Câu lạc bộ Liên minh Sáng tạo Nội dung số Việt Nam (DCCA) vừa gửi văn bản cho Cục Phát thanh, truyền hình và Thông tin điện tử (Bộ TT&TT) và Hội Truyền thông số Việt Nam, đề nghị can thiệp xử lý mạng xã hội reviewcongty, vì đã đăng tải nhiều thông tin sai sự thật về các công ty thành viên của mình. 

Theo công văn của DCCA, thời gian vừa qua, một số doanh nghiệp hội viên và đối tác của DCCA đã phản ánh về việc, hiện nay trên trang mạng xã hội https://reviewcongty.xxx cho phép người dùng chia sẻ nhiều thông tin sai sự thật, xúc phạm uy tín, danh dự, nhân phẩm của nhiều doanh nghiệp và các lãnh đạo, quản lý của các công ty.

Cụ thể, website reviewcongty.xxx  đang hoạt động theo hình thức mạng xã hội, đăng ký tên miền và đặt máy chủ qua một nhà đăng ký nước ngoài, nhưng hoạt động hướng tới người dùng Việt Nam và sử dụng toàn bộ ngôn ngữ là tiếng Việt. Website này cho phép người dùng tạo tài khoản là tên các doanh nghiệp và các thành viên có thể viết bài, nhận định, thể hiện quan điểm cá nhân mà không hề có kiểm duyệt. Các tài khoản đều đăng ẩn danh, không cần đăng ký, không cần xác thực vẫn có thể viết đánh giá, bình luận về bất cứ doanh nghiệp, cá nhân nào. Một người có thể dùng không hạn chế tài khoản ẩn danh để viết và bình luận. Nội dung phần lớn là tiêu cực, xúc phạm các cá nhân, đăng tin sai sự thật về doanh nghiệp, vi phạm thuần phong mỹ tục và chuẩn mực đạo đức văn hóa của người Việt Nam.

Qua hoạt động rà soát DCCA nhận thấy website nêu trên có một số dấu hiệu vi phạm pháp luật, cụ thể như vi phạm quy định về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng theo Nghị định 72/2013/NĐ-CP và Nghị định 15/2020/NĐ-CP quy định về xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử.

Bên cạnh đó, DCCA nhận thấy website trên vi phạm quy định về việc xin cấp phép thiết lập mạng xã hội. Đồng thời, website này xâm phạm nghiêm trọng đến uy tín, danh dự, thương hiệu của hàng nghìn doanh nghiệp Việt Nam khi đăng các thông tin tiêu cực như trên.

Hành vi của chủ thể (cá nhân, nhóm người hoặc tổ chức) tạo ra website này đã vi phạm quy định tại Điều 102, Khoản 3, điểm e của Nghị định số 15/2020/NĐ-CP ngày 3/2/2020 quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử, với hành vi: “Thu thập, xử lý và sử dụng thông tin của tổ chức, cá nhân khác mà không được sự đồng ý hoặc sai mục đích theo quy định của pháp luật”.

Đồng thời, những hành vi trên còn có dấu hiệu vi phạm quy định tại khoản 3, 4 Điều 34 Bộ luật dân sự năm 2015, có hiệu lực từ ngày 01/01/2017 quy định: “Thông tin ảnh hưởng xấu đến danh dự, nhân phẩm, uy tín của cá nhân được đăng tải trên phương tiện thông tin đại chúng nào thì phải được gỡ bỏ, cải chính bằng chính phương tiện thông tin đại chúng đó. Nếu thông tin này được cơ quan, tổ chức, cá nhân cất giữ thì phải được hủy bỏ”.

DCCA cho rằng, website này đang vi phạm nghiêm trọng pháp luật Việt Nam. Điều này đã, đang và sẽ gây ra thiệt hại về uy tín, danh dự và vật chất cho các doanh nghiệp Việt Nam nói chung và hội viên của DCCA nói riêng. Các thiệt hại bao gồm các tổn thất về uy tín thương hiệu, tổn thất về cơ hội kinh doanh cũng như các chi phí khác mà các doanh nghiệp phải gánh chịu để ngăn chặn và khắc phục thiệt hại, gây ảnh hưởng nghiêm trọng đến quyền và lợi ích hợp pháp của các doanh nghiệp.

Trả lờiVietNamNetvề nội dung này, đại diện Cục Phát thanh, truyền hình và Thông tin điện tử cho biết, đây là mạng xã hội không được cấp phép tại Việt Nam. Hiện Cục Phát thanh, truyền hình và Thông tin điện tử đang phối hợp với các đơn vị chức năng để xem xét và xử lý những phản ánh từ phía DCCA. 

Truy cập nâng cao tạm thời là gì?

Trong việc quản trị hệ thống Cloud trên AWS, việc cấp quyền và phân quyền truy cập của người dùng để đảm bảo an toàn thông tin, dữ liệu là rất quan trọng. Tuy nhiên, trên thực tế có những thời điểm người dùng cần phải được khai thác thông tin ngoài khu vực đã được cấp quyền để phục vụ công việc. Theo đó, AWS cho phép cấp quyền truy cập nâng cao tạm thời (Temporary Elevated Access). 

Mục đích của việc cấp quyền truy cập nâng cao tạm thời là để đảm bảo rằng trước khi doanh nghiệp cấp quyền cho một ai đó, thì họ sẽ phải có một lý do truy cập hợp lý mà được xác nhận.

Ví dụ, với một lập trình viên cần khắc phục sự cố độ trễ của ứng dụng, họ cần có các đặc quyền cao hơn so với quyền được gán cho lập trình viên đó. Sau khi họ giải quyết được sự cố, quyền truy cập sẽ bị thu hồi ngay lập tức.

Hệ thống quản lý truy cập truyền thống yêu cầu người dùng (user) xác thực và xác nhận họ là ai (Authentication), ủy quyền truy cập tương ứng với quyền của người dùng (Authorization) trước khi có thể truy cập vào hệ thống được bảo vệ. 

Việc ủy quyền truy cập thường được cung cấp dạng 1 lần (one-time) và trạng thái của việc ủy quyền cũng được lên lịch kiểm tra định kỳ như một phần của quy trình rà soát, xác nhận quyền truy cập. 

Để tìm hiểu kỹ hơn về phần này, trước hết chúng ta sẽ cần biết đến quyền truy cập liên tục (persistent access), có nghĩa là khi người dùng đã được xác thực và ủy quyền thì có thể truy cập tài nguyên bất kể lúc nào. Điều này sẽ liên quan đến AWS Identity and Access Management (IAM).

Với quyền truy cập nâng cao tạm thời, ngoài các bước xác thực và ủy quyền mặc định, mỗi khi yêu cầu đặc quyền này thì một quy trình bổ sung sẽ được tiến hành. Tác vụ này nhằm xác định, đánh giá và ghi lại lý do công việc này cần sử dụng quyền truy cập nâng cao tạm thời. Quy trình này sẽ được tiến hành tự động hóa hoặc cần các cấp có thẩm quyền xét duyệt (ví dụ như trưởng bộ phận quản trị IT..).

Căn cứ quyết định sử dụng quyền truy cập nâng cao tạm thời

Trong một số môi trường nhạy cảm, các tổ chức có thể muốn giảm quyền truy cập liên tục của con người và thay vào đó sử dụng quyền truy cập nâng cao tạm thời. Tức là người dùng được cấp quyền truy cập tạm thời vào tài nguyên để thực hiện một tác vụ cụ thể, sau khi hoàn thành tác vụ đó thì quyền truy cập sẽ bị thu hồi. 

Quyền truy cập thường phát sinh rủi ro khi hai yếu tố kết hợp với nhau: mức đặc quyền cao, chẳng hạn như khả năng thay đổi cấu hình, sửa đổi quyền, đọc dữ liệu hoặc cập nhật dữ liệu; và các tài nguyên quan trọng, chẳng hạn như các tài nguyên trên môi trường sản xuất, các dịch vụ quan trọng ảnh hưởng đến người dùng cuối (end-user), hoặc các dữ liệu nhạy cảm của công ty,...

Doanh nghiệp có thể dựa vào các yếu tố này để xác định và đưa ra ngưỡng rủi ro. Trên ngưỡng đó doanh nghiệp thực thi quyền truy cập nâng cao tạm thời. Dưới ngưỡng đó, doanh nghiệp tiếp tục cho phép truy cập liên tục. Bất kể nguồn yêu cầu là gì, mục tiêu tổng thể là giảm thiểu rủi ro.

Mô hình luận lý triển khai cấp quyền truy cập nâng cao tạm thời

Trong mô hình trên khi cần thực hiện một tác vụ yêu cầu quyền truy cập nâng cao tạm thời vào hệ thống, quy trình sẽ thực hiện các bước sau:

- Xác thực người dùng và các điều kiện liên quan (1 - 2). Chúng ta có thể sử dụng phương pháp xác thực đa yếu tố (MFA) để xác định người dùng có đủ điều kiện để được gán quyền truy cập nâng cao tạm thời hay không.

- Thiết lập lưu trữ, quản trị lý do yêu cầu quyền truy cập (3). Lưu lại lý do người dùng yêu cầu cấp quyền truy cập nâng cao tạm thời, xác định tính hợp lệ, tiến hành phê duyệt yêu cầu. Tiến trình này sẽ được thực hiện tự động hóa hoặc yêu cầu các cấp quản lý phê duyệt.

- Cấp quyền truy cập có thời hạn xác định (4). Sau khi hoàn thành tiến trình xét duyệt, người dùng sẽ được cấp quyền truy cập có giới hạn thời gian vào hệ thống cần thiết dựa trên nguyên tắc đặc quyền tối thiểu (principle of least privilege).

Mô hình triển khai tham chiếu

Doanh nghiệp có thể tham khảo cụ thể mô hình triển khai tham chiếu cơ bản để cung cấp quyền truy cập nâng cao tạm thời trong môi trường AWS tại : https://bit.ly/CMC-AWS-TempAccess

Như vậy, các doanh nghiệp đã có thêm góc nhìn, kiến thức về quyền truy cập nâng cao tạm thời và cách giảm rủi ro liên quan đến quyền truy cập của người dùng. 

Với vị thế là đối tác Dịch vụ Cấp cao của AWS tại Việt Nam, đã từng triển khai, vận hành hiệu quả cho nhiều doanh nghiệp trên nền tảng đám mây AWS, các chuyên gia của CMC Telecom sẵn sàng chia sẻ những kinh nghiệm của mình và đồng hành với các doanh nghiệp đang trong quá trình chuyển đổi số.

Thúy Ngà