Theo ước tính của Công ty BKAV, tổng số website bị tấn công trong năm 2011 không nhiều hơn các năm trước. Tuy nhiên, vụ tấn công hàng loạt các website cùng một thời điểm rộ lên ngày 1-13/6/2011 với hơn 400 website bị tấn công, trong đó nhiều website có tên miền .gov.vn khiến chúng ta phải nhìn lại: các website này quá dễ dãi khi vận hành.
Theo ông Nguyễn Minh Đức, Giám đốc Bộ phận An ninh mạng Công ty BKAV, trong các vụ tấn công website đã xảy ra ở Việt Nam thời gian qua, hacker không chỉ làm thay đổi giao diện trang chủ, tấn công từ chối dịch vụ, lấy cắp tên miền… mà nhiều website còn bị cài đặt virus nhưng đơn vị vận hành không hề hay biết. Một số máy chủ còn bị hacker lợi dụng làm bàn đạp để tấn công ra nước ngoài.
Hiệp hội An toàn Thông tin Việt Nam (VNISA) tại Ngày An toàn thông tin (Security Day) 2011 đã công bố kết quả khảo sát: phần lớn các tổ chức vẫn mơ hồ khi được hỏi “Bạn có biết mạng bị tấn công hay không?”. Chỉ 20% số tổ chức được hỏi khẳng định, hệ thống của họ có bị tấn công và được theo dõi đầy đủ.
Ông Đức bổ sung, "rất nhiều hệ thống bị tấn công mà chưa biết cách xử lí. Đây là hệ quả của cách đầu tư chưa đúng. Các tổ chức khi đầu tư cho website chỉ nghĩ đến thiết bị, chi phí mà không quan tâm đến việc đào tạo, nâng cao nhận thức cho người dùng, xây dựng quy trình đảm bảo an toàn thông tin (ATTT), xử lí khi có sự cố. Nhìn chung, toàn bộ các máy chủ, thiết bị tường lửa, website… cứ mua về là cài mà không được kiểm định trước đi đưa vào vận hành. Người dùng khi truy cập vào các website bị cài đặt virus đã làm virus nhanh chóng lây lan sang máy tính trong hệ thống...”.
Ngoại trừ một số ngành như công an, ngân hàng – tài chính đã áp dụng các tiêu chuẩn đảm bảo an toàn thông tin như ISO 27001, trong đó có nội dung về đánh giá mức độ an toàn của các thiết bị an ninh bảo mật, của website. Các ngành khác và trên quy mô quốc gia chưa có cơ quan chuyên trách về vấn đề này.
Ông Vũ Quốc Thành, Tổng Thư kí VNISA cho biết thêm, các dịch vụ đánh giá điểm yếu an ninh mạng, điểm yếu website, tư vấn hệ thống ATTT… là những dịch vụ ATTT chuyên nghiệp đều đã có doanh nghiệp cung cấp. Nhưng phần lớn các dịch vụ này chưa được thừa nhận rộng rãi, hầu hết các tổ chức vẫn chưa biết đến hoặc không có thói quen trả tiền cho các dịch vụ này.
Ngoài các dịch vụ do doanh nghiệp cung cấp, ông Đức kiến nghị nên chăng có cơ quan chuyên trách của nhà nước chịu trách nhiệm đánh giá mức độ đảm bảo của website, đặc biệt là các website của các cơ quan công quyền (.gov.vn) trước khi cấp phép đưa vào vận hành, đồng thời kiểm định các thiết bị an ninh mạng trước khi đưa ra thị trường...
Theo Thongtincongnghe