Tiền Phong đã phỏng vấn ông Ngô Diên Hy – Phó GĐ Trung tâm Dịch vụ khách hàng Cty GPC, nhà cung cấp dịch vụ Vinaphone. Ông Hy cho biết:
Bất cứ nhà cung cấp dịch vụ nào cũng muốn hệ thống cơ sở dữ liệu được đưa đến tận điểm bán hàng (PoS), Vinaphone cũng không là ngoại lệ. Hệ thống mạng cho phép truy cập từ xa với chi phí thấp chúng ta có thể sử dụng một trong 2 công nghệ: công nghệ kết nối VPN qua Internet và dial-up (quay số) vào mạng Intranet. Hệ thống mạng Vinaphone sử dụng dial-up, bên cạnh đó còn có công nghệ mã hoá RSA.
Về nguyên tắc, khi muốn truy nhập vào hệ thống của Vinaphone, người truy nhập bắt buộc phải có username/password (mật khẩu) và có 1 passcode (hay còn gọi là secure ID) tự động thay đổi 1 lần/phút. Ngoài ra, hệ thống của Vinaphone còn sử dụng công nghệ hạn chế việc truy nhập theo số A number (số chủ gọi).
Tóm lại, muốn truy nhập thành công, người truy nhập phải là thành viên thuộc mạng Intranet (nội bộ) của chúng tôi và phải thực hiện qua tất cả các bước trên đây. Vì dịch vụ Vinaphone được cung cấp qua các bưu điện của 64 tỉnh thành trên toàn quốc nên về nguyên tắc họ cũng có quyền truy nhập những dịch vụ nhất định của hệ thống, chẳng hạn chăm sóc khách hàng, đấu nối mạng.
Tuy nhiên, hệ thống luôn đảm bảo đúng người, đúng nơi (chỉ cho phép các số điện thoại cố định tại bưu điện tỉnh đã đăng ký truy cập) và sử dụng đúng dịch vụ. Bưu điện tỉnh làm dịch vụ nào thì chỉ được truy nhập và làm việc với đúng dịch vụ đó.
Nghĩa là hệ thống an ninh mạng đã tuyệt đối an toàn?
Trên lý thuyết, bất cứ hệ thống nào có đường kết nối về mặt vật lý, dù dial-up hay VPN đều có nguy cơ bị tấn công. Công nghệ dial-up an toàn ở chỗ chỉ có người được cấp thẻ Secure ID và phải truy cập từ số điện thoại đăng ký trước mới truy cập vào hệ thống được. Với hệ thống này, chúng tôi có thể tạm yên tâm về độ bảo mật.
Song, như tôi vừa nói, bất cứ hệ thống nào có đường kết nối đều có thể bị tấn công, trong đó có nguy cơ “nội gián” làm lộ bí mật an ninh mạng như quý báo đã nêu. Đây là vấn đề thuộc về định chế hành chính chứ không đơn thuần là vấn đề công nghệ nữa.
Việc hacker biết được rằng hệ thống máy chủ Vinaphone sử dụng phần mềm Foxpro, như nội dung báo Tiền Phong nêu nói lên điều gì?
Hệ thống tính cước mạng Vinaphone luôn có 2 hệ thống: chạy dự phòng và chính thức. Hệ thống dự phòng chạy bằng những công cụ đơn giản, dễ sử dụng và chỉ mang tính chất đối soát với hệ thống chạy chính thức. Hệ thống chính thức chạy trên hệ điều hành và hệ quản trị cơ sở dữ liệu có độ bảo mật tương đối cao. Phần mềm Foxpro dùng cho hệ thống dự phòng để phục vụ đối soát, xử lý nghiệp vụ mang tính chất đơn lẻ như các báo cáo bất thường,… và ngoài ra để kiểm chứng tính chính xác của hệ thống chạy chính thức. Chúng tôi cũng chưa kiểm chứng được việc hacker đã lấy được thông tin này.
Cảnh báo của hacker giúp gì cho nhà cung cấp, thưa ông?
Chúng tôi sẽ phải xem xét, rà soát lại toàn bộ hệ thống an ninh mạng của mình. Từ đây, chắc chắn Vinaphone sẽ phải nâng mức độ đảm bảo an ninh lên một bước nữa.
Vậy ông có thông điệp gì cho các hacker tuyên bố có khả năng kiểm soát hệ thống máy chủ của Vinaphone?
Rõ ràng nhà cung cấp như chúng tôi cần phải có một đội ngũ an ninh mạng mạnh. Chúng tôi rất cảm ơn và sẵn sàng hợp tác với những hacker “mũ trắng”- phát hiện ra lỗi bảo mật trong hệ thống và báo ngay cho nhà cung cấp có biện pháp khắc phục ngay. Chúng tôi kêu gọi hacker mũ trắng hãy hợp tác tích cực với nhà cung cấp dịch vụ ĐTDĐ. Các bạn có thể trở thành những cộng tác viên của chúng tôi.
Xin cảm ơn ông.
