Làm gì để đảm bảo an toàn thông tin cho chính quyền và người dân?
Internet đã phát triển với tốc độ nhanh, tại Việt Nam Internet không còn là xa xỉ, việc kết nối và sử dụng Internet đã là điều không thể thiếu. Song song đó, khi nói đến Internet là nói đến vấn đề đang rất nóng bỏng là an toàn thông tin (ATTT), bảo mật thông tin.
Theo ông Hồ Trọng Đạt, Phó Giám đốc Trung tâm ATTT, Tập đoàn VNPT: "Trong góc nhìn của VNPT chúng tôi nhận thấy, đối tượng khách hàng sử dụng Internet là các hộ gia đình, cá nhân sử dụng và khách hàng lớn nhất là các cơ quan nhà nước, các doanh nghiệp (DN), vậy nên đảm bảo an toàn Internet cũng chính là đảm bảo an toàn cho các khách hàng lớn này".
Dịch vụ thay đổi nhưng nguy cơ thì không đổi
Những năm gần đây, tại Việt Nam dung lượng dữ liệu được chuyển dịch lên "đám mây" (cloud) đã gia tăng mạnh. Hiện các nhà cung cấp dịch vụ Internet (ISP) tại Việt Nam đã rất chú trọng đến việc triển khai hạ tầng đám mây. Việc sử dụng các ứng dụng lưu trữ đám mây như Dropbox, Drive, One Drive, iCloud Drive... hoặc các phần mềm như email... đã trở nên phổ biến, chúng được coi là những dịch vụ cơ bản trong đời sống hàng ngày. Trong các hệ thống máy tính, gần như chắc chắn có các ứng dụng lưu trữ đám mây. Tất cả những điều này khiến cho nguy cơ bị tấn công mạng, mất an toàn dữ liệu ngày càng gia tăng.
Trong khoảng 20 năm qua, các phần mềm mã độc, phishing (tấn công giả mạo), các hình thức tấn công khác nhau từ mạng máy tính đến, tin nhắn SMS, gửi mail kèm các đường link, hoặc kỳ công hơn nữa là các cuộc gọi điện thoại giả mạo... các kiểu tấn công như vậy gần như không thay đổi, chỉ tinh vi hơn, phạm vi rộng hơn, và cường độ tấn công cao hơn. Gần đây, tội phạm mạng đã ở mức cao nhất mọi thời đại cả về mức độ phức tạp và số lượng. Trên thực tế, theo Forbes, người ta dự đoán, thế giới sẽ phải chịu thiệt hại 10,5 nghìn tỷ USD mỗi năm vào năm 2025 do tội phạm mạng.
Ông Hồ Trọng Đạt cho biết: "Tại VNPT, hệ thống IP DDoS đã phát hiện các cuộc tấn công trên 1GB/giây trong năm 2022 là trên 700 cuộc, gần đây có vụ tấn công lớn nhất lên đến 200GB/giây. Các chiến dịch tấn công như vậy không có hệ thống máy tính nào có thể chịu đựng được".
Đối phó với nguy cơ rủi ro cao
Các chính phủ thường xuyên phải xử lý các thông tin nhạy cảm liên quan đến đất nước và công dân của họ, điều đó khiến cho các cơ quan nhà nước thường gặp rủi ro cao liên quan đến ATTT.
Với những nguy cơ như vậy, với sự chuyển dịch như vậy, tại Việt Nam, Chính phủ cũng như các bộ ban ngành, đặc biệt là Bộ Thông tin và Truyền thông (TT&TT) đã xây dựng các hệ thống quy định nền tảng liên quan đến việc điều chỉnh các hành vi sử dụng trên Internet. Cao nhất tại Việt Nam hiện này Luật ATTT mạng, và Luật An ninh mạng. Cùng với đó là việc Chính phủ Việt Nam đã phê duyệt chiến lược an toàn an ninh mạng quốc gia. Ngoài ra, còn có những nghị định hướng dẫn các bộ ban ngành về việc xây dựng hồ sơ cấp độ, xây dựng hệ thống thông tin đảm bảo theo yêu cầu kỹ thuật.
Gần đây Chính phủ đã khai trương hệ thống "Cơ sở dữ liệu về dân cư", trong đó các hệ thống thông tin muốn kết nối vào đây thì phải đảm bảo các yêu cầu theo hướng dẫn kỹ thuật triển khai Đề án 06 (phiên bản 1.0) của công văn số 1552/BTTTT-THH do Bộ TT&TT ban hành vào ngày 6/4/2022,
Mới đây nhất, trong tháng 4/2023, Uỷ ban Quốc gia về Chuyển đối số (CĐS) đã công bố "Kế hoạch hoạt động của Uỷ ban Quốc gia về CĐS năm 2023", trong đó ATTT trên Internet là một trong những mục tiêu được đặt ra hàng đầu của kế hoạch này.
Vấn đề con người làm về ATTT
Employee Benefit News cho biết, 80% các vụ vi phạm dữ liệu xảy ra trong các tổ chức là do nhân viên của họ không được đào tạo bài bản. Việc nhận các nhân viên giữ vị trí công việc phụ trách về ATTT không đủ tiêu chuẩn có thể đặt một tổ chức vào nguy cơ rủi ro lớn.
Trong khi đó, theo các chuyên gia tại hội thảo VNNIC Internet Conference 2023 vừa diễn ra, có nhiều thách thức đặt ra đối với các cơ quan nhà nước (CQNN) ở mảng CNTT. Chính phủ thì đang mong muốn triển khai các kế hoạch CĐS nhanh chóng và mạnh mẽ trong các CQNN, nhưng vị trí công việc làm về về ATTT lại chưa được coi là vị trí công việc quan trọng trong các kết hoạch CĐS. Mức lương của người làm ATTT trong các CQNN cũng thấp hơn nhiều so với các đơn vị ngoài nhà nước, nơi họ có thể nhận được 50 - 100 triệu/tháng, khiến cho những người làm về ATTT trong các CQNN phải cố gắng rất nhiều để vượt qua những khó khăn, những cám dỗ cá nhân rất lớn, chưa kể là việc đầu tư cho ATTT trong các CQNN là chưa đủ.
Các vị trí liên quan đến ATTT trong các CQNN thường phải là những nhân viên có đạo đức, có kinh nghiệm về tội phạm mạng... Nhưng việc trả lương thấp, và thủ tục tuyển dụng phức tạp khiến việc thu hút nhân tài giỏi về ATTT trong các cơ quan trở nên khó khăn.
Tạo văn hóa an ninh mạng
Các khoản đầu tư vào công nghệ an ninh mạng, các chương trình đào tạo và nâng cao nhận thức về ATTT đã tăng nhanh trong thời gian qua. Đào tạo nhân viên về việc phải thận trọng có thể giúp chống lại các cuộc tấn công vào hệ thống tổ chức, đồng thời phải chuẩn bị để nhân viên có xử lý được các vi phạm khi chúng xảy ra.
Đào tạo nhân viên về quản lý mật khẩu và cách tránh email lừa đảo là một phần của giải pháp. Nhưng việc chuẩn bị cho nhân viên trước các mối đe dọa ngày càng tăng của tội phạm mạng liên quan đến việc tích hợp an toàn vào cấu trúc của tổ chức. Điều quan trọng đối với các chính phủ là áp dụng "văn hóa an ninh mạng" ở tất cả các cấp: lãnh đạo, nhóm và cá nhân.
Đưa an ninh mạng trở thành một phần trong quá trình đánh giá nhân viên. Để đảm bảo nhân viên đồng quan điểm, các tổ chức chính phủ có thể thực hiện đánh giá chính thức các hành vi an ninh mạng.
Các tổ chức chính phủ có thể mô phỏng điều gì sẽ xảy ra trong trường hợp có tấn công mạng thực sự, và giúp nhân viên nhận ra mức độ nghiêm trọng của các mối đe dọa đó.
Cần phải có chính sách không khoan nhượng đối với tội phạm mạng. Điều này đòi hỏi các chính sách và thủ tục để bảo vệ các tài sản quan trọng, phát hiện các vi phạm và ứng phó với các sự cố trong trường hợp xảy ra các vụ việc liên quan đến an ninh mạng.
Các cơ quan chính phủ không thể chỉ dựa vào công nghệ bảo mật tốt nhất. Khi các cuộc tấn công trở nên tinh vi hơn, họ cũng phải đưa ra các chính sách mạnh để cho phép nhân viên phát hiện, phản hồi và phục hồi sau các cuộc tấn công đó./.