Đó là khẳng định của ông Vũ Bảo Thạch, giám đốc kỹ thuật (CTO), công ty CP Phát Triển Phần Mềm và Hỗ Trợ Công Nghệ Misoft.
Với hàng loạt vụ website DN bị tấn công thời gian qua, ông có đánh giá gì về ý thức ATTT của các DN?
Theo tôi phần lớn DN Việt Nam đều chưa ý thức tốt về ATTT. Nhiều DN không tự trang bị hệ thống lưu trữ web nhưng lại rất "hồn nhiên" khi đặt niềm tin vào các nhà cung cấp dịch vụ (DV) web. Họ không yêu cầu nhà cung cấp cam kết gì về an toàn cho các hosting server; không có gì để đảm bảo khi sự cố xảy ra các bên liên quan phải chịu trách nhiệm; không xem xét các yếu tố kỹ thuật của nhà cung cấp nhằm đảm bảo ATTT cho trung tâm dữ liệu như có tường lửa (FW); thiết bị chống xâm nhập (IPS); VPN (mạng riêng ảo); lọc nội dung ; chống malware...
Sau các vụ tấn công đó, các nạn nhân đều âm thầm gánh chịu hậu quả. Không ai biết con số thiệt hại cụ thể. Điển hình như vụ server của P.A bị tấn công, có đến 2.000 website (theo P.A) bị ảnh hưởng. Phải chăng, tác hại vẫn còn nhẹ nên họ không bận tâm hay do người dùng Việt Nam "quá hiền"? Ở một góc độ khác, sự "im lặng" của họ vô tình sẽ khiến người khác lại rơi vào tay của hacker vì họ không được rút kinh nghiệm.
Vậy DN nên rút ra bài học gì?
Điều quan trọng nằm ở bản hợp đồng giữa khách hàng và nhà cung cấp DV, trong đó, lưu ý tới cam kết về mức độ an toàn cho các hosting server, và khi có sự cố các bên liên quan có trách nhiệm đến đâu. Ở nước ngoài, DV nào cũng có SLA (Service Level Agreement - Bản cam kết về mức độ DV). Trong cam kết ghi rõ khi có sự cố, trong 3 tiếng nếu nhà cung cấp không khắc phục được thì sao; sau 5 tiếng thì mức độ bồi thường ra sao...
Tuy nhiên, đó chỉ là một khía cạnh. Tất cả các vụ tấn công mà tôi biết đều không đáng có nếu DN trang bị đầy đủ. Có lẽ chỉ cần tường lửa, nhà cung cấp dịch vụ tốt kèm theo chính sách ATTT tốt là có thể giảm nhẹ và ngăn ngừa phần lớn các vụ tấn công. Có chính sách ATTT tốt, DN sẽ dễ dàng tìm ra lỗi do đâu để quy trách nhiệm thay vì phải một mình khắc phục sự cố.
Bằng Linh (thực hiện)
Với hàng loạt vụ website DN bị tấn công thời gian qua, ông có đánh giá gì về ý thức ATTT của các DN?
Ông Vũ Bảo Thạch |
Sau các vụ tấn công đó, các nạn nhân đều âm thầm gánh chịu hậu quả. Không ai biết con số thiệt hại cụ thể. Điển hình như vụ server của P.A bị tấn công, có đến 2.000 website (theo P.A) bị ảnh hưởng. Phải chăng, tác hại vẫn còn nhẹ nên họ không bận tâm hay do người dùng Việt Nam "quá hiền"? Ở một góc độ khác, sự "im lặng" của họ vô tình sẽ khiến người khác lại rơi vào tay của hacker vì họ không được rút kinh nghiệm.
Vậy DN nên rút ra bài học gì?
Điều quan trọng nằm ở bản hợp đồng giữa khách hàng và nhà cung cấp DV, trong đó, lưu ý tới cam kết về mức độ an toàn cho các hosting server, và khi có sự cố các bên liên quan có trách nhiệm đến đâu. Ở nước ngoài, DV nào cũng có SLA (Service Level Agreement - Bản cam kết về mức độ DV). Trong cam kết ghi rõ khi có sự cố, trong 3 tiếng nếu nhà cung cấp không khắc phục được thì sao; sau 5 tiếng thì mức độ bồi thường ra sao...
Tuy nhiên, đó chỉ là một khía cạnh. Tất cả các vụ tấn công mà tôi biết đều không đáng có nếu DN trang bị đầy đủ. Có lẽ chỉ cần tường lửa, nhà cung cấp dịch vụ tốt kèm theo chính sách ATTT tốt là có thể giảm nhẹ và ngăn ngừa phần lớn các vụ tấn công. Có chính sách ATTT tốt, DN sẽ dễ dàng tìm ra lỗi do đâu để quy trách nhiệm thay vì phải một mình khắc phục sự cố.
Bằng Linh (thực hiện)