Thursday, January 30, 2020

AN NINH MẠNG & CHUYỆN 'KHÔN NHÀ , DẠI CHỢ' (Trân Văn)




31/01/2020

Cho đến giờ, Ngân hàng Ngoại thương Việt Nam (Vietcombank – VCB) chỉ xác nhận sự kiện nhiều khách hàng mất trộm tiền trong tài khoản và vì vậy sẽ khóa những thẻ bị kẻ gian thao túng, đồng thời sẽ hoàn tiền cho các nạn nhân trong thời gian sớm nhất.

Sự kiện vừa kể được nhiều người phản ánh trên mạng xã hội trong suốt ngày 28 tháng 1 (đột nhiên nhận được hàng loạt tin nhắn cho biết tiền trong tài khoản của họ ở VCB đã được thanh toán cho những giao dịch mà họ không hề hay biết.)

Đến cuối ngày 28 tháng 1, VCB mới lên tiếng như đã kể. VCB chỉ loan báo về việc phát hiện “một số giao dịch giả mạo” chứ không cho biết đã ngăn chặn được hay chưa? Không ai biết đã có hoặc sẽ còn bao nhiêu người là nạn nhân (1)?..

                                                              ***
Tháng trước, một nhóm viên chức cao cấp của hệ thống chính trị, hệ thống công quyền Việt Nam đến John F. Kennedy School (chuyên đào tạo về quản trị và chính sách công) thuộc Đại học Harvard tham dự Chương trình Lãnh đạo quản lý cao cấp (VELP) 2019. VELP là một kiểu bồi dưỡng kiến thức về quản trị vĩ mô trong nhiều lĩnh vực khác nhau cho giới lãnh đạo hệ thống chính trị, hệ thống công quyền Việt Nam. Chủ đề của VELP 2019 – VELP lần thứ bảy - là “Đổi mới sáng tạo, Mở cửa và An ninh số” (2).

Một trong những người được Ban Tổ chức VELP 2019 mời nói chuyện với các viên chức cao cấp của hệ thống chính trị, hệ thống công quyền Việt Nam là ông Dương Ngọc Thái – chuyên gia nghiên cứu về an ninh, an toàn Internet của Google (3). Hồi đầu tháng này, ông Thái đã kể về buổi nói chuyện ấy trên trang blog của ông (4) với nhiều cảnh báo rất đáng lưu ý. Chẳng hạn, chỉ cần một hacker và hai tuần là có thể đánh sập… hệ thống ngân hàng Việt Nam!

Ông Thái cho biết, đầu năm 2017, một ngân hàng ở Việt Nam nhờ ông kiểm tra an ninh cho ứng dụng (app) Mobile Banking. Đó là lần đầu tiên ông được nhờ đánh giá một sản phẩm của Việt Nam. Sau hai tuần ông tìm được nhiều lỗ hổng nhưng nghiêm trọng hơn hết là ông có thể trộm tiền từ bất kỳ tài khoản nào. Dân trong nghề gọi một app Mobile Banking như vậy là… game over - không còn gì để mà hack nữa.

Chuyện chưa ngừng ở đó, sau đó ông Thái phát hiện ra một số ngân hàng thuộc hàng top của Việt Nam cũng có lỗ hổng tương tự vì sử dụng chung giải pháp Mobile Banking. Ông gợi ý: Thử nghĩ chuyện gì sẽ xảy ra nếu ai đó tự động chuyển tiền và khóa tài khoản của hàng triệu khách hàng của bốn, năm ngân hàng lớn nhất Việt Nam? Chỉ trong ít phút, niềm tin của dân chúng vào hệ thống ngân hàng vốn đã dễ bị lung lay sẽ sụp đổ. Tôi không thể tưởng tượng được hậu quả đối với kinh tế Việt Nam sẽ như thế nào.

Ông Thái nói thêm, những phát hiện của ông hoàn toàn không phải vì ông có tài năng nào đó đặc biệt mà bất kỳ bạn sinh viên… chán học nào cũng có thể tìm được những lỗ hổng này. Chỉ cần mất một thời gian huấn luyện. Ông bảo các viên chức cao cấp của hệ thống chính trị, hệ thống công quyền Việt Nam: Ngay cả quý vị, nếu muốn học, tôi nghĩ chỉ cần huấn luyện hai, ba năm.

Theo lời ông Thái, khi làm việc với các bên liên quan để sửa lỗi, ông nhận ra rằng, vấn đề không phải họ không quan tâm đến bảo mật, mà là họ không biết nên làm sao và không có người để làm. Dù rất muốn làm cho đúng, cho tốt, rất cầu thị và sẵn sàng đầu tư nhưng họ thường làm những việc không cần và không làm những việc cần.

Từ đó đến cuộc nói chuyện tại VELP 2019 đã ba năm nhưng ông Thái tâm tình rằng ông không thấy có nhiều hy vọng là tình hình đã tốt hơn. Những dữ kiện mà ông thu thập trong quá trình cho cuộc nói chuyện với các viên chức cao cấp của hệ thống chính trị, hệ thống công quyền Việt Nam tại VELP 2019 cho thấy mọi chuyện dường như vẫn thế và đáng ngại hơn thế...

Đó là việc các chuyên gia về an ninh, an toàn Internet liên tục cảnh báo về những đợt tấn công có chủ đích vào mạng máy tính của hệ thống công quyền Việt Nam. Một trong những mục tiêu chính là hệ thống mạng máy tính của Bộ Tài nguyên - Môi trường (Bộ TNMT). Ông Thái đặt câu hỏi: Tại sao lại là Bộ TNMT? Và ông trả lời luôn: Vì đó là nơi nắm giữ nhiều thông tin quan trọng (bản đồ, báo cáo, hành trình, lịch trình,… của hoạt động thăm dò dầu khí, khai thác hải sản cũng như các hoạt động tuần tra bảo vệ của Việt Nam trên biển Đông). Khó có thể biết chắc chắn ai đứng phía sau những tấn công này nhưng rõ ràng họ rất muốn biết Việt Nam đang và sẽ làm gì ở biển Đông.

Tuy nhiên cũng đã có vài nhóm chuyên gia như ThreatConnect, CrowdStrike công khai nhận diện Trung Quốc là thủ phạm. Trong các “Báo cáo về các mối đe dọa toàn cầu” của 2014 và 2015, CrowdStrike nhận định, Việt Nam đã trở thành mục tiêu số một của các nhóm hacker thuộc chính phủ và quân đội Trung Quốc. Từ khi tình hình biển Đông trở nên căng thẳng vì giàn khoan HD-981 nhóm hacker Yêu tinh Gấu Trúc (Goblin Panda) đã liên tục thực hiện các vụ tấn công nhằm vào lợi ích của Việt Nam và có cơ sở để tin rằng Goblin Panda đã xâm nhập vào hệ thống máy tính của chính phủ Việt Nam rồi sử dụng các tài liệu đã đánh cắp được làm mồi nhử cho các cuộc tấn công sau đó…

                                                        ***
Sự kiện nhiều khách hàng của VCB mất trộm tiền trong tài khoản là ví dụ, minh họa cho cảnh báo của ông Thái hồi tháng trước, trước các viên chức cao cấp của hệ thống chính trị, hệ thống công quyền Việt Nam tại VELP 2019. Sự kiện này chứng tỏ hệ thống chính trị, hệ thống công quyền Việt Nam thiếu cả viễn kiến lẫn khả năng bảo vệ an ninh Internet, an toàn các hệ thống mạng máy tính ở Việt Nam.

Cách nay khoảng hai năm, đã từng có những phân tích rất cặn kẽ, thấu đáo về sự càn rỡ và những nguy hại cho kinh tế - xã hội, triển vọng phát triển của Việt Nam, nếu quan niệm “an ninh mạng” như nội dung Dự luật An ninh mạng, chẳng hạn loạt bài của ông Hoàng Xuân Phú - Viện Toán học thuộc Viện Khoa học xã hội Việt Nam (5). Hoặc vạch trần dã tâm biến xã hội Việt Nam trở thành một ốc đảo lạc hậu, man rợ kiểu Bắc Hàn, biến công dân Việt Nam trở thành những con vật hai chân như bài của ông Dương Ngọc Thái (6),… song hình như đa số người Việt ngại đọc, ngại nghĩ nên hết sức thờ ơ.

Giờ, tuy đã có… Luật An ninh mạng như thiên hạ, chưa kể ngoài Cục An ninh mạng của Bộ Công an còn có Bộ Tư lệnh Tác chiến không gian mạng của Bộ Quốc phòng nhưng ưu tiên hàng đầu của cả hệ thống chính trị, hệ thống công quyền Việt Nam vẫn không phải là nâng cao năng lực bảo vệ an ninh trên Internet, mạng máy tính, thiết lập – duy trì sự an toàn cho cả quốc gia lẫn các công dân!

Khi cả hệ thống chính trị, hệ thống công quyền Việt Nam vẫn chỉ dốc toàn lực vào việc theo dõi những thông tin, ý kiến, hình ảnh có hại cho sự lãnh đạo toàn diện, tuyệt đối của đảng trên Internet, để rồi không tống giam, sách nhiễu thì cũng xúm vào chửi đổng hay hè nhau gửi các báo cáo giả cho những nơi điều hành mạng xã hội (như Facebook, You Tube,…) đóng tài khoản cá nhân của “kẻ xấu”... thì chẳng phải vận mệnh quốc gia ngả nghiêng, kinh tế chao đảo mà cá nhân nào cũng có thể trở thành nạn nhân như các nạn nhân có tài khoản ở VCB vừa bị trộm tiền. Đó là hệ quả tất yếu do lệch lạc đáng sợ trong nhận thức, hành xử về “an ninh mạng” theo kiểu “khôn nhà, dại chợ”!

-----------------

Chú thích












No comments: