Bảo đảm ATTT song hành với quá trình CĐS
Chia sẻ tại sự kiện webinar tháng 10 với chủ đề "Đảm bảo ATTT trong CĐS quốc gia" do Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (Trung tâm VNCERT/CC), Cục ATTT, Bộ TT&TT tổ chức mới đây, ông Nguyễn Hữu Nguyên, Phó Giám đốc Trung tâm VNCERT/CC cho biết, việc bảo đảm ATTT trong thời gian qua đã tăng hơn một mức so với trước. Đó là việc lãnh đạo các đơn vị quan tâm hơn, đội ngũ chuyên viên kỹ thuật trong nước tiếp cận được nhiều hơn các kênh thông tin và cảnh báo nguy cơ mất ATTT trong nước. Đồng thời, các biện pháp đảm bảo ATTT tại các cơ quan, tổ chức trong nước được tăng cường và chú trọng hơn, ...
Tuy nhiên, ông Nguyên cũng cho biết trong bối cảnh quá trình CĐS còn dài, phức tạp và nhiều nguy cơ gây mất an toàn trên các hệ thống và quy trình tự động được vận hành "thông minh hoá", có thể tự ra quyết định dựa trên dữ liệu lớn và tự động mà hệ thống thu thập được nên việc bảo đảm ATTT phải song hành và trở thành một phần không thể tách rời.
Cũng theo ông Nguyên, về thực trạng ATTT hiện nay trên thế giới, thời gian qua đã liên tục xảy ra các sự cố nghiệm trọng có mức độ lây lan nhanh nhắm vào các chuỗi cung ứng. Việt Nam cũng không đứng ngoài xu hướng đó. Tuy nhiên, vấn đề lớn nghiêm trọng hiện nay là nhiều cuộc tấn công không được phát hiện hoặc không được biết đến.
Chưa kể đến, Việt Nam cũng đang là nạn nhân của nhiều cuộc tấn công có chủ đích APT với nhiều thiệt hại lớn, chỉ được phát hiện khi đã được thực hiện xong như chiến dịch sử dụng mã độc Emotech hay các vụ lấy cắp thông tin để thực hiện lừa đảo.
Dự báo, nhân lực ATTT tăng gấp 2 lần so với năm 2020, nhưng con số này còn khiêm tốn so với nhu cầu thực tế CĐS hiện nay. Đối tượng tấn công sẽ ngày càng nhiều lên và rộng hơn, năm 2025 gấp 2,7 lần năm 2020, năm 2030 gấp 7,5 lần 2020. Nguy cơ của các cuộc tấn công sẽ ngày càng nguy hiểm hơn và được "may đo" dành riêng cho các đối tượng bị tấn công, trong bối cảnh bùng nổ các thiết bị, IoT.. "Do đó, nếu không có sự chuẩn bị tốt ngay từ đầu thì rủi ro sẽ rất lớn", ông Nguyên đánh giá.
Chưa kể đến, theo Khảo sát rủi ro toàn cầu của PwC năm 2022 được công bố 06/10/2022 đã nhấn mạnh "CĐS và quản trị rủi ro phải song hành với nhau". Việc bảo đảm ATTT cũng là cách để giảm thiểu rủi ro tới mức chấp nhận được, kiểm soát được rủi ro.
Cũng theo ông Nguyên, đối với quan điểm về bảo đảm ATTT trong CĐS của cơ quan quản lý, hiện nay đã có Quyết định 749/QĐ-TTg ngày 03/6/2020 Chương trình CĐS quốc gia đến năm 2025, định hướng đến năm 2030, Chỉ thị 02/CT-TTg ngày 26/4/2022 về phát triển chính phủ điện tử hướng tới chính phủ số, thúc đẩy CĐS quốc gia…
Cụ thể, đối với Chỉ thị 02, có 4 nội dung cần lựu ý về ATTT: Hệ thống thông tin (HTTT) cần triển khai đầy đủ phương án bảo đảm ATTT theo cấp độ; Phần mềm nội bộ phải do đơn vị chuyên nghiệp phát triển, tuân thủ Khung phát triển phần mềm an toàn DevSecOps; HTTT được kiểm tra, đánh giá ATTT mạng trước khi đưa vào sử dụng, khi nâng cấp, thay đổi, định kỳ theo quy định; HTTT được quản lý, vận hành theo mô hình 4 lớp (lực lượng tại chỗ, lực lượng chuyên nghiệp, lực lượng đánh giá độc lập và lực lượng quốc gia).
Nâng cao việc bảo đảm ATTT cho các tổ chức, doanh nghiệp (DN)
Phó Giám đốc Trung tâm VNCERT/CC cho rằng, hiện nay cần phải nâng cao năng lực đội ứng cứu sự cố ở các Bộ ngành địa phương. Bởi vì, 100% đội ứng cứu sự cố Bộ, ngành, địa phương hoạt động kiêm nhiệm, năng lực hạn chế, 70% đơn vị chưa tuân thủ nghiêm túc việc khắc phục lỗ hổng sự cố. Vì vậy, Bộ TT&TT đã đề xuất để ban hành Chỉ thị tăng cường năng lực đội ứng cứu sự cố trong đó có nội dung thúc đẩy diễn tập thực chiến: Coi ứng cứu sự cố là chốt chặn cuối cùng của ATTT; Hoạt động ứng cứu sự cố ATTT mạng phải chuyển từ bị động sang chủ động, truy tìm lỗ hồng thường xuyên; Đội Ứng cứu sự cố phải được tổ chức theo hướng chuyên nghiệp, cơ động; Đội Ứng cứu sự cố cấp Bộ, ngành, địa phương có tối thiểu 05 (năm) chuyên gia ATTT mạng; Đội Ứng cứu sự cố được giao đảm trách các nhiệm vụ thường xuyên.
Cũng theo ông Nguyên, để đảm bảo ATTT cho các tổ chức, DN trong CĐS thì các đơn vị nên áp dụng mô hình bảo đảm an toàn thông tin theo cấp độ. Trong đó xác định cấp độ, phê duyệt, duy trì bảo đảm an toàn theo cấp độ gồm bảo vệ, giám sát, đánh giá an toàn theo định kỳ. "Đây là quy định bắt buộc đối với các cơ quan nhà nước, còn với DN, nhất là các công ty, tập đoàn của nhà nước, VNCERT/CC cũng đề nghị áp dụng mô hình này", ông Nguyên nói.
Tiếp theo, đối với các ứng dụng công nghệ thông tin dự kiến sẽ đặt hàng hoặc phát triển mới, cần đưa các tiêu chí an toàn vào thiết kế từ đầu và yêu cầu đơn vị phát triển áp dụng mô hình DevSecOps.
Sau đó, theo đại diện VNCERT/CC, các đơn vị cần: Kiểm tra đánh giá an toàn tất cả các sản phẩm ứng dụng trước khi đưa vào sử dụng và mỗi khi có cập nhật, thay đổi vì tránh những sự cố có thể xảy ra; Có một đầu mối xử lý sự cố mất ATTT tại chỗ và/hoặc chỉ định một đầu mối xử lý sự cố từ các tổ chức có năng lực bên ngoài; Triển khai mô hình diễn tập thực chiến trên các HTTT; Cập nhật các xu hướng, nguy cơ, các kiểu tấn công mới thông qua các hội thảo, sự kiện, từ đó bảo vệ và ứng phó hiệu quả.
Cuối cùng, xây dựng và triển khai chương trình bảo đảm ATTT của các tổ chức, DN: Đáp ứng các yêu cầu luật định; Chiến lược ATTT phù hợp với DN; Ban hành chính sách ATTT, Nguồn nhân lực ATTT, nâng cao nhận thức ATTT cho tất cả nhân viên; Quản lý rủi ro; Quản lý an toàn; Kế hoạch ứng phó, dự phòng; Duy trì an toàn; Cơ chế bảo vệ cụ thể, các sản phẩm, giải pháp bảo mật, bảo đảm an toàn.
"Mục đích của việc này nhằm giảm rủi ro mất ATTT cho hệ thống dựa trên 3 trụ cột chính gồm quy trình, con người và công nghệ" , ông Nguyên khẳng định,
Thanh Hoá chuyển từ các hệ thống rời rạc sang tập trung để bảo đảm ATTT
Đứng dưới góc độ của địa phương, khách hàng của sự kiện, ông Trần Ngọc Hưng, Phó Giám đốc Trung tâm CNTT và Truyền thông - Sở TT&TT Thanh Hóa nhấn mạnh, ATTT là chiếc khiên vững chắc bảo vệ thành quả của chuyển đổi số cũng như giúp quá trình này đi nhanh hơn.
Là đơn vị trực tiếp tham mưu cũng như bảo đảm ATTT, Trung tâm thấy rằng CĐS là cả một quá trình liên tục, không có đích đến nên cần phải xác định việc bảo ATTT như thế nào để phù hợp là quan trọng nhất. Ở Thanh Hoá, trước đây, các đơn vị triển khai các ứng dụng, giải pháp phân tán, đặt hạ tầng trực tiếp bên trong trụ sở hoặc thuê các đơn vị bên ngoài. Việc này gây nhiều khó khăn trong việc bảo đảm ATTT. Do đó, Trung tâm đã phải tham mưu để đưa toàn bộ các hệ thống ứng dụng của cơ quan đơn vị đặt tại hệ thống của tỉnh. "Việc này sẽ giúp chúng tôi sẽ dàng trong việc giám sát cũng như bảo đảm ATTT cho hệ thống", ông Trung cho biết thêm.
Sau đó, tỉnh sẽ tập trung đầu tư về hệ thống, nhân lực ATTT cho các hệ thống dùng chung, nhất là những ứng dụng như Cổng thông tin điện tử, Cổng dịch vụ công trực tuyến, hệ thống xử lý văn bản. Tại Thanh Hoá, việc xử lý văn bản, chữ ký số đều được thực hiện trên môi trường điện tử, thay vì bản giấy như trước. Do đó, cần phải có các biện pháp bảo vệ 24/7, tránh những rủi ro có thể có và đảm bảo hệ thống xuyên suốt.
Bên cạnh đó, đối với hệ thống giám sát, Thanh Hoá đã triển khai hệ thống SOC và mở rộng hệ thống vệ tinh xuống các địa phương trên địa bàn tỉnh. Do Thanh Hoá có nhiều cơ quan đơn vị hành chính với gần 20.000 người dùng nên Trung tâm xác định sẽ phải triển khai từng bước một để đảm bảo hiệu quả.
Ngoài ra, giống như các địa phương khác, Thanh Hoá cũng đang gặp vấn đề về nhân lực đảm bảo ATTT. Trung tâm có khoảng 6 người phụ trách việc đảm bảo ATTT như giám sát cơ bản còn những công việc đòi hỏi kiến thức chuyên sâu hơn thì vẫn phải có sự phối hơn với các chuyên gia đơn vị bên ngoài.
Theo ông Trung, để bảo đảm ATTT, đầu tiên cần xác định cấp độ và mục tiêu bảo vệ, từ đó có phương án, chính sách quản lý, kỹ thuật phù hợp cũng như có biện pháp để giám sát, kiểm tra, đánh giá việc thực thi.
Với giải pháp bảo đảm ATTT cho lớp thiết bị đầu cuối của người dùng, tỉnh Thanh Hoá đã triển khai dự án phòng chống mã độc tập trung với quy mô toàn tỉnh. Qua đó, các cán bộ của trung tâm dữ liệu có thể theo dõi, giám sát, phát hiện thiết bị của các đơn vị, từ đó có quy trình phối hợp xử lý với cán bộ kỹ thuật, khắc phục sự cố cho người dùng./.