Năm nay và vài năm tới, vấn đề chính cho nhiều công ti sẽ là cách chuẩn bị cho đe doạ an ninh tiếp đây hay còn gọi là tấn công xi be.

Điều này bao giờ cũng là thách thức khi ngày càng nhiều “hacker” tấn công vào hệ thông tin của công tin trên cơ sở hàng ngày. Trong quá khứ, các hacker phần lớn là người phát triển phần mềm chán chường và muốn làm cái gì đó vui đùa bất kể hậu quả. Ngày nay hacker phần lớn là “tội phạm có tổ chức” những người tuyển mộ các người phát triển phần mềm để đánh cắp thông tin như số thẻ tín dụng, tài khoản ngân hàng, và thông tin sở hữu riêng của công ti, hay gây tổn hại cho kinh doanh của công ti (phá hoại, khủng bố).

Vấn đề chính là hầu hết những người chịu trách nhiệm về hệ thông tin KHÔNG có tri thức hay nhân lực để quản lí họ. Theo cuộc khảo cứu điểm bài về an ninh ở 25 nước đã phát triển trên thế giới, họ thấy rằng 75% người chịu trách nhiệm hệ thông tin của chính phủ KHÔNG phải là người phần mềm, nhiều người trong số này là các quan chức chính phủ được đề bạt vào chức vụ đó. Nghiên cứu này cũng thấy rằng trên 60% công ti tư nhân cũng không có chính sách, thủ tục, và người có hiểu biết an ninh tốt chịu trách nhiệm về hệ thống an ninh. Điều đó nghĩa là cả chính phủ và các công ti tư nhân đều mong manh với tấn công xi be.

Phần mềm trở nên ngày càng lớn hơn và phức tạp hơn bởi vì mọi người cứ thêm vào nó và thay đổi nó. Mọi người muốn các tính năng mới, chức năng mới, ứng dụng mới, và tất cả họ đều muốn nó nhanh hơn cho nên phần lớn những người quản lí dự án phần mềm đều hội tụ vào việc chuyển giao phần mềm đúng hạn với nhiều chức năng hơn nhưng ít chú ý tới an ninh. Ngày nay nhiều phần mềm được gắn với Internet và nó tạo ra nhiều mong manh hơn trước đây. Vấn đề khác là ở chỗ với khoán ngoài, việc phát triển phần mềm được thực hiện trên toàn thế giới, ở mọi kiểu chỗ. Khi người ta thêm các chức năng mới, cấu phần mới, họ thêm nhiều phức tạp hơn cho hệ thống phần mềm với nhiều mã hơn và điều đó mở ra nhiều lỗi mà “hacker” có thể tận dụng.

Bởi vì an ninh máy tính là lĩnh vực mới trong kĩ nghệ phần mềm, rất ít đại học cung cấp đào tạo này cho nên có thiếu hụt trầm trọng về chuyên viên an ninh máy tính trên khắp thế giới. Nhiều quan chức và người quản lí tin rằng họ đã có “tường lửa” tại chỗ nên hệ thống của họ được an toàn. Điều đó cũng giống như có ổ khoá ở cửa trước nhà bạn cho nên bạn không lo nghĩ về mọi người vào nhà bạn. Vấn đề là tường lửa có thể chặn “hacker nghiệp dư” nhưng không chặn được “hacker chuyên nghiệp”, cũng giống như ổ khoá cửa có thể chặn được một số người không cho vào nhà bạn qua cửa chính nhưng KHÔNG chặn được kẻ trộm biết cách vào nhà bạn từ các chỗ khác. Có tường lửa là KHÔNG đủ. Bạn cần nhân lực có kĩ năng để lập ra chính sách, chủ trương, thủ tục và quản lí hệ thống an ninh, không có họ mọi tiền bạc chi vào tường lửa hay công cụ an ninh đều sẽ vô dụng. Tôi tin rằng an ninh vững chắc chỉ có thể được chuyển giao nếu có người có kĩ năng tại chỗ để làm cho điều đó xảy ra và điều mấu chốt là có nhiều đào tạo an ninh hơn cho mọi người dùng máy tính. Điều quan trọng là công ti phải tập trung hơn nữa vào việc kiếm người có kĩ năng với trang thiết bị đúng tại chỗ để giám sát và đáp ứng với vấn đề an ninh trước cuộc tấn công xi be.

Hơn nữa, công ti phải hội tụ vào chương trình đào tạo an ninh để cho nhiều người nhận biết về vấn đề này. Vi phạm an ninh thường là sai lầm bất cẩn trong những người phát triển phần mềm. Khi mở email hay sao một xâu vào bộ nhớ, để tràn chồng trong mã của họ cũng có thể gây hậu quả nghiêm trọng vì chúng tạo ra sự mong manh mà có thể bị kẻ tấn công khai thác để thực hiện các đoạn mã hại. Mã hại này có thể được dùng để phát tán virus, sâu, hay chèn thêm cửa hậu vào máy tính để đánh cắp thông tin nhạy cảm hay phá huỷ mọi tệp.  Theo nghiên cứu mới đây của Carnegie Mellon, 64 phần trăm những chỗ mong manh trên thế giới đều là kết quả của lỗi viết mã.

Tôi tin công ti phải có chính sách an ninh tại chỗ để xác định cách thực hiện an ninh. Chính sách an ninh sẽ xác định mức độ an ninh và vai trò và trách nhiệm của người dùng, người quản trị và người quản lí. Tổ chức an ninh cũng nên được thiết lập để giám sát việc dùng tính toán để cảnh báo về vấn đề an ninh (Virus, tấn công xi be v.v.). Người dùng nên chắc rằng hệ điều hành và ứng dụng máy tính của họ được vá bằng những miếng vá dịch vụ mới nhất và sửa nóng ngay. Họ không nên mở email từ những người gửi không biết hay các nguồn không biết cũng như chặn lại các kiểu tài liệu đính kèm như .bas, .bat, .exe và .vbs. vì chúng có thể chứa mã hại.

—-English version—-

computer security threat

This year and the next few years, the main issues for many companies would be how to prepare for the next security threat or cyber attack. This is always a challenge as more and more “Hackers” are attacking company’s information systems on a daily basis. In the past, hackers are mostly software developers who are bore and want to do something for fun regardless of the consequences. Today hackers are mostly “Organized crimes” who recruit software developers to steal information such as credit card numbers, bank accounts, and company’s proprietary information, or do damage to company’s business (Sabotage, terrorism).

The main problem is most people in charge of information systems do NOT have knowledge or resources to manage them. According to the security review study of 25 developed countries around the world, they found that 75% of people in charge of government information systems are NOT software people, many of them are government officials who got promoted to the positions. The study also found that over 60% of private company also does not have good security policies, procedures and knowledgeable people in charge of security systems. That means both government and private companies are vulnerable to cyber attack.

As software is becoming larger and more complex because people keep adding to it and changing it. People want new features, new functions, new applications, and they all want it faster so most software project managers are focusing on deliver the software on time with more functionalities but few would pay attention to security. Today many softwares are connected to the Internet and it creates more vulnerability than before. Another issue is that with outsourcing, software development is done around the world, in all kinds of places. As people adding new functions, new components, they are adding more complexity to software system with more codes and it opens up more errors that “hackers” can take advantage.

Because computer security is a new field in software engineering, very few universities offer this training so there is a critical shortage of computer security specialist all over the world. Many officials and managers believe that they already have “Firewall” in place so their systems are secured. It is just like having a lock in your front door so you do not worry about people enters your house. The problem is firewall can stop some “Amateur hackers” but not “Professional hackers”, just like the door lock can stop some people from entering your house through the front door but NOT stop a thief who know how to get in your house from other places. Having firewalls is NOT enough. You need to have skilled resources to set policies, directions, procedures and manage your security systems, without them all money spent on security firewall or tools will be worthless. I believe that a robust security can only be delivered if there are skilled people in place to make it happen and it is critical to have more security training for all computer users. It is important that company should be focusing more on getting the skilled people with the right equipment in place to monitor and respond to security issues before cyber attack.

Moreover, company should focus on security-training program so more people are aware of this problem. Security breach is a frequent yet unintended mistake among software developers.  When open an email or copying a string in memory, having a stack overflow in their code could all have serious consequences as they create a vulnerability that can be used to execute malicious code by an attacker. The malicious code may be used to spread a virus, a worm, or insert a back door on a machine to steal sensitive information or destroy all the files.  According to a recent Carnegie Mellon study, 64 percent of vulnerabilities in the world are the result of coding errors.

I believe company should have a security policy in place to determine how security will be implemented. A security policy will define the level of security and the roles and responsibilities of users, administrators and managers. A security organization should also be established to monitor computing usages to alert of security issues (Virus, cyber attack etc.). Users should make sure that their computers operating systems and applications are patched with the latest service packs and hot fixes. They should not open email from unknown senders or unknown sources as well as block certain email attachment types such as .bas, .bat, .exe and .vbs. since they could contain malicious codes.