Theo nhận định của các chuyên gia Bkav, đây là một sự cố an ninh mạng điển hình, bắt nguồn từ việc quản lý tài nguyên số chưa chặt chẽ. Qua kiểm tra kỹ thuật, tên miền xuất hiện trong vụ việc có dấu hiệu đã thay đổi chủ thể quản lý qua các giai đoạn, dẫn tới việc nội dung hiện tại không còn phù hợp với mục đích giáo dục ban đầu.

Đây là rủi ro có tính bản chất của môi trường Internet. Một liên kết web không phải tài nguyên cố định. Website hôm nay an toàn không có nghĩa vài tháng hay vài năm sau vẫn giữ nguyên như vậy. Trong khi đó, tài liệu in lại có vòng đời rất dài. Một cuốn vở bài tập có thể được sử dụng trong suốt năm học, tái bản hoặc tham khảo trong thời gian dài hơn. Khoảng chênh giữa vòng đời ngắn của tài nguyên số và vòng đời dài của tài liệu in chính là lỗ hổng khiến sự cố dạng này dễ phát sinh.

Khi một tên miền hết hạn hoặc không còn được chủ thể ban đầu quản lý, nó có thể bị người khác đăng ký lại. Sau khi sở hữu tên miền, chủ mới có thể thiết lập nội dung hoàn toàn khác, thậm chí là nội dung xấu, phản cảm hoặc lừa đảo. Với người dùng thông thường, nhất là trẻ em và phụ huynh, rất khó nhận ra sự thay đổi này nếu chỉ nhìn vào địa chỉ được in trên sách.

Điều đáng lo hơn là học sinh lớp 3 là nhóm người dùng đặc biệt dễ bị tổn thương trên không gian mạng. Các em chưa có kỹ năng tự bảo vệ, chưa đủ khả năng sàng lọc nội dung và cũng không nhận thức được các nguy cơ số. Vì vậy, chỉ một sai sót nhỏ trong học liệu cũng có thể kéo theo hậu quả lớn về tâm lý, nhận thức và niềm tin của phụ huynh đối với tài liệu giáo dục.

Khoảng trống trong quản lý tài nguyên số phục vụ giáo dục

Từ vụ việc này có thể thấy rõ nhiều lỗ hổng trong cách quản lý học liệu có gắn yếu tố số. Trước hết là chưa có cơ chế quản lý vòng đời tên miền đầy đủ. Một website đã được đưa vào học liệu cần có cam kết duy trì trong thời gian đủ dài, hoặc ít nhất phải có cơ chế gia hạn, giám sát định kỳ. Nếu tên miền hết hạn mà không được phát hiện kịp thời, nguy cơ bị bên thứ ba đăng ký lại là hoàn toàn hiện hữu. Khi đó, đường link trên sách vẫn giữ nguyên, nhưng nội dung phía sau đã thay đổi hoàn toàn.

Lỗ hổng thứ hai là chưa thực hiện rà soát liên kết định kỳ sau khi tài liệu đã phát hành. Trong môi trường số, kiểm tra một lần ở thời điểm biên soạn là chưa đủ. Tài nguyên trực tuyến luôn có thể thay đổi. 

Một vấn đề khác là sự phụ thuộc vào tài nguyên bên thứ ba. Khi học liệu dẫn người dùng tới các website ngoài phạm vi kiểm soát của đơn vị xuất bản hoặc phát hành, nguy cơ thay đổi nội dung luôn tồn tại. Đây là điểm yếu mang tính cấu trúc. Đơn vị biên soạn có thể kiểm soát nội dung in trên giấy, nhưng không thể kiểm soát tuyệt đối một website không do mình trực tiếp quản trị. Càng phụ thuộc vào tài nguyên ngoài, rủi ro bị động càng lớn.

Các chuyên gia Bkav đã đưa ra những khuyến cáo khá rõ. Với đơn vị xuất bản và phát hành, cần hạn chế sử dụng trực tiếp các liên kết Internet cố định trong tài liệu in. Đây là khuyến nghị có cơ sở, bởi mọi liên kết tĩnh đều có nguy cơ thay đổi theo thời gian. Thay vào đó, nên triển khai các giải pháp trung gian để kiểm soát và cập nhật nội dung số. Khi cần thay đổi liên kết, loại bỏ tài nguyên không còn phù hợp hoặc xử lý rủi ro phát sinh, đơn vị quản lý có thể thao tác từ hệ thống trung tâm mà không phải thu hồi toàn bộ tài liệu đã phát hành.

Bên cạnh đó, việc thiết lập cơ chế rà soát, kiểm tra định kỳ đối với các tài nguyên trực tuyến được dẫn chiếu trong tài liệu giáo dục là yêu cầu bắt buộc. Đây không thể là việc làm theo đợt hay chỉ kích hoạt sau khi xảy ra sự cố. Nó phải trở thành quy trình thường xuyên, có trách nhiệm cụ thể và có công cụ hỗ trợ giám sát. Chỉ như vậy mới có thể phát hiện sớm các nguy cơ như tên miền đổi chủ, website đổi nội dung hay phát sinh nội dung độc hại.

Đối với phụ huynh và nhà trường, vai trò giám sát cũng đặc biệt quan trọng. Khuyến cáo của Bkav nêu rõ cần kiểm tra các đường dẫn trước khi cho học sinh truy cập; theo dõi, hướng dẫn và đồng hành cùng học sinh trong quá trình sử dụng Internet, nhất là ở bậc tiểu học; đồng thời ưu tiên sử dụng các nguồn nội dung đã được kiểm duyệt, phù hợp với lứa tuổi. Trong bối cảnh trẻ em tiếp cận Internet ngày càng sớm, sự giám sát của người lớn vẫn là lớp phòng vệ trực tiếp và hiệu quả nhất.

Từ vụ việc này là lời cảnh báo rằng an toàn thông tin trong giáo dục không còn là câu chuyện riêng của ngành công nghệ. Khi một đường link nhỏ trong cuốn vở bài tập có thể dẫn tới nội dung web đen, vấn đề đặt ra là trách nhiệm quản lý toàn bộ chuỗi học liệu số. Từ khâu biên soạn, phát hành, duy trì tài nguyên đến giám sát sau phát hành, tất cả đều cần được siết chặt. Nếu không sớm bịt các lỗ hổng này, rủi ro tương tự hoàn toàn có thể lặp lại ở những học liệu khác. Và khi đối tượng tiếp cận là trẻ em, mọi khoảng trống trong quản trị số đều có thể phải trả giá rất đắt.