Từ vụ tin tặc tấn công hệ thống thông tin mạng tại sân bay Nội Bài và Tân Sơn Nhất mới đây, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách An ninh mạng của Bkav cho hay, hiện Việt Nam có khoảng 300.000 thiết bị định tuyến (Router), trong đó hơn 90% có nguồn gốc, xuất xứ từ Trung Quốc. Khi sử dụng những thiết bị này làm tăng nguy cơ bị chiếm quyền điều khiển thiết bị và tấn công có chủ đích của kẻ xấu.
An toàn bay được đảm bảo tuyệt đối
Là người trực tiếp tham gia khắc phục sự cố tin tặc tấn công hệ thống sân bay Nội Bài và Tân Sơn Nhất hôm 29/7, tới thời điểm này, ông có thể cập nhật thông tin khắc phục ra sao? Nhận định như thế nào về sự an toàn hệ thống quản lý bay?
Nhiều người vẫn đang nghĩ rằng ngành Hàng không chỉ có một hệ thống mạng xuyên suốt. Song thực tế, hệ thống hàng không gồm ba thành phần: Vận tải hàng không, cảng hàng không – sân bay và quản lý bay. Mỗi thành phần lại có một hệ thống mạng độc lập.
Ở vụ việc của Vietnam Airlines và hệ thống thông tin sân bay Việt Nam, cuộc tấn công mới chỉ được thực hiện trên hệ thống mạng của hãng hàng không và sân bay, chưa có dấu hiệu tấn công vào hệ thống quản lý bay. Do đó, sự an toàn của các chuyến bay không bị ảnh hưởng
Hệ thống quản lý bay có nhiệm vụ bảo đảm cho các chuyến bay được thực hiện an toàn. Hệ thống được xây dựng và vận hành tuân thủ những yêu cầu nghiêm ngặt về an ninh, an toàn của Tổ chức Hàng không dân dụng quốc tế (ICAO). Trong thực tế, lịch sử ngành Hàng không thế giới cũng chưa từng ghi nhận vụ tấn công nào vào hệ thống quản lý bay được thực hiện thành công. Một số hệ thống hàng không của các nước trên thế giới cũng từng là mục tiêu của tội phạm mạng, tuy nhiên các vụ việc này chủ yếu tấn công vào hệ thống website bên ngoài như vụ tấn công từ chối dịch vụ DDoS sân bay Narita, Nhật Bản (tháng 1/2016) hoặc khai thác lỗ hổng website của Sân bay quốc tế Norwich, Mỹ (tháng 10/2015)…
Như vậy, tại thời điểm này, có thể khẳng định, việc bảo đảm an toàn cho các chuyến bay thông qua công tác quản lý bay tại Nội Bài và Tân Sơn Nhất không bị ảnh hưởng. Tuy nhiên, vụ tấn công vừa qua cũng đặt ra những yêu cầu rà soát toàn bộ hệ thống, từ đó tìm ra những điểm yếu nhằm phát hiện sớm, ngăn chặn các cuộc tấn công khác có thể xảy ra trong tương lai.
Là người phụ trách an ninh mạng của Bkav, với kinh nghiệm của mình, ông có thể chia sẻ cách thức xử lý ban đầu khi hệ thống mạng bị tin tặc tấn công?
Việc xử lý một vụ tấn công có tổ chức đòi hỏi rất nhiều việc khác nhau, nhưng có thể nói tóm tắt gồm các bước: cách ly các hệ thống bị kiểm soát, tìm và lấy mẫu virus, tìm hiểu cách thức tấn công, vá lỗ hổng trong hệ thống sau đó khắc phục các lỗ hổng này.
Theo đó, việc cách ly ngay hệ thống bị tấn công nhằm lưu giữ lại dấu vết phục vụ công tác điều tra, sau đó xem hacker xâm nhập theo con đường nào, trên cơ sở đó để vá lỗ hổng hệ thống tránh bị tấn công trở lại.
Tin tặc gây thiệt hại không chỉ về kinh tế
Từng trực tiếp tham gia xử lý rất nhiều vụ tấn công mạng, ông ấn tượng với vụ nào nhất? Thời gian xử lý vụ nhanh nhất và vụ lâu nhất là bao lâu?
Nhiều lắm (cười), tức thời chưa nhớ hết được! Rất nhiều vụ việc đặc biệt nghiêm trọng, từng phối hợp cơ quan công an điều tra song lại mang tính nội bộ nên không được phép chia sẻ.
Về thời gian xử lý, tùy thuộc tính chất từng vụ, từng đối tượng và cách thức tấn công. Có những phi vụ dễ phát hiện dấu vết thì chỉ trong khoảng một ngày. Ngược lại có những đối tượng rất tinh vi, lên kế hoạch trước khi tấn công, dùng các biện pháp ẩn giấu dấu vết gây khó khăn trong điều tra khắc phục có thể mất vài ba tháng mới xong.
Thiệt hại của những cuộc tấn công mạng gây ra cho người dùng, nền kinh tế theo ước tính của Bkav như thế nào? Ông có thể kể ra vụ việc điển hình gây thiệt hại lớn nhất mà ông trực tiếp xử lý?
Mức thiệt hại do virus máy tính gây ra được tính dựa trên thu nhập của người sử dụng và thời gian công việc của họ bị gián đoạn do các trục trặc gây ra bởi virus máy tính. Theo đó, bình quân mỗi người sử dụng máy tính tại Việt Nam đã bị thiệt hại hơn 1,2 triệu đồng. Với ít nhất 6,98 triệu máy tính thì mức thiệt hại do virus gây ra trong năm 2015 lên tới hơn 8.700 tỷ đồng. Con số này trong năm 2014 là 8.500 tỷ đồng.
Trong những vụ Bkav trực tiếp xử lý, có lẽ thiệt hại lớn nhất là lần hệ thống Công ty Cổ phần Truyền thông Việt Nam (VCCorp) bị tấn công trong thời gian gần một tuần. Đây là đơn vị chủ quản của rất nhiều website, trang web thương mại… với lượng truy cập lớn.
Gần đây, phải kể đến vụ tấn công hệ thống mạng của sân bay, gây ra những hậu quả nghiêm trọng, làm rò rỉ dữ liệu của hơn 400.000 tài khoản khách hàng, hơn 100 chuyến bay bị chậm, chưa kể thời gian, công sức của những người liên quan khó có thể thống kê hết…
Rõ ràng, ngoài thiệt hại về kinh tế, vụ tấn công mạng có tổ chức còn gây xáo trộn dư luận, tác động trực tiếp tới đời sống xã hội.
Thiết bị định tuyến của Trung Quốc có “vấn đề”
Ngoài phần mềm, nguy cơ mất an toàn hệ thống mạng còn xuất hiện từ phần cứng như máy tính, thiết bị kết nối mạng… Ông đánh giá mức độ nguy hiểm của những thiết bị trên như thế nào? Có cách nào ngăn chặn?
Đúng vậy, ngoài cách thức tấn công phát tán các phần mềm máy tính, một nguy cơ mới xuất hiện là mã độc được cài sẵn trên thiết bị của nhà sản xuất ngay khi vừa xuất xưởng. Nếu quốc gia nào đó có nhu cầu gián điệp với quốc gia khác, hoàn toàn có thể thông qua các thiết bị này.
Nghiên cứu do Bkav mới công bố, hiện Việt Nam có khoảng 300.000 thiết bị định tuyến (Router), chính là những model wifi kết nối mạng, đang tồn tại lỗ hổng nghiêm trọng tới mức hacker có thể chiếm quyền điều khiển thiết bị. Đáng nói đây là cửa ngõ kết nối internet, không khác gì người dẫn đường bị đầu độc sẽ dẫn người dùng tới những địa chỉ sai. Một khi đã chiếm được quyền điều khiển, hacker sẽ thâm nhập sâu vào hệ thống nội bộ. Như vậy, 300.000 thiết bị Router có vấn đề sẽ ứng với 300.000 hệ thống mạng gia đình, cơ quan bị theo dõi và giám sát. Theo thống kê, hơn 90% thiết bị này có nguồn gốc, xuất xứ từ Trung Quốc.
Gần đây nhất, máy tính Lenovo cài sẵn phần mềm gián điệp. Ngay cả khi người dùng đã xóa đi, lúc khởi động phần mềm vẫn có thể tự động cài đặt lại, đưa máy tính của mình vào đích ngắm theo dõi của những kẻ tấn công có chủ định.
Vậy theo ông trong các yếu tố: Phần cứng, phần mềm và con người sử dụng. Đâu là điểm yếu nhất trong mắt xích dễ bị hacker lợi dụng để tấn công an ninh mạng?
Bất kỳ điểm yếu nào cũng có thể gây nguy hại cho hệ thống mạng. Tuy nhiên, hầu hết vụ tấn công, xâm nhập hiện nay, hacker đều thông qua yếu tố con người. Nếu con người ý thức sử dụng không tốt có thể cài đặt phần mềm không hợp pháp trên internet (hầu hết loại phần mềm này có chứa mã độc), sẽ vô tình mở đường cho hacker xâm nhập vào hệ thống.
Tại Việt Nam, các vụ tấn công có chủ đích đều thông qua việc phát tán email chứa mã độc gửi tới con người cụ thể. Các mã độc này âm thầm đánh cắp thông tin… gửi về máy chủ điều khiển, đồng thời thông qua máy chủ điều khiển, chúng nhận lệnh để thực hiện các hành vi phá hoại khác.
Ông có khuyến cáo gì đối với các cơ quan, tổ chức, doanh nghiệp và cá nhân người dùng, để chủ động phòng ngừa và xử lý khi bị tấn công trên mạng?
Để sớm phát hiện, ngăn chặn và giảm thiểu tác động của các cuộc tấn công, các đơn vị ngoài việc đầu tư trang thiết bị, phần mềm an ninh, còn cần phải chú ý tới quy trình vận hành an ninh và đặc biệt cần đầu tư nâng cao trình độ và kỹ năng của đội ngũ quản trị cũng như nhận thức về an ninh mạng của tất cả người sử dụng.
Thực tế, việc đầu tư cho an ninh mạng tại Việt Nam chưa tương xứng, trong các dự án công nghệ thông tin, cần dành từ 5-10% ngân sách đầu tư đảm bảo an ninh mạng, tuy nhiên điều này không phải đã được thực hiện đầy đủ ở các dự án CNTT, mà chủ yếu dựa vào nhận thức của đơn vị triển khai.