Vậy là chúng ta đã thực sự bước vào kỷ nguyên số (digital age). Từ thời các sản phẩm phần mềm được đóng gói như các đĩa mềm, đĩa CD, DVD được trao đổi với giá thành rất cao và có hợp đồng mua bán, sử dụng rất chặt chẽ, đôi khi nó còn được các quốc gia thực hiện công tác bảo hộ sản phẩn như là một sản trí tuệ cao cấp, đến nay kho ứng dụng cho phép sử dụng miễn phí đã tràn ngập không gian số. Ở đây ta cần làm rõ thêm, sản phẩm phần mềm miễn phí không phải không có phí mà nên hiểu là giá thành ban đầu của nó bằng không hoặcrất rẻ (thường tương đương 1 USD).
Phần mềm miễn phí thu phí như thế nào?
Các phần mềm hiện nay đều có sự tương tác với người sử dụng, thông qua đó các quảng cáo nhỏ sẽ được đưa ra. Đây là khoản thu cơ bản của nhà sản xuất. Khoản thu tiếp theo thường thấy đó là việc nâng cấp phần mềm. Đa số phần mềm hiện nay đều có phần cơ bản (basic) và phần nâng cao (advance).Phần cơ bản sẽ miễn phí hoàn toàn, khi người dùng đã dùng quen sản phẩm và có nhu cầu cao về sản phẩm đó, cần nâng cấp các chức năng thì đó chính là gói sản phẩm nâng cao và việc thu phí là đương nhiên. Tuy nhiên, đó không phải là khoản thu chính, khoản thu chính đến từ các thông tin cá nhân cũng như các hành vi sử dụng máy tính hoặc kiến trúc hệ thống mạng máy tính của người dùng. Rất nhiều người nghĩ rằng hệ thống đóng (không có kết nối Internet) thì phần mềm sẽ không gửi được thông tin về cho nhà sản xuất, đó là nhầm lẫn cực kỳ tai hại. Các phần mềm khi đã cố tình gửi tin về cho nhà sản xuất không nhất thiết cần kết nối Internet trực tiếp, nó có thể thông qua các máy tính khác có kết nối Internet (điều này rất thường xẩy ra trên mạng LAN) và với thời đại kỷ nguyên số hiện nay, hiếm khi tìm được thiết bị nào không kết nối Internet.
Như vậy ta có thể thấy phần mềm miễn phí thực sự không hoàn toàn miễn phí. Ta có thể thấy nhà cung cấp có được lợi nhuận thông qua các hình thức cơ bản sau đây:
Bán một phần diện tích hiển thị thuộc quản lý của phần mềm cho các công ty quảng cáo trực tuyến;
Từ gói nâng cao của sản phẩm phần mềm đó;
Thu nhận thông tin,hành vi người dùng (thường để bán cho bên thứ 3);
Thu nhận kiến trúc hệ thống mạng máy tính của người dùng (thường để bán cho bên thứ 3 dưới dạng ẩn danh).
“Bản quyền phần mềm” là cái gì?
Bản quyền (tiếng Anh: copyright) phần mềm được coi như là một thuật ngữdùng chỉ cho quyền (của một tổ chức hoặc cá nhân) đối với các sản phẩm phi vật thể, ở đây chính là phần mềm.Tại Việt Namnó được hiểu như là quyền tác giả được quy định chi tiết trong Bộ Luật dân sự (điều 224, 225, 226 v.v.), Luật Sở hữu trí tuệ và đặc biệt là Luật Công nghệ thông tin, Luật Viễn thông, Luật An toàn thông tin mạng số: 86/2015/QH13 được Quốc Hội thông qua ngày 19/11/2015 có hiệu lực từ ngày 01/7/2016. Từ trước đến nay ta chỉ chú trọng đến việc sản phẩm phần mềm mà ta bỏ tiền ra mua (có bản quyền) đáp ứng các nhu cầu, chức năng mà ta đã đặt ra và thường bỏ qua các yếu tố khác. Hơn nữa, trước đây để có được một sản phẩm phần mềm thì cần đến một tổ chức với một nguồn nhân lực và vật lực đủ mạnh.
Nay đã khác, bất kỳ một ai cũng có thể thiết kế và cho xuất bản phần mềm của riêng mình với các chức năng quen thuộc, đưa lên kho ứng dụng cho mọi người sử dụng (miễn phí). Tuy nhiên ẩn sau “Bản quyền phần mềm” miễn phí luôn là một sản phẩm mà người dùng thường không có đủ khả năng về tài chính cũng như kiến thức để kiểm chứng tất cả các chức năng đang hoạt động ngầm phía sau.
Vậy câu hỏi đặt ra ở đây là, “Bản quyền phần mềm” có còn ý nghĩa?Thực sự “Bản quyền phần mềm” trong thời kỳ kỷ nguyên số hiện nay đã không còn có ý nghĩa lớn, nó chỉ mang lại tính xác định quyền thẩm quyền khiếu nại và công bố sản phẩm mà thôi.
An toàn thông tin đối với hệ thống máy tính
Sự cố hệ thống thông tin của Hãng hàng không quốc gia Việt Nam (Vietnam Airlines) bị can thiệp bất hợp pháp vào ngày 29/7/2016 đã đặt ra nhiều vấn đề đối với tính an toàn thông tin nói chung và tính an toàn thông tin đối với hệ thống máy tính chuyên dụng của ngành Hàng không.
Để có được câu trả lời này chúng ta cùng phân tích các ý sau đây:
Thế chân vạc cho một hệ thống máy tính bao gồm Hardware, Software,Copyrightvà việc tương tác giữa các đối tượng nàylà đương nhiên.Vậyđể nâng cao tính an toàn thông tin trên hệ thống chuyên dùng ta cần quan tâm đến vấn đề gì?
Chúng ta cùng đi từ yếu tố Phần cứng (Hardware): Rất nhiều người nghĩ rằng thiết bị phần cứng không có khả năng lấy thông tin từ thiết bị phần cứng hoặc phần mềm khác. Điều này là sai. Các thiết bị phần cứng giờ đây đã có độ thông minh rất cao, nhà sản xuất thiết bị phần cứng (nếu đã có chủ đích) hoàn toàn có thể thiết kế các thiết bị phần cứng thông dụng (không phải máy tính) có tính năng giao tiếp trực tiếp với nhà sản xuất thông qua Internet. Hiện nay có cả các thiết bị phần cứng tự phát sóng wifi để liêc lạc với nhà sản xuất. Đặc biệt có những thiết bị phần cứng có thể liên lạc với nhà sản xuất thông qua vệ tinh. Do vậy việc kết nối các thiết bị phần cứng không đảm bảo vào hệ thống máy tính sẽ tiềm ẩn nguy cơ về mất an toàn thông tin;
Tiếp đến ta cùng phân tích yếu tố Phần mềm (Software): Với phần mềm được cung cấp miễn phí hoặc giá lần đầu rất thấp (kể cả các phần mềm chuyên dụng). Tuy nhiên việc kiểm chứng phần mềm đó có an toàn hay không thì không đơn giản. Tại đây ta cũng lên làm rõ thêm, phần mềm máy tính được coi như bao hàm cả Hệ điều hành máy tính, Hệ cơ sở dữ liệu, các phần mềm tích hợp có liên quan chạy trên các phần cứng kết nối thành hệ thống máy tính (mạng máy tính). Mà như các bạn đã biết Hệ điều hành từ Windows 3.1 đến Windows 10 hiện nay cũng như Android của Google, iOScủa Apple và Linux đều đã từng xuất hiện các lỗ hổng bảo mật. Hệ cơ sở dữ liệu từ Oracle đến MySQL hay PostgreSQL v.v. cũng đều có lỗ hổng bảo mật. Và đặc biệt hơn nữa, chúng ta không thể kiểm soát được các modules đang chạy ngầm phía sau ứng dụng chính đã gửi những gì về máy chủ của nhà sản xuất.
Yếu tố bản quyền phần mềm (Copyright): Bản quyền phân mềm thực sự không còn nhiều ý nghĩa đối với kỷ nguyên số. Nó chỉ mang lại tính xác định quyền thẩm quyền khiếu lại và công bố sản phẩm mà thôi.
Như phân tích ở trên, phần cứng cũng chứa mã độc, phần mềm thì đầy rẫy lỗ hổng bảo mật, bản quyền phần mềm thì luôn có. Vậy ta cần làm gì để nâng cao tính an toàn thông tin đối với hệ thống máy tính?Tại đây tôi xin đưa ra một vài ý kiến chủ quan cho công tác nâng cao tính an toàn thông tin như sau:
Nắm vững tên, dòng sản phẩm phần cứng, Hệ điều hành, Hệ cơ sở dữ liệu, Phần mềm của các nhà sản xuất. Thường xuyêntheo dõi trên trang web của nhà sản xuất về các phiên bản cập nhật firmware đối với phần cứng, các bản vá lỗ hổng bảo mật đối với Hệ điều hành, Hệ cơ sở dữ liệu, phần mềm đang sử dụng. Khi có thông báo về bản cập nhật, báo cáo phát hiện lỗ hổng bảo mật chính thức từ nhà sản xuất (cả hardware và software) thì người quản trị cần báo cáo ngay cho cấp có thẩm quyền và lên kế hoạch cập nhật,bịt các lỗ hổng đó với thời gian sớm nhất tùy thuộc theo tình hình thực tế tại đơn vị vị mình (hoặc ít nhất cũng lên tăng cường công tác kiểm tra, kiểm soát tần suất hoạt động tại các cổng giao tiếp, cần thiết có thể ngắt, đóng các kết nối có tính cấp thiết thấp).
Theo dõi đều các trang web về bảo mật hệ thống mạng máy tính (kể cả các trang web của hacker mũ đen và hacker mũ trắng) để cập nhật các kiến thức và luồng thông tin,hướng đi mới về an ninh mạng máy tính trong tương lai. Áp những kiến thức đó vào hệ thống mà mình quản lý để thấy rõ được những lỗ hổng có thể có và xây dựng kế hoạch dự kiến cho tương lai.
Đối với những hệ thống đóng (chuyên dụng) cũng cần tuân thủ thêm quy tắc “4 Không” như sau:
Không sử dụng máy chủ vàmáy tính đầu cuối ngoài mục đích của hệ thống;
Không thay đổi cấu hình, cài đặt thêm phần mềm vào máy chủ, máy máy tính đầu cuối và các thiết bị dạng máy tính của hệ thống (kể cả các phần mềm có bản quyền, phần mềm phụ trợ, phần mềm miễn phí từ nhà sản xuất chính);
Không gắn thêm thiết bị phần cứng vào hệ thống (đặc biệt không gắn bất kỳ thiết bị nào có dạng giao tiếp USB vào hệ thống tại bất kỳ cổng USB nào, ví dụ như: smart phone, smart watch, smart calendar, smart frame, battery store,printer, usb stickv.v.);
Không kết nối hệ thống đóng vào mạng máy tính cục bộ đang sử dụng (mạng LAN), không kết nối máy tính đầu cuối thuộc hệ thống đóng vào mạng Internet hoặc mạng máy tính cục bộ đang sử dụng (mạng LAN) (kể cả khi đầu cuối này đã tách khỏi hệ thống để sửa chữa, bảo dưỡng v.v. – tránh trường hợp sửa chữa, bảo dưỡng .v.v. xong, khi kết nối vào hệ thống đóng thì đầu cuối này lại là nguồn lây lan, truyền nhiễm virus, backdoor, spyware, keylogger, worm, trojanv.v. vào hệ thống đóng đang sử dụng –).
Để làm được tốt những điều nói trên, nhân tố con người lại được đưa lên hàng đầu và công tác xây dựng chính sách,quy trình sao lưu định kỳ, quy trình ứng phó đối với sự cố mất an toàn thông tin mạng máy tính trên từng hệ thống là yếu tố sống còn đối với doanh nghiệp.