Lenovo sẽ phải giải trình về vụ cài "phần mềm gián điệp” LSE

Trước những lo lắng của dư luận xã hội về việc đảm bảo an toàn thông tin Nhà nước sau scandal của Lenovo, ông Nguyễn Thanh Hải bày tỏ: "Đối với cơ quan Nhà nước, chúng ta tuân thủ theo Luật đấu thầu thì bắt buộc phải có kiểm tra, đánh giá sau khi nhận các thiết bị đó nhằm loại bỏ tất cả những phần mềm không mong muốn đã được cài sẵn".

Vấn đề ở đây là chúng ta có phát hiện ra các phần mềm độc hại, ác ý được cài sẵn trong thiết bị đó hay không? Điều này phụ thuộc vào năng lực và trình độ của nhân viên kỹ thuật hay cơ quan, tổ chức khi mua thiết bị.

Đối với người dùng, khi mua thiết bị ở ngoài thị trường như máy tính, điện thoại thông minh…thì luôn luôn phải đối diện với các phần mềm không mong muốn được cài ở trong đó. Chẳng hạn như đối với điện thoại thông tin, các hãng sản xuất chính hãng chưa chắc họ đã gài những phần mềm ác ý ở trong đó nhưng khi chúng ta mang thiết bị ra cửa hàng nào đó để cài các phần mềm ứng dụng thì rất có thể bị cài các phần mềm gián điệp như phần mềm nghe lén, phần mềm lấy cắp thông tin,…Chính vì thế người sử dụng cần phải lựa chọn cửa hàng, hãng uy tín.

Thưa ông, vào tháng 7/2016 tới thì Luật An toàn thông tin mạng sẽ chính thức có hiệu lực. Sự ra đời của luật này có giải quyết được vấn đề như vụ việc của Lenovo vừa qua không?

Cục trưởng Nguyễn Thanh Hải: Việt Nam chưa có văn bản chính thức nào đề cập đến những quy chuẩn để đảm bảo an toàn thông tin trong lĩnh vực này.

Luật An toàn thông tin mạng chỉ điều chỉnh những thông tin trên mạng mà thôi. Việc bức xúc nhất hiện nay ở tại Việt Nam và trên thế giới đó là trên mạng. Tới đây khi mà xã hội kết nối vạn vật thì vấn đề an toàn thông tin sẽ rất là căng thẳng bởi thiết bị của chúng ta mua về là để kết nối mạng.

Như chúng ta đã biết, thiết bị lắp ráp thì do nhiều nhà cung cấp, bản thân các linh kiện ở trong đó cũng do nhiều nhà sản xuất khác nhau sản xuất. Một hãng nào đó mua lại để lắp ghép lại thành một thiết bị hoàn chỉnh và bản thân những nhà thầu cung cấp thiết bị đó cũng khác nhau. Như vậy chúng ta luôn phải đối mặt với việc mất an toàn thông tin.

Biện pháp quản lý trong Luật đưa ra là sẽ quy định về hành lang pháp lý để có biện pháp bảo vệ phù hợp cho các hệ thống thông tin của chúng ta. Mà trong hệ thống đó sẽ có những thiết bị kết nối vào nhưng nó phải tuân thủ theo chuẩn, tuân thủ về kiểm tra đánh giá, tuân thủ việc báo cáo.

Phần mềm độc hại thì trong Luật cũng đã có đề cập đến. Cụ thể, sẽ có những văn bản mà chúng ta sẽ chi tiết hóa ra. Chúng ta sẽ đặt tên được những phần mềm như thế nào đó được gọi là có hại (hay ác ý) mà người sử dụng không mong muốn và những phần mềm đó ảnh hưởng (hoặc lây nhiễm) qua bao nhiêu loại thiết bị kết nối trong mạng đó. Tùy từng mức độ chúng ta sẽ phân biệt ra những sự cố đặc biệt lớn, sự cố vừa và sự cố nhỏ. Trên cơ sở đó sẽ liên quan đến tất cả những người có thiết bị, từ nhà mạng cho đến nhà sử dụng.

Khi chúng ta phân loại, đánh giá được như vậy thì sẽ hạn chế được tối đa những thiết bị có thể mang đến sự mất an toàn thông tin.

Hầu hết các trang thiết bị đó đều có cửa hậu (backdoor), gửi dữ liệu về nhà sản xuất, cung cấp dịch vụ. Tuy nhiên sự việc vừa qua Lenovo đã âm thầm thu thập dữ liệu mà người sử dụng không hề hay biết. Ông có chia sẻ gì về vấn đề này?

Cục trưởng Nguyễn Thanh Hải: Chúng ta đều biết, hiện nay các doanh nghiệp khi cung cấp thiết bị cho cá nhân hay tổ chức nào đó thì họ đều có chế độ chăm sóc hậu mãi. Họ có thể thường xuyên giúp ta cập nhật những phần mềm để vá những lỗi mà trong các phần mềm vận hành, điều khiển thiết bị đó đã có. Rõ ràng chúng ta không biết được phần mềm hiện họ đang có là có lỗi hay không mà chỉ khi có ai phát hiện ra có lỗi thì mới biết.

Chẳng hạn như đối với hệ điều hành Windows, thỉnh thoảng vẫn có phần mềm cập nhật để vá lỗ hổng. Nhà cung cấp sản phẩm phần mềm đó cũng có kênh chăm sóc khách hàng. Khi có bản vá và cập nhật mới họ đều có thông báo rõ ràng cho người sử dụng thì chúng ta nhìn thấy.

Tuy nhiên có những phần mềm người ta cài sẵn để thu thập thông tin của người dùng. Hiện nay có rất nhiều hãng cung cấp giải pháp hay một phần mềm để đánh giá hành vi của người sử dụng, đánh giá xu hướng của người sử dụng…qua đó giúp họ nhận định được người dùng đang muốn gì. Những phần mềm như vậy sẽ dẫn đến tình trạng có người sử dụng mong muốn và có người không.

Chính vì thế theo quan điểm của tôi thì biện pháp an toàn thông tin tốt nhất đó là phải phòng thủ tốt nhất.

Tôi lấy ví dụ ở một quốc gia rất phát triển về công nghệ như Nhật Bản, một số cơ quan quản lý còn bịt tất cả cổng USB, việc kết nối Internet cũng rất hạn chế để đảm bảo an ninh mạng. Toàn bộ hệ thống của Chính phủ chạy trong một mạng riêng. Sau đó, chỉ có vài cổng kết nối Internet thôi. Ở những cổng kết nối đó sẽ được chặn lại, kiểm tra thông tin ra và vào. Làm như vậy rõ ràng an toàn hơn rất nhiều, chứ máy tính nào cũng kết nối ra thì làm sao mà kiểm soát được.

Như vậy, ở thời điểm này chúng ta vẫn chưa đánh giá được mức độ nghiêm trọng của việc “cài phần mềm gián điệp” vào BIOS trên bo mạch chính của máy trước khi xuất xưởng của Lenovo. Bộ Thông tin và Truyền thông có đang làm rõ vấn đề này hay không, thưa ông?

Cục trưởng Nguyễn Thanh Hải: Chúng tôi sẵn sàng phối hợp với cơ quan chức năng của Hải Phòng để nghiên cứu, đánh giá các thiết bị đó xem có đúng là Lenovo đã cài sẵn những phần mềm ác ý ở trong thiết bị của họ hay không? Họ cài để nhằm mục đích gì?

Tuần tới, Thanh tra Bộ Thông tin và Truyền thông sẽ mời Lenovo lên để giải thích về vụ việc vừa qua. Khi chúng ta tìm hiểu, nghiên cứu và chứng minh được rằng những phần mềm đó là không được phép hoặc trong quá trình đấu thầu những bài toán đầu đề kỹ thuật của nhà thầu mà bên chủ đầu tư đưa ra không có yêu cầu như vậy, trong bản chào hàng của Lenovo không nói rõ việc mục đích của cài phần mềm thì rõ ràng việc làm của Lenovo vừa qua là không ổn.

Xin cảm ơn ông!

Nguyễn Hùng (thực hiện)

                                                                            Video: Trọng Trinh