Bộ trưởng Nguyễn Mạnh Hùng nêu 5 bài học về ATTT từ COVID-19

Với chủ đề "ATTT trong chuyển đổi số (CĐS) - thách thức và giải pháp", Hội thảo - Triển lãm quốc tế ngày An toàn thông tin (ATTT) Việt Nam 2021 (lần thứ 14) được tổ chức ngày 25/11. Sự kiện được Bộ Thông tin và Truyền thông (TT&TT) bảo trợ, Hiệp hội ATTT Việt Nam (VNISA) phối hợp với Cục ATTT (Bộ TT&TT) tổ chức.

Càng ý thức cao về sự không an toàn thì càng an toàn

Phát biểu tại Hội thảo, Bộ trưởng Bộ TT&TT Nguyễn Mạnh Hùng nhấn mạnh:Muốn an toàn thì phải ý thức về sự không an toàn. Trung bình mỗi năm, mỗi người trên toàn cầu bị 3 - 4 cuộc tấn công mạng. Càng ý thức cao về sự không an toàn thì càng an toàn.

Theo Bộ trưởng, Việt Nam có trên 90 triệu máy điện thoại thông minh, hàng chục triệu PC, laptop, máy tính bảng. Nhưng đa số các thiết bị cá nhân này chưa được cài phần mềm bảo vệ. Chúng ta có gần 3 triệu camera và đã có những hình ảnh riêng tư bị lộ lọt trên mạng. Rất nhiều camera chưa được đánh giá an toàn thông tin và chưa được cài đặt chức năng bảo mật.

Trên thế giới, mới có 60% dự án phát triển phần mềm áp dụng qui trình phát triển - ATTT - vận hành. Ở Việt Nam, con số này còn thấp hơn nhiều. Vì vậy, còn rất nhiều những lỗi lập trình sơ đẳng đã gây mất ATTT nghiêm trọng. Nếu những phần mềm này là các nền tảng số quốc gia thì hậu quả rất lớn.

Lừa đảo trực tuyến tăng mạnh trong giai đoạn COVID vừa qua khi CĐS được thúc đẩy. Thế giới có hơn 2 triệu website lừa đảo. Ở Việt Nam, từ tháng 12/2020 đến tháng 11/2021, Cục ATTT đã phát hiện và xử lý 816 website lừa đảo giả mạo ngân hàng.

Nhưng muốn an toàn, theo Bộ trưởng, phải dùng nhiều hơn chứ không phải không dùng hay dùng ít đi. Lộ lọt thông tin vẫn có thể xảy ra. "Cách tốt nhất để giảm thiểu rủi ro lại là tăng cường sử dụng công nghệ số chứ không phải là không dùng. Vì chúng ta không thể không dùng và cũng phải thông qua dùng thì vấn đề mới bộc lộ ra và từ đó hoàn thiện".

Bộ trưởng cũng chia sẻ muốn an toàn thì cũng phải chấp nhận rủi ro. Muốn an toàn thì phải có các sản phẩm ATTT Make in Viet Nam. CĐS quốc gia là toàn dân và toàn diện, là tất cả các ngành, các lĩnh vực và mọi người dân. Và vì vậy mà thị trường là vô cùng rộng lớn, là cơ hội cho các doanh nghiệp (DN) ATTT mạng phát triển.

"Bảo vệ Việt Nam thì tốt nhất vẫn là "vũ khí" Việt Nam và theo cách Việt Nam. Người Việt Nam có cảm thấy an toàn khi CĐS hay không là phụ thuộc vào các nền tảng số Việt Nam có độ an toàn cao, phụ thuộc vào sự bảo vệ của các doanh nghiệp ATTT Việt Nam", Bộ trưởng nhấn mạnh.

Muốn an toàn, cũng theo Bộ trưởng, mọi phần mềm, mọi nền tảng số quốc gia phải được phát triển an toàn, được đánh giá an toàn và được sử dụng an toàn. An toàn phải được xuất hiện trong mọi khâu, từ phát triển đến đánh giá và đến sử dụng. Không được coi nhẹ ở bất cứ khâu nào.

Bộ trưởng cho biết: Chúng ta cũng đã chủ động thêm một khâu nữa, đó là Bug Bounty, tức là kêu gọi các chuyên gia tiếp tục phát hiện lỗ hổng bảo mật sau khi đã đưa phần mềm vào sử dụng. Hàng năm, Việt Nam sẽ vinh danh top 50 chuyên gia bảo mật có đóng góp cho việc phát hiện lỗ hổng bảo mật của các nền tảng số quốc gia".

Về an toàn dữ liệu, theo Bộ trưởng, phải đặc biệt đảm bảo an toàn cho các dữ liệu thay đổi, tức là các dữ liệu cá nhân được sinh ra từng ngày, từng giờ.

Muốn an toàn thì phải hợp tác quốc tế. Bởi vì, Internet, không gian mạng là toàn cầu. Chỉ có sự chung tay toàn cầu thì không gian mạng mới an toàn.

"Truyền thông thường xuyên, liên tục về ATTT đến mọi người dân, mọi tổ chức là điều kiện tiên quyết về đảm bảo ATTT. Muốn an toàn thì phải làm cho CĐS quốc gia an toàn. CĐS quốc gia bao gồm chính phủ số, kinh tế số và xã hội số", Bộ trưởng nhấn mạnh.

5 bài học về ATTT

Theo Bộ trưởng, COVD-19 là một thảm họa toàn cầu nhưng nó cũng dạy cho chúng ta những bài học về ATTT.

Thứ nhất, mỗi giây đều có giá trị. Do dự, chậm trễ trong dịch bệnh sẽ khiến lây lan theo cấp số nhân. Một tổ chức bị tấn công mạng mà chậm công bố, cảnh báo thì có thể hàng ngàn, hàng vạn tổ chức khác sẽ bị tấn công theo cách tương tự. Vì vậy, chúng ta phải hợp tác, chia sẻ thông tin.

Thứ hai, đừng đợi thảm họa ập đến rồi mới hành động. Lúc thảm họa chưa xảy đến là lúc tốt nhất để chuẩn bị cho nó. Chúng ta luôn phải chuẩn bị tinh thần, đề phòng và sẵn sàng cho điều tồi tệ nhất. Phòng bệnh bao giờ cũng hơn chữa bệnh. Trong an toàn thông tin mạng, cần chủ động kế hoạch ứng phó, diễn tập thực chiến để cọ sát, có kinh nghiệm thực tiễn. Và điều này phải thực hiện ở cấp cơ sở, tức là cấp có hệ thống CNTT.

Thứ ba, đảm bảo rằng mọi người đều nhận thức được các dấu hiệu và cách ứng phó. Trong đại dịch, Chính phủ công bố các triệu chứng bệnh. Người dân có thể dễ dàng nhận biết, kịp thời cách ly, xử lý. Trong ATTT mạng, mọi người dân, tổ chức cần được tuyên truyền để nhận thức được các nguy cơ, mối đe dọa, các dấu hiệu bị tấn công. Được phổ cập công cụ, dịch vụ cơ bản để tự bảo vệ. Vượt quá khả năng tự bảo vệ thì sẽ có các tổ chức, DN chuyên nghiệp hỗ trợ, giống như các bệnh viện tuyến trên.

Thứ tư, kinh nghiệm chống dịch là "nhanh - nhỏ - gần - cơ động". Xét nghiệm nhanh, khoanh vùng nhỏ, điều trị gần và cơ động ứng cứu nhau. ATTT cũng cơ bản là vậy. Công thức chống dịch thì liên tục phát triển, từ 5K rồi đến vắc-xin, rồi đến công nghệ, rồi đến ý thức người dân, rồi đến v.v... Công thức phòng chống tấn công mạng cũng phải liên tục phát triển. Vậy ai sẽ là người tổng kết những kinh nghiệm, công thức này để phổ biến ra toàn dân? Đó phải là Cục ATTT, là Hiệp hội ATTT Việt Nam.

Thứ năm, mối đe dọa luôn thay đổi. Trước đây, ít ai ngờ sẽ có những chủng, những đột biến khác nhau của virus Corona. Các chủng mới còn mạnh hơn chủng gốc. Tấn công mạng hay mã độc cũng không ngừng thay đổi và ngày một tinh vi, phức tạp hơn. Sử dụng trí tuệ nhân tạo trong tấn công mạng cũng như một loại virus tự biến đổi gen. Nhưng cũng chưa bao giờ nhân loại lại tạo ra vắc-xin nhanh như vậy, nhờ vào công nghệ gen và siêu máy tính. ATTT cũng có những công nghệ mới nhất để tạo ra vắc-xin mới.

Bộ trưởng nhận định: "Cơ hội CĐS, cũng giống như bất kỳ cơ hội nào, chỉ mang tính thời điểm, nếu không nắm bắt nó sẽ qua đi. Trong 3, 5 năm tới đây sẽ là giai đoạn quyết định thành bại của quá trình CĐS quốc gia. ATTT mạng là điều kiện tiền đề để CĐS số thành công. Sứ mệnh bảo đảo ATTT mạng cho chương trình CĐS quốc gia đã được trao cho Bộ TT&TT, Hiệp hội ATTT Việt Nam, các DN ATTT mạng Việt Nam, các DN công nghệ số, các chuyên gia ATTT Việt Nam. Chúng ta hãy cùng chung tay bảo đảm không gian mạng Việt Nam an toàn, lành mạnh".

ATTT là yếu tố không thể tách rời trong quá trình CĐS

Phát biểu tại Hội thảo, Chủ tịch VNISA Nguyễn Thành Hưng cũng nhấn mạnh: "CĐS là xu thế tất yếu để xây dựng một quốc gia thịnh vượng. Việt Nam là một trong những nước đang phát triển đã sớm xây dựng và ban hành Chương trình CĐS quốc gia đến năm 2025, định hướng đến 2030 theo Quyết định số 749/QĐ-TTg ngày 03/6/2020 của Thủ tướng Chính phủ.

Để CĐS thành công, Chủ tịch VNISA cũng cho rằng: "Vấn đề ATTT cần phải được đặc biệt quan tâm và ATTT phải được coi là một yếu tố quan trọng không thể tách rời trong quá trình CĐS".

Vì thế, theo Chủ tịch VNISA, việc đẩy nhanh CĐS cũng sẽ đặt ra nhiều thách thức cho các cơ quan, DN trong vấn đề đảm bảo ATTT, và đòi hỏi cộng đồng ATTT phải cùng chung tay nhận diện, đề ra các giải pháp xử lý hiệu quả trong quá trình thực hiện.

Trao đổi về đảm bảo ATTT cho CĐS quốc gia, ông Nguyễn Thành Phúc, Cục trưởng Cục ATTT - Bộ TT&TT cho biết CĐS quốc gia với 3 trụ cột chính là chính quyền số, kinh tế số và xã hội số.

Về ATTT cho chính phủ số, từ góc độ cơ quan quản lý nhà nước, Cục ATTT nhận thấy đang gặp phải 4 vấn đề lớn là: ATTT trong quá trình phát triển phần mềm; triển khai thử nghiệm rất nhiều hệ thống trên dữ liệu thật nhưng không tuân thủ các quy định của ATTT; tổ chức diễn tập ATTT theo kịch bản nhưng diễn nhiều hơn tập; khi được cảnh báo lỗ hổng xảy ra thì không biết được lỗ hổng đã bị khai thác trên hệ thống của cơ quan nhà nước hay chưa.

Để giải quyết vấn đề này, ông Phúc cho rằng 100% hệ thống CNTT khi triển khai thử nghiệm phải đảm bảo ATTT theo đúng quy định của Nghị định 85/2016/NĐ-CP về đảm bảo ATTT theo cấp độ ngay từ khâu thử nghiệm đến làm báo cáo khả thi, thiết kế chi tiết và triển khai thực tế sau này. Các hệ thống thông tin thử nghiệm đã phải làm rõ trách nhiệm của cơ quan chủ quản là Bộ hoặc UBND tỉnh với trách nhiệm của DN CNTT triển khai hệ thống theo quy định của Nghị định 85.

Về ATTT cho kinh tế số, ông Phúc cho biết hiện có 3 vấn đề lớn là: lộ lọt dữ liệu cá nhân, lừa đảo trực tuyến và ATTT đối với các nền tảng số. Giải pháp là sẽ ban hành Nghị định bảo vệ dữ liệu cá nhân ngay trong năm 2021. Bộ TT&TT đã phát động chương trình tìm lỗ hổng Bug Bounty trên các nền tảng CĐS quốc gia để hỗ trợ cho các nền tảng CĐS quốc gia có thể nhanh chóng phát hiện ra những lỗ hổng nghiêm trọng ảnh hưởng đến lộ lọt dữ liệu cá nhân trên nền tảng của mình. Các DN CNTT phải thực hiện quy trình phát triển phần mềm an toàn để đảm bảo không lộ lọt dữ liệu cá nhân.

Về ATTT cho xã hội số, có 3 vấn đề lớn được ông Phúc nêu gồm: bảo vệ người dùng trên Internet an toàn, bảo vệ thiết bị đầu cuối và bảo vệ ATTT cho các camera giám sát. Giải pháp là gắn nhãn tín nhiệm mạng cho các trang web, phát triển ứng dụng Visafe cho ATTT cho người dân, cảnh báo phát hiện sớm các nguy cơ, nguy hại.../.