Phát hiện hơn 70.000 lỗ hổng trong hệ thống thông tin của cơ quan Nhà nước

Hệ thống kỹ thuật của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) đã ghi nhận có 71.998 điểm yếu, lỗ hổng an toàn thông tin tại các hệ thống thông tin của các cơ quan, tổ chức Nhà nước.

Phát hiện số lượng lớn lỗ hổng trong hệ thống website của cơ quan Nhà nước

Cục An toàn thông tin, Bộ Thông tin và Truyền thông cho biết, trong tháng 11/2023, Hệ thống kỹ thuật của NCSC đã ghi nhận 492.105 địa chỉ IP của Việt Nam nằm trong mạng botnet (tăng 5,67% so với tháng 10/2023), trong đó có 194 địa chỉ IP của cơ quan, tổ chức Nhà nước (15 địa chỉ IP Bộ/ngành, 179 địa chỉ IP tỉnh/thành).

Trong thời gian vừa qua, có rất nhiều website của cơ quan Nhà nước bị lợi dụng để cài cắm, đăng tải, chuyển hướng hoặc liên kết với nội dung quảng cáo không phù hợp như: Game bài, cờ bạc…. Ngày 19/12/2022, Bộ Thông tin và Truyền thông đã phát hành cảnh báo số 6327/BTTT-CATTTT về việc rà soát nội dung không phù hợp trên website của cơ quan Nhà nước (những website có đuôi ".gov.vn").

Trước đó, Cục An toàn thông tin cũng phát hành cảnh báo diện rộng số 381/CATTT-NCSC ngày 17/03/2023 và cảnh báo diện rộng số 972/CATTT-NCSC ngày 19/06/2023 về việc rà soát nội dung không phù hợp trên website của cơ quan Nhà nước (những website có đuôi ".gov.vn").

Tuy nhiên đến tháng 11/2023, NCSC tiếp tục ghi nhận có 23 đơn vị (14 tỉnh/thành, 9 Bộ/ngành) còn tồn tại các website của đơn vị bị lợi dụng để tải lên số lượng lớn tệp tin có nội dung độc hại. Những tệp tin này xuất hiện trong kết quả tìm kiếm của Google và thực hiện chuyển hướng người dùng sang website khác khi người dùng truy cập đường dẫn. Điều này sẽ trở nên nguy hiểm và nghiêm trọng nếu bị lợi dụng để đăng tải, phát tán những nội dung độc hại, xuyên tạc.

Triển khai công tác dán nhãn tín nhiệm mạng

Về tình hình triển khai công tác dán nhãn tín nhiệm mạng cho các trang, cổng thông tin điện tử theo Quyết định số 17/QĐ-UBQGCĐS năm 2023, Cục An toàn thông tin cho hay, đến hết tháng 11/2023 đã có 80 đơn vị (59 tỉnh/thành, 21 Bộ/ngành) triển khai công tác dán nhãn tín nhiệm mạng cho các trang, cổng thông tin điện tử.

Tổng số trang, cổng thông tin điện tử của các đơn vị cơ quan Nhà nước đã được cấp nhãn tín nhiệm mạng là 3.857 website (553 website của 21 Bộ/ngành, 3304 website của 59 tỉnh/thành)

Triển khai các giải pháp đảm bảo an toàn thông tin

Trong tháng 11/2023, Hệ thống kỹ thuật của NCSC đã ghi nhận có 71.998 điểm yếu, lỗ hổng an toàn thông tin tại các hệ thống thông tin của các cơ quan tổ chức Nhà nước. Số lượng điểm yếu, lỗ hổng nêu trên là rất lớn.

Do đó, Cục An toàn thông tin đã chỉ đạo Trung tâm Giám sát an toàn không gian mạng quốc gia triển khai đánh giá, xác định các lỗ hổng nguy hiểm, có ảnh hưởng trên diện rộng và hướng dẫn các Bộ/ngành khắc phục. Đặc biệt, có một số lỗ hổng đã và đang được các nhóm tấn công lợi dụng để thực hiện các cuộc tấn công có chủ đích (APT).

Bên cạnh các điểm yếu/lỗ hổng ghi nhận, Hệ thống kỹ thuật của NCSC còn phân tích và phát hiện nhiều máy tính của cơ quan Nhà nước có kết nối đến địa chỉ IP/Domain nghi ngờ độc hại do các phần mềm phòng chống mã độc đã ghi nhận.

Nhằm đảm bảo an toàn hệ thống, Cục An toàn thông tin đề nghị đơn vị chuyên trách về công nghệ thông tin/an toàn thông tin tại cơ quan, tổ chức phối hợp với các đơn vị thực hiện rà soát xác định và tiến hành “vá” các lỗi trên hệ thống đặc biệt là các lỗ hổng nêu trên.

Thực hiện Chỉ thị số 14/CT-TTg của Thủ tướng Chính phủ ban hành ngày 25/5/2018 về việc nâng cao năng lực phòng, chống phần mềm độc hại, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) đã giao Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) hỗ trợ 15 doanh nghiệp có giải pháp phòng chống mã độc thực hiện kết nối chia sẻ dữ liệu mã độc theo văn bản 2290/BTTTT-CATTT ngày 17/7/2018 về việc hướng dẫn kết nối, chia sẻ thông tin về mã độc giữa các hệ thống kỹ thuật.

Đến hết tháng 11/2023 đã có 88 đơn vị (63 tỉnh/thành, 25 bộ/ngành) triển khai giải pháp phòng chống mã độc tập trung và thực hiện kết nối chia sẻ thông tin về mã độc với NCSC. Trong tháng 11/2023, thông qua kết nối chia sẻ dữ liệu về mã độc từ 88 đơn vị, hệ thống kỹ thuật của NCSC ghi nhận 82/88 đơn vị có kết nối thường xuyên. Trong các đơn vị kết nối thường xuyên có 80/82 đơn vị chia sẻ về hệ điều hành các máy (tổng số máy là 202.311).

ISO 27001 - Tiêu chuẩn Quốc tế về An ninh dữ liệu phổ biến nhất hiện nay

Bảo mật dữ liệu, thông tin là mục tiêu quan trọng trong xã hội hiện đại, đặc biệt trong bối cảnh công nghệ số và công nghệ thông tin ngày càng phát triển thì việc tìm ra các giải pháp để ứng phó với những rủi ro trên không gian mạng ngày càng trở nên cấp bách hơn bao giờ hết.

Các cơ quan chức năng, các nhà quản lý không chỉ cần xây dựng cơ chế kiểm soát an ninh mạng mà ngay chính bản thân mỗi tổ chức cũng cần tự xây dựng “hàng rào bảo vệ” chính mình. ISO/IEC 27001:2022 hiện đang là tiêu chuẩn về Hệ thống quản lý an toàn thông tin được sử dụng phổ biến nhất hiện nay. Các tổ chức, đơn vị hoàn toàn có thể triển khai áp dụng tiêu chuẩn này để đảm bảo tính bảo mật, toàn vẹn, sẵn có của dữ liệu và thông tin.

Đạt được chứng nhận ISO 27001 không chỉ giúp các tổ chức có các biện pháp ngăn chặn, hạn chế và kiểm soát mối nguy với an ninh thông tin mà còn củng cố lòng tin của các bên liên quan vào sản phẩm/dịch vụ mà công ty cung cấp, đặc biệt là những công ty hoạt động trong lĩnh vực điện tử, truyền thông, thông tin, sản xuất phần mềm, ….

KNA CERT là đơn vị tiên phong cung cấp dịch vụ chứng nhận ISO/IEC 27001 tại Việt Nam, sự kết hợp giữa kinh nghiệm và năng lực của KNA đã giúp hàng nghìn doanh nghiệp sở hữu chứng chỉ ISO/IEC 27001 hợp lệ. Để tìm hiểu thêm về yêu cầu của tiêu chuẩn hoặc nhận báo giá ưu đãi dịch vụ chứng nhận, vui lòng liên hệ với KNA CERT theo số Hotline: 0968.038.122 hoặc Email: salesmanager@knacert.com để được hỗ trợ.