Coi chừng “lỗ hổng” của cổng thông tin điện tử

Nhiều cổng thông tin điện tử (portal) bộ, ngành đang tồn tại những lỗ hổng giúp hacker có thể khai thác dữ liệu của người sử dụng dịch vụ công – đó là cảnh báo của các chuyên gia khi có hơn 100.000 dịch vụ công trực tuyến đã được triển khai trên các cổng thông tin điện tử.

Nhiều cổng thông tin điện tử (portal) bộ, ngành đang tồn tại những lỗ hổng giúp hacker có thể khai thác dữ liệu của người sử dụng dịch vụ công – đó là cảnh báo của các chuyên gia khi có hơn 100.000 dịch vụ công trực tuyến đã được triển khai trên các cổng thông tin điện tử.

Ảnh minh họa.
Ảnh minh họa.

“Mồi ngon” của hacker

Mặc dù dịch vụ công trực tuyến đang tăng trưởng với tốc độ đáng mừng, nhưng trong khuôn khổ Hội thảo “An toàn An ninh thông tin hướng tới tạo dựng niềm tin và thúc đẩy việc sử dụng các dịch vụ xã hội hiện đại”, những thông tin liên quan đến việc sử dụng dịch vụ công trực tuyến được công bố đã khiến những người quan tâm không khỏi lo ngại.

Ông Nguyễn Minh Đức, Giám đốc Bộ phận An ninh mạng, BKAV, cho hay, chỉ trong 3 tháng đầu năm 2012 đã có hơn 400 website lớn ở Việt Nam bị tấn công, trong đó khoảng 20% website/portal có đuôi .gov (website của cơ quan Chính phủ) có cung cấp các dịch vụ công trực tuyến cho người dân, DN.

Đó là chưa kể nhiều website khác bị tấn công mà chưa ai phát hiện ra. “Phần lớn các website/portal bị tấn công bởi những lỗ hổng đơn giản. Chỉ cần 1 phần nhỏ trên website/portal “dính” lỗ hổng thì cũng có thể “giúp” hacker tấn công tiến tới chiếm quyền kiểm soát cơ sở dữ liệu trên máy chủ web, thậm chí chiếm được toàn quyền kiểm soát máy chủ, khai thác được dữ liệu có trên hệ thống máy chủ lưu trữ các giao dịch dịch vụ công trực tuyến của người dân” – ông Đức chia sẻ.

Các báo cáo, khuyến nghị về an toàn bảo mật đã thường xuyên được các đơn vị về an toàn bảo mật đưa ra trong thời gian qua, nhưng có vẻ như tình trạng này chưa được các cơ quan nhà nước cải thiện nhiều.

Theo số liệu của Tập đoàn dữ liệu Quốc tế IDG về Chính phủ điện tử tại Việt Nam, trong năm 2011 đã có tới 94.000 dịch vụ công trực tuyến được cung cấp ở mức độ 1 (có đầy đủ thông tin về quy trình thủ tục, các giấy tờ cần thiết) và mức 2 (cho phép tải về các mẫu đơn, hồ sơ để in ra giấy); 775 dịch vụ được cung cấp ở mức độ 3 (cho phép điền và gửi trực tuyến các mẫu đơn, hồ sơ) và một vài dịch vụ đã được cung cấp ở mức độ 4 - mức cao nhất của hệ thống CPĐT (việc thanh toán chi phí được thực hiện trực tuyến, gửi và nhận kết quả qua bưu điện hoặc qua mạng).

Ông Đức cho hay, từ tháng 6/2011, khi các website lớn của Việt Nam bị hacker tấn công dồn dập và rất nhiều thông tin về việc tấn công website bộ, ngành, DN lớn được đăng tải đồng loạt trên các phương tiện truyền thông, thì nhận thức, hành động của các cơ quan chủ quản website đó đã có sự tiến bộ nhất định.

Nhiều cơ quan, tổ chức đã lên kế hoạch triển khai công tác đảm bảo an ninh năm 2011 – 2012. Tuy nhiên, do Nghị quyết 11 về cắt giảm đầu tư công dẫn đến mâu thuẫn dù có nhu cầu lớn về tăng cường đảm bảo an toàn an ninh song lại không thể đầu tư vì không bố trí được vốn. Phần lớn các kế hoạch hiện nay vẫn nằm trên giấy tờ, chưa được triển khai thực sự.

Quan tâm chưa đúng mực

Ông Nguyễn Đăng Đào, Phó Cục trưởng Cục Quản lý kỹ thuật nghiệp vụ mật mã, Ban Cơ yếu Chính phủ, nhận định, sự quan tâm của các cơ quan Nhà nước đối với việc đảm bảo an toàn bảo mật các dịch vụ công trực tuyến chưa thật sự sâu sắc. Đặc biệt, việc triển khai xác thực chữ ký số và bảo mật mã hóa cho các hệ thống cung cấp dịch vụ công trực tuyến vẫn chưa nhiều.…

“Về nguyên tắc, các portal cung cấp dịch vụ công trực tuyến phải đảm bảo bảo mật. Portal cung cấp dịch vụ công có thu thập thông tin của người dân mà lại để cho tin tặc tấn công đột nhập vào hệ thống thì dịch vụ công đó không đạt yêu cầu” - ông Vũ Quốc Khánh, Giám đốc Trung tâm ứng cứu khẩn cấp máy tính Việt Nam VNCERT (Bộ Thông tin và Truyền thông), nhận định.

Để đảm bảo an toàn cho một hệ thống cổng thông tin điện tử, từ giữa năm ngoái, Bộ Thông tin và Truyền thông đã công bố tài liệu hướng dẫn do VNCERT biên soạn, trong đó đã nêu một loạt biện pháp tổng thể bảo vệ hệ thống từ hạ tầng, server, đường truyền cho đến các dịch vụ web, cơ sở dữ liệu... Đây là cơ sở để các cơ quan Nhà nước có biện pháp rà soát, kiểm tra thường xuyên để đảm bảo không có các lỗ hổng trên website/portal.

Đoàn Mạnh

Đọc thêm