Đe doạ an ninh máy tính

Năm nay và vài năm tới, vấn đề chính cho nhiều công ti sẽ là cách chuẩn bị cho đe doạ an ninh tiếp đây hay còn gọi là tấn công xi be. Điều này bao giờ cũng là thách thức khi ngày càng nhiều “hacker” tấn công vào Hệ thông tinủa công tin trên cơ sở hàng ngày. Trong quá khứ, các hacker phần lớn là người phát triển phần mềm chán chường và muốn làm cái gì đó vui đùa bất kể hậu quả. Ngày nay hacker phần lớn là “tội phạm có tổ chức” những người tuyển mộ các người phát triển phần mềm để đánh cắp thông tin như số thẻ tín dụng, tài khoản ngân hàng, và thông tin sở hữu riêng của công ti, hay gây tổn hại cho kinh doanh của công ti (phá hoại, khủng bố).

Vấn đề chính là hầu hết những người chịu trách nhiệm về hệ thông tin KHÔNG có tri thức hay nhân lực để quản lí họ. Theo cuộc khảo cứu điểm bài về an ninh ở 25 nước đã phát triển trên thế giới, họ thấy rằng 75% người chịu trách nhiệm hệ thông tin của chính phủ KHÔNG phải là người phần mềm, nhiều người trong số này là các quan chức chính phủ được đề bạt vào chức vụ đó. Nghiên cứu này cũng thấy rằng trên 60% công ti tư nhân cũng không có chính sách, thủ tục, và người có hiểu biết an ninh tốt chịu trách nhiệm về hệ thống an ninh. Điều đó nghĩa là cả chính phủ và các công ti tư nhân đều mong manh với tấn công xi be.

Phần mềm trở nên ngày càng lớn hơn và phức tạp hơn bởi vì mọi người cứ thêm vào nó và thay đổi nó. Mọi người muốn các tính năng mới, chức năng mới, ứng dụng mới, và tất cả họ đều muốn nó nhanh hơn cho nên phần lớn những người quản lí dự án phần mềm đều hội tụ vào việc chuyển giao phần mềm đúng hạn với nhiều chức năng hơn nhưng ít chú ý tới an ninh. Ngày nay nhiều phần mềm được gắn với Internet và nó tạo ra nhiều mong manh hơn trước đây. Vấn đề khác là ở chỗ với khoán ngoài, việc phát triển phần mềm được thực hiện trên toàn thế giới, ở mọi kiểu chỗ. Khi người ta thêm các chức năng mới, cấu phần mới, họ thêm nhiều phức tạp hơn cho hệ thống phần mềm với nhiều mã hơn và điều đó mở ra nhiều lỗi mà “hacker” có thể tận dụng.

Bởi vì an ninh máy tính là lĩnh vực mới trong kĩ nghệ phần mềm, rất ít đại học cung cấp đào tạo này cho nên có thiếu hụt trầm trọng về chuyên viên an ninh máy tính trên khắp thế giới. Nhiều quan chức và người quản lí tin rằng họ đã có “tường lửa” tại chỗ nên hệ thống của họ được an toàn. Điều đó cũng giống như có ổ khoá ở cửa trước nhà bạn cho nên bạn không lo nghĩ về mọi người vào nhà bạn. Vấn đề là tường lửa có thể chặn “hacker nghiệp dư” nhưng không chặn được “hacker chuyên nghiệp”, cũng giống như ổ khoá cửa có thể chặn được một số người không cho vào nhà bạn qua cửa chính nhưng KHÔNG chặn được kẻ trộm biết cách vào nhà bạn từ các chỗ khác. Có tường lửa là KHÔNG đủ. Bạn cần nhân lực có kĩ năng để lập ra chính sách, chủ trương, thủ tục và quản lí hệ thống an ninh, không có họ mọi tiền bạc chi vào tường lửa hay công cụ an ninh đều sẽ vô dụng. Tôi tin rằng an ninh vững chắc chỉ có thể được chuyển giao nếu có người có kĩ năng tại chỗ để làm cho điều đó xảy ra và điều mấu chốt là có nhiều đào tạo an ninh hơn cho mọi người dùng máy tính. Điều quan trọng là công ti phải tập trung hơn nữa vào việc kiếm người có kĩ năng với trang thiết bị đúng tại chỗ để giám sát và đáp ứng với vấn đề an ninh trước cuộc tấn công xi be.

Hơn nữa, công ti phải hội tụ vào chương trình đào tạo an ninh để cho nhiều người nhận biết về vấn đề này. Vi phạm an ninh thường là sai lầm bất cẩn trong những người phát triển phần mềm. Khi mở email hay sao một xâu vào bộ nhớ, để tràn chồng trong mã của họ cũng có thể gây hậu quả nghiêm trọng vì chúng tạo ra sự mong manh mà có thể bị kẻ tấn công khai thác để thực hiện các đoạn mã hại. Mã hại này có thể được dùng để phát tán virus, sâu, hay chèn thêm cửa hậu vào máy tính để đánh cắp thông tin nhạy cảm hay phá huỷ mọi tệp. Theo nghiên cứu mới đây của Carnegie Mellon, 64 phần trăm những chỗ mong manh trên thế giới đều là kết quả của lỗi viết mã.

Tôi tin công ti phải có chính sách an ninh tại chỗ để xác định cách thực hiện an ninh. Chính sách an ninh sẽ xác định mức độ an ninh và vai trò và trách nhiệm của người dùng, người quản trị và người quản lí. Tổ chức an ninh cũng nên được thiết lập để giám sát việc dùng tính toán để cảnh báo về vấn đề an ninh (Virus, tấn công xi be v.v.). Người dùng nên chắc rằng hệ điều hành và ứng dụng máy tính của họ được vá bằng những miếng vá dịch vụ mới nhất và sửa nóng ngay. Họ không nên mở email từ những người gửi không biết hay các nguồn không biết cũng như chặn lại các kiểu tài liệu đính kèm như .bas, .bat, .exe và .vbs. vì chúng có thể chứa mã hại.

Tác phẩm, tác giả, nguồn

  • Tác phẩm: Xu hướng công nghệ
  • Nguồn: Blog của giáo sư John Vu, Carnegie Mellon University
  • Wiki hóa: https://kipkis.com
Lấy từ “https://tv.thapsang.vn/index.php?title=Đe_doạ_an_ninh_máy_tính&oldid=58908