Ứng dụng CNTT từ rất sớm và trên diện rộng
Do đặc thù của ngành Tài chính, khối lượng con số và các tính toán số học rất lớn, nhu cầu sử dụng máy tính để trợ giúp công việc đã xuất hiện từ rất sớm. Năm 1989, Bộ Tài chính đã thành lập Tổ tin học trực thuộc Văn phòng Bộ với nhiệm vụ nghiên cứu ứng dụng tin học vào chuyên môn nghiệp vụ của ngành. Năm 1999, Bộ Tài chính bắt đầu triển khai hệ thống mạng diện rộng kết nối tất cả các đơn vị của ngành Tài chính. Năm 2004, Bộ Tài chính triển khai dự án tích hợp hệ thống thông tin Kho bạc Ngân sách Nhà nước (gọi tắt TABMIS). .. Qua thời gian tích lũy, các hệ thống thông tin của ngành Tài chính ngày càng phát triển và trở thành một phần tất yếu, không thể tách rời trong hệ thống nghiệp vụ và công tác quản lý của ngành.
Cùng với việc tin học hóa hoạt động nghiệp vụ, việc cung cấp dịch vụ công trực tuyến trong các lĩnh vực tài chính cũng được đặt ra từ rất sớm, thậm chí từ trước khi hình thành khái niệm "Dịch vụ công trực tuyến". Đơn vị đi đầu phải kể đến trong hoạt động này là Tổng cục Hải quan với những kênh kết nối trao đổi thông tin trực tiếp với doanh nghiệp được thiết lập từ cuối thập niên 90 và liên tục phát triển cho đến ngày nay. Năm 2010, tại thời điểm Bộ Thông tin và Truyền thông đang xem xét hồ sơ xin cấp phép cung cấp dịch vụ chứng thực chữ ký số của CA Việt Nam đầu tiên là VNPT, Tổng cục Thuế đã phối hợp với VNPT thử nghiệm triển khai dịch vụ khai thuế qua mạng áp dụng chữ ký số. Cho đến thời điểm này, theo tổng kết đánh giá của Bộ Thông tin và Truyền thông, chứng thư số bán ra tại thị trường Việt Nam chủ yếu phục vụ nhu cầu sử dụng các dịch vụ thuế và hải quan điện tử của các doanh nghiệp.
Hiện tại, Bộ Tài chính và các đơn vị thuộc Bộ đang cung cấp hơn 40 dịch vụ công trục tuyến từ mức 3 trở lên. Một số dịch vụ công trực tuyến điển hình: Kê khai và nộp thuể qua mạng; Hải quan điện tứ; Đăng ký mở và Sử dụng tài khoản tại Kho bạc Nhà nước; Đăng ký chào bán, phát hành cổ phiếu, trái phiếu; Cấp mã số đơn vị có quan hệ ngân sách... Trong đó, các dịch vụ trực tuyến của ngành Thuế, Hải quan và Kho bạc đã có tác động rât lớn tới doanh nghiệp, được Chính phủ đưa vào danh sách các dịch vụ ưu tiên đấy mạnh mở rộng triển khai tại Nghị quyết số 19/NQ-CP ngày 12/3/2015 về những nhiệm vụ, giải pháp chủ yếu tiếp tục cải thiện môi trường kinh doanh, nâng cao năng lực cạnh tranh quốc gia 2 năm 2015-2016 và Nghị quyêt 36a/NQ-CP ngày 14/10/2015 về Chính phủ điện tử.
Bên cạnh các dịch vụ công trực tuyến, hầu hết các hoạt động nghiệp vụ của Bộ Tài chính đã được tin học hóa. Phục vụ công tác quản lý nộì bộ, Bộ Tài Chính đã triển khai sử dụng hệ thống quản lý văn bản điều hành có tích hợp chữ ký số. Hệ thống này đã và đang phát huy tác dụng, góp phần giúp Bộ Tài chính xứ lý khối lượng khổng lồ các văn bản giấy tờ phát sinh hàng ngày.
Công tác đảm bảo an toàn thông tin của ngành Tài chính
Việc đảm bảo an toàn thông tin trên môi trường máy tính và mạng máy tính đã được Lãnh đạo Bộ Tài chính nhận thức và chỉ đạo thực hiện đồng thời với công tác tin học hóa. Từ nửa cuối những năm 90, Bộ Tài chính đã "đặt hàng" Ban Cơ yếu Chính phủ xây dựng phần mềm mã hóa dữ liệu để mã hóa dữ liệu trao đổi gìữa các đơn vị kho bạc và tài chính trao đổi trên đường truyền. Việc trang bị tường lửa mạng và phần mềm phòng diệt virus quản lý tập trung đã được thực hiện từ những năm 2003-2005. Năm 2004, Bộ Tài chính thuê tư vấn tổng thể về đảm bảo an toàn thông tin. Đề án tư vấn này đã đề cập đến việc triển khai tiêu chuẩn ISO/IEC 17799 (nay là ISO/IEC 27002). Năm 2009, Kho bạc Nhà nước tiên phong triển khai công tác quản lý an toàn thông tin theo ISO/IEC 27001:2005.
T.S Nguyễn Việt Hùng, Phó Cục trưởng Cục Tin học và Thông kê Tài chính — Bộ Tài chính, chia sẻ: “Do thiếu kinh nghiệm trong giai đoạn đầu triển khai công tác đảm bảo an toàn thông tin, cũng như nhiều đơn vị khác, Bộ Tài chính chỉ tập trung vào yếu tố công nghệ, với suy nghĩ đầu tư các giải pháp kỹ thuật tốt sẽ nâng cao được an toàn thông tin. Tuy nhiên, thực tế cho thấy giải pháp kỹ thuật tốt mà không có người vận hành tốt, không có quy trình tốt thì hiệu quả mang lại rất thấp. Nhận thức đầy đủ các yếu tố mang lại thành công cho công tác đảm bảo an toàn thông tin bao gồm: Con người, Chính sách và Công nghệ, từ cuối năm 2012, bên cạnh việc triển khai các dự án đầu tư nâng cấp hệ thống đảm bảo an toàn thông tin, Bộ Tài chính đã song song đầu tư vào khía cạnh Con người và Chính sách”.
TS Nguyễn Việt Hùng, Phó Cục trưởng Cục Tin học và Thông kê Tài chính — Bộ Tài chính
Về yếu tố Con người, năm 2013, Bộ Tài chính bất đầu thành lập các phòng Quản lý an toàn thông tin. Đến thời điểm hiện tại, tổng cộng có 5 phòng Quản lý an toàn thông tin thuộc Cục Tin học và Thống kê tài chính – Bộ Tài chính, Cục CNTT Tổng cục Thuế, Cục CNTT – Tổng cục Hải quan, Cục CNTT – Kho bạc Nhà nước,
Cục CNTT - Ủy ban Chứng khoán Nhà nước, với 25 cán bộ chuyên trách an toàn thông tin trên tổng số 2600 cán bộ CNTT (gần 0,1%). Riêng Cục CNTT của Tổng cục Dự trữ Nhà nước do số lượng biên chế không nhiều nên không thành lập phòng Quản lý an toàn thông tin. Các phòng Quản lý an toàn thông tin này từ khi ra đời đã góp phần đẩy mạnh công tác đảm bảo an toàn thông tin của Bộ Tài chính và các đơn vị thuộc Bộ. Bên cạnh phòng Quản lý an toàn thông tin làm nhiệm vụ đầu mối, chuyên trách công tác quản lý an toàn thông tin, nhiệm vụ đảm bảo an toàn thông tin được xác định là nhiệm vụ của mỗi cán bộ ngành Tài chính có tham gia quản lý, sử dụng hệ thống thông tin. Trong đó, tham gia sâu sắc nhất vào công tác đảm bảo an toàn thông tin là bộ phận Quản trị mạng và Quản trị hệ thống, tiếp đó là các bộ phận Phát triển ứng dụng, Triến khai dự án, Hỗ trợ kỹ thuật, Hỗ trợ người dùng. ..
Hàng năm, Bộ Tài chính tổ chức 2-3 khóa đào tạo chuyên sâu về an toàn thông tin cho các cán bộ tin học thuộc các bộ phận trên. Đối vớì người dùng cuối, Bộ Tài chính thường xuyên thực hiện các biện pháp tuyên truyền, nâng cao nhận thức về an toàn thông tin. Từ năm 2013, Bộ Tài chính đã tổ chức các lớp đào tạo kiến thức, kỹ năng cơ bản về an toàn thông tin cho toàn thể cán bộ của Bộ Tài chính. Năm 2016, Bộ Tài chính thường xuyên tổ chức cập nhật kiến thức về an toàn thông tin cho cán bộ của Bộ.
Việc tuyển dụng cán bộ giỏi luôn là thách thức đối với cơ quan nhà nước, đặc biệt trong lĩnh vực công nghệ thông tin và an toàn thông tin. Để giải quyết thiếu hụt nhân sự, Bộ Tài chính đã đặt quan hệ cộng tác, phối họp với các cơ quan chức năng (Bộ Thông tin và Truyền thông, Bộ Công an, Ban Cơ yếu Chính phủ) và khai thác triệt để sự trợ giúp của các các công ty đối tác cung cấp sản phấm, dịch vụ về an toàn thông tin, các hãng sản xuất sản phấm về an toàn thông tin, tranh thủ mỗi cuộc thử nghiệm POC sản phấm của các hãng thành một lần đánh giá nhỏ về mức độ an toàn của hệ thống thông tin của Bộ Tài chính. Theo chủ trương thuê dịch vụ, Bộ Tài chính đã thực hiện thuê một số dịch vụ về an toàn thông tin như tư vấn lập dự án an toàn thông tin, tư vấn triển khai ISO 27001, tư vấn đánh giá rủi ro của hệ thống và bắt đầu thuê dịch vụ giám sát an toàn thông tin (SOC).
Về yếu tố Chính Sách, năm 2012, Bộ Tài chính đã ban hành Quy định về việc đảm bảo an toàn thông tin trên môì trường máy tính và mạng máy tính áp dụng trong ngành Tài chính (Quyết định số 2615/QĐ–BTC ngày 19/10/2012) và cập nhật quy định này trong năm 2014 (Quyết định số 3317/QĐ–BTC ngày 24/12/2014). Năm 2015, Bộ Tài chính đã ban hành Khung quy trình ứng cứu sự cố khấn cấp an toàn thông tin; Yêu cầu kiến thức, kỹ năng an toàn thông tin đối với cán bộ ngành Tài chính. Trên cơ sở các quy định chung này, các đơn vị thuộc Bộ đã cụ thể hóa thành các quy trình quản lý, vận hành các hệ thống thông tin do đơn vị trực tìếp quản lý. Hàng năm, Bộ Tài chính tổ chức kiểm tra việc thực hiện quy định đảm bảo an toàn thông tin tại các đơn vị, đảm bảo tính hiệu lực, tác dụng của các quy định này.
Tuy nhiên, việc khắc phục điểm yếu bảo mật ứng dụng là một việc rất khó khăn. Đôi khi đối tác phát triển ứng dụng sau khi khắc phục điểm yếu được chỉ ra lại tạo ra một điểm yếu mới. Khắc phục vấn đề này, đối với các điểm yếu không thể xử lý được bằng kỹ thuật Iập trình, Bộ Tài chính xử lý bằng cách che chắn bằng tường lửa ứng dụng. Tường lửa ứng dụng do Bộ Tài chính trang bị bao gồm tính năng mã hóa kênh https và chống DdoS mức ứng dụng. Việc ngăn chặn DdoS mức mạng được thực hiện thông qua tính năng chống DdoS của tường lửa mạng. Một số đơn vị thuộc Bộ đã trang bị hệ thống chống DdOS chuyên dụng.
Đối với tấn công có chủ đích APT, một số đơn vị thuộc Bộ đã triển khai giải pháp phát hiện và ngăn chặn APT. Tuy nhiên, theo quan điểm của Bộ Tài chính, việc chống APT phải được thực hiện từ gốc thông qua kiểm soát các kết nối Intemet. Nhận thức được điều này, từ năm 2013, Bộ Tài chính đã triển khai mô hình truy cập Intemet gián tiếp: Người dùng truy cập Intemet thông qua các máy chủ Remote Desktop. Mô hình này tạo ra một bức tường ngăn cách giữa máy tính của người dùng và Intemet, tin tặc không có cách nào để thiết lập kết nối từ Intemet với các phần mềm trên máy tính của người dùng và do đó không thực hiện được các lệnh điều khiển từ xa. Mô hình này đã được triển khai tại Cơ quan Bộ Tài chính từ năm 2013 và toàn ngành Thuế trong năm 2016. Các đơn vị khác thuộc Bộ đang dùng các biện pháp khác trong đó bao gồm tách mạng vật lý riêng cho truy cập Intemet để ngăn chặn các tấn công có chủ đích từ Intemet. Mô hình trung tâm giám sát an toàn thông tin (Security Operating Center – SOC) cũng đang được nghiên cứu để đưa vào triển khai.
Công tác đảm bảo an toàn thông tin khi đi vào cụ thể còn rất nhiều vấn đề, chẳng hạn, sao lưu dữ liệu và dự phòng thảm họa, triển khai ISO 27001... đều là những nội dung đã được Bộ Tàì chính quan tâm triển khai. “Tuy nhiên, tống kết lại, bất kỳ giải pháp an toàn an ninh thông tin nào khi triển khai đều cần quan tâm đến 3 khía cạnh Con người, Chính sách và Công nghệ. Thiếu một trong 3 yếu tố này, giải pháp nào cũng không mang lại hiệu quả mong muốn”, T.S Nguyễn Việt Hùng nhấn mạnh.
.jpg "Đẩy mạnh ứng dụng AI, hướng tới y tế thông minh")
.jpg "50 năm Viện Kinh tế Bưu điện: Không ngừng đổi mới, thích nghi và phát triển")
