Trân Văn
18-4-2023
Cách nay không lâu, ông Hùng còn bảo rằng: Với tinh thần chiến binh, chúng tôi xin nhận và hoàn thành mọi nhiệm vụ được giao, giờ UBKT BCH TƯ đảng khóa 13 lại bảo rằng, ông Hùng phải “kiểm điểm, rút kinh nghiệm sâu sắc”
Có lẽ Kết luận từ Kỳ họp thứ 28 của Ủy ban Kiểm tra (UBKT) thuộc Ban Chấp hành Trung ương (BCH TƯ) đảng khóa 13 sẽ khiến… “tội phạm sử dụng công nghệ cao” cả trong lẫn ngoài Việt Nam nuối tiếc.
Không nuối tiếc sao được khi ông Nguyễn Mạnh Hùng – Ủy viên BCH TƯ đảng, Bí thư Ban Cán sự đảng, Bộ trưởng Thông tin Truyền thông (TTTT) bị UBKT yêu cầu phải… “kiểm điểm, rút kinh nghiệm sâu sắc; kịp thời lãnh đạo, chỉ đạo khắc phục các vi phạm, khuyết điểm đã được chỉ ra; chỉ đạo kiểm điểm, xem xét trách nhiệm các tổ chức, cá nhân có liên quan” vì… “vi phạm, khuyết điểm trong xây dựng, ban hành và tổ chức thực hiện quy chế làm việc; trong lãnh đạo, chỉ đạo tham mưu, xây dựng, tổ chức thực hiện thể chế, chính sách; trong quản lý nhà nước về thông tin, truyền thông, báo chí; trong công tác cán bộ và thực hiện một số dự án đầu tư công” (1).
***
Muốn biết tại sao “tội phạm sử dụng công nghệ cao” cả trong lẫn ngoài Việt Nam nuối tiếc thì chuyện đầu tiên là nên nhìn vào các dữ liệu thống kê. Ví dụ như dữ liệu thống kê của BKAV: Năm 2022, thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam ở mức 21.200 tỉ đồng (tương đương 883 triệu Mỹ kim). Bức tranh toàn cảnh an ninh mạng 2022 tại Việt Nam vẫn còn những điểm nóng đáng quan ngại – Mã độc đánh cắp tài khoản đã có thể “xuyên thủng” cơ chế bảo mật hai lớp. Số lượng máy tính nhiễm mã độc APT ở mức cao. Ransomware chuyển hướng tấn công sang máy chủ. Lừa đảo tài chính online bùng nổ (2)…
Tuy không phải là người duy nhất có lỗi để những dữ liệu ấn tượng ấy xảy ra bởi tham gia vào việc tạo ra cục diện càng lúc càng tệ hại về an ninh Internet và mạng máy tính tại Việt Nam còn có sự… “góp sức” của Bộ Công an và Bộ Quốc phòng Việt Nam với những cơ quan mà danh xưng rất… rổn rảng như: Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Tư lệnh Tác chiến không gian mạng – song để xảy ra thực trạng như đã biết và đang thấy, rõ ràng ông Hùng trong vai trò Bộ trưởng TTTT là người có lỗi lớn nhất cho thực trạng đã biết và đang thấy.
Còn muốn cảm nhận tường tận hơn rằng “tội phạm sử dụng công nghệ cao” cảm kích đến mức nào về nhận thức, năng lực của các cơ quan hữu trách trong lĩnh vực an ninh Internet, an ninh mạng máy tính tại Việt Nam thì có lẽ nên tham khảo nhận định của ông Dương Ngọc Thái – một chuyên gia về các lĩnh vực này (từng đảm trách vai trò Trưởng nhóm Bảo mật và mã hóa ứng dụng của Google). Hồi trung tuần tháng trước, ông Thái – người luôn theo sát và đã nhiều lần cảnh báo về an ninh Internet, an ninh mạng máy tính tại Việt Nam – lại cảnh báo thêm một lần nữa về chuyện: Làm thế nào để giết một người và cả nền kinh tế (3), xin dẫn nguyên văn…
Nếu muốn hại ai đó, chỉ cần chờ họ vào bệnh viện rồi hack vào hệ thống phần mềm để đổi bệnh, đổi thuốc là xong.
Trong hai năm qua, tôi đã cùng với các chuyên gia trong và ngoài nước nhiều lần xâm nhập hạ tầng mạng máy tính trọng yếu của Việt Nam, với sự đồng ý của đơn vị chủ quản. Tôi bắt đầu chương trình này sau khi trực tiếp xử lý những vấn đề an ninh mạng nghiêm trọng ở Việt Nam.
Tháng 10/2021, chúng tôi phát hiện lỗ hổng trong hệ thống Sổ sức khỏe điện tử, có thể dẫn đến lộ thông tin tên tuổi, số điện thoại, nơi làm việc, địa chỉ nhà, thông tin gia đình, con cái, v.v. của 25 triệu người Việt.
Tôi viết thư ngỏ, đính kèm thông tin cá nhân của năm bộ trưởng và 300 đại biểu quốc hội, gửi cho văn phòng thủ tướng và những bên liên quan. Lỗ hổng sau đó đã được sửa chữa, nhưng vấn đề lớn vẫn còn đó.
Những hệ thống như thế này là một lỗ đen, chúng hút hết những dữ liệu cực kỳ nhạy cảm của tất cả mọi người, nhưng không ai biết bên trong chúng hoạt động thế nào, có an toàn hay không, ai được quyền truy xuất dữ liệu, đã bị xâm nhập hay chưa.
Cũng trong năm 2021 tôi đã cùng với anh Trịnh Phước An điều tra xử lý một sự cố an ninh mạng có lẽ thuộc hàng nghiêm trọng nhất lịch sử Việt Nam. Vì lý do bảo mật, tôi không thể chia sẻ thêm thông tin, nhưng hai tháng chiến đấu ở Hà Nội khiến chúng tôi nhận ra an ninh mạng đang tạo ra những nguy cơ cho cả nền kinh tế Việt Nam.
Kinh tế phát triển nhanh và vị trí địa chính trị khiến Việt Nam trở thành mục tiêu của nhiều nhóm hacker trên thế giới. Không khó để hack, hack xong rồi chẳng mấy khi bị truy bắt, hacker nước ngoài nhìn Việt Nam như một miếng mồi béo bở. Đây sẽ là một cuộc chiến dai dẳng, nhưng chưa cân sức. Việt Nam sẽ còn thua dài dài, vì thiếu nhân lực.
Việt Nam không thiếu hacker đẳng cấp thế giới, nhưng đa số tập trung săn lỗ hổng kiếm tiền thưởng từ các công ty nước ngoài. Đây là công việc thú vị, kiếm tiền và thậm chí kiếm nhiều tiền bằng sức lao động sáng tạo chân chính.
Tôi muốn tạo ra cơ chế để các tài năng của Việt Nam góp sức giải quyết các vấn đề của Việt Nam. Muốn vậy họ phải được tưởng thưởng xứng đáng. Có thực mới vực được đạo, cơm áo không đùa với hacker.
Hiện tại chúng tôi đã xây dựng được một đội hình nhìn cũng được với nhiều tài năng hứa hẹn. Đối với Việt Nam, mục tiêu của đội trước nhất là tìm cách xâm nhập những tổ chức chứa hai loại dữ liệu nhạy cảm nhất của người Việt là tài chính và sức khỏe.
Với các tổ chức này, trung bình đội của tôi mất năm ngày để xâm nhập và thêm vài tuần nữa để đánh cắp dữ liệu, tài sản. Chúng tôi chưa bao giờ thất bại trong việc đánh cắp tiền. Chúng tôi cũng dễ dàng đánh cắp thông tin giao dịch, thậm chí thay đổi, chỉnh sửa dữ liệu nhạy cảm như tình trạng bệnh tật, thuốc uống.
Nếu bạn từng chụp chiếu X-ray, CT, MRI ở các bệnh viện trong nước, nhiều khả năng hình ảnh, thông tin cá nhân, kết quả giám định đã bị lộ từ lâu. Trong năm vừa qua, đội đã phát hiện hàng chục triệu hình ảnh y khoa như thế của người Việt nằm lộ thiên trên Internet, ai muốn xem cũng được.
Chúng tôi còn phát hiện vô số lỗ hổng lộ dữ liệu trong các giải pháp phần mềm y tế được sử dụng ở vài chục bệnh viện trên cả nước. Chẳng những có thể xem được thông tin bệnh nhân, chúng tôi còn có thể sửa hồ sơ bệnh án. Nếu muốn hại ai đó, chỉ cần chờ họ vào bệnh viện rồi hack vào hệ thống phần mềm để đổi bệnh, đổi thuốc là xong.
Đây là những lỗ hổng cơ bản, không có gì cao siêu, sử dụng những kỹ thuật đã được công bố từ thế kỷ trước. Không khó để kẻ xấu lợi dụng những lỗ hổng này để chiếm đoạt thông tin danh tính, sức khỏe của vài chục triệu người Việt.
Đây là lý do khiến dữ liệu danh tính, tài chính và sức khỏe của hàng chục triệu người Việt từ lâu đã lọt vào tay các đường dây lừa đảo quốc tế. Hậu quả là hàng ngàn nạn nhân khi bị lừa qua điện thoại xong vẫn không hiểu tại sao kẻ ác lại biết đầy đủ thông tin của mình và người thân.
Chúng tôi đã và đang làm việc với các tổ chức và các nhà cung cấp giải pháp để sửa chữa, nhưng gốc rễ vấn đề vẫn còn đó.
Lãnh đạo những tổ chức tài chính ngân hàng hay than với tôi rằng tiền họ không thiếu nhưng không tìm được người. Tôi nói giải pháp chỉ có hai chữ: tăng lương. Tăng gấp đôi không được thì tăng gấp ba, gấp năm, rồi sẽ đến lúc người ta phải chú ý. Ngon bổ rẻ, chọn hai thôi. Ngon bổ thì không thể rẻ.
Thiếu người đã đành, cơ chế còn dẫn đến vừa thừa vừa thiếu. Có tổ chức có đến 100 kỹ sư an ninh mạng, nhưng không tự bảo vệ được. Thực ra họ chỉ cần 10 người thôi, nhưng họ không thể trả lương cho mỗi kỹ sư gấp 10 lần, nên đành phải tuyển 100 người. Quý hồ tinh, bất quý hồ đa, nhưng cơ chế không cho phép làm theo người xưa.
Tình hình ở các bệnh viện, cơ sở y tế còn tệ hơn. Mục tiêu lớn nhất của bệnh viện là cứu người. Khi việc khám chữa bệnh còn đang quá tải, bác sĩ còn đang phải dùng hàng “ngon bổ rẻ” thì an ninh dữ liệu chỉ là thứ yếu.
Kể cả ở những nơi quan tâm, muốn đầu tư thì cũng phải mất nhiều công sức tiền của mới dọn dẹp được nợ công nghệ (technical debt) chồng chất trong nhiều năm. Bệnh viện không thể dừng hoạt động để sửa lỗi, mà trước tiên vẫn phải cứu người, rồi muốn sửa gì thì tính sau. Đối với các tổ chức khác cũng vậy. Thị trường phát triển nóng, họ vẫn sẽ phải liên tục xây sản phẩm dịch vụ mới để cạnh tranh và tồn tại.
Câu hỏi hiển nhiên cho cả nền kinh tế: làm sao để phát triển nhanh mà vẫn an toàn? Tôi đã suy nghĩ nhiều về câu hỏi này và cũng đã trao đổi, chia sẻ với nhiều cá nhân, tổ chức trong và ngoài nước.
Trước tiên, tôi nghĩ cần phải đồng ý điểm yếu an ninh mạng đang tạo ra nguy cơ mang tính hệ thống cho cả nền kinh tế, an sinh xã hội. Trong năm vừa qua, chúng tôi đã vài lần có cơ hội gây sụp đổ ngắn hạn hạ tầng tài chính ngân hàng Việt Nam. Đại diện một cơ quan hữu trách cũng cho biết mỗi năm người Việt mất hơn 1.000 tỷ đồng vì lừa đảo.
Thứ hai, chúng ta phải hiểu an toàn không cản trở phát triển, mà ngược lại. Giải quyết các điểm yếu trong hệ thống sẽ giúp Việt Nam phát triển nhanh hơn, mạnh hơn nữa. Kinh nghiệm làm việc hơn 10 năm ở Google cho tôi thấy an toàn là một lợi thế cạnh tranh.
Ferrari dám đẩy tốc độ những chiếc xe của họ lên hơn 300km/h vì họ biết mọi thứ vẫn an toàn. Những chuyên gia an toàn của Ferrari chắc chắn đã làm việc cực lực để đẩy giới hạn an toàn lên mức tối đa, nhờ đó mà xe của họ chạy nhanh hơn.
Thế thì Việt Nam tìm đâu ra những chuyên gia như vậy? Tôi nghĩ mấu chốt nằm ở nhu cầu của thị trường.
Nếu thị trường có nhu cầu cao, lương thưởng tốt, ắt sẽ có cung. Nhiều hacker Việt Nam đang đứng đầu bảng các chương trình săn lỗ hổng ở nước ngoài. Chỉ cần tưởng thưởng xứng đáng, tôi tin họ sẽ ưu tiên hỗ trợ Việt Nam.
Việc của nhà nước là đưa ra những chính sách thúc đẩy nhu cầu của thị trường. Tôi nghĩ nhà nước cần tạo ra luật yêu cầu các tổ chức phải công bố đại chúng khi gặp sự cố an ninh làm lộ thông tin cá nhân của lượng lớn khách hàng. Một bộ luật như vậy gọi là Data Breach Notification Law, nhiều nước đã làm rồi. Ngoài việc giúp người dân hiểu được nguồn lộ dữ liệu đến từ đâu, việc công bố đại chúng sẽ tạo ra áp lực thị trường buộc các tổ chức phải đầu tư tương xứng, tạo ra nhu cầu cho thị trường.
Tôi muốn kết thúc bằng một câu hỏi. Đội của tôi khá, nhưng trên thế giới phải có nhiều đội như vậy. Nếu một đội vài người đã có khả năng phá hủy hệ thống tài chính ngân hàng Việt Nam hay đánh cắp, thay đổi dữ liệu sức khỏe của hàng chục triệu người, nhiều quốc gia khác cũng có thể làm vậy. Câu hỏi là: Tại sao họ chưa làm hay họ đã xâm nhập rồi mà chúng ta chưa biết?
***
Ông Nguyễn Mạnh Hùng – Ủy viên BCH TƯ đảng, Bí thư Ban Cán sự đảng, Bộ trưởng TTTT – có thể vô can trước những vấn nạn nghiêm trọng như ông Dương Ngọc Thái nêu ra không? Chẳng lẽ là không? Còn sòng phẳng hơn thì phải hỏi thêm: Ngoài ông Hùng, còn những “ông” nào phải chịu trách nhiệm? Giống như trước nay, Thông báo về Kết luận Kỳ họp thứ 28 của UBKT thuộc BCH TƯ đảng khóa 13 chỉ xác định ông Hùng phải “kiểm điểm, rút kinh nghiệm sâu sắc” vì những lý do hết sức chung chung sau khi đã ghi nhận ông Hùng và Ban Cán sự đảng Bộ TTTT “có những ưu điểm” (?). “Những ưu điểm” đó là gì thì không thấy đề cập…
Chẳng lẽ là những tuyên bố kiểu như: Người Việt Nam có thể làm ra những thứ mà thế giới chưa từng làm – tại lễ ra mắt mạng xã hội Lotus hồi 2019 [4]. Hay: Việt Nam đã làm chủ 90% hệ sinh thái các sản phẩm an toàn, an ninh mạng phục vụ các cơ quan đảng, nhà nước. Đến đầu năm 2021, Việt Nam sẽ làm chủ 100%” – hồi 2020 [5]? Hoặc những tuyên bố kiểu như: Năm 2022 là năm tổng tiến công về chuyển đổi số. Chuyển đổi số đã trở thành toàn dân và toàn diện với việc tất cả các bộ ngành và địa phương đã ban hành nghị quyết và chương trình chuyển đổi số. 500 triệu tài khoản sử dụng các nền tảng số Việt Nam là con số chưa từng có. Các giao dịch về kết nối và chia sẻ dữ liệu tăng gần năm lần. Các tổ công nghệ số cộng đồng tại các thôn bản đã được thành lập và đi vào hoạt động… Còn 2023 là năm dữ liệu số, thúc đẩy sự bùng nổ trên các nền tảng Việt Nam. Bộ TTTT sẽ mở chiến dịch hỗ trợ các doanh nghiệp công nghệ số đang kinh doanh ở nước ngoài hoặc đi ra nước ngoài. Mang tri thức, công nghệ Việt Nam đi mở cõi. Nhà nước mở đường, rồi người đi trước kéo người đi sau... Để thế giới biết đến Việt Nam không chỉ vì Việt Nam là nơi đến mà còn là do nơi Việt Nam đến. Ngành viễn thông, công nghệ thông tin, công nghệ số của chúng ta có rất nhiều câu chuyện để kể với thế giới. Đi ra thế giới cũng là để cạnh tranh với những công ty xuất sắc nhất. Chúng ta chỉ có thể xuất sắc khi có đối thủ xuất sắc (6)…
Cách nay không lâu, ông Hùng còn bảo rằng: Với tinh thần chiến binh, chúng tôi xin nhận và hoàn thành mọi nhiệm vụ được giao, giờ UBKT BCH TƯ đảng khóa 13 lại bảo rằng, ông Hùng phải “kiểm điểm, rút kinh nghiệm sâu sắc” vì “vi phạm, khuyết điểm trong lãnh đạo, chỉ đạo tham mưu, xây dựng, tổ chức thực hiện thể chế, chính sách; trong quản lý nhà nước về thông tin, truyền thông, báo chí…” và “báo cáo kết quả về UBKT BCH TƯ”. Công chúng có thể không bận tâm về chuyện sắp tới ông Hùng còn tiếp tục làm… “chiến binh” nữa hay không nhưng có lẽ “tội phạm sử dụng công nghệ cao” sẽ băn khoăn. Dù gì thì cũng nên “định hướng” cho… “người ta” biết!
Chú thích
(3) https://vnhacker.substack.com/p/lam-the-nao-e-giet-mot-nguoi-va-ca
(5) https://egov.chinhphu.vn/an-toan-an-ninh-mang-make-in-vietnam-a-NewsDetails-37898-14-186.html
(6) https://vtc.vn/bo-truong-nguyen-manh-hung-2022-la-nam-tong-tien-cong-ve-chuyen-doi-so-ar721958.html