nguyễn Anh – Gia Lai)

Ông Triệu Trần Đức: Nhận định chung của các chuyên gia quốc tế: mọi người đều đồng ý quan điểm chiến tranh mạng đã và vẫn đang diễn ra, giữa Chính phủ với Chính phủ, giữa Chính phủ với tội phạm mạng và giữa các tội phạm mạng với nhau. Tại AVAR 2015, các chuyên gia đã bàn bạc và đưa ra cách thức mới để chia sẻ thông tin nhanh hơn tốt hơn và hỗ trợ người dùng tốt hơn. AVAR 2015 có sự góp mặt của ít nhất 50 công ty Antivirus vì vậy chúng ta sẽ thấy quan điểm về bảo mật sẽ được thể hiện trên nhiều sản phẩm hàng ngày ví dụ như Windows Defender, Avira, Bit Defender… hay là CMC.

Vừa qua, công ty CMC InfoSec cùng với Cục ATTT vừa phối hợp mở khóa đào tạo ngắn hạn về nâng cao kỹ năng về ATTT. Ông thấy năng lực và trình độ của các học viên tham gia khóa học là như thế nào? (Độc giả Hải Khánh – Hà Tây)

Ông Triệu Trần Đức: Năng lực và trình độ của học viên khá đa dạng, trải rộng. Có những người có năng lực tốt và chỉ cần đào tạo trong thời gian ngắn đã có năng lực làm việc tốt. Nhưng ngược lại có những học viên không có nền tảng cơ bản đủ để tiếp thu những kiến thức cơ bản về ATTT. Theo tôi trong thời gian tới, ngoài đào tạo nâng cao kỹ năng cần tăng cường đào tạo cơ bản.

Vừa qua, tôi nghe tin startup FPT lọt vào Top 10 tiềm năng châu Á với giải pháp CyRadar có khả năng dự đoán khả năng bị tấn công. CMC và Bkav liệu có giải pháp nào tương tự? (Anh Đặng Thi – Kon Tum)

Ông Triệu Trần Đức: Theo như tôi biết sản phẩm CyRadar đang trong giai đoạn nghiên cứu phát triển, tham dự một số cuộc thi trong và ngoài nước để gây dựng uy tín. Như CMC Infosec, chúng tôi đang có giải pháp này từ một vài năm để đáp ứng nhu cầu khách hàng. Những công ty về an toàn an ninh thông tin như CMC đã có giải pháp CMC Anti Deface để chống lại vấn đề bị hack, ngăn chặn tấn công và dự báo một số hình thức tấn công thông dụng.

Năm 2014, tôi nhớ hệ thống lớn như của VCCorp còn bị đánh sập. CMC và các công ty bảo mật hãy thử nhận định đến bây giờ khả năng tái diễn các cuộc tấn công như thế có cao hay không? Ông có lời khuyên nào cho các doanh nghiệp? (Độc giả Mai Trang – Thừa Thiên Huế)

Ông Triệu Trần Đức: Theo quan sát của CMC Infosec, khả năng xảy ra những cuộc tấn công tương tự rất cao. Vì hầu hết hệ thống CNTT của doanh nghiệp lớn, thuộc top đầu đều bị tin tặc nằm vùng. Vấn đề là xảy ra khi nào. Nhiều tổ chức chủ quan, chưa chuẩn bị đầy đủ.

Trong thời gian qua các hệ thống CNTT của nhiều hệ thống lớn có nhiều lỗi sơ đẳng, nhưng hiện nay đã được khắc phục. Tin tặc nằm vùng gần như không làm gì nhưng khi có động cơ cụ thể về kinh tế, chính trị mới ra tay. Tức là đã chuẩn bị từ vài năm. Kể cả khi đang hoạt động bình thường không có nghĩa là không bị tấn công, nguy cơ cao. Cần kiểm tra hệ thống thường xuyên, định kỳ.

Tại hội nghị AVAR, “huyền thoại” Mikko Hypponen có liệt kê 5 xu hướng tấn công mạng chủ yếu đang diễn ra trên thế giới. Ông nhận định thế nào về những xu hướng này đối với tình hình ATTT tại VN trong thời gian vừa qua? (Độc giả Anh Tú – Hà Nội)

Ông Triệu Trần Đức: Mikko Hypponen không nói về 5 xu hướng tấn công mà chia hacker thành 5 loại khác nhau. Đầu tiên là loại hacker mũ trắng, hoặc chuyên gia bảo mật như CMC, chuyên gia trong nước – Hacker có thiện chí, đột nhập hệ thống hợp pháp để hỗ trợ các tổ chức để cải thiện an ninh an toàn hơn.

Còn loại mới nhất chính là hacker khủng bố, mục tiêu đột nhập nhằm lấy dữ liệu tình báo… Là loại mới và tàn ác nhất. Chúng ta đương nhiên không biết tại Việt Nam đang như thế nào, nhưng chúng ta cần hết sức cẩn thận. Đương đầu với loại hacker này không chỉ là hacker mũ trắng tham gia đối đầu mà còn rất nhiều các cơ quan chức năng, hữu quan khác cần phải chuẩn bị tham gia.

Hiện có nhiều ý kiến cho rằng tình hình mất ATTT tại VN trong năm 2016 còn tồi tệ hơn, quan điểm của ông về vấn đề này như thế nào? Ông có thể đưa ra nhận định của riêng mình? Xu hướng tấn công mạng nào sẽ là chủ yếu? (Độc giả Mạnh Thắng – Bắc Giang)

Ông Triệu Trần Đức: Nếu khái niệm tồi tệ được hiểu là những thiệt hai đối với doanh nghiệp, tổ chức liên quan đến tiền bị lấy cắp (tiền vận hành, bị đánh cắp, tiền đầu tư…) chảy vào túi tội phạm mạng thì sẽ tồi tệ hơn nhưng tôi cho rằng sẽ không quá tăng mạnh hơn nhiều so với năm 2015.

Xu hướng tấn công trong năm 2016 đương nhiên là tấn công có chủ đích, tấn công nằm vùng và chắc chắn tội phạm sẽ gia tăng đầu tư mạnh cho những công cụ xâm nhập hệ thống cũng như tăng cường năng lực, kỹ năng của chính đội ngũ tội phạm mạng đó. Chắc chắn, thủ đoạn sẽ tinh vi hơn rất nhiều năm 2015.

Hiện nay, nhiều địa phương đã thành lập Tổ ứng cứu sự cố máy tính. CMC đã có hoạt động hỗ trợ nào với các tổ ứng cứu này chưa hay đã nhận được đề nghị hỗ trợ nào chưa? (Độc giả Mai Ngọc – Quảng Bình)

Ông Triệu Trần Đức: Hiện nay CMC cũng có tham gia một số hoạt động, chủ yếu là đào tạo vì đang là bước đầu sơ khai. Nhưng khi những tổ ứng cứu địa phương đi vào hoạt động, CMC sẽ hỗ trợ trong khả năng năng lực mình đã có.

Hiện nay cháu mới vào cấp 3 những cũng rất thích đi theo chuyên ngành an ninh mạng. Cháu nghe nói Việt Nam có dự định thành lập hẳn một trường Đại học An ninh mạng, nhưng tại sao đến giờ này vẫn chưa thấy động tĩnh gì thêm. Dự định này đã được triển khai đến đâu? (Bạn Hà Mạnh – Nghệ An)

Ông Nguyễn Huy Dũng: Tôi rất vui khi biết ý định của bạn. Tuy nhiên, để học tốt ngành An ninh mạng, có lẽ bạn cần tăng cường khả năng nắm bắt, cập nhật thông tin tốt hơn (cười). Thực tế, trong khoảng 2 năm trở lại đây thì đã có 8 cơ sở đào tạo được lựa chọn là cơ sở đào tạo trọng điểm về an toàn an ninh thông tin, theo quyết định số 99/QĐTTg của Thủ tướng Chính phủ, đó là Học viện Công nghệ Bưu chính Viễn thông, Học viện Kĩ thuật Mật mã, trường Đại học Bách khoa Hà Nội, trường Đại học Công nghệ – Đại học Quốc gia Hà Nội, trường Đại học Bách khoa Đà Nẵng, trường Đại học CNTT – Đại học Quốc gia Thành phố HCM, Học viện An ninh Nhân dân và Học viện Kỹ thuật Quân sự. Các trường này đều đã thực hiện tuyển sinh để đào tạo kỹ sư, cử nhân chuyên ngành ATTT, 2 năm vừa qua. Bên cạnh đó, một số cơ sở đào tạo khác như Đại học FPT, hay Đại học Thái Nguyên cũng có mở đào tạo chuyên ngành này. Bạn có thể lựa chọn để dự tuyển vào một trong các cơ sở đào tạo nêu trên. Chúc bạn thành công!

Vừa qua, có chuyên gia quốc tế có nhận định rằng, việc giáo dục ATTT tại Việt Nam từ bậc đại học là quá muộn. Quan điểm của ông như thế nào về vấn đề này? Cục ATTT và Bộ GD&ĐT sẽ giải pháp như thế như thế nào đối với việc tăng cường giáo dục ATTT tại các nhà trường trong thời gian tới. (Anh Thanh Hòa – Hà Nội)

Ông Nguyễn Huy Dũng: Theo tôi, bắt đầu học bất cứ một điều gì cũng không bao giờ là quá muộn cả.

Trên thực tế, chúng tôi hoàn toàn chia sẻ với việc cần sớm trang bị kiến thức kỹ năng về ATTT cho  các bạn học sinh các cấp chứ không chờ đến bậc đại học mới thực hiện đào tạo. Tuy nhiên, như các bạn biết, hiện nay các em học sinh cũng thường xuyên bị quá tải bởi rất nhiều nội dung học kiến thức khác nhau. Chính vì vậy, với vai trò là cơ quan quản lý Nhà nước, chúng tôi cũng không muốn góp phần làm tăng độ nặng của ba lô mà các em học sinh phải đeo trên lưng. Thay vào đó, tại Quyết định số 893/QĐTTg ngày 19/6/2015 của Chính phủ phê duyệt đề án tuyên truyền phổ biến nâng cao nhận thức trách nhiệm về ATTT đến 2020, Bộ TT&TT cũng được giao nhiệm vụ phối hợp với Bộ GD&ĐT để phổ biến kỹ năng và nâng cao nhận thức về ATTT cho các em học sinh thông qua việc tổ chức các hoạt động ngoại khóa, các cuộc thi về ATTT và các tài liệu tuyên truyền dưới dạng hình ảnh đơn giản để các em có thể tiếp thu và làm theo thay vì biến ATTT thành một môn học.

Luật An toàn thông tin mạng đã được Quốc hội thông qua ngày19/11 vừa qua sau một thời gian dài nhận được được sự đóng góp của các ban, ngành, chuyên gia và đông đảo nhân dân. Ông có thể chia sẻ thêm về những khó khăn trong quá trình xây dựng và hoàn thiện bộ luật này? (Độc giả Ngân An – Cao Bằng)

Ông Nguyễn Huy Dũng: Khó khăn lớn nhất là ATTT là một lĩnh vực mới, không chỉ đối với Việt Nam mà còn với rất nhiều nước tiên tiến khác trên thế giới nên chúng ta chưa có nhiều tiền lệ hay thực tiễn để tham khảo, từ đó khái quát thành nội dung luật.

Tôi nghe nói cơ sở hạ tầng thông tin Việt Nam đang sử dụng nhiều đồ Trung Quốc, điều này ẩn chứa những rủi ro tiềm ẩn. Vậy sắp tới vấn đề này sẽ đươc giải quyết thế nào? (Độc giả Châu Hồng Lĩnh – Thái Nguyên)

Ông Nguyễn Huy Dũng: Trung Quốc đã và đang là công xưởng của thế giới. Thật khó để có thể nghĩ ngay ra một thiết bị điện tử nào đó không được sản xuất của Trung Quốc. Các bạn thấy, chẳng hạn điện thoại iPhone của công ty Apple (Mỹ), máy tính xách tay Sony (Nhật Bản) cũng đều được lắp ráp tại Trung Quốc. Bản thân cơ sở hạ tầng thông tin của nhiều quốc gia tiên tiến trên thế giới như Mỹ, Úc,… cũng sử dụng các thiết bị của Trung Quốc và không ngừng lên tiếng cáo buộc Trung Quốc về các vấn đề, rủi ro liên quan đến ATTT. Như vậy, có thể thấy vấn đề bạn nêu ra là một vấn đề không phải chỉ của riêng Việt Nam mà còn là của nhiều nước khác trên thế giới. Đối với vấn đề này, trong thời gian tới, Bộ TT&TT sẽ sớm ban hành các văn bản hướng dẫn Luật ATTT mạng, theo đó, cơ quan chủ quản của các hệ thống thông tin cần định kỳ thực hiện kiểm tra đánh giá về ATTT cho các hệ thống thuộc phạm vi của mình. Chúng ta cũng sẽ áp dụng một số biện pháp phòng ngừa từ xa như việc thực hiện kiểm định, đánh giá về ATTT đối với một số loại hình thiết bị trước khi cho phép nhập khẩu hoặc lưu hành trên thị trường Việt Nam hoạc đưa vào sử dụng trong các hệ thống thông tin quan trọng, nhạy cảm của các cơ quan tổ chức Nhà nước.

Bộ TT&TT chủ trương cho thuê cả dịch vụ bảo mật, những đơn vị ở địa phương có phải giải tán bộ phận bảo mật hay không? (Anh Đình Dương – Hà Nội)

Ông Nguyễn Huy Dũng: ATTT là vấn đề tương đối chuyên sâu, do đó đòi hỏi lực lượng có kĩ năng chuyên nghiệp của các doanh nghiệp chuyên về lĩnh vực này. Đồng thời, ATTT cũng là vấn đề của mọi người, do vậy chúng ta cũng cần cả các cán bộ quản lý và cán bộ CNTT của các bộ ngành địa phương. Vì vậy, Bộ TT&TT chủ trương khuyến khích thuê ngoài những dịch vụ đảm bảo ATTT mà phía cơ quan tổ chức Nhà nước không có đủ điều kiện năng lực để tự thực hiện. Nhưng đồng thời Bộ TT&TT cũng chủ trì tổ chức triển khai quy hoạch kế hoạch quốc gia nâng cao năng lực đảm bảo ATTT cho các bộ ngành địa phương và thực hiện đào tạo bồi dưỡng, tập huấn ngắn hạn để nâng cao kiến thức kĩ năng cho cán bộ chịu trách nhiệm đảm bảo ATTT của các bộ ngành địa phương.

Toàn cảnh buổi tọa đàm

Ngày 19/12 tới, vòng chung kết của cuộc thi Whitehat Grandprix sẽ diễn ra. Ông có thể chia sẻ thêm thông tin về chất lượng cũng như trình độ của các đội tham gia giải lần này ? (Lê Thu Huyền, 26 tuổi – Quảng Trị)

Ông Ngô Tuấn Anh: Vào thứ 7 tuần này 19/12, vòng chung kết của cuộc thi Whitehat Grandprix sẽ diễn ra. Đây là cuộc thi an ninh mạng quy mô toàn cầu đầu tiên được tổ chức tại Việt Nam. Tới thời điểm hiện tại, tất cả các khâu tổ chức cuộc thi đều đã sẵn sàng. Vòng chung kết lần này bao gồm 10 đội thi, được chọn ra từ 500 đội thi ở vòng loại. Một điều rất đáng mừng là 6/10 đội tham gia vào vòng chung kết cũng là các đội dẫn dầu trên bảng xếp hạng các cuộc thi an ninh mạng trên thế giới (Theo CTFTime).

Vòng chung kết này sẽ diễn ra theo hình thức đối kháng (attack & defense). Do vậy, sẽ hứa hẹn việc so găng gay cấn giữa các đội. Bạn đọc quan tâm đến cuộc thi này có thể theo dõi buổi tường thuật trực tiếp tại diễn đàn an ninh mạng VN whitehat.vn

Ông Ngô Tuấn Anh (bên phải)

Những năm gần đây, BKAV liên tục tham gia sản xuất các thiết bị phần cứng như smartphone Bphone và sắp tới, có người cho rằng công ty còn có kế hoạch sản xuất máy tính bảng và đồng hồ thông mình nữa. Qua những điều này, có phải BKAV đang dần xa rời định hướng ban đầu là một công ty chuyên về bảo mật không ? (Nguyễn Minh Thắng, 24 tuổi – Nam Định)

Ông Ngô Tuấn Anh: Mọi người thường biết đến Bkav với vai trò công ty an ninh mạng với phần mềm diệt virus Bkav. Hiện nay, Bkav là một tập đoàn công nghệ hoạt động trong nhiều lĩnh vực như an ninh mạng, phần mềm, Chính phủ điện tử, nhà thông minh… Mỗi mảng có chiến lược, kế hoạch phát triển độc lập. Nhưng nhìn một cách tổng quan thì các bộ phận đó đều nằm trong một hệ sinh thái chung có liên quan mật thiết với nhau, và đều hàm chứa yếu tố về bảo mật. Nói một cách khác, bảo mật luôn là yếu tố nền tảng vững chắc, hậu thuẫn cho các bộ phận khác nhau trong hệ sinh thái do Bkav xây dựng được phát triển một cách toàn diện, hiệu quả hơn. Và ngược lại, các bộ phận trong hệ sinh thái đó cũng có tác động, hiệu ứng để cải thiện và tăng cường hiệu quả của các sản phẩm, giải pháp về bảo mật do Bkav nghiên cứu phát triển.

Bộ TT&TT đề xuất thuê dịch vụ bảo mật, Bkav nhận thấy thị trường này thế nào? (Hoàng Sơn, -TP.HCM)

Ông Ngô Tuấn Anh: Chủ trương thuê dịch vụ CNTT nói chung và dịch vụ an toàn an ninh mạng nói riêng là chủ trương đúng đắn nhằm xã hội hóa các dịch vụ, huy động khả năng của các công ty hoạt động chuyên nghiệp trong lĩnh vực an ninh mạng nhằm cung cấp dịch vụ tốt hơn với chi phí hợp lý hơn cho các đơn vị, tổ chức. Như chúng ta biết, việc đầu tư an toàn bảo mật của các đơn vị, tổ chức theo các dự án hiện nay đa phần chưa có hiệu quả cao. Vì nhiều lý do, trong đó có các yếu tố như năng lực của đơn vị tư vấn xây dựng dự án; việc thiếu hụt nhân lực có trình độ và kỹ năng của đơn vị vận hành sử dụng hệ thống… Điều này gây ra hiện trạng đầu tư lớn nhưng việc đảm bảo cho hệ thống CNTT chưa được tốt. Việc thuê dịch vụ bảo mật, an toàn an ninh mạng sẽ giúp tạo ra thị trường cho các công ty cung cấp dịch vụ chuyên nghiệp có thể cung cấp dịch vụ có chất lượng tốt hơn, chi phí thấp hơn cho các đơn vị, tổ chức, doanh nghiệp thuê dịch vụ. Khi thuê dịch vụ an toàn an ninh mạng, các cơ quan, tổ chức sẽ giảm bớt việc đầu tư các hệ thống riêng biệt, giảm bớt nhân sự chuyên trách trong việc giám sát, vận hành hệ thống, trong khi chất lượng an toàn an ninh mạng lại tốt hơn vì đơn vị cung cấp dịch vụ chuyên nghiệp có kỹ năng, kinh nghiệm nhiều hơn so với khi các cơ quan, tổ chức, doanh nghiệp tự làm.

Nhưng hiện nay, Việt Nam chưa có thị trường dịch vụ bảo mật an toàn an ninh mạng đúng nghĩa. Trong hầu hết các dự án đầu tư CNTT hiện nay, các công ty cung cấp thiết bị lại là đơn vị tư vấn dịch vụ kèm theo luôn. Đa phần những công ty này lại không phải chuyên nghiệp trong lĩnh vực an ninh an toàn mạng. Các đơn vị này thường là đại lý cung cấp một vài sản phẩm nào đó, và họ thường tư vấn luôn cho chủ đầu tư sử dụng các sản phẩm, giải pháp mà họ phân phối. Điều này làm mất tính khách quan trong việc lựa chọn các sản phẩm, giải pháp an toàn ninh mạng cho hệ thống CNTT. Và ngoài ra, do chưa có một yêu cầu cụ thể nào về việc bắt buộc phải xây dựng các hệ thống an toàn bảo mật nên có nhiều đơn vị bỏ qua hạng mục này khi đầu tư xây dựng các hệ thống CNTT.

Một điều đáng mừng là trong Luật An toàn thông tin mạng mà Quốc hội vừa thông qua đã có những quy định bắt buộc các cơ quan, tổ chức khi xây dựng các hệ thống CNTT cần có hệ thống bảo vệ tương ứng tùy theo mức độ quan trọng của hệ thống CNTT. Điều này sẽ góp phần tạo ra được thị trường dịch vụ bảo mật an toàn thông tin đúng nghĩa.

Tôi thấy chất lượng đào tạo nhân lực an toàn thông tin của Việt Nam còn rất yếu, sinh viên vẫn học chay là chủ yếu. Quan điểm của ông về vấn đề nay thế nào? Giải pháp cho vấn đề này ra sao? (Nguyễn Văn Tư – Hà Nội)?

Ông Nguyễn Tiến Quỳnh: Đánh giá của bạn đã được tôi giải đáp ở câu hỏi đầu tiên. Sinh viên cũng không thể đòi hỏi nhà trường cung cấp được điều kiện thực hành cho một lĩnh vực còn rất mới, mà lại thay đổi rất nhanh.

Giải pháp cho vấn đề này là sinh viên phải chủ động trong việc tích lũy kinh nghiệm. Ví dụ: Tham gia thực hành, thực tập ở những đơn vị, doanh nghiệp về lĩnh vực này. Tại nhiều trường hiện nay đang có tình trạng, sinh viên đến các cơ sở thực tập nhưng không thực sự tham gia học hỏi mà chỉ để xin được chứng nhận đã thực tập, giải quyết các yêu cầu, thủ tục của nhà trường, không phải vì mục đích cập nhật kiến thức. Đối với các sinh viên này thì nhà trường cũng như doanh nghiệp rất khó để hỗ trợ.

Còn nếu các bạn sinh viên thực sự muốn học hỏi, tích lũy kinh nghiệm thì có rất nhiều doanh nghiệp lớn về CNTT, an toàn an ninh thông tin sẵn sàng hỗ trợ, tiếp nhận sinh viên đến thực tập.

Tôi nghe nói Việt Nam nếu bị tấn công thì chỉ có cách là rút dây mạng. Điều đó có đúng không? (Minh Hòa – Thái Nguyên)

Ông Triệu Trần Đức: Điều này đúng, không có gì sai. Nhưng có nhiều hệ thống rất quan trọng thì người ta rút dây mạng từ lâu rồi, thỉnh thoảng mới cắm.

Tuy nhiên nếu ý của bạn là rút dây mạng ở tầm quốc gia thì không, không ai làm thế cả. Tốt hơn hết là nên chuẩn bị từ bây giờ để có đủ năng lực chống đỡ các cuộc tấn công.

Xin các anh cho biết mức độ an toàn của các điểm phát Wi-Fi tại Việt Nam hiện nay như thế nào? Là người dùng tôi nên và không nên làm gì khi truy cập điểm Wi-Fi này? (Hồ Thắng – Hà Nội)

Ông Triệu Trần Đức: Nếu máy tính hay thiết bị truy cập vào điểm phát Wi-Fi thì những máy tính chạy Windows rất dễ gặp nguy hiểm. Linux  hay Mac OS thì không gặp vấn đề quá nguy hiểm. Tuy nhiên, nếu dữ liệu truyền trên đường truyền không được mã hóa, đặc biệt là cho các dịch vụ email cho công việc, thì không nên sử dụng bởi hầu hết các điểm truy cập công cộng đều có thể bị một người đang dùng mạng đó chiếm quyền điều khiển. Và từ đó trở thành thiết bị trung gian để bắt dữ liệu của người khác. Nhưng nếu dùng Facaebook hay Gmail ở các điểm phát Wi-Fi công cộng không vấn đề gì bởi đó đều là những kết nối đã mã hóa.

Tại AVAR 2015, ông Mikko Hypponen có nhận định rằng Việt Nam là một quốc gia giàu có về con người và có nhiều chuyên gia an toàn thông tin đẳng cấp thế giới. Thế nhưng, bản thân một số chuyên gia trong nước lại cho rằng mình đang yếu. Vậy theo ông điều này nên hiểu như thế nào? Việt Nam phải làm gì để nâng cao chất lượng đội ngũ chuyên gia an toàn thông tin trong thời gian tới? (Độc giả Tường Minh – TP.HCM)

Ông Hoàng Mạnh Đức: Việc một số anh em chuyên gia an toàn thông tin trong nước cho rằng mình đang yếu theo tôi là một suy nghĩ khiêm tốn vì lĩnh vực an toàn thông tin rất rộng và khó. Tôi cho rằng, đội ngũ anh em chuyên gia vẫn rất cần kết nối với nhau thành một cộng đồng để phát huy sở trường của mỗi người. Bên cạnh đó, đứng trên quan điểm đào tạo, chúng ta cần phổ cập những khóa học về an toàn thông tin theo chuẩn quốc tế ra cộng đồng. Hiện nay, IPSEC.vn đang cung cấp một khóa học về bảo mật mạng nằm trong chương trình đào tạo phi lợi nhuận.

Ông Hoàng Mạnh Đức

Một trong những khó khăn của các doanh nghiệp vừa và nhỏ tại Việt Nam là chi phí để đầu tư cho an toàn thông tin là quá lớn. Trong khi những doanh nghiệp Việt Nam chủ yếu có quy mô vừa và nhỏ ? Theo ông, chúng ta có thể khắc phục vấn đề này như thế nào? (Độc giả Văn Hải – Hưng Yên)

Ông Hoàng Mạnh Đức: Thứ nhất, chúng ta cần trang bị nhận thức đầy đủ về an toàn thông tin để có thể đưa ra được những quyết định cần thiết về đầu tư trang thiết bị cũng như các giải pháp cần cho doanh nghiệp.

Có hai gợi ý bạn thử tham khảo. Một là, mặc dù quy mô doanh nghiệp nhỏ nhưng vẫn cần xây dựng một chính sách hoàn chỉnh về bảo mật thông tin doanh nghiệp. Theo kinh nghiệm của tôi, nhiều khi thông tin doanh nghiệp lại bị thất thoát trực tiếp từ đội ngũ lãnh đạo vì đã bỏ qua và không chú ý đến các quy định về an toàn thông tin. Ví dụ, không bảo mật thiết bị di động, sử dụng hệ điều hành bẻ khóa, cài đặt các ứng dụng di động một cách tùy tiện… Về vấn đề này hệ thống IPSEC.vn sẵn sàng tư vấn hỗ trợ các bạn. Gợi ý thứ hai là, khi doanh nghiệp bạn phát triển đến một quy mô hoạt động nhất định, bạn vẫn cần tìm đến các bên cung cấp giải pháp bảo mật uy tín để được tư vấn.

Vừa qua, nhiều chuyên gia bảo mật trên thế giới đánh giá Việt Nam có nhiều nhiều chuyên gia an toàn thông tin đạt đẳng cấp quốc tế. Theo ông, Việt Nam còn thiếu những gì để tạo lập một cộng đồng nhân lực an toàn thông tin đủ mạnh? (Độc giả Trường Sơn – Phú Thọ)

Ông Hoàng Mạnh Đức: Đúng là ở Việt Nam có rất nhiều chuyên gia an toàn thông tin giỏi nhưng đang thiếu sự kết nối. An toàn thông tin là lĩnh vực rất khó và rộng, vì thế nếu anh em chuyên gia liên kết với nhau để tạo ra một hệ sinh thái thì vấn đề an toàn thông tin mới khả dĩ được giải quyết một cách tối ưu. Và việc kết nối cộng đồng này cần có sự tham gia của các chuyên gia đầu ngành. Nhận thức được điều đó nên hiện nay một số anh em chuyên gia chúng tôi đã và đang setup hệ thống IPSEC.vn nhằm kết nối cộng đồng và chia sẻ kiến thức về an toàn thông tin.

Em đang học chuyên toán nhưng cảm thấy chuyên ngành an ninh mạng thú vị hơn và muốn nhảy sang ngang. Vậy em cần chuẩn bị những kiến thức nền tảng gì? (Độc giả Ngô Mạnh – Hải Phòng)

Ông Hoàng Mạnh Đức: Bạn học chuyên Toán nên kiến thức về mặt thuật toán đã rất tốt, chắc chắn sẽ là ưu thế nếu bạn làm về lĩnh vực An toàn thông tin. Ngoài ra theo kinh nghiệm của tôi để làm về an toàn thông tin các bạn cần chuẩn bị tốt kiến thức về hệ điều hành, giao thức mạng.

Mới đây, Bộ TT&TT có đề xuất thuê dịch vụ an toàn thông tin? Ông bình luận gì về điều này?

Ông Triệu Trần Đức: Đây là điều rất cần thiết, bởi cơ quan nhà nước cần có một bên độc lập, bên thứ 3 có uy tin và chuyên môn đủ tốt, cũng như kinh nghiệm đánh giá bảo mật với các hệ thống chính phủ để đánh giá hệ thống đang vận hành. Ví dụ như hệ thống ngân hàng hoặc Thương mại điện tử thì CMC đã đánh giá nhiều năm nay và một năm được đánh giá khoảng 2-4 lần, dù hệ thống CNTT của chính phủ không liên quan trực tiếp đến tiền hay thương mại điện tử nhưng liên quan đến người dân và các vấn đề của nhà nước thì cần được đánh giá định kỳ, ít nhất 1 lần trong 1 năm.

Một lý do khác cần thuê ngoài đó là thông thường dịch vụ tấn công đánh giá hệ thống đều đòi hỏi kiến thức liên tục cập nhật và các công ty như CMC cũng cần đầu tư nhiều và thường xuyên để nâng cấp trình độ kỹ sư, và theo đánh giá của chúng tôi cơ quan nhà nước không thể đầu tư vào các hạng mục như vậy bởi vốn rất lớn, vì vậy thuê ngoài là hợp lý. Quan trọng là chọn đối tác nào.

Tôi có xem thông tin của CMC là số 1 về mảng bảo mật cho khối Chính phủ. Vậy khối khách hàng thường thì CMC là số mấy? (Độc giả Lê Nam – Hòa Bình)

Ông Triệu Trần Đức: Đối với người dùng thông thường, hiện nay CMC có sản phẩm CMC Antivirus miễn phí cho các máy chạy hệ điều hành Windows. Nếu tính về số lượng người dùng thì trong top từ 2 – 4 các sản phẩm Antivirus tại Việt Nam (số 1 thường là sản phẩm của nước ngoài như Kaspersky, hay Avast). Hy vọng tương lai sản phẩm của CMC sẽ là số 1.

Nghe báo đài đăng về các vụ việc mất cắp qua thẻ ATM mà tôi thấy hoang mang. Phải chăng năng lực bảo mật của các ngân hàng Việt Nam hiện nay chưa theo kịp với thế giới? (Độc giả Tiến Quang, Hoàn Kiếm – Hà Nội)

Ông Triệu Trần Đức: Nếu nói năng lực bảo mật của ngân hàng Việt Nam chưa theo kịp thế giới thì không thể đánh đồng bởi có ngân hàng có độ bảo mật rất cao theo tiêu chuẩn thế giới. Các ngân hàng đều có chuẩn bảo mật, và nếu muốn kết nối với hệ thống của ngân hàng khác thì ngân hàng đó phải có hệ thống đạt chuẩn.

Nếu nói về các hệ thống như core banking (hệ thống lõi ngân hàng) thì đều được đầu tư và không kém so với thế giới. Vấn đề nằm ở ý thức ANTT của  nhân viên ngân hàng. Bản thân lãnh đạo ngân hàng hay bộ phận CNTT rất quan tâm đầu tư bám sát nhưng nếu ý thức người sử dụng không tốt sẽ là cửa ngõ để tin tặc đột nhập vào.

Câu chuyện về ATM thì đúng, không phải ngân hàng nào cũng đầu tư hệ thống chống đánh cắp thông tin thẻ rút tiền tại cây rút tiền bởi đây là đầu tư lớn. Cần phải nói rằng đã có ngân hàng đầu tư bảo vệ cây ATM nhưng ý thức người dùng rất quan trọng bởi nếu thẻ cứ để bừa bãi thì việc bẻ khóa mã PIN cũng không phải quá phức tạp. Nếu rơi vào tay người có  ý đồ xấu và có kỹ năng thì việc mất cắp thông tin như mật khẩu, mã thẻ là rất dễ. Vì mọi thứ vẫn nằm chính trên ý thức người dùng nên người dùng cần phải cẩn thận hơn.

Doanh nghiệp của tôi có làm ăn với các đối tác nước ngoài nên tôi rất quan tâm đến bảo mật thông tin. Tôi thấy trên báo nói rằng nhiều máy tính của doanh nghiệp bị tấn công đánh cắp dữ liệu. Làm sao tôi biết mình có bị đánh cắp hay không? CMC khuyên tôi làm gì? (Độc giả Nam Dương – Nam Định)

Ông Triệu Trần Đức: Doanh nghiệp làm ăn với đối tác nước ngoài thông thường có ý thức bảo mật rất tốt. Không chỉ là đọc báo, thấy thế, mà chính đối tác nước ngoài yêu cầu đối tác trong nước cần phải đạt độ an toàn thông tin nhất định.

Nếu như thực sự không có chuyên gia về an toàn thông tin trong công ty thì việc phát hiện đánh cắp dữ liệu rất khó do tin tặc tinh vi. Để biết hiện trạng an toàn thông tin của doanh nghiệp mình, tốt nhất nên thuê công ty như CMC cung cấp dịch vụ kiểm định bảo mật (Security Audit). Sau khi thực hiện xong dịch vụ, công ty của bạn sẽ được chúng tôi cung cấp cho báo cáo chi tiết và toàn cảnh về hiện trạng an toàn thông tin của doanh nghiệp bạn.

Từ đó, có kế hoạch để khắc phục những vấn đề còn tồn tại trong hệ thống CNTT trong doanh nghiệp. Thậm chí, nếu doanh nghiệp của bạn là doanh nghiệp lớn, giống như doanh nghiệp lớn ở nước ngoài thì chiến lược về ATTT phải được lập 5 năm một lần, song hành với chiến lược phát triển của doanh nghiệp.

Mới đây tôi được biết, NetPro hỗ trợ Bộ TT&TT diễn tập phòng chống tấn công. Tôi muốn hỏi khả năng chống đỡ của Việt Nam khi có tấn công mạng? (Độc giả Mạnh Huy – Hà Nội)

Ông Nguyễn Tiến Quỳnh: Theo một số quan điểm, chiến tranh mạng là đang diễn ra, luôn có nguy cơ xảy ra bất cứ lúc nào, chứ không phải là sẽ xảy ra. Trong các cuộc thi hay diễn tập được tổ chức mang tầm cỡ khu vực hoặc quốc tế, đội Việt Nam luôn đạt được thứ hạng cao.

Nhưng việc diễn tập này chỉ trong một quy mô nhỏ, còn nếu chiến tranh mạng xảy ra thì sẽ ở tầm cỡ quốc gia điều này sẽ đòi hỏi sự kết hợp của nhiều cơ quan, tổ chức phối hợp. Hiện nay, cái khó nhất của Việt Nam là sự phối hợp của các đơn vị chưa kịp thời.

Tuy nhiên, tháng 11/2015, Quốc hội cũng đã thông qua Luật An toàn thông tin. Và theo đánh giá của các chuyên gia, Việt Nam có nhiều chuyên gia xuất sắc về an ninh mạng. Nên tôi tin rằng, khi có chiến tranh mạng ở quy mô quốc gia xảy ra chúng ta cũng có khả năng chống đỡ ít nhất là trong các hệ thống thông tin trọng yếu.

Tôi đã có bằng Đại học và đang đi làm ở một doanh nghiệp tư nhân. Tuy nhiên tôi muốn học thêm về an toàn thông tin vì tôi yêu thích lĩnh vực này. Các anh có khóa nào cho đối tượng như tôi không? Chi phí thế nào? (Độc giả Lâm Bình – Hà Nội)

Ông Hoàng Mạnh Đức: Theo tôi được biết Phòng Thương mại và Công nghiệp Việt Nam – VCCI hiện đang có chương trình nâng cao năng lực CNTT cho các doanh nghiệp vừa và nhỏ. Trong tương lai gần, chương trình này sẽ tập trung vào vấn đề an toàn thông tin. Bạn có thể theo dõi thông tin về chương trình qua VCCI hoặc trên hệ thống IPSEC.vn vì tôi cũng đang là giảng viên của chương trình này.

Một trong những vấn đề nổi cộm của ngành ATTT Việt Nam trong năm 2015 là vấn nạn thư rác. Hiện Việt Nam đang thứ 2 thế giới về tình trạng phát tán thư rác sau Mỹ. Theo ông, liệu chúng ta có thể cải thiện tình trạng này ngay trong năm tới hay không ? (Trần Quang Minh, 22 tuổi, Học viện CNBCVT)

Ông Ngô Tuấn Anh: Về mặt kỹ thuật, việc phát tán thư rác chủ yếu được thực hiện qua các máy tính bị nhiễm mã độc mà chúng ta hay gọi là máy tính ma (botnet). Thông qua một mạng lưới các máy tính ma, những kẻ phát tán thư rác sẽ tiến hành gửi hàng loạt thư rác tới người dùng. Như vậy, để ngăn chặn và giảm bớt lượng thư rác được phát tán, giải pháp cốt lõi là làm sao bảo vệ được những máy tính khỏi nguy cơ lây nhiễm mã độc.

Thực trạng hiện nay tại Việt Nam, tỷ lệ người dùng bị nhiễm mã độc vẫn còn ở mức cao. Điều này xuất phát từ việc người dùng chưa có ý thức bảo vệ máy tính của mình. Một ví dụ đơn giản là mọi người có thể thoải mái cài đặt phần mềm từ Internet mà không cần quan tâm đến nguồn gốc của phần mềm đó. Trong khi đó, một khảo sát gần đây của BKAV cho thấy có tới 7/10 kết quả tìm kiếm những phần mềm phổ biến khi tìm kiếm trên Internet là chứa mã độc.

Như vậy, điều đầu tiên người sử dụng cần phải thay đổi nhận thức của mình trong việc bảo vệ máy tính, không tùy tiện cài đặt phần mềm khi không rõ nguồn gốc, hạn chế bấm vào các đường link nhận được qua chat, mạng xã hội,… Ngoài ra, để bảo vệ trước những nguy cơ luôn thay đổi từ Internet cũng cần trang bị thường trực các phần mềm an ninh, phòng chống virus cho máy tính và các thiết bị cầm tay thông minh.

Ông Triệu Trần Đức: Một máy tính sau khi bị nhiễm mã độc đã thành công cụ của tin tặc và tin tặc sẽ gửi thư rác từ máy tính đó liên tục mà không cần quan tâm đó là máy tính của Việt Nam hay Mỹ, gốc của vấn đề chính là làm thế nào để giảm tỉ lệ lây nhiễm mã độc.

Ai cùng cài phần mềm diệt virus thì tỉ lệ thư rác sẽ giảm đi rất nhiều. Thông thường, các bạn trẻ làm rất tốt điều này, tuy nhiên nguồn phát tán thư rác lại ở nơi công sở hoặc máy tính của người sử  dụng ở tuổi trung niên bởi họ không có ý thức về việc máy tính của mình trở thành công cụ của tin tặc. Vậy nên nếu bạn tuyên truyền cho mọi người quanh mình cùng Bộ TT&TT sẽ đẩy mạnh nhận thức ATTT thì trong tương lai gần, 2 – 3 năm nữa, tỉ lệ này sẽ giảm rất nhiều.

Tại sao nhiều người dùng đã tải phần mềm, ứng dụng bảo mật nhưng thiết bị vẫn bị nhiễm mã độc, virus…? (Độc giả Phi Tuấn – Hà Nội)

Ông Triệu Trần Đức: Vấn đề này có hai lý do. Thứ nhất, virus mới hàng ngày phát triển rất nhanh, số lượng nhiêu, cần thường xuyên phải cập nhật phần mềm diệt virus. Có nhiều phần mềm miễn phí, kể cả của hãng tên tuổi, việc cập nhật sẽ chậm so với phiên bản trả tiền. Do đó, không tự dưng có sự khác biệt giữa phần mềm trả phí và miễn phí. Với nhiều hệ thống trọng yếu, cài nhiều phần mềm bảo vệ vẫn có thể bị tấn công vì đối tượng tấn công sở hữu lỗi của chính phần mềm bảo vệ đó. Tuy rằng chỉ chiếm 0,1% nhưng đặc thù rất lớn.

Tôi dùng máy tính ở công ty, máy tính tôi luôn bật Antivirus đột nhiên chương trình xuất hiện thông báo đã diệt virus liên tục dẫn đến máy chạy rất chậm? Nguyên nhân do đâu? (Độc giả Bình Minh – Thái Bình)

Ông Triệu Trần Đức: Do chương trình diệt virus không đủ mạnh để tiêu diệt đám virus đó, vì thông thường virus không đi một mình mà đi theo đàn. Phần mềm không đủ mạnh nên không diệt được tất cả. Vì vậy bạn nên sử dụng phần mềm diệt virus khác.

 

Tôi nghe nói hacker Trung Quốc tấn công vào rất nhiều máy tính của các tổ chức, doanh nghiệp của Việt Nam. Làm sao tôi có thể biết máy tính của mình có bị tấn công, đánh cắp dữ liệu hay không? (Tri Thức, Hà Nội).

Ông Ngô Tuấn Anh: Việc tấn công đánh cắp dữ liệu vào các cơ quan tổ chức đã được Bkav ghi nhận từ những năm 2012. Rất nhiều cơ quan nhà nước, tổ chức, doanh nghiệp, tập đoàn, tổng công ty lớn đều có ghi nhận về các cuộc tấn công này.

Trước tiên, bạn cần phải tự bảo vệ máy tính của mình bằng cách nâng cao ý thức trong việc không tùy tiện cài đặt những phần mềm không rõ nguồn gốc trên mạng; không tùy tiện bấm vào những đường link nhận được qua chat, mạng xã hội; sử dụng thường trực tường lửa, các phần mềm an ninh phòng chống mã độc trên cả máy tính cũng như các thiết bị di động.

Nếu nghi ngờ máy tính, thiết bị di động của mình bị tấn công, đánh cắp dữ liệu, bạn nên nhờ các đơn vị chuyên nghiệp, chuyên gia tư vấn để kiểm tra, vì những mã độc đánh cắp dữ liệu này thường hoạt động rất tinh vi, có những biện pháp ẩn giấu mà người sử dụng bình thường rất khó phát hiện.

Tôi từng là một hacker mũ đen. Giờ tôi muốn đội mũ trắng thì ai sẽ tiếp nhận những kinh nghiệm mà tôi đang có. Tôi phải gửi tới ai? (Độc giả giấu tên ở Hải Phòng)

Ông Ngô Tuấn Anh: Câu hỏi của bạn thì đã có  đáp án ở trong đó. Trước hết, tôi muốn khuyên các bạn trẻ đã và đang có niềm đam mê trong lĩnh vực bảo mật, ATTT cần nhận thức rõ con đường đi của mình để lựa chọn cho đúng. Bởi vì, con đường này có rất nhiều cám dỗ khiến cho bạn khó có cơ hội làm lại.

Còn đối với những bạn đã trót mắc sai lầm và muốn đem năng lực, khả năng của mình để cống hiến cho lĩnh vực ATTT của đất nước, thì việc sửa sai không bao giờ là muộn. Nhu cầu về nhân lực về an ninh mạng hiện nay rất lớn. Bạn có thể tham gia vào các bộ phận chuyên trách về bảo mật ATTT tại các công ty, tổ chức hoặc chia sẻ kỹ năng kiến thức của mình trên các diễn đàn và cộng đồng an ninh mạng.

Tôi có sử dụng hình thức bảo mật hai lớp cho Facebook nhưng đôi khi tôi không nhận được tin nhắn SMS để đăng nhập trên một thiết bị lạ khác? Tại sao như vậy? (Độc giả Minh Đăng – Hà Nam)

Ông Triệu Trần Đức: Bạn nên thử lại vì số lượng tin nhắn để gửi mật khẩu động cho Facebook và Google rất nhiều và có thể xảy ra tình trạng tin nhắn đi lạc. Nếu tin nhắn của Google không đến bạn có thể chuyển sang chế độ cuộc gọi.

Gần đây em có nghe rất nhiều thông tin về lỗ hổng bảo mật trên Flash Player và biết rằng nhiều trình duyệt như Chrome hay Edge đã thay hẳn trình xem video này bằng HTML5. Vậy em có nên bỏ hẳn Flash Player hay không? (Độc giả Vũ Anh – Sóc Trăng)

Ông Triệu Trần Đức: Nếu như bạn đã hỏi câu hỏi này thì bạn đã có kiến thức về an toàn thông tin. Lời khuyên của tôi là bạn nên bỏ hẳn đi, vì nó có quá nhiều zerodays.

Lưu trữ trên đám mây như thế nào để tránh bị rò rỉ thông tin cá nhân? (Độc giả Tiến Đạt – Đà Nẵng)

Ông Triệu Trần Đức: Phải mã hóa dữ liệu trước khi đưa lên Cloud. Có khá nhiều phần mềm hỗ trợ mã hóa file trước khi tải lên Cloud. Với những phần mềm đó, việc sử dụng file trên máy tính sẽ cảm giác trong suốt không bị mã hóa nhưng không được quên mật khẩu. Vì có khả năng sẽ bị mất hết.

Gần đây tôi thường xuyên gặp những đường link lạ, ngụy trang bài viết của những tờ báo điện tử lớn. Làm thế nào để phân biệt bài viết thật và giả được ngụy trang? (Độc giả Huỳnh Ánh – Cần Thơ)

Ông Triệu Trần Đức: Bạn cần đọc kỹ đường liên kết, ví dụ số 1 có thể biến thành chữ l hoặc số 0 đổi thành chữ O… nên bạn cần đọc kỹ. Hoặc bạn có thể sử dụng chế độ Safe browsing của Chrome hoặc Firefox. Tốt  nhất bạn nên tránh dùng trình duyệt của Microsoft.

Cháu là một học sinh không có tiền. Cháu dùng phần mềm diệt virus của Bkav bản miễn phí. Nhưng nghe nói bản này quét không tốt. Bkav có chính sách gì cho bọn cháu hay không? (Lê Mai – Vũng Tàu).

Ông Ngô Tuấn Anh: Các bản miễn phí hay có phí của Bkav đều sẵn sàng đáp ứng những nhu cầu cơ bản của người dùng. Tuy nhiên, nếu có điều kiện thì bạn nên mua bản có phí để có thể được hỗ trợ trực tiếp từ các chuyên gia khi gặp những vấn đề về virus máy tính trong quá trình sử dụng. Với đề nghị của bạn về chính sách miễn phí dành cho đối tượng học sinh, Bkav xin tiếp thu và sẽ nghiên cứu, triển khai trong thời gian tới.

 Năm ngoái, tôi thấy có công ty bán phần mềm nghe lén. Tôi muốn hỏi Bkav rằng làm sao tôi phát hiện và chống được phần mềm này? (Mỹ Bình – TP.HCM)

Ông Ngô Tuấn Anh: Nếu trên điện thoại của bạn có một số hiện tượng lạ như: máy thường xuyên nóng, dung lượng Internet nếu sử dụng 3G nhanh hết, tính năng định vị tự động bật lên dù không dùng… thì có khả năng điện thoại của bạn đã bị cài phần mềm nghe lén. Bạn có thể kiểm tra trong danh sách các phần mềm cài đặt trên điện thoại để xem có phần mềm nào nghi ngờ, không do mình cài đặt hay không. Nếu có thì cần gỡ bỏ. Tuy nhiên, một số phần mềm nghe lén có khả năng ẩn giấu và người dùng không dễ phát hiện được. Khi này, cần sử dụng các phần mềm an ninh để dò quét và gỡ bỏ.

Hiện nay, có một số quan điểm của người dùng cho rằng, các phần mềm bảo mật thường làm giảm hiệu năng của thiết bị (cả PC lẫn di động) khiến trải nghiệm người dùng bị ảnh hưởng ? Ông đánh giá sao về ý kiến này? (Độc giả Trung Kiên – Phú Yên)

Ông Ngô Tuấn Anh: Đây là quan điểm cũ, đã khá lâu rồi. Trước đây, khi cấu hình của các máy tính cá nhân còn thấp thì việc cài thêm một phần mềm bất kỳ trên máy tính đều ảnh hưởng tới hiệu năng của máy tính đó và  phần mềm diệt virus chỉ là một phần mềm được cài đặt. Tuy nhiên, đa số máy tính cá nhân của người dùng hiện nay thuộc đều có thể cài đặt các phần mềm diệt virus mà không lo lắng về việc hiệu năng bị ảnh hưởng. Bởi vậy, người dùng không nên e ngại vấn đề này mà phải nhận thức rằng việc sử dụng các giải pháp bảo mật là cần thiết để bảo vệ sự an toàn cho chính bản thân mình.

Hiện tại, có nhiều người dùng Việt Nam không quan tâm đến các biện pháp bảo mật cho thiết bị động. Theo ông, cách nhìn nhận này có đúng không? Và tại sao lại như vậy? (Độc giả Hữu Bình – Quy Nhơn)

Ông Ngô Tuấn Anh: Hiện nay, các thiết bị di động như smartphone, máy tính bảng ngày càng đóng vai trò quan trọng đối với người dùng. Sự phát triển của công nghệ làm cho các thiết bị này dần thay thế các máy tính truyền thống. Người dùng lưu trữ dữ liệu quan trọng, sử dụng các dịch vụ như email, duyệt web, truy cập mạng xã hội thường xuyên trên các thiết bị này. Và như vậy, chúng ta cũng cần phải bảo vệ các thiết bị này tương tự như bảo vệ máy tính cá nhân. Mọi người không nên tùy tiện cho mượn các thiết bị này, cẩn trọng khi cài đặt các phần mềm không rõ nguồn gốc, trang bị thường trực các phần mềm an ninh cho các thiết bị di động.

Trách nhiệm của cá nhân và tổ chức đối với thị trường, dịch vụ ATTT được quy định như thế nào trong luật ATTT mạng mới được Quốc hội thông qua vào tháng 11 vừa qua? (Độc giả Hải Thanh – Nam Định): 

Ông Nguyễn Huy Dũng: Trách nhiệm của tổ chức cá nhân đã được quy định rõ trong 54 điều của Luật ATTT mạng. Trong thời gian tới, chúng tôi sẽ tổ chức phổ biến nội dung  này để các tổ chức cá nhân trong xã hội biết và thực hiện. Một cách khái quát và ngắn gọn nhất, tổ chức, cá nhân cần lưu ý 2 nguyên tắc khi tham gia hoạt động ATTT như sau:

– Thông tin cũng là một loại tài sản. Vì vậy, giống như các tài sản hữu hình khác, tổ chức cá nhân trước hết phải có trách nhiệm tự bảo đảm ATTT đối với thông tin và hệ thống thông tin của mình.

– Khi tham gia vào tiến trình ứng dụng và phát triển CNTT, tổ chức cá nhân không được xâm phạm ATTT của tổ chức, cá nhân khác.

Đồng thời, tổ chức, cá nhân phải lưu ý 6 nhóm hành vi bị nghiêm cấm. Cụ thể:

1. Ngăn chặn việc truyền tải thông tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên mạng trái pháp luật.

2. Gây ảnh hưởng, cản trở trái pháp luật tới hoạt động bình thường của hệ thống thông tin hoặc tới khả năng truy nhập hệ thống thông tin của người sử dụng.

3. Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng của hệ thống thông tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống thông tin.

4. Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.

5. Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân.

6. Xâm nhập trái pháp luật bí mật mật mã và thông tin đã mã hóa hợp pháp của cơ quan, tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc.

Mới đây, các hãng công nghệ lớn trên thế giới như Google, Microsoft, CISCO… cam kết sẽ hỗ trợ chính phủ và doanh nghiệp Việt Nam trong việc đảm bảo ATTT trong thời gian tới ? Vậy cụ thể, bước đầu các hãng đã có những động thái như thế nào để thực hiện cam kết này? (Độc giả Nguyễn Thành Tâm – Bình Phước)

Ông Nguyễn Huy Dũng: Cục ATTT đang làm việc chặt chẽ với các hãng trên nhằm tăng cường đảm bảo ATTT tại Việt Nam. Những hoạt động hiệu quả đã được triển khai trong thời gian vừa qua có thể kể ra như: chia sẻ thông tin về lỗ hổng, nguy cơ, hỗ trợ chuyên gia trong việc đào tạo phát triển tập huấn kỹ năng…

Tuy nhiên, do ATTT là lĩnh vực đặc thù nên chúng ta cần thúc đẩy phát triển thị trường, sản phẩm, dịch vụ ATTT trong nước, qua đó thúc đẩy phát triển các doanh nghiệp trong nước và từng bước nâng cao năng lực làm chủ công nghệ để đảm bảo ATTT, trong thời gian tới.

Công ty tôi muốn tuyển dụng 1 nhân viên về an ninh mạng. Tôi muốn nhờ ông tư vấn sẽ tuyển người học ở trường nào thì tốt, thế nào là người có chuyên môn tốt về an ninh mạng? (Độc giả Nguyễn Lê Thúy – Hà Nội)

Ông Nguyễn Tiến Quỳnh: Tôi không thể đánh giá sinh viên trường nào tốt hơn sinh viên trường khác. Về lĩnh vực an ninh mạng sinh viên các trường có truyền thống về kỹ thuật hoặc CNTT sẽ ưu thế hơn. Trong Đề án 99 của Thủ tướng Chính phủ cũng đã lựa chọn một số trường đào tạo trọng điểm về an toàn an ninh thông tin. Ví dụ: Đại học Bách Khoa Hà Nội, Đại học Quốc gia Hà Nội, Học viện Công nghệ Bưu chính Viễn thông, Học viện Kỹ thuật Quân sự, Học viện Kỹ thuật mật mã… Ngoài việc học trường nào thì năng lực cá nhân của người học là yếu tố quyết định. Về mặt tuyển dụng hiện nay, có một số đơn vị không dựa vào bằng cấp, khi phỏng vấn ứng viên yêu cầu ứng viên phải giải quyết bài toán thực tế của doanh nghiệp.

Người có chuyên môn tốt là người năng lực đáp ứng được yêu cầu công việc và sự phát triển của công việc đó. Tùy theo từng vị trí công việc cụ thể, đòi hỏi những kỹ năng khác nhau. Do đó, tùy vào vị trí công việc mà đơn vị bạn muốn tuyển, bạn sẽ có những tiêu chí đánh giá phù hợp.

Nhóm phóng viên ICT

Advertisements

Posted on December 17, 2015, in Tin học and tagged . Bookmark the permalink. Leave a comment.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: