Cảnh báo nguy cơ mất an toàn thông tin

TP Hải Phòng và tỉnh Quảng Ninh vừa có văn bản cảnh báo nguy cơ mất an toàn thông tin qua việc sử dụng máy tính Lenovo (Trung Quốc) cài đặt sẵn phần mềm điều khiển trước khi xuất xưởng. Trước đó, Bộ Công an đã có thông báo về tình trạng một số dòng máy tính của hãng Lenovo được cài đặt sẵn phần mềm Lenovo Service Engine (LSE) vào BIOS trên bo mạch chính của máy tính trước khi xuất xưởng. Trao đổi với ĐTTC, ông NGUYỄN THANH HẢI (ảnh), Cục trưởng Cục An toàn Thông tin, Bộ Thông tin - Truyền thông, nói:

Việc cài đặt LSE cho phép các dòng máy tính do Lenovo sản xuất kết nối và gửi thông tin về máy chủ theo chỉ định của nhà sản xuất Lenovo. Thực chất đây là một phần mềm gián điệp nhằm khai thác thông tin từ người sử dụng, gây nên tình trạng mất an toàn thông tin nghiêm trọng. Về mặt nguyên tắc kỹ thuật cũng không nên tin tưởng bất kỳ loại thiết bị nào trên thế giới, vì tất cả thiết bị đó đã chứa những vấn đề người sử dụng không thể biết được. Việt Nam chưa sản xuất được nên phải mua, nhập khẩu, từ phần cứng, phần mềm, các chương trình điểu khiển, tính năng khác…

Tất cả đều do nước ngoài sản xuất, cài đặt. Trong đó, có 2 dạng: phần mềm nhúng, đưa sẵn vào trong thiết bị; các loại phần mềm ứng dụng bởi các nhà viết phần mềm như Microsoft, IBM, Lenovo… cài vào máy tính. Vấn đề đặt ra là phần mềm nhúng hay cài sẵn trong con chip đặt sẵn trong đó. Nếu kiểm tra phát hiện các phần mềm đó để thu thập thông tin của người dùng hay thu thập toàn bộ thông tin sử dụng trên máy tính đó, sẽ thu lại và gửi đến nhà cung cấp dịch vụ để nhận thông tin. Thí dụ, khi dùng máy tính, Microsoft Office thỉnh thoảng hiện lên màn hình hỏi có cập nhập bản vá hay nâng cấp không…

PHÓNG VIÊN: Hiện Việt Nam có quy định hay tiêu chí nào trong việc thống nhất nhập khẩu, sử dụng các thiết bị tại các cơ quan quản lý nhà nước, thưa ông?

Ông NGUYỄN THANH HẢI: - Về việc nhập các thiết bị tại các bộ, ngành, địa phương… tuân thủ theo Luật Đấu thầu, tức theo quy định pháp luật, theo nguyên tắc đấu thầu. Không thể nói quy định không được mua thiết bị của hãng này hay hãng kia được, bởi nếu làm như vậy sẽ vi phạm các cam kết mậu dịch thương mại, hiệp định thương mại tự do… Chính vì thế, sẽ không có sự thống nhất hay đồng nhất trong việc nhập thiết bị tại các cơ quan nhà nước, mà cứ theo quy định ai bỏ thầu rẻ thì mua. Còn về tiêu chuẩn kỹ thuật, hiện nay chúng ta chưa có tiêu chuẩn nào bắt buộc. Các thiết bị của nước ngoài sản xuất bao giờ cũng có chuẩn quốc tế, tức cũng chính là chuẩn của doanh nghiệp sản xuất thiết bị đó, và được coi là chuẩn quốc tế. Chuẩn này mình phải theo.

- Theo ông, từ thực tế tại Hải Phòng, Quảng Ninh chúng ta có nên rà soát, đánh giá lại toàn bộ hệ thống thiết bị được sử dụng tại các cơ quan nhà nước hiện nay?

- Chúng ta có quy định đối với hệ thống nào định kỳ kiểm tra đánh giá lại toàn bộ, hệ thống nào 1 năm, 2 năm hay 6 tháng. Vì thực tế nguy cơ mới luôn luôn xuất hiện, từ đó kéo theo hệ thống không đáp ứng được với nguy cơ mới, do vậy phải thường xuyên đánh giá lại, lấp lại chỗ còn khiếm khuyết. Bất cập hiện nay là chúng ta rất muốn an toàn, nhưng các cơ quan nhà nước vừa kết nối mạng chuyên dùng nhưng vừa kết nối mạng internet phổ thông. Rất nhiều cổng ra ngoài nên rất khó kiểm soát an toàn được. Kinh nghiệm của Nhật Bản là toàn bộ hệ thống mạng của Chính phủ phải chạy trong một mạng riêng, sau đó chỉ có vài cổng kết nối internet. Các cổng kết nối internet này được chặn, kiểm tra toàn bộ nguy cơ mất an toàn thông tin. Ở nước ta cửa nào cũng kết nối được với mạng internet phổ thông nên không thể kiểm soát được an toàn thông tin mạng.

- Vấn đề mất an toàn thông tin mạng theo ông cần được khắc phục thế nào?

- Hiện chưa có văn bản cao nhất đề cập đến vấn đề này. Tùy từng cơ quan mà có những quy định về việc sử dụng máy tính kết nối internet. Đến nay vẫn chưa có thống nhất về việc các cơ quan nhà nước kết nối với mạng internet. Hiện chưa có một văn bản nào quy định việc đảm bảo vấn đề an toàn thông tin. Đây thực sự là lỗ hổng về mặt pháp lý phải nhanh chóng được bít lại để tránh nguy cơ mất an toàn thông tin. Tới đây, Bộ Thông tin - Truyền thông sẽ xây dựng và ban hành các quy chuẩn này. Hiện Cục An toàn thông tin đang xây dựng nghị định về bảo vệ theo cấp độ an toàn thông tin và nghị định chi tiết về kinh doanh sản phẩm dịch vụ an toàn thông tin. Dự kiến, 2 văn bản này sẽ trình Chính phủ trong tháng 6 và tháng 11 năm nay.

- Xin cảm ơn ông.