Cài đặt mật khẩu phức tạp để chống hackers- Ảnh minh họa

Nhiều nguy cơ tìm ẩn

Có thể nói với sự phát triển của công nghệ thông tin, hiện phần lớn các cơ quan nhà nước, các đơn vị đã triển khai mạng máy tính và hệ thống cơ sở dữ liệu. Tuy nhiên, qua khảo sát có thể thấy nhiều cơ quan, đơn vị chỉ tập trung đầu tư máy móc, thiết bị chưa chú trọng đúng mức đến vấn đề bảo mật thông tin, dữ liệu. Cá biệt có một số đơn vị chưa quan tâm đầu tư cho hệ thống an toàn thông tin, xây dựng quy chế về an toàn thông tin sơ sài, không có nhân sự chuyên trách vê công nghệ thông tin...

Theo ghi nhận của Trung tâm Hạ tầng thông tin đơn vị quản lý hầu hết các dịch vụ công của tỉnh cho biết, các tài khoản sau khi được cấp để sử dụng dịch vụ, phần lớn đều có mật khẩu rất đơn giản (ví dụ: 123, 123456, abc, 123abc, trùng tên tài khoản,…), nhiều người dùng vẫn để mật khẩu mặc định khi được cấp, tài khoản sử dụng thời gian rất lâu mà vẫn không đổi mật khẩu. Đa số cán bộ, công chức, viên chức thường xuyên sử dụng các hộp thư miễn phí của nước ngoài như: gmail, yahoo, Hotmail,…trong gửi nhận văn bản, trao đổi công việc sẽ mất an toàn, an ninh thông tin. Trung tâm Hạ tầng thông tin đã tham mưu cho Sở Thông tin và Truyền thông cho nâng cấp thêm tính năng đặt mật khẩu phức tạp nhằm ràng buộc người dùng đặt mật khẩu có độ phức tạp cao, chống tin tặc dò tìm mật khẩu, chiếm quyền tài khoản; đồng thời, nâng cấp chức năng lọc spam, chống thư rác của hệ thống.

Nguy cơ bị tấn công

Trong năm 2016, tình hình an toàn thông tin diễn biến rất phức tạp, hackers liên tục rà soát lổ hổng, tìm cách tấn công vào hệ thống trung tâm tích hợp dữ liệu của tỉnh. Thông qua nhật ký của hệ thống, trong năm có 03 trường hợp website bị thay đổi cấu trúc; 08 trường hợp bị dính lỗi shell, backdoor; tài khoản mail công vụ, website, máy chủ của một số cá nhân, đơn vị bị chiếm quyền điều khiển và cài mã độc có khả năng tự phát tán mail, giả mạo tài khoản email.

Để kịp thời xử lý các sự cố, lỗ hổng, đồng thời ngăn chặn, bóc tách mã độc tấn công vào hệ thống mạng; trong đó đặc biệt chú trọng phát hiện và xử lý các mã độc tấn công có chủ đích (APT) có tính chất nguy hiểm và có khả năng gây rủi ro cao. Trung tâm Hạ tầng thông tin đã thực hiện việc rà quét toàn bộ hệ thống, kiểm tra lỗ hổng; phối hợp với các đơn vị liên quan ngăn chặn và khắc phục kịp thời, đồng thời thực hiện cập nhật các bản vá lỗi, xây dựng hệ thống backup dữ liệu, hệ thống quản lý log tập trung,…

Đảm bảo tính bảo mật thông tin dữ liệu

Theo ông Võ Gia Nghĩa - Phó Giám đốc Sở Thông tin và Truyền thông cho biết: “Nhằm hạn chế tình trạng mất an toàn thông tin trong các cơ quan nhà nước, trước hết công tác tuyên truyền nâng cao nhận thức về ATTT đến cán bộ, công chức, viên chức cần quan tâm hàng đầu. Qua đó, giảm thiểu số sự cố mất ATTT xảy ra. Trước tình hình đó, Sở Thông tin và Truyền thông đã kịp thời tham mưu UBND tỉnh ban hành nhiều văn bản chỉ đạo như: Chỉ thị số 07/CT-CTUBND ngày 13/8/2012 về việc tăng cường sử dụng hệ thống thư điện tử công vụ; Quyết định số 22/2012/QĐ-UBND ngày 12/7/2012 ban hành quy chế về đảm bảo an toàn thông tin trong hoạt động ứng dụng Công nghệ thông tin của các cơ quan quản lý hành chính nhà nước tỉnh Bình Định;...."

Sở Thông tin và Truyền thông khuyến cáo các cơ quan đơn vị nhà nước:

- Tăng cường sử dụng thư điện tử của tỉnh cấp có dạng….@binhdinh.gov.vn trong giao dịch hành chính và thực hiện đúng những quy định tại Quyết định số 36/2016/QĐ-UBND về Quy chế quản lý và sử dụng Hệ thống Văn phòng điện tử liên thông trong các cơ quan nhà nước trên địa bàn tỉnh và không dùng các địa chỉ mail thông thường để gửi thư công vụ, không lưu giữ tài liệu quan trọng trên đám mây;

- Thực hiện thao tác đổi mật khẩu mặc định đối với các tài khoản mail, văn phòng điện tử... ngay sau khi được quản trị hệ thống cấp, định kỳ thay đổi mật khẩu, không đặt chế độ ghi nhớ mật khẩu khi sử dụng, không đặt mật khẩu quá dễ dò như theo tên tài khoản, ngày sinh..., yêu cầu mật khẩu phải có ít nhất 2 trong 4 yếu tố: chữ cái hoa. thường, số và ký tự đặc biệt, đồng thời không cho người khác mượn tài khoản sử dụng;

- Tuyệt đối không sử dụng thư điện tư công vụ để đăng ký, kích hoạt các dịch vụ khác trên internet.

Bên cạnh đó, về lâu dài cần bố trí cán bộ chuyên trách quản trị mạng; tăng cường đầu tư trang thiết bị chuyên dụng như Firewall, IDS/IPS (phát hiện và ngăn chặn xâm nhập) phục vụ cho hệ thống thông tin...

Bài viết: Hữu Phước