Đầu tư an toàn thông tin thế nào cho đúng?
Cách đây mấy tuần tôi có viết một bài cho báo Tuổi Trẻ về đầu tư an toàn thông tin. Tuổi Trẻ đăng nguyên văn ở đây. Hôm nay vừa thấy tin anh Tavis Ormandy -- hi vọng sẽ mời được ảnh đến TetCon 2017 -- phát hiện một số lỗi cực kỳ ngớ ngẩn của TrendMicro, nên mới nhớ là chưa gửi lên blog.
Tôi không bất ngờ vì TrendMicro có lỗi, chỉ thấy bực là có quá nhiều lỗi đơn giản mà chỉ cần nhìn qua là thấy liền. Chứng tỏ TrendMicro mang tiếng là bán sản phẩm security nhưng không có người làm security cho chính sản phẩm của họ. Tôi có nhấn mạnh chỗ này trong bài viết bên dưới.
Tôi tự đặt cho mình mục tiêu là trong vòng 5 năm tới sẽ làm doanh thu tại Việt Nam của các hãng phần mềm chống mã độc đi xuống hoặc giậm chân tại chỗ chứ không đi lên.
--
Sử dụng giải pháp an ninh có sẵn: coi chừng tiền mất tật mang
Hồi trung tuần tháng chạp, Juniper, hãng thiết bị mạng nổi tiếng của Mỹ, thông báo rằng có ai đó đã bí mật cài mã độc vào các thiết bị của họ. Mã độc này cho phép kẻ tấn công có thể điều khiển các thiết bị của Juniper và đồng thời giải mã luôn dữ liệu được gửi xuyên qua chúng. Phân tích của giới chuyên môn cho thấy mã độc có liên quan đến một thuật toán tạo số ngẫu nhiên mang tên Dual EC. Từ năm 2007, hai nhà nghiên cứu ở Microsoft đã chỉ ra rằng Dual EC có thể đã bị Cơ Quan Tình Báo Quốc Gia Mỹ (NSA) cài mã độc và điều đó sau này được xác nhận bởi các tài liệu do Edward Snowden tiết lộ. Ngoài Juniper ra, RSA, hãng sản phẩm an toàn thông tin đình đám của Mỹ, cũng từng bị phát hiện cố tình sử dụng Dual EC trong các sản phẩm của họ, sau khi bí mật nhận 10 triệu USD từ NSA. Nói cách khác, ai sử dụng sản phẩm của RSA coi như đã bị chính phủ Mỹ “nắm đầu” từ nhiều năm nay.
Trước đó vài ngày, đồng nghiệp của chúng tôi ở Google phát hiện một lổ hổng nghiêm trọng trong các thiết bị của FireEye, hãng giải pháp chống mã độc. Lỗi này cho phép kẻ tấn công dễ dàng điều khiển các thiết bị của FireEye. Tương tự như Juniper, các thiết bị của FireEye thường được đặt ở những vị trí trọng yếu nhất trong các trung tâm dữ liệu, nơi có thể thấy hết toàn bộ dữ liệu đi ra đi vào, từ email, tài liệu, cho đến mật khẩu, v.v. Vấn đề là chất lượng an ninh phần mềm của các thiết bị như vậy thường không được đảm bảo, bởi các công ty làm thiết bị an ninh, trớ trêu thay, lại thường không có đội làm an ninh phần mềm. Ngoài FireEye, người ta còn phát hiện được lỗi bảo mật của hầu hết các giải pháp mạng của Cisco, F5, Palo Alto Networks hay các phần mềm chống mã độc hiện có trên thị trường, như ESET, Kaspersky, Sophos, Avast, v.v.
Trong các kỳ hội thảo TetCon ở thành phố Hồ Chí Minh, chúng tôi đều nhấn mạnh phần mềm luôn có lỗi bảo mật và các giải pháp chống mã độc, tường lửa hay các thiết bị an ninh đều là phần mềm, nên chúng cũng có lỗi. Các phần mềm này thậm chí còn có nhiều lỗi hơn, vì chúng thường phức tạp hơn phần mềm thông thường. Nhóm của chúng tôi ở Google chịu trách nhiệm an ninh phần mềm cho các sản phẩm của hãng và sự thật là chúng tôi đã tìm thấy lỗi bảo mật trong tất cả phần mềm hay thiết bị phần cứng mà chúng tôi đã từng xem xét. Việc mua sắm và cài đặt các trang thiết bị và giải pháp an ninh có sẵn, do đó, có thể làm cho hệ thống kém an toàn hơn.
Rất tiếc, theo quan sát của chúng tôi các cơ quan nhà nước và các doanh nghiệp Việt Nam dành phần lớn ngân sách để mua sắm các giải pháp có sẵn kể trên. Không phải giải pháp nào cũng tệ, nhưng nếu người ra quyết định không có đủ thông tin (ví dụ như không biết rằng các thiết bị của Juniper đã bị cài mã độc), khó lòng mà họ có thể chọn được giải pháp thật sự đem lại lợi ích và với một chi phí hợp lý. Một xu hướng đầu tư quản lý an toàn thông tin khác không mấy hiệu quả nhưng lại rất phổ biến ở Việt Nam là chạy theo các bộ tiêu chuẩn như ITIL hay ISO 27001. Google buộc phải lấy chứng chỉ ISO 27001 không phải vì nó quá hữu ích trong việc đảm bảo an toàn thông tin, mà chỉ vì luật lệ một số nước yêu cầu Google phải đạt được chuẩn này. Chúng tôi làm ở Google hơn bốn năm, nhưng chưa từng có ai yêu cầu chúng tôi phải tuân thủ những bộ tiêu chuẩn này. Chúng tôi nghĩ không phải chúng không đem lại giá trị, chỉ là giá trị không xứng đáng với thời gian, công sức và tiền bạc phải bỏ ra.
Đầu tư an toàn thông tin đúng cách: đầu tư vào con người
Thay vì đầu tư tiền của vào các giải pháp có sẵn, Google chọn đầu tư vào con người. Nhóm làm an toàn thông tin ở Google có hơn 500 người, chỉ tiền lương thôi thì mỗi năm Google đã phải chi vài trăm triệu USD. Nếu có một giải pháp có sẵn, chắc hẳn những người quản lý đã mua để sử dụng cho tiết kiệm chi phí. Mặc dù Google vẫn có sử dụng một số thiết bị và giải pháp của bên thứ ba, thông thường Google tự xây dựng các giải pháp của riêng họ, vì các giải pháp có sẵn không đảm bảo được chất lượng. Đương nhiên không phải công ty nào cũng có thể làm như thế, nhất là các doanh nghiệp vừa và nhỏ, nhưng trước nhất chủ doanh nghiệp hay những người làm quản lý thông tin phải hiểu rằng cách đầu tư đúng nhất là đầu tư vào con người.
Ở Việt Nam đã bắt đầu có những doanh nghiệp đầu tư đúng cách vào an toàn thông tin, ví dụ như VNG hay Viettel. Theo chúng tôi được biết, những đơn vị này đã dành ra nhiều tiền của để duy trì một đội ngũ vài chục người bao gồm những kỹ sư an toàn thông tin thuộc hàng giỏi nhất Việt Nam. Nhưng đây chỉ là hai ngoại lệ hiếm hoi, đa số các công ty khác, nhất là những đơn vị nhà nước, đều dành hết tiền mua sắm thiết bị giải pháp có sẵn. Có lần một kỹ sư làm ở cục An Toàn Thông Tin trực thuộc một bộ trong chính phủ nói với chúng tôi rằng ở chỗ anh ấy làm việc, có đủ hết tất cả các máy móc thiết bị hiện đại nhất, mới nhất, phần lớn là mua của các hãng bên Mỹ. Vấn đề là anh ấy không biết sử dụng chúng, vì trình độ kém nhưng lại không được đào tạo. Thành ra chỉ biết trùm mền các thiết bị có giá trị cả trăm ngàn USD, mỗi năm mở ra vài lần để cập nhật giấp phép sử dụng.
Xét ở bình diện an ninh quốc gia, Việt Nam nằm trong tầm ngắm của rất nhiều nhóm hacker có sự tài trợ của chính phủ (state-sponsored hackers). Đây là nhóm hacker nguy hiểm nhất, vì họ có tiền, có động cơ, có tài năng và có đủ kiên nhẫn. Không ai biết nhóm hacker nào đã xâm nhập và cài mã độc vào các thiết bị của Juniper, nhưng rõ ràng họ làm vậy không phải để đánh Juniper mà để đánh khách hàng của hãng này. Họ muốn xâm nhập vào một tổ chức nào đó và họ phát hiện tổ chức đó sử dụng sản phẩm của Juniper, nên họ xâm nhập vào Juniper. Có thể họ đến từ Nga, từ Trung Quốc, hay từ Mỹ, không ai biết cả. Câu hỏi là Việt Nam cần phải làm gì để tự phòng vệ trước mối hiểm họa này? Có rất nhiều việc cần phải làm, nhưng trước nhất vẫn là đầu tư vào con người.
Sự thật là sinh viên và kỹ sư an toàn thông tin Việt Nam có trình độ không thua kém các nước trong khu vực. Vừa rồi đội Việt Nam bao gồm các sinh viên đang theo học ở đại học Công Nghệ Thông Tin đã giành giải nhất cuộc thi hacking của các nước ASEAN. Các chuyên gia Việt Nam cũng được biết đến trên thế giới. Ví dụ như các sản phẩm và nghiên cứu của tiến sĩ Nguyễn Anh Quỳnh đã được giới hacker thế giới đánh giá rất cao. Nhưng số lượng kỹ sư lành nghề của Việt Nam vẫn còn quá ít. So với Thái Lan, Singapore, Malaysia, v.v. Việt Nam có phần nổi trội về tài năng an toàn thông tin, nhưng nếu so với Trung Quốc hay các nước phương Tây, số lượng chuyên gia Việt Nam như muối bỏ biển. Gia tăng số lượng và chất lượng chuyên gia trong nước, do đó, là việc đầu tiên cần phải làm ngay.
Các doanh nghiệp và cơ qua nhà nước phải dành phần lớn ngân sách an toàn thông tin để tuyển dụng, đào tạo, phát triển đội ngũ chuyên gia lành nghề tại chỗ. Các trường đại học phải đào tạo làm sao để sinh viên có đủ khả năng tham dự các cuộc thi thử tài xâm nhập được tổ chức thường xuyên trong và ngoài nước. Các công ty và tổ chức phải gửi nhân viên đi học, đi đào tạo ở các hội thảo chuyên môn trong và ngoài nước, tạo điều kiện cho họ tiếp xúc với giới chuyên gia, tạo điều kiện cho họ trở thành chuyên gia -- chính những người này sẽ giúp xây dựng các giải pháp an ninh dựa trên các nền tảng mở cũng như ra quyết định nên đầu tư mua sắm cái gì cho hợp lý. Nhu cầu nhân lực an toàn thông tin ở Mỹ và các nước phát triển rất lớn, do đó các doanh nghiệp và cơ quan nhà nước phải hiểu rằng để thu hút được người giỏi, phải có chế độ đãi ngộ xứng đáng, nếu không họ sẽ ra nước ngoài làm việc.
Cả thế giới đang bị phần mềm nuốt chửng, nhưng phần mềm lúc nào cũng có nhiều lổ hổng bảo mật. Mấy năm vừa rồi, bao nhiêu công ty trên thế giới bị xâm nhập, mỗi lần gây thiệt hại có khi lên đến hàng chục tỉ USD. Vậy mà ở Việt Nam khá yên ắng. Phải chăng Việt Nam là một ngoại lệ? Chúng tôi không nghĩ như vậy. Việt Nam đang ở khoảng lặng trước cơn bão. Cả xã hội Việt Nam đang bị Facebook và điện thoại thông minh nuốt chửng. Ngay cả chính phủ cũng đã xuất hiện trên Facebook. Rất nhiều công ty đã và đang ngày càng phụ thuộc vào máy tính. Vinasun bây giờ cũng đã phải làm phần mềm để cạnh tranh với Uber. Thiệt hại sẽ như thế nào nếu như hệ thống tính tiền của Vinasun bị cài mã độc để đánh cắp thông tin thẻ tín dụng? Chuyện gì sẽ diễn ra nếu tài khoản Facebook của chính phủ bị đánh cắp và một thông tin xấu được gửi lên đó? Chúng tôi không dám hình dung thiệt hại, nhưng chúng tôi tin chắc đầu tư cho để nâng chất lượng và số lượng kỹ sư an toàn thông tin là một lựa chọn rẻ hơn rất nhiều.
Tôi không bất ngờ vì TrendMicro có lỗi, chỉ thấy bực là có quá nhiều lỗi đơn giản mà chỉ cần nhìn qua là thấy liền. Chứng tỏ TrendMicro mang tiếng là bán sản phẩm security nhưng không có người làm security cho chính sản phẩm của họ. Tôi có nhấn mạnh chỗ này trong bài viết bên dưới.
Tôi tự đặt cho mình mục tiêu là trong vòng 5 năm tới sẽ làm doanh thu tại Việt Nam của các hãng phần mềm chống mã độc đi xuống hoặc giậm chân tại chỗ chứ không đi lên.
--
Sử dụng giải pháp an ninh có sẵn: coi chừng tiền mất tật mang
Hồi trung tuần tháng chạp, Juniper, hãng thiết bị mạng nổi tiếng của Mỹ, thông báo rằng có ai đó đã bí mật cài mã độc vào các thiết bị của họ. Mã độc này cho phép kẻ tấn công có thể điều khiển các thiết bị của Juniper và đồng thời giải mã luôn dữ liệu được gửi xuyên qua chúng. Phân tích của giới chuyên môn cho thấy mã độc có liên quan đến một thuật toán tạo số ngẫu nhiên mang tên Dual EC. Từ năm 2007, hai nhà nghiên cứu ở Microsoft đã chỉ ra rằng Dual EC có thể đã bị Cơ Quan Tình Báo Quốc Gia Mỹ (NSA) cài mã độc và điều đó sau này được xác nhận bởi các tài liệu do Edward Snowden tiết lộ. Ngoài Juniper ra, RSA, hãng sản phẩm an toàn thông tin đình đám của Mỹ, cũng từng bị phát hiện cố tình sử dụng Dual EC trong các sản phẩm của họ, sau khi bí mật nhận 10 triệu USD từ NSA. Nói cách khác, ai sử dụng sản phẩm của RSA coi như đã bị chính phủ Mỹ “nắm đầu” từ nhiều năm nay.
Trước đó vài ngày, đồng nghiệp của chúng tôi ở Google phát hiện một lổ hổng nghiêm trọng trong các thiết bị của FireEye, hãng giải pháp chống mã độc. Lỗi này cho phép kẻ tấn công dễ dàng điều khiển các thiết bị của FireEye. Tương tự như Juniper, các thiết bị của FireEye thường được đặt ở những vị trí trọng yếu nhất trong các trung tâm dữ liệu, nơi có thể thấy hết toàn bộ dữ liệu đi ra đi vào, từ email, tài liệu, cho đến mật khẩu, v.v. Vấn đề là chất lượng an ninh phần mềm của các thiết bị như vậy thường không được đảm bảo, bởi các công ty làm thiết bị an ninh, trớ trêu thay, lại thường không có đội làm an ninh phần mềm. Ngoài FireEye, người ta còn phát hiện được lỗi bảo mật của hầu hết các giải pháp mạng của Cisco, F5, Palo Alto Networks hay các phần mềm chống mã độc hiện có trên thị trường, như ESET, Kaspersky, Sophos, Avast, v.v.
Trong các kỳ hội thảo TetCon ở thành phố Hồ Chí Minh, chúng tôi đều nhấn mạnh phần mềm luôn có lỗi bảo mật và các giải pháp chống mã độc, tường lửa hay các thiết bị an ninh đều là phần mềm, nên chúng cũng có lỗi. Các phần mềm này thậm chí còn có nhiều lỗi hơn, vì chúng thường phức tạp hơn phần mềm thông thường. Nhóm của chúng tôi ở Google chịu trách nhiệm an ninh phần mềm cho các sản phẩm của hãng và sự thật là chúng tôi đã tìm thấy lỗi bảo mật trong tất cả phần mềm hay thiết bị phần cứng mà chúng tôi đã từng xem xét. Việc mua sắm và cài đặt các trang thiết bị và giải pháp an ninh có sẵn, do đó, có thể làm cho hệ thống kém an toàn hơn.
Rất tiếc, theo quan sát của chúng tôi các cơ quan nhà nước và các doanh nghiệp Việt Nam dành phần lớn ngân sách để mua sắm các giải pháp có sẵn kể trên. Không phải giải pháp nào cũng tệ, nhưng nếu người ra quyết định không có đủ thông tin (ví dụ như không biết rằng các thiết bị của Juniper đã bị cài mã độc), khó lòng mà họ có thể chọn được giải pháp thật sự đem lại lợi ích và với một chi phí hợp lý. Một xu hướng đầu tư quản lý an toàn thông tin khác không mấy hiệu quả nhưng lại rất phổ biến ở Việt Nam là chạy theo các bộ tiêu chuẩn như ITIL hay ISO 27001. Google buộc phải lấy chứng chỉ ISO 27001 không phải vì nó quá hữu ích trong việc đảm bảo an toàn thông tin, mà chỉ vì luật lệ một số nước yêu cầu Google phải đạt được chuẩn này. Chúng tôi làm ở Google hơn bốn năm, nhưng chưa từng có ai yêu cầu chúng tôi phải tuân thủ những bộ tiêu chuẩn này. Chúng tôi nghĩ không phải chúng không đem lại giá trị, chỉ là giá trị không xứng đáng với thời gian, công sức và tiền bạc phải bỏ ra.
Đầu tư an toàn thông tin đúng cách: đầu tư vào con người
Thay vì đầu tư tiền của vào các giải pháp có sẵn, Google chọn đầu tư vào con người. Nhóm làm an toàn thông tin ở Google có hơn 500 người, chỉ tiền lương thôi thì mỗi năm Google đã phải chi vài trăm triệu USD. Nếu có một giải pháp có sẵn, chắc hẳn những người quản lý đã mua để sử dụng cho tiết kiệm chi phí. Mặc dù Google vẫn có sử dụng một số thiết bị và giải pháp của bên thứ ba, thông thường Google tự xây dựng các giải pháp của riêng họ, vì các giải pháp có sẵn không đảm bảo được chất lượng. Đương nhiên không phải công ty nào cũng có thể làm như thế, nhất là các doanh nghiệp vừa và nhỏ, nhưng trước nhất chủ doanh nghiệp hay những người làm quản lý thông tin phải hiểu rằng cách đầu tư đúng nhất là đầu tư vào con người.
Ở Việt Nam đã bắt đầu có những doanh nghiệp đầu tư đúng cách vào an toàn thông tin, ví dụ như VNG hay Viettel. Theo chúng tôi được biết, những đơn vị này đã dành ra nhiều tiền của để duy trì một đội ngũ vài chục người bao gồm những kỹ sư an toàn thông tin thuộc hàng giỏi nhất Việt Nam. Nhưng đây chỉ là hai ngoại lệ hiếm hoi, đa số các công ty khác, nhất là những đơn vị nhà nước, đều dành hết tiền mua sắm thiết bị giải pháp có sẵn. Có lần một kỹ sư làm ở cục An Toàn Thông Tin trực thuộc một bộ trong chính phủ nói với chúng tôi rằng ở chỗ anh ấy làm việc, có đủ hết tất cả các máy móc thiết bị hiện đại nhất, mới nhất, phần lớn là mua của các hãng bên Mỹ. Vấn đề là anh ấy không biết sử dụng chúng, vì trình độ kém nhưng lại không được đào tạo. Thành ra chỉ biết trùm mền các thiết bị có giá trị cả trăm ngàn USD, mỗi năm mở ra vài lần để cập nhật giấp phép sử dụng.
Xét ở bình diện an ninh quốc gia, Việt Nam nằm trong tầm ngắm của rất nhiều nhóm hacker có sự tài trợ của chính phủ (state-sponsored hackers). Đây là nhóm hacker nguy hiểm nhất, vì họ có tiền, có động cơ, có tài năng và có đủ kiên nhẫn. Không ai biết nhóm hacker nào đã xâm nhập và cài mã độc vào các thiết bị của Juniper, nhưng rõ ràng họ làm vậy không phải để đánh Juniper mà để đánh khách hàng của hãng này. Họ muốn xâm nhập vào một tổ chức nào đó và họ phát hiện tổ chức đó sử dụng sản phẩm của Juniper, nên họ xâm nhập vào Juniper. Có thể họ đến từ Nga, từ Trung Quốc, hay từ Mỹ, không ai biết cả. Câu hỏi là Việt Nam cần phải làm gì để tự phòng vệ trước mối hiểm họa này? Có rất nhiều việc cần phải làm, nhưng trước nhất vẫn là đầu tư vào con người.
Sự thật là sinh viên và kỹ sư an toàn thông tin Việt Nam có trình độ không thua kém các nước trong khu vực. Vừa rồi đội Việt Nam bao gồm các sinh viên đang theo học ở đại học Công Nghệ Thông Tin đã giành giải nhất cuộc thi hacking của các nước ASEAN. Các chuyên gia Việt Nam cũng được biết đến trên thế giới. Ví dụ như các sản phẩm và nghiên cứu của tiến sĩ Nguyễn Anh Quỳnh đã được giới hacker thế giới đánh giá rất cao. Nhưng số lượng kỹ sư lành nghề của Việt Nam vẫn còn quá ít. So với Thái Lan, Singapore, Malaysia, v.v. Việt Nam có phần nổi trội về tài năng an toàn thông tin, nhưng nếu so với Trung Quốc hay các nước phương Tây, số lượng chuyên gia Việt Nam như muối bỏ biển. Gia tăng số lượng và chất lượng chuyên gia trong nước, do đó, là việc đầu tiên cần phải làm ngay.
Các doanh nghiệp và cơ qua nhà nước phải dành phần lớn ngân sách an toàn thông tin để tuyển dụng, đào tạo, phát triển đội ngũ chuyên gia lành nghề tại chỗ. Các trường đại học phải đào tạo làm sao để sinh viên có đủ khả năng tham dự các cuộc thi thử tài xâm nhập được tổ chức thường xuyên trong và ngoài nước. Các công ty và tổ chức phải gửi nhân viên đi học, đi đào tạo ở các hội thảo chuyên môn trong và ngoài nước, tạo điều kiện cho họ tiếp xúc với giới chuyên gia, tạo điều kiện cho họ trở thành chuyên gia -- chính những người này sẽ giúp xây dựng các giải pháp an ninh dựa trên các nền tảng mở cũng như ra quyết định nên đầu tư mua sắm cái gì cho hợp lý. Nhu cầu nhân lực an toàn thông tin ở Mỹ và các nước phát triển rất lớn, do đó các doanh nghiệp và cơ quan nhà nước phải hiểu rằng để thu hút được người giỏi, phải có chế độ đãi ngộ xứng đáng, nếu không họ sẽ ra nước ngoài làm việc.
Cả thế giới đang bị phần mềm nuốt chửng, nhưng phần mềm lúc nào cũng có nhiều lổ hổng bảo mật. Mấy năm vừa rồi, bao nhiêu công ty trên thế giới bị xâm nhập, mỗi lần gây thiệt hại có khi lên đến hàng chục tỉ USD. Vậy mà ở Việt Nam khá yên ắng. Phải chăng Việt Nam là một ngoại lệ? Chúng tôi không nghĩ như vậy. Việt Nam đang ở khoảng lặng trước cơn bão. Cả xã hội Việt Nam đang bị Facebook và điện thoại thông minh nuốt chửng. Ngay cả chính phủ cũng đã xuất hiện trên Facebook. Rất nhiều công ty đã và đang ngày càng phụ thuộc vào máy tính. Vinasun bây giờ cũng đã phải làm phần mềm để cạnh tranh với Uber. Thiệt hại sẽ như thế nào nếu như hệ thống tính tiền của Vinasun bị cài mã độc để đánh cắp thông tin thẻ tín dụng? Chuyện gì sẽ diễn ra nếu tài khoản Facebook của chính phủ bị đánh cắp và một thông tin xấu được gửi lên đó? Chúng tôi không dám hình dung thiệt hại, nhưng chúng tôi tin chắc đầu tư cho để nâng chất lượng và số lượng kỹ sư an toàn thông tin là một lựa chọn rẻ hơn rất nhiều.
Comments