Các nguy cơ mất an toàn thông tin trên máy tính

Ngày nay, an toàn thông tin [ATTT] đã trở thành yêu cầu sống còn với tất cả doanh nghiệp, tổ chức, cá nhân, khi lỗ hổng bảo mật chứa những ẩn họa khó lường.

Không chỉ startup mới chập chững trên thương trường, cả những gã khổng lồ công nghệ thế giới cũng có thể có “gót chân Achilles” và trở thành nạn nhân của những cuộc tấn công mạng.

Rủi ro từ lỗ hổng bảo mật

Đầu năm 2010, khoảng 5.000 máy ly tâm tại nhà máy hạt nhân ở Natanz, Iran đã “hóa điên” trong cuộc tấn công mạng khiến Tehran trở tay không kịp. Thủ phạm được xác định là virus Stuxnet. Stuxnet đã lợi dụng lỗ hổng an ninh chưa có bản vá - được gọi là lỗ hổng "Zero-day" - trong Windows để kiểm soát các máy tính điều khiển máy ly tâm phục vụ việc làm giàu uranium.

Giới chuyên gia bảo mật đánh giá cuộc tấn công của “tên lửa mạng” Stuxnet đã kéo lùi sự phát triển chương trình hạt nhân tham vọng của Iran khoảng 2 năm. Đây cũng là một trong những vụ tấn công "Zero-day" lớn nhất và gây thiệt hại nặng nề nhất thế giới.

Thuật ngữ Zero-day được sử dụng để mô tả các lỗ hổng bảo mật chưa được biết đến hoặc chưa được khắc phục trong phần mềm hoặc ứng dụng. Lỗ hổng bảo mật hay điểm yếu là khiếm khuyết mà tin tặc có thể sử dụng để khai thác tấn công vào các hệ thống, phần mềm, nhằm thực hiện các hành động phi pháp, ảnh hưởng xấu đến cá nhân, doanh nghiệp.

Trong thời đại chuyển đổi số diễn ra mạnh mẽ hiện nay, với vô vàn ứng dụng công nghệ trong đời sống, lỗ hổng bảo mật trở thành mảnh đất màu mỡ để tin tặc tấn công, trục lợi, gây tổn hại cho hàng tỷ người dùng trên toàn thế giới nói chung và Việt Nam nói riêng. Theo một thống kê của Cybersecurity Venture, tội phạm mạng toàn cầu gây thiệt hại 6.000 tỷ USD trong năm 2021. Con số này ước tính sẽ lên đến hơn 10.000 tỷ USD vào năm 2025.

Các lỗ hổng bảo mật này không chỉ ảnh hưởng đến hàng tỷ người dùng cá nhân trong các vụ lừa đảo tài chính, phát tán thông tin, mà tin tặc còn có thể lợi dụng để nhắm đến các cơ quan, tổ chức lớn. Đặc biệt, các hacker sẽ lợi dụng lỗ hổng để tấn công và nhúng mã độc vào trong phần mềm, từ đó kiểm soát mọi hệ thống của toàn bộ khách hàng.

Tại Việt Nam, theo thống kê, năm 2020, thiệt hại do virus máy tính gây ra đã đạt kỷ lục mới, vượt mốc 1 tỷ USD. Năm 2021, các lỗ hổng bảo mật càng gia tăng khi nhiều tổ chức, doanh nghiệp buộc phải mở hệ thống ra Internet để nhân viên có thể truy cập và làm việc từ xa trong bối cảnh dịch bệnh.

An toàn thông tin cho doanh nghiệp

Các chuyên gia khuyến cáo doanh nghiệp cần xây dựng chiến lược ATTT dài hạn, theo sát đặc thù hoạt động sản xuất; cần chuẩn hoá các quy định, quy trình về phòng tránh, xử lý, điều tra sự cố và ứng phó khủng hoảng.

Doanh nghiệp cũng cần đảm bảo ATTT đối với người dùng cuối - một trong những mắt xích chứa nhiều điểm yếu nhất - bằng cách thường xuyên triển khai hoạt động nâng cao nhận thức, trang bị kỹ năng đảm bảo an toàn, an ninh mạng cho lãnh đạo, nhân viên.

Các chuyên gia khuyến nghị thời điểm bắt đầu gây dựng công ty là giai đoạn tốt nhất để xây dựng văn hóa bảo mật, dù với tiềm lực tài chính nhỏ. Công ty cũng cần kiểm soát an ninh trong suốt vòng đời phát triển và triển khai sản phẩm bằng cách áp dụng các tiêu chuẩn, checklist an toàn thông tin như OWASP, trang bị kiến thức ATTT cho đội ngũ phát triển, vận hành ứng dụng và kiểm soát các tiện ích được cung cấp bởi bên thứ 3.

Không chỉ tấn công các phần mềm quốc tế với hàng tỷ người dùng, hacker còn nhắm vào cả những sản phẩm công nghệ bản địa tại những quốc gia có tiềm năng về lượng người dùng Internet. Với 70% dân số sử dụng Internet và các tiện ích như mạng xã hội, Việt Nam được xem là một mục tiêu rất hấp dẫn của tội phạm mạng.

Theo công ty an ninh mạng VinCSS thuộc Tập đoàn Vingroup, 3 năm qua, đội ngũ chuyên gia của công ty đã phát hiện hơn 100 lỗ hổng bảo mật trong nhiều sản phẩm công nghệ, phần mềm và cả các nền tảng, dịch vụ trực tuyến nổi tiếng, phổ biến toàn cầu.

Riêng năm 2021, VinCSS đã phát hiện 40 lỗ hổng bảo mật, trong đó có đến 37 lỗ hổng ở mức nghiêm trọng trở lên. Đáng chú ý, những “ông lớn” công nghệ Microsoft, Adobe, Oracle… cũng góp mặt trong danh sách có sản phẩm, phần mềm chứa điểm yếu được công ty phát hiện, công bố.

Bên cạnh các lỗ hổng ảnh hưởng trực tiếp đến người dùng cuối, VinCSS còn phát hiện nhiều điểm yếu bảo mật có thể cho phép tin tặc lợi dụng tấn công vào doanh nghiệp, tổ chức lớn.

Đơn cử, chuyên gia Đặng Thế Tuyến, nhân vật liên tục được Microsoft vinh danh trong bảng vàng các nhà nghiên cứu bảo mật tiêu biểu giai đoạn 2020-2021, đã phát hiện 26 lỗ hổng bảo mật, với 5 lỗ hổng thuộc một nền tảng giám sát, quản trị doanh nghiệp phổ biến hàng đầu thế giới. Nền tảng này nếu bị tấn công sẽ gây ảnh hưởng nghiêm trọng cho khách hàng toàn cầu, trong đó có gần 10 ngân hàng lớn và những tập đoàn, doanh nghiệp công nghệ, tài chính, bất động sản, bảo hiểm… top đầu thị trường.

Việt Nam đang thăng hạng nhanh trong giới nghiên cứu ATTT toàn cầu nhờ sở hữu nhiều chuyên gia bảo mật thường xuyên vào top đầu các bảng xếp hạng của Microsoft hay Bugcrowd [nền tảng tìm kiếm lỗ hổng bảo mật lớn nhất].

Các chuyên gia bảo mật Việt Nam cũng đạt nhiều chứng chỉ uy tín của SANS [Mỹ] - học viện đào tạo bảo mật hàng đầu thế giới, và mới đây nhất là đạt giải tại Pwn2Own - cuộc thi tấn công mạng uy tín nhất thế giới. Sự ghi nhận quốc tế cũng khẳng định năng lực và nỗ lực của các doanh nghiệp ATTT nội trong việc bảo vệ sự an toàn, ổn định của không gian mạng thời 4.0.

Kiến thức cơ bản về an toàn thông tin
Các nguy cơ mất an toàn thông tin

1. Biết phân biệt giữa dữ liệu và thông tin. Biết cách thức lưu trữ, vận chuyển dữ liệu và thông tin trong môi trường truyền thông.
2. Hiểu các loại nguy cơ đối với dữ liệu: mất cắp, mất an toàn [safety] về vật lý [hư hỏng môi trường lưu giữ, các thảm họa - chiến tranh, thiên tai, cháy nổ], không đảm bảo an toàn thông tin trong khai thác, sử dụng.
3. Hiểu nguồn gốc các nguy cơ đối với việc đảm bảo an toàn thông tin: từ nhân viên, các nhà cung cấp dịch vụ, từ các cá nhân bên ngoài. Hiểu khái niệm tội phạm mạng [cybercrime].
4. Biết các điểm yếu của máy tính cá nhân [lây nhiễm virus và các phần mềm độc hại - malware].
5. Biết về các lỗ hổng bảo mật hệ thống: của hệ điều hành, hệ quản trị cơ sở dữ liệu, dịch vụ Internet. Biết các khái niệm và phương thức hoạt động của các thiết bị bảo mật.

1. Hiểu và phân biệt việc đảm bảo an toàn cho tổ chức như chính phủ, doanh nghiệp và đảm bảo an toàn cho cá nhân khi tham gia các hoạt động trên mạng.
2. Biết các đặc trưng cơ bản của an toàn thông tin: tính mật, tính toàn vẹn, tính sẵn sàng, tính xác thực.
3. Biết các quy định phổ biến về bảo vệ, gìn giữ và kiểm soát dữ liệu, sự riêng tư tại Việt Nam.
4. Hiểu vai trò của các lĩnh vực liên quan đến an toàn dữ liệu: chính sách, tổ chức, biện pháp quản lý và các giải pháp công nghệ.
5. Biết về tiêu chuẩn TCVN ISO/IEC 27001:2009. Biết một số chính sách cơ bản về an toàn thông tin và một số văn bản pháp luật về an toàn thông tin của Việt Nam. Hiểu tầm quan trọng của việc xây dựng và thi hành chính sách an toàn thông tin đối với việc ứng dụng CNTT.

1. Hiểu cách virus thâm nhập vào máy tính [ví dụ: khi sao chép các tệp vào máy tính, khi mở thư điện tử và các tệp đính kèm thư]. Biết cách chủ động phòng, tránh virus cho máy tính cá nhân như tuân thủ chặt chẽ các quy tắc kiểm soát khi sao chép các tệp lạ, cài đặt phần mềm; sử dụng các phần mềm chống virus, phần mềm an ninh mạng đúng cách.
2. Hiểu tác dụng và hạn chế chung của phần mềm diệt virus, phần mềm an ninh mạng. Biết cách sử dụng hiệu quả các phần mềm diệt virus, phần mềm an ninh mạng và cập nhật thường xuyên các phần mềm này.

1. Hiểu về thông tin cá nhân: thông tin định danh [identity], tài khoản cá nhân [tên người dùng, mật khẩu truy nhập]; thông tin cá nhân, tài chính, kinh doanh, pháp lý và một số chi tiết liên quan đến cá nhân có thể bị lợi dụng, xâm hại khác.
2. Hiểu cách thức thông tin cá nhân được sử dụng: để truy nhập vào máy tính, vào tệp, vào mạng và khai báo trong các giao dịch trên mạng.
3. Hiểu cách thông tin cá nhân có thể bị lấy cắp thông qua các phần mềm độc dùng để lấy cắp dữ liệu phần mềm quảng cáo [adware], gián điệp [spyware], botnet, dò gõ phím [keystroke logging], quay số [dialler] và các phần mềm tương tự.
4. Biết một số hành vi tội phạm như thu thập trái phép thông tin, lừa đảo, truy nhập trái phép vào hệ thống máy tính. Biết một số phương thức thực hiện các hành vi phạm tội này như cuộc gọi qua điện thoại, lừa đảo [phishing], nhìn lén thông tin [shoulder surfing].
5. Biết cách phòng chống mất cắp thông tin cá nhân và phòng chống lừa đảo, lợi dung trên mạng cơ bản như không cung cấp thông tin nhạy cảm, cảnh giác với các giao dịch lạ, áp dụng mật mã đối với các thông tin nhạy cảm.

1. Biết tầm quan trọng và hiệu quả của việc thiết lập chế độ an toàn chung [macro security settings].
2. Biết tầm quan trọng và cách đặt mật khẩu đối với tệp, tệp tin nén.
3. Hiểu một số biện pháp mã hóa dữ liệu. Biết các ưu điểm và hạn chế khi sử dụng mật mã [encryption] đối với tài liệu.

1. Biết một số phương thức tấn công mạng chủ yếu của tin tặc [hacker] như trinh sát, dò quét, tấn công vào các điểm yếu, sử dụng các lỗ hổng an toàn. Biết về một số dạng tấn công phổ biến qua mạng Internet chính như tấn công từ chối dịch vụ [DOS], botnet.
2. Biết về các cơ chế và công nghệ chống lại tấn công trên mạng như phân vùng mạng, mạng riêng ảo [VPN], một số hệ thống bảo vệ phổ biến [ví dụ: tường lửa]. Hiểu chức năng và giới hạn của tường lửa.
3. Biết các công nghệ bảo vệ hệ thống cơ bản như đăng nhập, kiểm soát truy nhập, quản trị mật khẩu, quản trị người sử dụng, khai thác tệp tin hồ sơ truy nhập [log].
4. Hiểu các chế độ đảm bảo an toàn của mạng: kiểm soát phần mềm độc, kiểm soát truy nhập trái phép dữ liệu, đảm bảo tính riêng tư [maintaining privacy]. Biết cách kết nối với một mạng có các chế độ đảm bảo an toàn đó.

1. Biết ưu/nhược điểm của các phương thức kết nối với một mạng [cáp, không dây]. Biết các vấn đề liên quan đến bảo mật mạng không dây. Biết các nguy cơ bị nghe trộm và đánh cắp dữ liệu từ mạng không dây.
2. Hiểu tầm quan trọng của việc bảo vệ mật khẩu truy cập cho mạng không dây. Biết cách kết nối với một mạng không dây được bảo vệ/không được bảo vệ.
3. Biết các phương pháp bảo mật cho mạng không dây như WEP [Wired Equivalent Privacy], WPA [Wi-Fi Protected Access], WPA2 [Wi-Fi Protected Access 2], MAC [Media Access Control].

1. Biết nguyên lý và các kiến trúc hệ thống để phát hiện và chống xâm nhập trái phép. Biết các kỹ thuật phát hiện và ngăn chặn xâm nhập trái phép.
2. Hiểu được mục đích của một tài khoản mạng và biết cách sử dụng nó để truy cập mạng.
3. Biết cách vận dụng các chính sách mật khẩu tốt [không chia sẻ mật khẩu, thay đổi thường xuyên, đảm bảo chiều dài mật khẩu, mật khẩu có đầy đủ chữ, số và ký tự đặc biệt].
4. Biết về các giải pháp bảo mật sử dụng công nghệ sinh trắc học trong kiểm soát truy cập như dấu vân tay, quét mắt.

1. Hiểu sự cần thiết khi thực hiện các giao dịch trực tuyến [mua hàng, giao dịch tài chính] trên các trang web an toàn. Biết các dấu hiệu của một trang web an toàn như https, biểu tượng khóa.
2. Biết khái niệm xác thực số. Hiểu lợi ích của mật khẩu dùng một lần.
3. Biết cách sử dụng chế độ tự động hoàn chỉnh, tự động lưu khi soạn thảo một biểu mẫu khai trên mạng.
4. Hiểu thuật ngữ cookie và biết cách chọn các cài đặt thích hợp để cho phép hoặc ngăn chặn cookie.
5. Biết cách xóa dữ liệu cá nhân từ một trình duyệt như lịch sử duyệt web [browsing history], các tệp Internet được lưu [cached Internet files], mật khẩu [password], cookies, các dữ liệu tự điền [autocomplete data].
6. Hiểu được mục đích, chức năng một số loại phần mềm kiểm soát nội dung như phần mềm lọc Internet, phần mềm kiểm soát truy nhập Internet.

1. Hiểu biết về mối nguy hiểm tiềm năng khi sử dụng các trang mạng xã hội. Hiểu được tầm quan trọng của việc không tiết lộ thông tin bí mật trên các trang web mạng xã hội.
2. Hiểu sự cần thiết phải áp dụng các đặc tính riêng tư cho tài khoản mạng xã hội.

1. Hiểu mục đích của việc mã hóa, giải mã đối với thư điện tử [e-mail].
2. Hiểu thuật ngữ chữ ký số. Biết cách tạo và điền một chữ ký số vào thư điện tử.
3. Nhận biết nguy cơ từ các thư điện tử không không rõ nguồn gốc.
4. Biết khái niệm lừa đảo [phishing]. Biết các đặc điểm chung của lừa đảo như dùng tên của các công ty, cá nhân hợp pháp, các liên kết web không đúng.
5. Biết mối nguy hiểm đối với máy tính khi mở thư có đính kèm phần mềm độc. Biết cách phòng ngừa khi mở các thư có đính kèm các tệp đáng nghi.

1. Hiểu biết về các lỗ hổng bảo mật đối với tin nhắn tức thời [IM] như phần mềm xấu, truy nhập theo lối cửa sau [backdoor access].
2. Biết cách áp dụng các phương pháp bảo mật khi dùng nhắn tin như dùng mật mã, không để lộ thông tin quan trọng, hạn chế chia sẻ tệp.

1. Biết các cách bảo vệ vật lý cho thiết bị như khóa vị trí và chi tiết về thiết bị, khóa cáp [cable locks], kiểm soát tiếp cận vật lý.
2. Biết khái niệm sao lưu [backup] dữ liệu và tầm quan trọng của việc này. Biết các chế độ sao lưu và vai trò của chúng như sao lưu thường xuyên, theo lịch, theo địa điểm.
3. Biết cách sao lưu dữ liệu.
4. Biết cách khôi phục dữ liệu sao lưu và xác nhận dữ liệu.

1. Hiểu được lý do xóa dữ liệu vĩnh viễn từ ổ đĩa hoặc các thiết bị lưu trữ khác.
2. Phân biệt giữa việc xóa dữ liệu và hủy dữ liệu vĩnh viễn.
3. Biết ưu nhược điểm của các phương pháp hủy dữ liệu vĩnh viễn phổ biến như phá ổ đĩa, dùng công cụ phá hủy.