Tăng cường bảo mật cho các cổng thông tin điện tử
Cổng thông tin điện tử (cổng thông tin) đã trở nên thông dụng, được rất nhiều cơ quan, tổ chức dùng làm kênh cung cấp, trao đổi thông tin. Tuy nhiên, một số vụ việc nghiêm trọng xảy ra gần đây cho thấy, công tác quản trị, bảo mật các cổng thông tin này còn nhiều hạn chế, cần phải khắc phục triệt để.
Lời cảnh báo từ hai vụ việc
Tháng 6-2019, dư luận xôn xao trước việc cổng thông tin của Viện Khoa học Xã hội và Nhân văn, Trường Đại học Vinh đăng tải bài viết “Thông báo học bổng xã hội dân sự VOICE lần thứ 9”. Bài viết này được đăng lên lúc 5 giờ 50 phút ngày 29-12-2018. Đáng chú ý, VOICE là một tổ chức phản động. Bản chất của tổ chức này là chống phá chính quyền Việt Nam, truyền bá tư tưởng về xã hội dân sự, kích động người dân chống đối chính quyền. Một trong những hoạt động được VOICE thực hiện thường xuyên là cung cấp các học bổng về xã hội dân sự. Thực chất đây là lớp huấn luyện, đào tạo, trang bị các kiến thức đấu tranh chống đối và tập trung lực lượng.
Theo ông Nguyễn Hồng Soa, Trưởng phòng Hành chính tổng hợp, người phát ngôn của Trường Đại học Vinh: “Thông báo học bổng xã hội dân sự VOICE lần thứ 9” là do cán bộ của Viện Khoa học Xã hội và Nhân văn đăng tải. Tuy nhiên, lãnh đạo nhà trường và lãnh đạo của viện không biết. Nhà trường đã mời Phòng An ninh chính trị nội bộ (PA 83), Công an tỉnh Nghệ An vào điều tra, làm rõ xem ai là người đăng thông tin, mục đích là gì và có quan hệ với tổ chức VOICE hay không?
Mới đây, một vụ việc tương tự cũng xảy ra tại Trường Tiểu học thị trấn Yên Lạc, huyện Yên Lạc (Vĩnh Phúc). Cụ thể, cổng thông tin của nhà trường đăng tải bài viết “30 tháng 4 mãi không quên” có nội dung sai trái, bôi nhọ lịch sử đất nước. Bài viết này được đăng từ ngày 23-4-2018 nhưng mãi cuối tháng 9-2019 mới bị phát hiện, gỡ bỏ. Sau khi phát hiện bài viết này, phóng viên Báo Quân đội nhân dânđã trao đổi trực tiếp qua email với ông Nguyễn Xuân Thông, Chủ tịch UBND huyện Yên Lạc theo địa chỉ ThongNX@vinhphuc.gov.vn và ông Trần Dũng Long, Phó giám đốc Sở Giáo dục và Đào tạo tỉnh Vĩnh Phúc. Khoảng một giờ sau thì bài viết này bị xóa khỏi website trên. Ông Trần Dũng Long hồi âm lại cho phóng viên với nội dung: “Tất cả cán bộ, giáo viên nhà trường đều cam kết không ai viết, đăng nội dung nói trên. Hiện nay, Công an tỉnh Vĩnh Phúc và huyện Yên Lạc đang điều tra xác minh”.
Hai sự việc trên chính là lời cảnh báo về những lỗ hổng trong công tác bảo mật, quản lý đăng tải, kiểm soát nội dung trên cổng thông tin của các cơ quan, đơn vị.
Chú trọng sử dụng nhiều biện pháp bảo mật
Theo thông tin từ Bộ Thông tin và Truyền thông, 6 tháng đầu năm 2019, tại Việt Nam xảy ra 3.159 vụ tấn công mạng vào các hệ thống thông tin, trong đó có 968 cuộc tấn công thay đổi giao diện (Deface), 635 cuộc tấn công cài cắm mã độc (Malware), 1.556 cuộc tấn công lừa đảo (Phishing). Còn trong một hoạt động đánh giá bảo mật mới từ Công ty Cổ phần An ninh mạng Việt Nam (VSEC) cho thấy, số lượng website ngày càng tăng nhưng vấn đề bảo đảm an toàn an ninh thông tin website ở Việt Nam vẫn chưa được chú trọng đúng mức. Các chuyên gia từ VSEC cho biết, hiện nay có khoảng 60% website ở Việt Nam đang dính các lỗ hổng bảo mật, phổ biến nhất hiện tại là các lỗi phân quyền người dùng (Broken access control), Cross-site scripting (XSS-một lỗ hổng ứng dụng website cho phép kẻ tấn công đưa các tập lệnh độc hại vào phần nội dung các website), Cross-site request forgery (CSRF-một kỹ thuật tấn công website, sau đó đăng tải dữ liệu trái phép lên website bị tấn công), SQL injection (SQLi-một kỹ thuật tấn công website và thi hành các câu lệnh SQL bất hợp pháp)... Ngoài ra, các đối tượng cũng có thể tấn công Brute force (kỹ thuật dò tìm mật khẩu) nhắm vào mật khẩu admin (người nắm quyền điều hành, quản trị website); chèn mã độc vào website; tấn công từ chối dịch vụ phân tán (DDoS); tấn công đánh cắp dữ liệu website và thông tin khách hàng; tấn công Hosting (dịch vụ lưu trữ website) và Database (dữ liệu); tấn công website thông qua nhân sự trong tổ chức… để chiếm quyền điều hành website.
Anh Đỗ Thành Trung, chuyên gia về bảo mật và an toàn thông tin, Công ty Cổ phần Phát triển phần mềm và Hỗ trợ công nghệ (Misoft) cho biết: “Tuy hình thức tấn công thông qua các lỗ hổng đơn giản nhưng gây ra những thiệt hại khôn lường tới cơ quan, tổ chức như hệ thống bị tê liệt, bị xóa dữ liệu, thời gian khôi phục rất dài và mức độ thiệt hại lớn về kinh tế, uy tín. Hai trường hợp nêu trên rất có thể là nạn nhân của các kỹ thuật tấn công nêu trên”.
Theo anh Đỗ Thành Trung, đối với các cơ quan, tổ chức có quy mô nhỏ thì đầu tư hệ thống bảo đảm an toàn thông tin cho việc quản trị, vận hành cổng thông tin là rất khó. Tuy nhiên, những người trong ban quản trị có thể áp dụng một số biện pháp sau để tăng cường tính bảo mật: Sử dụng mật khẩu mạnh, phức tạp, có chứa các ký tự in hoa, số, ký hiệu đặc biệt và sắp xếp để trở thành một chuỗi ký tự vô nghĩa thì càng tốt; không nên đặt mật khẩu trùng nhau cho các dịch vụ (như mật khẩu facebook cá nhân phải khác mật khẩu quản trị website, khác luôn mật khẩu email). Sử dụng phần mềm Keepass để tạo file lưu mật khẩu và được mã hóa; bật xác thực hai bước cho trình quản lý; giới hạn lần đăng nhập trang quản trị; phòng, chống mã độc và bảo mật mã nguồn website; nói không với các theme (giao diện website) và plugin (phần bổ trợ) không rõ nguồn gốc; thường xuyên sao lưu dữ liệu; sử dụng tường lửa ứng dụng website (Web Appication Firewall-WAF) giúp máy chủ web tránh khỏi những hình thức tấn công phổ biến như XSS, SQLi…
Để tránh xảy ra những trường hợp tương tự nêu trên, chúng tôi cho rằng các cơ quan, tổ chức đang sử dụng, vận hành cổng thông tin điện tử cần rà soát lại công tác quản lý và nhanh chóng áp dụng các biện pháp bảo mật, tránh bị lợi dụng để đăng tải những nội dung sai trái.