Chú trọng vấn đề bảo mật từ khâu thiết kế

Thời gian qua, các nền tảng số, đặc biệt là các nền tảng phòng, chống dịch Covid-19 đã có những đóng góp quan trọng, hiệu quả trong công tác phòng chống dịch, góp phần thúc đẩy chuyển đổi số (CĐS) quốc gia, phát triển kinh tế số và xã hội số. Tuy nhiên, hiện tượng lộ lọt thông tin, dữ liệu trên các nền tảng số vẫn diễn ra với quy mô ngày càng lớn. Nhiều đối tượng đã lợi dụng các nền tảng số để chiếm đoạt, sử dụng thông tin cá nhân của người khác một cách bất hợp pháp.

Những thông tin này rơi vào tay kẻ xấu có thể sẽ trở thành nguồn dữ liệu để các đối tượng lợi dụng lừa đảo chiếm đoạt tài sản như: gọi điện đe dọa, lừa đánh cắp tài khoản ngân hàng... Tuy nhiên, cũng có những trường hợp các đối tượng sử dụng để giới thiệu quảng cáo các sản phẩm về nhà, đất, bảo hiểm, các loại dịch vụ làm đẹp... Tất cả các tác động này đều ít nhiều gây phiền phức đến những cá nhân có liên quan.

Chia sẻ tại buổi tọa đàm trực tuyến 'Kết nối trong đại dịch', ông Nguyễn Đình Quân, Kỹ sư quản lý dự án, Tập đoàn Thyssenkrupp Industrial Solution AG, cho biết từ khi đại dịch bùng phát đến nay đã có nhiều ứng dụng hỗ trợ cho người dân ở vùng dịch bệnh. Tuy nhiên, bên cạnh ưu tiên lớn nhất về sức khỏe cũng cần quan tâm đến quyền riêng tư và bảo mật dữ liệu.

'Tôi mong các cơ quan chức năng cần lưu tâm đến vấn đề này, để người bệnh vẫn được đảm bảo quyền riêng tư. Những thông tin về tình trạng bệnh của họ chỉ được gửi đến cho người nhà được ủy quyền, có tư cách hợp pháp để nhận thông tin, đồng thời có giải pháp bảo mật dữ liệu để đảm bảo sau khi đại dịch xảy ra, không xảy ra tình trạng lộ lọt dữ liệu, tránh sự trục lợi sau này', ông Quân nhấn mạnh.

Trao đổi về vấn đề này, tại buổi tọa đàm, Thứ trưởng Bộ TT&TT Nguyễn Huy Dũng nhấn mạnh, các ứng dụng được triển khai trong thời gian qua luôn chú trọng bảo vệ thông tin cá nhân từ khâu thiết kế. Việt Nam luôn cố gắng thể chế hóa, minh bạch hóa điều đó bằng cách ban hành cơ chế vận hành, khai thác, sử dụng dữ liệu trong phòng chống dịch.

'Đây là câu chuyện mà 5 năm qua, các cơ quan chức năng tại Việt Nam ý thức rất rõ. Trong Luật an toàn thông tin (ATTT) mạng năm 2015, lần đầu tiên dành riêng một mục có 5-6 điều quy định chi tiết về bảo vệ thông tin cá nhân. Lần đầu tiên thông tin cá nhân đã được định nghĩa tường minh và được pháp luật bảo vệ', Thứ trưởng cho biết.

Theo đó, tất cả dữ liệu được thu thập từ các ứng dụng chống dịch chỉ dùng trong chống dịch bệnh. Các dữ liệu hết thời hạn sẽ được xóa khỏi hệ thống. Chẳng hạn dữ liệu khai báo y tế, sau 14 - 28 ngày sẽ không còn giá trị về mặt dịch tễ, sẽ được xóa khỏi hệ thống. Thứ trưởng Bộ TT&TT khẳng định, dù luôn phải thay đổi để theo kịp tình huống thực tiễn, cơ quan chức năng và các nhà phát triển ứng dụng cam kết tuân thủ pháp luật, 'đồng thời cũng là đạo đức nghề nghiệp trong việc bảo vệ quyền riêng tư, dữ liệu người dùng'.

Thứ trưởng Dũng cũng cho biết khi phát triển Bluezone, nhà phát triển cũng mở mã nguồn để tất cả đều có thể tham gia quan sát.

Còn theo ông Vòng Thanh Cường, CEO Kompa Group, giải pháp bảo mật cần thiết được thực hiện ngay trong quá trình xây dựng dự án công nghệ. Nghĩa là cần chia ra các hạng mục cụ thể đối với từng loại dữ liệu và cần phải được mã hóa dữ liệu. 'Các nền tảng công nghệ phục vụ chống dịch khi hết hạn, thời gian phục dịch và cần được xóa khỏi mọi hệ thống', ông Cường lưu ý.

Để khắc phục tình trạng trên và thúc đẩy phát triển, sử dụng nền tảng số an toàn, lành mạnh, tạo lập niềm tin số và bảo đảm an toàn không gian mạng Việt Nam, mới đây, Bộ TT&TT đã ban hành Chỉ thị số 49/CT-BTTTT về việc thúc đẩy và sử dụng nền tảng số an toàn, lành mạnh, trong đó quy định rõ trách nhiệm của các doanh nghiệp chủ quản nền tảng số, các doanh nghiệp (DN) viễn thông cũng như các tổ chức, cá nhân sử dụng dịch vụ nền tảng số.

Mặc dù, trách nhiệm chính trong việc bảo vệ an toàn dữ liệu vẫn thuộc về các tổ chức, DN cung cấp dịch vụ nhưng mỗi người dân cũng cần phải nêu cao cảnh giác, chú trọng bảo vệ thông tin cá nhân, nhất là trên không gian mạng, tránh bị kẻ xấu lợi dụng nguồn dữ liệu này để lừa đảo.

Tìm kiếm lỗ hổng bảo mật để bảo vệ các nền tảng hỗ trợ phòng, chống dịch Covid-19

Các nền tảng công nghệ hỗ trợ phòng, chống dịch đều đặc biệt chú trọng vấn đề an toàn, bảo mật thông tin. Dữ liệu của các nền tảng liên quan đến sức khỏe của người dân, vì thế yêu cầu tính bảo mật phải cao, phải đảm bảo an toàn dữ liệu.

Tuy nhiên, trong bối cảnh công nghệ phát triển nhanh và nóng như hiện nay, bất kỳ một hệ thống thông tin nào cũng phải đối mặt với các nguy cơ tấn công mạng. Việc phát hiện sớm và khắc phục kịp thời các lỗ hổng bảo mật của các ứng dụng, hệ thống sẽ giúp giảm thiểu rủi ro và các thiệt hại.

Thực tế, để tăng tính an toàn cho sản phẩm thì các tổ chức phải tìm cách phát hiện và khắc phục gần như tất cả các lỗ hổng, điểm yếu đang tồn tại trên hệ thống. Tuy nhiên, trong ATTT nếu đảm bảo an toàn 99,99 % thì vẫn là chưa an toàn, vì tin tặc (hacker) chỉ cần khai thác vào một lỗ hổng bảo mật bất kỳ còn chưa được phát hiện ra thì mọi nỗ lực của tổ chức đều có thể sẽ trở thành vô nghĩa.

Nhận thức được các nguy cơ tiềm ẩn có thể sẽ xảy ra với các hệ thống công nghệ đang được triển khai phục vụ phòng, chống đại dịch Covid-19 tại Việt Nam, ngày 25/8, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) đã công bố, ra mắt Chương trình tìm kiếm lỗ hổng bảo mật cho các nền tảng số hỗ trợ công tác phòng, chống dịch Covid-19. Phạm vi của chương trình này gồm gần 20 nền tảng thành viên của Trung tâm Công nghệ phòng, chống dịch Covid-19 quốc gia. Thời gian tới, các nền tảng công nghệ số hỗ trợ phòng chống dịch Covid-19 khác sẽ tiếp tục được công bố và đưa lên chương trình.

Chương trình được Trung tâm NCSC phối hợp triển khai trên nền tảng BugRank (https://bugrank.io/).

BugRank là một nền tảng Bug bounty nguồn mở và phi lợi nhuận được phát triển bởi VNSecurity Foundation. Các tổ chức, DN có thể đưa các chương trình của tổ chức mình lên và sẽ được đánh giá, kiểm thử bởi tất cả các researcher (nhà nghiên cứu, chuyên gia bảo mật...) trên toàn thế giới. Ngoài ra, BugRank còn có tính năng nổi bật như OpenPGP Encryption dành cho các báo cáo, để đảm bảo tối đa về bảo mật cho các Researcher cũng như các tổ chức, DN tham gia vào. Nền tảng này đã được trình bày tại hội thảo HITB Lockdown 2020 và đón nhận được sự quan tâm đông đảo của cộng đồng, chuyên gia an toàn, an ninh mạng trên thế giới.

Bug bounty là một hình thức các tổ chức, DN có nhu cầu cần tìm kiếm các lỗ hổng bảo mật, điểm yếu còn tồn đọng trên hệ thống của mình (trong phạm vi cho phép). Sau khi công khai các chương trình trên các nền tảng Bug bounty, sẽ được các nhà nghiên cứu đánh giá, kiểm thử các ứng dụng, hệ thống trong phạm vi của chương trình để tìm ra các lỗ hổng bảo mật và gửi báo cáo cho các tổ chức, DN thông qua chính nền tảng đó. Nhà nghiên cứu sẽ nhận được phần thưởng bằng tiền/hiện kim hoặc các phần thưởng tương đương./.