thông tin nội bộ tháng 6 bản tin an toàn thông tin -...
TRANSCRIPT
Cục An toàn thông tin - Bộ Thông tin và Truyền thông
Bản tin An toàn thông tinTháng
20156
Nội dung chính Tin tức an toàn thông tin Việt Nam Tr.1 Số liệu an toàn thông tin Việt Nam Tr.3 Tin tức an toàn thông tin quốc tế Tr.6
Thông tin mã độc & APT Tr.9 Cảnh báo điểm yếu an toàn thông tin Tr.11
Phụ lục tham khảo Tr.13
Thông tin nội bộ
Đánh giá của tổ chức quốc tế về tình hình an toàn thông tin Việt Nam tháng 6
Tỷ lệ lây nhiễm mã độc Việt Nam đứng thứ 9 trên thế giới trong tháng 6 với 30.1% thiết bị CNTT bị lây nhiễm mã độc. Tỷ lệ này là 29.7% với vị trí 5 trong tháng trước.
Luật an toàn thông tin được Quốc hội thảo luận tại hội trường Tiếp tục chương trình làm việc tại kỳ họp thứ 9, Quốc hội khoá 13, sáng 24 tháng 6
năm 2015, Quốc hội đã có phiên thảo luận tại hội trường về Luật an toàn thông tin. Đây
là một trong những nội dung quan trọng trong chương trình làm việc của Quốc hội để
tiến tới việc thông qua Luật an toàn thông tin trong kỳ họp tới. Tại buổi thảo luận, nhiều
đại biểu Quốc hội đồng tình cao với việc điều chỉnh tên gọi của dự thảo Luật thành Luật
an toàn thông tin mạng.
Bên cạnh đó, các đại biểu cũng cho rằng cùng với xu thế phát triển của Internet và
mạng viễn thông, hiện tượng mất an toàn thông tin diễn ra ngày càng phức tạp, tinh vi
và khó ứng biến. Tính hình mất an toàn thông tin cũng gây ra các tổn thất cho cá nhân,
tổ chức thậm chí gây ra ảnh hướng lớn đến về kinh tế, chính trị, xã hội. Nhiều nước
trên thế giới đã ban hành văn bản luật về bảo đảm an toàn thông tin trên mạng như:
Mỹ, Hungary, Nhật Bản,... Một số nước cũng đang tổ chức xây dựng như: Đức,
Canada,… Vì vậy, việc khẩn trương xây dựng và ban hành Luật an toàn thông tin là hết
sức cần thiết và cấp thiết.
Các đại biểu đã có đánh giá
cao sự chuẩn bị công phu, đầy đủ
và khoa học của cơ quan soạn
thảo cho Dự thảo Luật. Buổi thảo
luận cũng ghi nhận nhiều ý kiến
đóng góp về các vấn đề liên quan
đến bảo vệ thông tin cá nhân,
quản lý nhà nước về mật mã sử
dụng trong thương mại, dân sự;
điều kiện kinh doanh sản phẩm và
dịch vụ an toàn thông tin.
(tham khảo thông tin thêm về nội dung Dự thảo Luật tại trang 14,15,16 của bản tin)
Tỷ lệ thư rác từ Việt Nam Trong tháng 6, cứ 100 thư rác trên thế giới thì có 4.8 thư rác được gửi đi từ Việt Nam, đứng thứ 3 thế giới và thứ 2 Châu Á. Chỉ số này giữ nguyên so với tháng trước.
Hoa Kỳ
Trung Quốc
Việt Nam
Pháp
0 4.5 9 13.5 18
Somalia
Nepal
Mozambique
Mongolia
Vietnam
30 30.2 30.4 30.6 30.8
01
(Nguồn Kaspersky)
(Nguồn Kaspersky)
Tin tức an toàn thông tin Việt Nam
Thủ tướng phê duyệt Đề án Tuyên truyền về an toàn thông tin đến 2020 Quyết định 893/QĐ-TTg phê duyệt Đề án tuyên
truyền, phổ biến, nâng cao nhận thức và trách nhiệm về
an toàn thông tin đến năm 2020 vừa được Thủ tướng
Chính phủ ban hành ngày 19/6/2015 vừa qua. Đây là
khẳng định quyết tâm mạnh mẽ của Chính phủ trong việc
phổ biến và nâng cao nhận thức của cộng đồng về các
nguy cơ mất an toàn thông tin hiện nay, góp phần loại bỏ
các nguy cơ mất an toàn thông tin xuất phát từ nhận thức
yếu kém của người sử dụng về an toàn thông tin.
Trong đó, Đề án đưa ra mục tiêu đến năm 2020, dưới
50% các sự cố mất an toàn thông tin xảy ra bắt nguồn từ
nhận thức hạn chế của con người. Trên 50% người sử
dụng nói chung, trên 60% học sinh và trên 70% sinh viên
được tuyên truyền, phổ biến về các nguy cơ và kỹ năng
cơ bản phòng tránh mất an toàn thông tin cũng như
được phổ biến chủ trương, đường lối, chính sách và
pháp luật của Đảng và Nhà nước về an toàn thông tin.
Ngoài ra, đề án cũng nêu ra các mục tiêu cụ thể cho
từng nhóm đối tượng như công chức, viên chức, lãnh
đạo các cơ quan, tổ chức hay nhóm người lao động
trong các doanh nghiệp cung cấp dịch vụ viễn thông,…
Đề án cũng đưa ra các nhiệm vụ chính để đạt được
các mục tiêu kể trên như nhiệm vụ rà soát chương trình,
thời lượng giảng dạy và biên tập tài liệu giáo dục về an
toàn thông tin lồng ghép hợp lý vào các chương trình
đang được giảng dạy tại nhà trường; mở các chuyên
trang, chuyên mục trên các phương tiện thông tin đại
chúng về an toàn thông tin và nhiều nhóm nhiệm vụ
khác.
Trong thời điểm cuối tháng 5, đầu tháng 6 năm 2015,
hàng nghìn trang tin điện tử tại Việt Nam đã bị tấn công,
thay đổi giao diện và tải tệp tin trái phép. Ngoài ra, Cục
An toàn thông tin đã ghi nhận được một số cuộc tấn công
DDoS vào các mạng của các cơ quan, tổ chức nhà nước
tại Việt Nam gây ảnh hưởng đến hoạt động bình thường
của các website này.
Đợt tấn công này có các đặc điểm tương tự như các
đợt tấn công khác của hacker khi có các sự kiện quan
trọng diễn ra tại Việt Nam. Điển hình như thời gian sự
kiện 30/4-1/5 hay kỳ nghỉ lễ Quốc khánh 2/9. Theo đó,
đợt tấn công kể trên được cho rằng xuất phát từ các diễn
biễn “nóng” trong tình hình thời sự đang diễn ra, trong đó
có thể kể đến sự ảnh hưởng của Đối thoại Shangri-la
được tổ chức tại Singapre hồi cuối tháng 5 vừa qua.
Về mặt kỹ thuật, qua nghiên cứu, Cục An toàn thông
tin nhận thấy rằng kỹ thuật mà các tin tặc sử dụng trong
đợt tấn công này không cao, chủ yếu dựa vào các điểm
yếu an toàn thông tin đã được công bố trong thời gian
trước. Đáng chú ý, các điểm yếu này đã được cảnh báo
đến các cơ quan, tổ chức trong thời gian trước đây.
Nhưng trên thực tế, trong đợt tấn công này, nhiều đơn vị
còn chưa cập nhật, khắc phục.
Từ đó có thể thấy thực trạng nhận thức hạn chế của
các cá nhân, tổ chức trong việc bảo đảm an toàn thông
tin mặc dù đã được cảnh báo từ các cơ quan chức năng
về các điểm yếu an toàn thông tin trên hệ thống của
mình.
02
Hàng nghìn website Việt bị tấn công từ cuối tháng 5
Cục An toàn thông tin khuyến cáo các đơn vị thực hiện rà soát các cổng/trang thông tin điện tử và thực hiện nâng cấp các thành phần đã quá cũ trong mã nguồn bao gồm cả các plugin và phần mềm bổ trợ cho cổng thông tin. Cơ quan, tổ chức có thể tham khảo Công văn số 2132/BTTTT-VNCERT của Bộ Thông tin và Truyền thông về việc Hướng dẫn đảm bảo an toàn thông tin cho các Cổng/Trang thông tin điện tử để có kế hoạch rà soát hợp lý cho hệ thống của mình.
Tin tức an toàn thông tin Việt Nam
6%3%
9%
23% 59%
.com .vn .net .org Khác
Tỷ lệ các trang web bị tấn công tại Việt Nam trong tháng 6Tê
n mạ
ng m
áy tí
nh m
a
Ramnit
Virut
Dofoil
Aaeh
ZeroAccess
Sality
Số lượt IP ghi nhận bị lây nhiễm các loại mã độc0 300000 600000 900000 1200000
Tháng 6 Tháng 5
Một số mạng máy tính ma (botnet) lớn được ghi nhận hoạt động tại Việt Nam trong tháng 6
03
Khuyến nghị cách xử lý mã độc Virut được trình bày tại
trang 10 của bản tin
Số liệu an toàn thông tin Việt Nam
Một số trang tin điện tử của cơ quan nhà nước bị tấn công trong tháng 5
Tình hình tấn công phục vụ mục đích phát tán thư rác tại Việt Nam trong tháng 6
919MÁY CHỦ( 11.7%)tại Việt Nam đã bị tấn công với mục đích gửi thư rác
2025TRANG WEB( 12.4%)tại Việt Nam đã bị tấn công với mục đích gửi thư rác
Số liệu an toàn thông tin Việt Nam
(Nguồn Cục An toàn thông tin)
(Nguồn Cục An toàn thông tin)
04
Tin tức an toàn thông tin quốc tếPhiên bản thử nghiệm đầu tiênPhát hành nội bộ trong Bộ Thông tin và Truyền thông
Số liệu an toàn thông tin Việt NamSố liệu an toàn thông tin Việt Nam
- www.tcvn.gov.vn - vanphongdkqsddathuyencaophong.gov.vn- htdn.laocai.gov.vn - gtvt.sonla.gov.vn - hungyenbusiness.gov.vn - dongvan.gov.vn - tayho.gov.vn - socson.hanoi.gov.vn - tayho.hanoi.gov.vn- soldtbxhquangtri.gov.vn - www.huecity.gov.vn - qh-hdqna.gov.vn - bhxhbinhdinh.gov.vn- www.kktphuyen.gov.vn - sonhoa.phuyen.gov.vn - cungungnhanluc.bacgiang.gov.vn - www.conganbinhduong.gov.vn- ccvtltbinhduong.gov.vn - cv3.gov.vn - www.haugiang.gov.vn
Nhà Trắng tiến tới sử dụng HTTPS cho tất cả các trang web chính phủ
Ngày 8/6 vừa qua, Văn phòng ngân sách và quản trị
Nhà Trắng (OMB) đã phát hành Chỉ thị về việc tất cả các
website chính phủ có thể truy cập công cộng sẽ chỉ dùng
giao thức HTTPS thay cho HTTP thông thường. Chỉ thị
cũng đưa ra thời hạn cho việc chuyển đổi sang HTTPs
của các website thuộc chính phủ Hoa Kỳ là ngày
31/12/2016.
Việc dùng các kết nối HTTP thông thường sẽ tạo ra
các điểm yếu an toàn thông tin đe doạ đến thông tin nhạy
cảm của người sử dụng. Các thông tin này bao gồm các
thông tin trình duyệt, nội dung website đang truy cập và
các thông tin được nhập bởi người sử dụng.
Đây được xem là một bước đi mạnh mẽ của Nhà
trắng để tiến tới việc loại bỏ việc sử dụng các giao thức
HTTP thông thường trên các trang web của mình. Tuy
nhiên, cũng cần lưu ý rằng HTTPS chỉ có tác dụng bảo
vệ giữa máy chủ và người sử dụng chứ không được
thiết kế để bảo vệ chính máy chủ.
(Nguồn thehill, whitehouse)
các điểm yếu bảo mật không còn được hỗ trợ khắc phục
nữa. Gần đây, Bộ An ninh và Tư pháp Hà Lan đã phát
hành tài liệu hướng dẫn các đơn vị phản ứng và xử lý
với các phần mềm đã không còn được hỗ trợ trong hệ
thống.
Theo đó, tài liệu đưa ra một số khuyến cáo cho việc
có kế hoạch thay thế các phần mềm sẽ không còn được
hỗ trợ hay sự cần thiết phải có danh sách các phần mềm
ở dạng này qua các thông báo định kỳ của các hãng phát
triển để có các kế hoạch và phản ứng kịp thời khi một
thành phần trong hệ thống sẽ không còn được cập nhật
nữa.
(Nguồn ncsc.nl)
Tin tức an toàn thông tin quốc tế
Hà Lan hướng dẫn xử lý với các phần mềm không còn được hỗ trợ Các sản phẩm phần mềm thường xuyên được cập nhật từ nhà sản xuất để khắc phục các điểm yếu bảo mật cũng như bổ sung các tính năng mới. Tuy nhiên, có nhiều trường hợp phềm mềm bị dừng phát triển và hỗ trợ từ hãng sản xuất. Điều này để lại cho người sử dụng các phần mềm này những nguy cơ bị tấn công từ việc
Vương quốc Anh kêu gọi doanh nghiệp hành động vì an toàn thông tin Xuất phát từ thực tế chi phí mất mát trung bình của
các tập đoàn lớn xuất phát từ An toàn thông tin đã tăng
gấp đôi từ 600.000 Bảng Anh lên đến 1.46 triệu Bảng
Anh trong năm 2014, Chính phủ Anh đã kêu gọi các
doanh nghiệp dù vừa hay nhỏ cũng cần phải có các hành
động cần thiết để bảo vệ an toàn thông tin cho chính
mình.
Số liệu về chi phí mất mát trên được đưa ra trong
Khảo sát mất mát an toàn thông tin, phát hành bởi Bộ
kinh tế số (Digital Economy Minister) tại sự kiện
InfoSecurity Châu Âu. Theo khảo sát, 90% các tập đoàn
lớn phải gánh chịu mất mát an toàn thông tin trong khi
con số này là 75% và 30% với các doanh nghiệp vừa và
nhỏ.(Nguồn gov.uk)
Tin tức an toàn thông tin quốc tế
05
Qua theo dõi, Cục An toàn thông tin nhận thấy trên nhiều hệ thống của các đơn vị tại Việt Nam vẫn còn đang sử dụng nhiều ứng dụng, phần mềm hỗ trợ đã quá cũ và không còn được tiếp tục phát triển hay hỗ trợ. Đây là một trong những lý do dẫn đến hàng loạt website bị tấn công trong thời gian vừa qua.
Điểm yếu an toàn thông tin trên thiết bị y tế ngày một nguy hiểm
Trong thời gian trước đây, Billy Rios đã tìm ra một
điểm yếu an toàn thông tin trong các thiết bị y tế đang
được sử dụng để truyền thuốc cho các bệnh nhân. Theo
đó, điểm yếu có thể dẫn đến việc thay đổi mức tối đa liều
lượng hoá chất có thể được truyền cho bệnh nhân mà
không gây ra bất cứ cảnh báo nào cho bác sĩ và người
bệnh. Gần đây, một điểm yếu nghiêm trọng hơn cũng đã
được tìm ra trong nhiều thiết bị của cùng một nhà sản
xuất khi kẻ tấn công có thể thay đổi liều lượng thuốc
truyền cho bệnh nhân từ xa mà không cần có mặt tại địa
điểm đặt thiết bị. Điểm yếu xuất hiện trong thành phần
liên lạc của thiết bị tương tác với firmware để thực hiện
nâng cấp và cập nhật từ nhà sản xuất, tuy nhiên tác vụ
này cũng có thể bị tác động bởi kẻ tấn công. Ngoài ra,
thành phần liên lạc này được kết nối với mạng của bệnh
viện và có thể truy cập bởi bất cứ ai trong bệnh viện.
Ước tính có khoảng 400.000 thiết bị đang được sử
dụng tại các bệnh viện trên thế giới có thể bị khai thác
bởi điểm yếu này trong đó có nhiều thiết bị đã bị ngừng
sản xuất từ năm 2013 vì các lý do chất lượng và an toàn
được quy định bởi Cục quản lý Dược phẩm và thực
phẩm (FDA) của Hoa Kỳ.
Hiện tại, công ty sản xuất của các thiết bị trên từ chối
bình luận và công nhận điểm yếu này trong khi Rios
đang lên kế hoạch trình diễn trực tiếp việc khai thác thiết
bị nêu trên tại hội nghị bảo mật SummerCon tại Brooklyn,
New York trong tháng tới.
(Nguồn Wired, xs-sniper)
Hệ thống máy tính tại nhiều nước bị tấn công trong tháng 6 Người phát ngôn của Quốc hội Đức (Bundestag) đã
xác nhận rằng hệ thống máy tính của Quốc hội Đức đã
gánh chịu tấn công mạng trong đầu tháng 6 và có nhiều
dữ liệu đã bị lộ lột. Theo đó, hacker đã kiểm soát được
máy chủ nội bộ trong Quốc hội Đức và tiến hành các
cuộc tấn công bằng mã độc Trojan. Dấu hiệu của cuộc
tấn công lần đầu tiên được phát hiện trong tháng 5 khi
hai máy tính bị lây nhiễm mã độc đã cố gắng kết nối đến
một máy chủ tại Đông Âu. Sau đó, nhiều máy tính khác
cũng đã được phát hiện bị lây nhiễm mã độc tương tự.
Ngoài việc sử dụng mã độc, một số cuộc tấn công lừa
đảo thông qua email phishing cũng được ghi nhận và gia
tăng nhắm vào thành viên quốc hội Đức.
Cũng trong một diễn biến khác, Tony Clement, một
thành viên của Nghị viện Canada đã xác nhận trên
Twitter rằng các máy chủ phục vụ cho các dịch vụ của
chính phủ đã bị tấn công mạng. Theo các thông báo
khác, website của hàng chục cơ quan chính phủ Canada
bao gồm ngoại giao, pháp luật đã tạm ngừng hoạt động
bởi cuộc tấn công này. Sau cuộc tấn công, Bộ trưởng an
ninh công cộng Canada Steven Blaney đã xác nhận rằng
không có thông tin cá nhân nào bị tổn hại bởi cuộc tấn
công.
Tại Hoa Kỳ, website của quân đội Hoa Kỳ (army.mil)
đã phải ngưng hoạt động để đảm bảo cho các thông tin
nhạy cảm không bị lộ lọt sau khi một thành phần của
trang web này đã bị tấn công thành công. Nhóm tin tặc
Syrian Electronic Army đã nhận trách nhiệm cho việc tấn
công này.
(Nguồn DW, scmagazine, theregister, thelocal, zdnet,thestar,theguardian )
06
Tin tức an toàn thông tin quốc tế
Tin tức an toàn thông tin quốc tế
Australia sử dụng 4 tiêu chí để phòng chống lộ lọt thông tin Phó giám đốc cơ quan tình báo Australia, Steve Day,
gần đây đã khẳng định rằng các hacker đã nhiều lần thất
bại trong việc lấy các thông tin nhạy cảm khỏi các cơ
quan chính phủ Australia trong 2 năm qua mặc dù đã có
nhiều cuộc tấn công thành công trong nhiều mạng máy
tính của các cơ quan này.
Một trong những lý do quan trọng cho thành công này
theo Steve Day là 4 tiêu chí trong các cơ quan nhà
nước nhằm bảo vệ các thông tin nhạy cảm. Các tiêu chí
này bao gồm sử dụng danh sách trắng, vá lỗi phần mềm
thường xuyên, vá lỗi hệ điều hành thường xuyên và giới
hạn đặc quyền quản trị. Các tiêu chí này này được
khuyến cảo bởi cơ quan tình báo Australia (ASD) và
phát triển bởi Steve McLeod cùng đồng nghiệp.
Trong bài phát biểu của mình, Day cũng đã đưa ra một
biểu đồ thể hiện số lượng các xâm nhập vào các cơ
quan chính phủ Australia từ năm 2009. Theo biểu đồ này,
số lượng các cuộc tấn công đã giảm mạnh trong các
năm 2013 và 2014.
(Nguồn, asd.gov.au, the register)
Hãng hàng không LOT bị hoãn vì tấn công mạng Khoảng 1400 hành khách đã buộc phải hạ cánh tại
sân bay Warsaw, Ba Lan ngày 21/6 vừa qua sau khi có
báo cáo về việc hacker tấn công vào hệ thống máy tính
được sử dụng để đưa ra kế hoạch bay cho các máy bay
này. Cuộc tấn công được cho rằng bắt đầu vào buổi
chiều chủ nhật và được khắc phục 5 giờ sau đó. Cuộc
tấn công đã làm cho hơn 10 chuyết bay của hãng hàng
không LOT của Ba Lan bị trì hoãn.
Trên lý thuyết, việc đưa ra các kế hoạch bay có thể
được làm hoàn toàn bằng thủ công, tuy nhiên đối với
hãng hàng không lớn như LOT, việc xây dựng kế hoạch
bay phải sử dụng máy tính vì các lý do chính xác và an
toàn. Do đó, cũng vì lý do này mà việc các máy tính bị
tấn công đã làm ảnh hưởng nghiêm trọng đến kế hoạch
bay của hãng dẫn đến việc tạm gián đoạn hoạt động các
chuyến bay.
Người phát ngôn của LOT thông báo rằng cuộc tấn
công đang được điều tra bởi nhà chức trách. Theo tìm
hiểu từ Register gần đây, hacker đã thực hiện tấn công
DDoS vào hệ thống máy tính này.
(Nguồn arstechnica, reuters, computerworld)
07
Mã độc GrabitHãng bảo mật Kaspersky đã công bố kết quả phân tích
và điều tra ban đầu về một loại mã độc mới mang tên
Grabit với nhiều đặc tính và hoạt động khác lạ. Từng
mẫu mã độc thu được đều có kích thước khác nhau và
có các hoạt động không giống nhau. Theo các báo cáo
phân tích, chiến dịch của mã độc Grabit bắt đầu từ tháng
2 năm 2015 và kết thúc giữa tháng 3 năm 2015. Tại thời
điểm bắt đầu, mã độc chủ yếu phát tán tại Ấn Độ, Hoa
Kỳ và Israeal.
Grabit được phát triển với nhiều kích thước, hành vi
và các thuật toán mã hoá khác nhau. Phiên bản nhỏ nhất
ghi nhận được là 0.52Mb và lớn nhất là 1.57Mb. Qua
phân tích ban đầu, các chuyên gia nhận thấy các dấu
hiệu của phần mềm HawkEye trong mã độc Grabit. Đây
là một công cụ nổi tiếng trong cộng đồng tin tặc trước
đây. Bản thân HawkEye chứa sẵn rất nhiều các công cụ
như điều khiển từ xa, keylogger và nhiều công cụ điều
khiển từ xa khác như Cyborg Logger, Cybergate,
DarkComet, … và hỗ trợ các phương thức truyền tải như
FTP, SMTP và thông qua web.
Lotus Blossom nhắm đến Việt Nam và Philippines Lotus Blossom là chiến dịch tấn công APT nhắm vào
các chính phủ và tổ chức quân đội tại Đông Nam Á trong
vòng 3 năm qua. Thời gian gần đây, một báo cáo của
nhóm chuyên gia thuộc công ty Palo Alto đã chỉ ra cách
thức hoạt động của chiến dịch này.
Lotus Blossom hoạt động dựa trên các tấn công lừa đảo
người dùng. Kẻ tấn công thường gửi đến đối tượng đã
nhắm sẵn các tệp tin văn phòng có chứa mã độc nguy
hiểm. Các tệp tin này được chọn lọc kỹ càng để phù hợp
với ngành nghề và công việc của mục tiêu sắp tấn công.
Các tệp tin chứa mã độc sử dụng điểm yếu an toàn
thông tin CVE-2012-0158 trên các ứng dụng của
Microsoft Office để cài đặt Trojan trên máy của nạn nhân.
Ngoài các tệp tin văn phòng, kẻ tấn công còn sử dụng
ảnh của người nổi tiếng trên Internet để thu hút sự chú ý
của nạn nhân. Trojan được sử dụng là loại trojan đã
được tinh chỉnh có tên Elise có khả năng cài đặt thêm
các công cụ để phục vụ cho các tác vụ được ra lệnh.
Các dữ liệu bị lộ lọt không được gửi ở dạng bản rõ
mà sẽ được mã hoá và gửi thông qua giao thức HTTP ở
các cổng ngẫu nhiên. Đây là một đặc tính mới của Grabit
so với các mã độc khác. Ước tính hơn 10,000 tệp dữ
liệu đã bị lấy cắp, trong đó chủ yếu là các công ty ở Thái
Lan, Ấn độ. Việt Nam cũng nằm trong số các nước có tỷ
lệ cao các dữ liệu bị đánh cắp bởi Grabit.
(Nguồn Kaspersky)
Thông tin mã độc & APT
(Tỷ lệ tài liệu bị lấy trộm)
(Mẫu email sử dụng lừa *ảo người dùng)
08
09
Thông tin mã độc & APT
Từ đó có thể thấy, tại Việt Nam ngày một nhiều các cuộc tấn công có mục tiêu tập trung vào các đối tượng thuộc chính phủ hay quân đội đã diễn ra trong bối cảnh công tác đảm bảo an toàn thông tin còn gặp nhiều khó khăn và thách thức.
Hệ thống hạ tầng sử dụng để vận hành chiến dịch
khá lớn trải rộng trên các nước Việt Nam, Philippines,
HongKong và Đài Loan cũng như Indonesia. Mỗi Trojan
kết nối với máy chủ C&C riêng được định nghĩa sẵn
trong từng cấu hình riêng biệt của mã độc.
Tại Việt Nam, Lotus Blossom được cho rằng đã thực
hiện 11 đợt tấn công lừa đảo (phishing) chủ yếu trong
tháng 12 năm 2014 bằng các tài liệu Microsoft Excel và
Microsoft Word. Các tài liệu này đều được chăm chút để
lừa người sử dụng rằng đó là các tài liệu sạch không có
mã độc.
(Cấu trúc tấn công tại Việt Nam)
(Hạ tầng tại các nước Châu Á)
(Tài liệu *ược sử dụng *ể lây nhiễm mã *ộc)
(Tài liệu *ược sử dụng *ể lây nhiễm mã *ộc)
Theo thống kê của Cục An toàn thông tin, trong các
tháng vừa qua của năm 2015, Virut là loại mã độc có tỷ
lệ lây nhiễm cao trong các máy tính tại Việt Nam.
PHƯƠNG THỨC LÂY NHIỄM
“Virut” là một loại mã độc được dùng để điều khiển, kiểm
soát máy tính mà người dùng không hề hay biết. Đây
không phải là loại mã độc mới xuất hiện, nó tồn tại ít nhất
là từ năm 2006 và đã lây nhiễm hơn 300.000 máy tính
trên toàn thế giới.
Một trong những phương thức lây nhiễm điển hình nhất
của “Virut” là lây lan thông qua việc sử dụng các thiết bị
lưu trữ ngoài (như USB, ổ đĩa cứng di dộng) để sao
chép dữ liệu. Đến khi thiết bị lưu trữ này được mở ở trên
các máy tính khác nhau, “virut” sẽ nhiễm vào các máy
tính mới. Ngoài ra, việc tải các tệp tin bị lây nhiễm từ môi
trường mạng (LAN, Internet) cũng giúp phát tán Virut.
HÀNH VI LÂY NHIỄM
Khi mở tệp tin bị nhiễm “virut” và sử dụng phần mềm
SysTracer để theo dõi hệ thống trước và sau khi chạy
mã độc, có thể nhận thấy một loạt các tệp tin thực thi
“mồi” với phần mở rộng .exe đều bị tăng kích thước ít
nhiều. Có thể nhận thấy tệp tin bị lây nhiễm có thêm một
lượng dữ liệu khá dài phía sau. Đó chính là tệp tin gốc
đã bị “đính kèm” “virut”.
Phân tích cho thấy, sau khi chạy file, trên máy tính xuất
hiện một kết nối đến địa chỉ sinkhole.cert.pl, một địa chỉ
Mã độc Virut : phân tích và nhận dạng
Thông tin mã độc & APT
(Virut lây nhiễm vào các tệp tin thực thi)
được kiểm soát bởi CERT Polska (Trung tâm ứng cứu
khẩn cấp máy tính Ba Lan). Các kết nối từ địa chỉ máy
chủ của hacker được chuyển hướng về đây trong một
chiến dịch xóa bỏ mạng botnet này vào năm 2013. Điều
này khiến chúng ta có thể tạm thấy yên tâm.
Tuy nhiên, trong trường hợp các máy tính bị nhiễm
kết nối vào mạng lưới botnet của hacker thì máy tính ma
sẽ đợi các lệnh để thực thi từ máy chủ. Các lệnh đó là gì
thì còn phụ thuộc vào mục đích của các hacker điều
khiển mạng botnet, thông thường sẽ là:
- Tải một mã độc mới về để thực thi. Đó có thể là một
keyloger để đánh cắp mật khẩu, số thẻ tín dụng,
cũng có thể là một ransomware mã hóa dữ liệu để
tống tiền, hoặc là một adware chèn quảng cáo lên
máy tính,vv...
- Thực hiện tấn công DDoS
- Gửi email rác
PHÒNG TRÁNH VÀ XỬ LÝ KHI BỊ LÂY NHIỄM
Loại vi rút này chỉ thực hiện lây nhiễm trên các tệp tin
thực thi có phần mở rộng .exe, do đó để tránh bị lây
nhiễm, trước khi mở các tệp tin .exe, người dùng nên sử
dụng các phần mềm diệt virus uy tín để quét và làm sạch
tệp tin. Riêng đối với các máy tính bị nhiễm mã độc
“virut”, cần phải thực hiện quét trên tất cả các tệp tin .exe
để loại bỏ nó ra khỏi hệ thống. Muốn phát hiện và xử lý
bằng tay sẽ cần phải thực hiện:
- Mở tệp tin dưới dạng nhị phân bằng các ứng dụng
hex editor
- Tìm kiếm các đoạn mã vi rút trong tệp tin
- Xóa bỏ các đoạn mã và khôi phục thông số cho tệp
tin gốc
Việc xử lý vi rút bằng tay đòi hỏi kiến thức khá chuyên
sâu và rất tốn thời gian. Phương án này hoàn toàn
không khả thi. Do đó với những người dùng phổ thông
cần trang bị các chương trình diệt virus để tự động phát
hiện và ngăn chặn các nguy cơ đến tử Virut.
(Nguồn CMC InfoSec)10
• MS15-062: Bản vá cập nhật cho điểm yếu XSS trên Active Directory của Windows.
• MS15-063: Bản vá cập nhật cho bộ thư viện KERNELBASE.DLL với điểm yếu có thể cho phép kẻ tấn công leo thang đặc quyền. Đây là thư viện quan trọng của Windows liên kết với nhiều ứng dụng của hệ thống.
• MS15-064: Bộ bản vá cho chương trình Microsoft Exchange Server 2013 với các điểm yếu có thể dẫn đến việc leo thang đặc quyền của kẻ tấn công.
Đối với Windows 7, người dùng có thể chọn Start và All programs ngay bên trên của phần tìm kiếm để tìm thấy Windows Update. Tại cửa sổ Windows update, click vào nút Check for updates để tự động tìm tiếm các bản vá mới vừa được phát hành.
Đối với Windows 8, người dùng có thể click vào biểu tượng Search tại góc bên trên phải của màn hình Start và nhập Windows Updates để mở chức năng này. Tương tự như Windows 7, chọn Check for updates để tìm kiếm các bản vá cần cập nhật.
(Các bán vá có thể *ược cài *ặt qua Windows Update)
(Windows Update trên Windows 8)
Trong tháng 6, Microsoft tiếp tục phát hành các bản vá bảo mật cho các sản phẩm của mình. Trong lần cập nhật này, Microsoft đưa ra 2 bản vá nghiêm trọng và 6 bản vá quan trọng. Cụ thể :
Bản vá được đánh giá nghiêm trọng:
• MS15-056: Tập bản vá cho 24 lỗ hổng về bộ nhớ (memory corruption) trong các ứng dụng của Microsoft. Các lỗ hổng này trong một số trường hợp có thể dẫn đến việc thực thi mã lệnh từ xa. Bản cập nhật này cũng bao gồm phần cập nhật cho công cụ Microsoft IE Enterprise Mode and Site Discovery, là công cụ hỗ trợ người dùng trong việc tương thích với các phiên bản trước của IE. MS15-056 là bản vá đặc biệt quan trọng ảnh hưởng đến hầu hết các ứng dụng của Microsoft Internet Explorer.
• MS15-057: Là bản vá tập trung giải quyết lỗ hổng an toàn thông tin trong Windows Media. Đây là điểm yếu có thể cho phép kẻ tấn công kiểm soát hoàn toàn hệ thống thông qua một trang web độc hại.
Bản vá được đánh giá quan trọng:
Một số bản vá khác có tác động quan trọng đến hệ thống sử dụng hệ điều hành Windows như:
• MS15-059: Là sự bổ xung cho bản vá MS15-058 để khắc phục các điểm yếu an toàn thông tin về quản lý bộ nhớ có thể dẫn đến việc thực thi mã lệnh từ xa.
• MS15-060: Bản vá tập trung khắc phục điểm yếu an toàn thông tin trong bộ thư viện COMCTL32.DLL có thể dẫn đến việc thực thi mã lệnh từ xa. Đây là bộ thư viện quan trọng đối với các ứng dụng sử dụng các thành phần giao diện người dùng chuẩn của Windows và các chức năng nhập liệu cơ bản. Đối với người sử dụng đang chạy các ứng dụng được biên dịch từ các phiên bản Visual Basic cũ cần lưu ý đến vấn đề tương thích khi cập nhật bản vá này.
• MS15-061: Bản vá khắc phục 11 điểm yếu an toàn thông tin thuộc nhân của hệ điều hành vốn là nguyên nhân gây ra các trường hợp ngừng (crash) và trạng thái màn hình xanh (blue screen of death) trên các hệ thống Windows.
Microsoft phát hành các bản vá bảo mật trong tháng 6
Cảnh báo điểm yếu an toàn thông tin
11
• Các trình duyệt Google Chrome và Internet Explorer trên Windows 8.x sẽ được tự động cập nhất phiên bản 18.0.0.194.
Đối với người sử dụng không tự nhận biết được phiên bản mình đang sử dụng có thể truy cập vào trang web của Adobe tại địa chỉ http://www.adobe.com/products/flash/about/ hoặc click chuột phải vào các thành phần flash và chọn “About adobe” để kiểm tra phiên bản mình đang sử dụng.
Adobe phát hành bản vá khẩn cấp cho Flash player Adobe vừa qua đã phát hành bản vá cấp nhật khẩn cấp để vá lỗ hổng nghiêm trọng trong ứng dụng Flash player vốn là ứng dụng được cài đặt và sử dụng rất rộng rãi hiện nay. Theo các thông báo từ Adobe, phiên bản mới nhất của Flash player (18.0.0.194) sẽ được vá lỗ hổng nghiêm trọng mang tên CVE-2015-3113. Cũng theo Adobe, hãng đã ghi nhận được các cuộc tấn công có chủ đích sử dụng điểm yếu này trong cộng đồng. Các hệ thống sử dụng Internet explorer trên Windows 7 và Firefox trên Windows XP đã được ghi nhận là mục tiêu của các cuộc tấn công này. Bên cạnh đó, trong đầu tháng 6, công ty FireEye cũng công bố về việc phát hiện các đợt tấn công lừa đảo sử dụng CVE-2015-3113 làm công cụ để tấn công nạn nhân. Các đợt tấn công này nhằm vào các công ty, tập đoàn viễn thông, vận tải, không gian và công nghệ.
Theo đó, Adobe khuyến cáo người sử dụng thực hiện nâng cấp ngay lập tức các ứng dụng Flash đang sử dụng, cụ thể:
• Người sử dụng Adobe Flash Players trên môi trường Desktop của Windows và Macintosh cần nâng cấp lên phiên bản Adobe Flash Player 18.0.0.194.
• Người sử dụng Adobe Flash player Extended Support Release cần nâng cấp lên phiên bản 13.0.0.296
• Người sử dụng Adobe Flash Player trên Linux cần nâng cấp lên phiên bản 11.2.202.468
(Một tấn công sử dụng CVE-2015-3113)
Cảnh báo điểm yếu an toàn thông tin
Drupal phát hành bản cập nhật vá điểm yếu an toàn thông tin Đội chuyên gia an toàn thông tin của hệ thống quản lý nội dung Drupal vừa qua đã phát hành bản vá điểm yếu an toàn thông tin cho các phiên bản 6 và 7 của ứng dụng này. Theo đó, bản vá sẽ tập trung vào việc khắc phục điểm yếu CVE-2015-3234 được xem là điểm yếu nghiêm trọng nhất trong 4 điểm yếu được khắc phục. Đây là điểm yếu nằm trong thành phần OpenID của Drupal cho phép một người dùng có thể đăng nhập với tư cách của người dùng khác trên website sử dụng Drupal bao gồm cả đặc quyền quản trị. Ngoài ra, điểm yếu CVE-2015-3232 là điểm yếu thuộc thành phần Field ID và cho phép kẻ tấn công có thể chuyển hướng người dùng để một trang web độc hại để thực hiện các hành vi tấn công tiếp theo. Tương tự, CVE-2015-3231 sẽ tác động đến thay đổi tuỳ chọn của đặc quyền quản trị và tác động đến hoạt động của website. Cuối cùng, điểm yếu CVE-2015-3231 là điểm yếu lộ lọt thông tin trong Drupal 7 có thể dẫn đến việc cache thông tin nhạy cảm và lộ lọt thông tin đến người sử dụng không có thẩm quyền.
12
Luật ATTT: Thúc đẩy thị trường an toàn thông tin VN Nhận thấy kinh doanh sản phẩm và dịch vụ ATTT là
một lĩnh vực còn rất mới, hành lang pháp lý còn chưa
đầy đủ nên Dự thảo Luật ATTT chú trọng xây dựng một
hành lang pháp lý thông thoáng, công bằng, phù hợp với
thông lệ quốc tế, thúc đẩy thị trường phát triển bền
vững.
Có thể nói, tại Việt Nam, lĩnh vực ATTT có sản phẩm
rất sớm. Ngay từ những năm 90, khi mà virus máy tính
mới chỉ bắt đầu phổ biến trên thế giới, Việt Nam đã có
phần mềm diệt virus khá hiệu quả. Đến nay, sau nhiều
thử thách, một số sản phẩm vẫn bền bỉ phát triển. Các
doanh nghiệp như BKAV, CMC hay VNCS vẫn tập trung
nghiên cứu, phát triển giải pháp theo dõi, giám sát an
toàn thông tin, phần mềm diệt virus, ngăn chặn thư rác.
Các sản phẩm nội đang được sử dụng thay thế cho sản
phẩm nước ngoài do có những ưu điểm phù hợp với đặc
thù Việt Nam. Đáng mừng hơn, một số sản phẩm đã
được công nhận và sử dụng tại một số nước trên thế
giới.
Bên cạnh đó, nhiều loại hình dịch vụ ATTT cũng bước
đầu hình thành, tiêu biểu là dịch vụ chữ ký số công cộng.
Toàn quốc hiện có 9 doanh nghiệp được Bộ TT&TT cấp
phép, với khoảng 473.000 chứng thư số đang hoạt
động. Chữ ký số được sử dụng rộng rãi trong kê khai
thuế điện tử, hải quan điện tử, ngân hàng và thương mại
điện tử.
Riêng đối với sản phẩm mật mã, tại Việt Nam, nhu
cầu sử dụng sản phẩm mật mã ngày càng tăng, không
chỉ để bảo vệ thông tin thuộc bí mật nhà nước mà còn
được sử dụng rộng rãi để bảo vệ thông tin trong các lĩnh
vực sản xuất, kinh doanh, các hoạt động kinh tế - xã hội.
Nhiều doanh nghiệp trong lĩnh vực tài chính, ngân hàng,
viễn thông đã sử dụng các sản phẩm mật mã để bảo mật
thông tin. Doanh nghiệp tham gia hoạt động trong sản
xuất, kinh doanh sản phẩm mật mã cũng không ngừng
tăng lên, hình thức ngày càng đa dạng như sản xuất, lắp
ráp, xuất nhập khẩu.
Tuy vậy, vẫn phải nhận định rằng thị trường an toàn
thông tin Việt Nam chỉ mới ở giai đoạn ban đầu, còn
nhiều tiềm năng chưa được phát triển.
Cần thống nhất đầu mối QLNN!
Theo quy định hiện hành, hiện nay, Bộ Thông tin và
Truyền thông là cơ quan của Chính phủ thực hiện chức
năng quản lý nhà nước về thông tin và truyền thông nói
chung, về an toàn thông tin nói riêng.
Riêng đối với sản phẩm mật mã, có thể phân ra thành
2 khối sử dụng chính là khối các cơ quan, tổ chức nhà
nước và khối không phải các cơ quan, tổ chức nhà nước
(doanh nghiệp và người sử dụng trong xã hội).
Theo Luật Cơ yếu, Ban Cơ yếu Chính phủ được giao
trách nhiệm giúp Bộ trưởng Bộ Quốc phòng thực hiện
nhiệm vụ quản lý nhà nước về cơ yếu. Hoạt động cơ yếu
là hoạt động sử dụng mật mã để bảo vệ thông tin bí mật
nhà nước, do đó, phục vụ cho khối cơ quan, tổ chức nhà
nước. Đồng thời, Luật Cơ yếu quy định Ban Cơ yếu
Chính phủ có trách nhiệm “phối hợp với cơ quan, tổ
chức liên quan trong công tác quản lý hoạt động nghiên
cứu, sản xuất, kinh doanh và sử dụng mật mã phục vụ
phát triển kinh tế - xã hội”.
Tuy nhiên, theo Luật Giao dịch điện tử, Bộ TT&TT
được giao trách nhiệm chủ trì thực hiện quản lý nhà
nước về hoạt động giao dịch điện tử. Trong đó, việc sử
dụng mật mã và chữ ký số công cộng là phần không thể
tách rời trong công tác bảo đảm ATTT trong hoạt động
giao dịch điện tử. Bộ TT&TT đã xây dựng và ban hành
13
Phụ lục tham khảo
thông tư, tiêu chuẩn kỹ thuật và cấp phép cung cấp dịch
vụ cho 9 doanh nghiệp như đề cập đến ở trên.
Kinh nghiệm quốc tế (Mỹ, Đức, Trung Quốc, Nhật
Bản) cho thấy đa số các nước đều có quy định quản lý
mật mã sử dụng trong bảo vệ bí mật nhà nước tách rời
với quản lý mật mã trong thương mại, dân sự. Quy định
về quản lý mật mã thương mại được xây dựng để
khuyến khích sử dụng mật mã trong các hoạt động kinh
tế - xã hội dân sự, thúc đẩy thương mại điện tử và hợp
tác quốc tế. Nếu một cơ quan quốc phòng, an ninh kiêm
việc quản lý mật mã sử dụng trong thương mại sẽ tạo ra
tâm lý “e ngại” trong cộng đồng người sử dụng trong
nước và quốc tế.
Do đó, việc thống nhất đầu mối thực hiện công tác
quản lý nhà nước đối với thị trường sản phẩm, dịch vụ
an toàn thông tin là Bộ TT&TT sẽ bảo đảm tính thống
nhất, đồng bộ giữa các văn bản luật của Việt Nam, phù
hợp với thông lệ quốc tế và thực tiễn khách quan hơn.
Thúc đẩy thị trường phát triển lành mạnh
Đối với 1 thị trường còn non trẻ, chỉ mới trong giai
đoạn định hình ban đầu như ATTT, rất cần có sự tác
động của cơ quan quản lý nhà nước để hạn chế các
“khuyết tật” của thị trường, nuôi dưỡng và phát triển
doanh nghiệp vừa và nhỏ tại thị trường trong nước để
tạo năng lực nội sinh, giúp thị trường phát triển một cách
lành mạnh, bền vững. Trong thời đại hội nhập và toàn
cầu hóa như hiện nay, việc xây dựng và hoàn thiện hành
lang pháp lý thông thoáng, công bằng, phù hợp với
thông lệ quốc tế là giải pháp quan trọng để thực hiện
điều đó.
Dự thảo Luật an toàn thông tin đưa ra các quy định
về kiểm định, đánh giá hợp chuẩn, hợp quy về an toàn
thông tin cho một số loại hình sản phẩm, dịch vụ an toàn
thông tin. Sản phẩm, dịch vụ đã được đánh giá hợp
chuẩn, hợp quy có thể coi là đã đạt yêu cầu tối thiểu về
ATTT, có độ tin cậy nhất định để được lưu hành trên thị
trường.
Bên cạnh đó, nếu như Luật Đầu tư năm 2014 đã quy
định việc kinh doanh sản phẩm, dịch vụ an toàn thông tin
là loại hình kinh doanh có điều kiện, thì dự thảo Luật an
toàn thông tin chi tiết hóa các quy định về điều kiện kinh
doanh trong lĩnh vực chuyên ngành, bảo đảm quyền lợi
và trách nhiệm của cả nhà cung cấp lẫn người sử dụng
dịch vụ. Đây là một hành động thiết thực để đồng bộ
hóa, đưa các quy định pháp luật về đầu tư kinh doanh an
toàn thông tin tại Việt Nam sớm đi vào cuộc sống, tạo
môi trường thuận lợi cho cho thị trường an toàn thông tin
Việt Nam phát triển.
(Nhật Minh)
Bổ sung quy định bảo vệ thông tin cá nhân trên mạng Hiến pháp, Bộ Luật Dân sự, Luật Bảo vệ người tiêu
dùng và nhiều văn bản pháp luật chuyên ngành như các
Luật viễn thông, công nghệ thông tin, giao dịch điện tử
đều đã có quy định về quyền cơ bản của công dân và
bảo vệ thông tin cá nhân. Tuy nhiên, tình trạng phát tán
thông tin cá nhân trên mạng tại Việt Nam vẫn tiếp tục
gây bức xúc dư luận từ nhiều năm nay.
Nhằm góp phần hạn chế vấn nạn này, dự thảo Luật
an toàn thông tin đề xuất quy định tăng cường hơn nữa
trách nhiệm của tổ chức, doanh nghiệp trong việc bảo vệ
thông tin cá nhân của người sử dụng.
Vì sao thông tin cá nhân bị phát tán tràn lan?
Theo Nghị định số 72 của Chính phủ về quản lý, cung
cấp, sử dụng dịch vụ Internet và thông tin trên mạng,
14
Phụ lục tham khảo
thông tin trên mạng có thể được phân thành 2 nhóm, là
thông tin công cộng và thông tin riêng. Thông tin công
cộng là thông tin trên mạng của một tổ chức, cá nhân
được công khai cho tất cả các đối tượng (ví dụ: thông tin
đăng trên báo điện tử, viết công khai trên blog). Còn
thông tin riêng là thông tin trên mạng của một tổ chức, cá
nhân mà tổ chức, cá nhân đó không công khai hoặc chỉ
công khai cho một hoặc một số nhóm đối tượng cụ thể
(ví dụ: thư điện tử, thông tin nội bộ của một cơ quan, tổ
chức). Thông tin riêng của tổ chức, cá nhân được pháp
luật bảo vệ. Chẳng hạn, Điều 38 của Bộ Luật Dân sự
quy định “Quyền bí mật đời tư của cá nhân được tôn
trọng và được pháp luật bảo vệ” hay “Thư tín, điện thoại,
điện tín, các hình thức thông tin điện tử khác của cá
nhân được bảo đảm an toàn và bí mật”.
Bên cạnh đó, hàng ngày, chúng ta vẫn sử dụng các
giao dịch trực tuyến, thương mại điện tử, ngân hàng
điện tử. Khi sử dụng các dịch vụ trên mạng này, người
sử dụng sẽ phải kê khai các thông tin như: tên, ngày
sinh, địa chỉ liên hệ, số điện thoại hay số chứng minh thư
nhân dân. Những thông tin này được gọi là thông tin cá
nhân, tức là những thông tin gắn với việc xác định rõ
ràng danh tính, nhân thân của một con người cụ thể,
nhằm phân biệt người này với người khác.
Song song với mặt tích cực mà giao dịch điện tử
mang lại, có ngày càng nhiều thông tin cá nhân của
người sử dụng được lưu trữ ở trên mạng. Nếu những
thông tin này không được bảo vệ một cách thích hợp, kẻ
xấu có thể thu thập, khai thác trái phép. Đây là một trong
những nguyên nhân gây ra hiện tượng phát tán thông tin
cá nhân trên mạng, gây bức xúc dư luận trong những
năm gần đây.
Đưa hành vi thu thập thông tin cá nhân vào khuôn
khổ
Nhằm trực tiếp hướng đến giải quyết vấn đề bất cập
nêu trên, dự thảo Luật ATTT đã đưa ra các quy định
nhằm điều chỉnh các hành vi thu thập, sử dụng, lưu trữ
thông tin cá nhân trên mạng nhằm mục đích thương mại,
kinh doanh. Các hoạt động thu thập thông tin phục vụ
nhu cầu cá nhân đơn thuần, chẳng hạn người sử dụng
lưu thông tin cá nhân của bạn bè mình trong danh bạ
điện thoại, không thuộc phạm vi bị điều chỉnh bởi dự
thảo Luật.
Từ góc độ hành lang pháp lý, để giải quyết vấn đề
trên, cần có quy định cho 2 nhóm đối tượng khác nhau,
bao gồm cá nhân, tổ chức có hành vi phát tán thông tin
cá nhân bất hợp pháp và doanh nghiệp kinh doanh dịch
vụ có lưu giữ thông tin cá nhân của người sử dụng.
Đối với cá nhân, tổ chức có hành vi phát tán thông tin
cá nhân bất phợp pháp, hành lang pháp lý để xử lý hành
vi này cơ bản được quy định trong Bộ Luật Dân sự, Luật
Bảo vệ người tiêu dùng và các Luật chuyên ngành như
Luật viễn thông, công nghệ thông tin, giao dịch điện tử.
Tuy nhiên, các quy định này còn còn rời rạc, chưa đầy
đủ, chưa đủ rõ ràng để có thể áp dụng vào một số
trường hợp trong thực tiễn.
Đối với các doanh nghiệp cung cấp dịch vụ trên mạng
có thu thập thông tin cá nhân, hành lang pháp lý gần như
chưa có quy định cụ thể về việc áp dụng các biện pháp
bảo đảm an toàn thông tin. Điều này dẫn đến các doanh
nghiệp thực hiện thu thập thông tin cá nhân nhưng lại
không thực hiện đủ trách nhiệm pháp lý tối thiểu về bảo
vệ thông tin cá nhân, là một trong những nguyên nhân
chủ yếu gây ra hiện tượng bức xúc nêu trên.
Chính vì thế, dự duật đã dành hẳn một chương riêng
(Chương 3) để quy định về vấn đề này. Bên cạnh việc bổ
sung các quy định cụ thể về thu thập, sử dụng thông tin
cá nhân, dự Luật quy định doanh nghiệp lưu giữ thông
15
Phụ lục tham khảo
Phụ lục tham khảo
tin cá nhân của khách hàng phải áp dụng biện pháp quản
lý và biện pháp kỹ thuật phù hợp, tuân thủ theo tiêu
chuẩn, quy chuẩn kỹ thuật để bảo vệ thông tin cá nhân
của khách hàng.
Người dùng cũng phải "tự bảo vệ" thông tin cá nhân
Một điểm mới của dự luật là việc chỉ rõ trách nhiệm
của chính người dùng trong việc bảo vệ thông tin cá
nhân của mình, trên nguyên tắc chung là mỗi người phải
có trách nhiệm "tự bảo vệ thông tin cá nhân và tự chịu
trách nhiệm khi cung cấp những thông tin đó trên mạng".
Chẳng hạn, nếu ông A có tài sản là một chiếc xe máy
thì trước hết ông A phải tự có trách nhiệm bảo vệ tài sản
của mình (khóa xe, trông giữ cẩn thận). Trường hợp ông
A để xe của mình ở trong nhà hoặc ngoài đường, khi bị
mất trộm, thì pháp luật sẽ xử lý đối tượng có hành vi
trộm cắp tài sản của ông A. Với thông tin cá nhân cũng
như vậy, trước hết, người sử dụng phải tự ý thức bảo vệ
thông tin cá nhân của mình, cũng như thận trọng khi
cung cấp thông tin cá nhân của mình lên mạng.
Còn trong trường hợp ông A gửi xe của mình ở một
nhà xe, thì nhà xe phải có trách nhiệm áp dụng các biện
pháp bảo vệ cần thiết để bảo vệ tài sản của ông A mà
nhà xe đang giữ. Điều này cũng giống với doanh nghiệp
viễn thông hay ngân hàng, nếu có lưu giữ thông tin cá
nhân của người sử dụng thì phải có trách nhiệm bảo
đảm an toàn thông tin đối với những thông tin được lưu
giữ đó.
Hiện nay, trên thế giới, đã có khoảng 40 nước ban
hành các quy định pháp luật về bảo vệ thông tin cá nhân
trên mạng. Trong quá trình tiếp thu ý kiến hoàn thiện dự
thảo Luật ATTT, cơ quan soạn thảo đã nghiên cứu kinh
nghiệm của Mỹ, châu Âu, Nhật Bản, Malaysia và Trung
Quốc, ý kiến góp ý của nhiều tổ chức, doanh nghiệp
nước ngoài và căn cứ vào tình hình thực tiễn Việt Nam
để đề xuất các quy định về bảo vệ thông tin cá nhân
trong dự thảo Luật.
Dự thảo Luật ATTT khi được ban hành, kết hợp cùng
Bộ Luật Dân sự, Luật Bảo vệ người tiêu dùng và các văn
bản pháp luật chuyên ngành khác như Luật Viễn thông,
Luật Giao dịch điện tử v.v… sẽ tạo thành hệ thống pháp
luật đồng bộ, đầy đủ cho công tác bảo vệ thông tin cá
nhân của người sử dụng trong kỷ nguyên Internet hiện
nay, góp phần thúc đẩy hơn nữa hoạt động giao dịch
điện tử phục vụ phát triển kinh tế - xã hội của đất nước.
(Nhật Quang)
Bản tin An toàn thông tin "ược Cục An toàn thông tin phát hành miễn phí cho các cá nhân, tổ chức quan tâm "ến An toàn thông tin. Các cá
nhân, tổ chức có nhu cầu nhận bản tin An toàn thông tin cũng như hợp tác xin gửi t h ô n g t i n v ề " ị a c h ỉ e m a i l [email protected] "ể "ăng ký với các thông tin yêu cầu như sau:- Họ, tên:………………………………- Địa chỉ email:……………………….- Địa chỉ nhận bản tin:- Cơ quan, tổ chức "ang công tác:- Chức vụ:………………Trân trọng.
16
Giấy phép xuất bản bản tin số 37/GP-XBBT do Cục Báo chí cấp ngày 02/7/2015.Chịu trách nhiệm chính: Ông Nguyễn Thanh Hải - Cục trưởng Cục An toàn thông tinBan biên tập:
• Ông Nguyễn Huy Dũng - Phó Cục trưởng Cục An toàn thông tin, Tổ trưởng;• Ông Lê Bá Quốc Thịnh - Cục An toàn thông tin, biên tập nội dung, thiết kế;• Đại diện các tổ chức, đơn vị chức năng thuộc Cục An toàn thông tin.
Thông tin liên hệ: Cục An toàn thông tin, 18 Nguyễn Du, quận Hai Bà Trưng, Hà Nội
Việc sử dụng các thông tin trong bản tin cần có sự đồng ý của Cục An toàn thông tin