Nhận diện các vấn đề ATTT mạng trong tiến trình chuyển đổi số quốc gia và giải pháp

Ông Nguyễn Thành Phúc, Cục trưởng Cục An toàn thông tin (ATTT) - Bộ TT&TT đã nhận định các vấn đề ATTT trong tiến trình chuyển đổi số (CĐS) theo 3 trụ cột chính là chính quyền số, kinh tế số và xã hội số, những nguyên nhân và giải pháp để đảm bảo ATTT.

Hoàng Linh
18:07 PM 25/11/2021
In bài viết này
Nhận diện các vấn đề ATTT mạng trong tiến trình chuyển đổi số quốc gia và giải pháp
Cục trưởng Cục ATTT Nguyễn Thành Phúc: Cục đã phát triển ứng dụng Visafe đa nền tảng, dễ sử dụng để bảo vệ người dân khỏi những cuộc tấn công mạng cơ bản.

Chia sẻ bài viết này

4 vấn đề lớn của bảo đảm ATTT cho chính phủ số

Chia sẻ tại Hội thảo ngày ATTT Việt Nam 2021 với chủ đề "ATTT trong chuyển đổi số (CĐS) - thách thức và giải pháp", từ góc độ cơ quan quản lý nhà nước về ATTT, ông Nguyễn Thành Phúc cho biết Cục ATTT nhận thấy đang gặp phải 4 vấn đề lớn là: ATTT trong quá trình phát triển phần mềm; các Bộ ngành, địa phương đã triển khai rất nhiều các hệ thống thử nghiệm trên dữ liệu thật, đặc biệt dữ liệu của người dân nhưng không tuân thủ các quy định của ATTT; diễn tập ATTT được tổ chức theo kịch bản nhưng diễn nhiều hơn tập, hiệu quả không cao và mỗi khi nhận được cảnh báo về lỗ hổng bảo mật thì chỉ tập trung vào việc vá bản vá thôi mà không phát hiện được lỗ hổng bảo mật đã bị khai thác trên hệ thống thông tin của cơ quan hay chưa. "Đây là những vấn đề rất nghiêm trọng".

Cụ thể về vấn đề phát triển phần mềm, ông Phúc cho biết ở Việt Nam, ước tính có khoảng 90% các phần mềm chưa áp dụng quy trình phát triển phần mềm an toàn. Nhiều lỗi sơ đẳng có thể ảnh hưởng nghiêm trọng đến ATTT mạng. Nguyên nhân là các DN CNTT chưa dành nguồn lực thích đáng cho ATTT.

"Chúng ta chưa có những chuyên viên ATTT trong quy trình phát triển phần mềm, vì vậy, dẫn đến những yếu tố làm mất ATTT trong phát triển phần mềm. Nhân lực phát triển phần mềm đang thiếu kỹ năng ATTT. Các chủ đầu tư hệ thống CNTT chưa đưa ra yêu cầu về ATTT nghiêm ngặt cho việc nghiệm thu phần mềm được phát triển".

Theo đó, ông Phúc nêu 3 giải pháp chính để giải quyết vấn đề này. Đầu tiên là chủ đầu tư hệ thống CNTT phải đưa ra các yêu cầu bắt buộc về quy trình phát triển phần mềm an toàn trong bài toán đặt hàng cho các doanh nghiệp (DN) phát triển phần mềm cho mình.

Giải pháp tiếp theo là các DN CNTT phải trang bị các công cụ rà quét các lỗ hổng phần mềm. "Nhân sự phát triển phần mềm phải có kỹ năng về ATTT và là yêu cầu rất lớn".

Bên cạnh đó, hiện nay các bộ ngành, địa phương đã triển khai rất nhiều các hệ thống thử nghiệm trên dữ liệu thật, đặc biệt dữ liệu của người dân. Tuy nhiên, các hệ thống không tuân thủ về các quy định về ATTT. 100% các hệ thống thử nghiệm có dữ liệu thật nhưng mà không đảm bảo ATTT theo cấp độ. Theo đó, khi có sự cố ATTT xảy ra, đặc biệt là lộ lọt dữ liệu thì không quy được trách nhiệm cho cơ quan chủ quản là bộ hay UBND tỉnh, hay DN CNTT tham gia vào phát triển hệ thống. Đây là điều rất nguy hiểm.

Nguyên nhân được ông Phúc chỉ ra là gần như 100% cơ quan nhà nước (CQNN) khi triển khai hệ thống thử nghiệm có dữ liệu thật nhưng không nhận thức đúng những rủi ro, mất mát ATTT có thể ảnh hưởng nghiêm trọng đến việc phát triển của câu chuyện CĐS của cơ quan mình. Đặc biệt, DN CNTT khi triển khai thử nghiệm thì không tư vấn đủ cho chủ quản hệ thống CNTT về bảo đảm ATTT theo cấp độ do tiết kiệm chi phí, chủ quan nên không đưa giải pháp ATTT.

Để giải quyết vấn đề này, ông Phúc nhấn mạnh là 100% hệ thống CNTT khi triển khai thử nghiệm phải đảm bảo ATTT theo đúng quy định của Nghị định 85/2016/NĐ-CP về đảm bảo ATTT theo cấp độ ngay từ khâu thử nghiệm đến làm báo cáo khả thi, thiết kế chi tiết và triển khai thực tế sau này. Các hệ thống thông tin thử nghiệm đã phải làm rõ trách nhiệm của cơ quan chủ quản là Bộ hoặc UBND tỉnh với trách nhiệm của DN CNTT triển khai hệ thống theo Nghị định 85.

Về vấn đề diễn tập ATTT, ông Phúc cho biết 100% CQNN tổ chức diễn tập ATTT theo kịch bản. Các kịch bản diễn tập ATTT có sẵn và thực hiện trên mô phỏng giả lập. Vì vậy, các đội ứng cứu sự cố ATTT không có điều kiện cọ sát thực tế, không đủ năng lực xử lý sự cố xảy ra trong thực tế và diễn tập theo kịch bản thì không làm lộ ra các điểm yếu ATTT cả về công nghệ và quy trình, cả về con người trong công tác bảo đảm ATTT.

Ông Phúc cho biết Bộ TT&TT đã ban hành Chỉ thị số 60/CT-BTTTT ngày 16/9/2021 yêu cầu 100% các bộ, ngành, địa phương hàng năm tổ chức tối thiểu 1 diễn tập thực chiến. Diễn tập thực chiến trên các nền tảng phục vụ chính phủ số, thành phố thông minh và đặc biệt là các hệ thống hiện diện trên Internet.

"Chuẩn bị diễn tập thực chiến phải bài bản sẵn sàng các phương án đảm bảo ATTT để không gây hậu quả nghiêm trọng và đặc biệt đề nghị phối hợp với Cục ATTT trong quá trình diễn tập thực chiến để đánh giá hiệu quả của diễn tập và có thể được hỗ trợ ứng cứu sự cố kịp thời khi có sự cố xảy ra", ông Phúc nhấn mạnh.

Cuối cùng, về việc cảnh báo lỗ hổng, theo ông Phúc, các CQNN khi được cảnh báo lỗ hổng thì chỉ tập trung cập nhật bản vá nhưng thực ra các lỗ hổng xảy ra trước đó, chúng ta không biết được là đã bị tấn công chưa và có gây hậu quả không.

Nguyên nhân, theo ông Phúc nhận định là do chúng ta chưa có công cụ rà soát, truy tìm dấu hiệu tấn công mạng, đặc biệt đã thực hiện dựa trên những lỗ hổng được cảnh báo. Để khắc phục vấn đề này, Cục đã đưa ra giải pháp xây dựng hệ thống tái hiện tấn công mạng và thu thập thông tin số tại Cục ATTT.

Với hệ thống này, ông Phúc cho biết Cục sẽ thử nghiệm cách thức tấn công mạng của hacker đối với các lỗ hổng ảnh hưởng rộng và nghiêm trọng. Sau khi biết được cách thức tấn công, Cục sẽ phát triển các công cụ rà soát, phát hiện dấu hiệu của tấn công mạng, công bố và chia sẻ cho cộng đồng lỗ hổng để rà soát, truy tìm các dấu hiệu tấn công mạng.

3 vấn đề lớn của bảo đảm ATTT cho kinh tế số

Về ATTT cho kinh tế số, ông Phúc cho biết hiện có 3 vấn đề lớn là: lộ lọt dữ liệu cá nhân, lừa đảo trực tuyến và ATTT đối với các nền tảng số.

Theo nhận định của Cục trưởng Cục ATTT lộ lọt dữ liệu cá nhân sẽ làm mất lòng tin và gây nguy hại tới Chương trình CĐS như trường hợp của vụ lộ lọt hồ sơ dữ liệu của tổ chức Y tế Singapore (SingHealth) năm 2017. Singapore đã phải dừng lại các dự án CNTT có dữ liệu cá nhân và rà soát rồi mới triển khai tiếp. Việt Nam cũng có thể có nguy cơ. Nguyên nhân là do chủ thể CNTT bất cẩn, dễ dãi trong việc cung cấp dữ liệu cá nhân. Quy định về bảo vệ dữ liệu cá nhân đã có nhưng chưa đủ.

Giải pháp cho vấn đề này, được ông Phúc cho biết là Bộ TT&TT sẽ trình Chính phủ ban hành Nghị định bảo vệ dữ liệu cá nhân ngay trong năm 2021. Bảo vệ dữ liệu cá nhân là quyền và trách nhiệm của các tổ chức, cá nhân tham gia vào quá trình xử lý dữ liệu cá nhân. Bộ TT&TT đã phát động chương trình tìm lỗ hổng Bug Bounty trên các nền tảng CĐS quốc gia để hỗ trợ cho các nền tảng CĐS quốc gia có thể nhanh chóng phát hiện ra những lỗ hổng nghiêm trọng ảnh hưởng đến lộ lọt dữ liệu cá nhân trên nền tảng của mình. Các DN CNTT phải thực hiện quy trình phát triển phần mềm an toàn để đảm bảo không lộ lọt dữ liệu cá nhân.

Vấn đề ATTT tiếp theo ảnh hưởng đến phát triển kinh tế số là lừa đảo trực tuyến. Trong tháng 10/2021 qua theo dõi của Cục ATTT có hơn 1 triệu người Việt Nam, khoảng 16% người dùng Internet Việt Nam truy cập đến các trang web lừa đảo, độc hại. Trong năm 2021, Việt Nam đã có 816 website lừa đảo, giả mạo ngân hàng.

Các hình thức lừa đảo ngày càng tinh vi và người dân dễ bị mắc bẫy. Giải pháp cho vấn đề này là hàng tuần đưa ra danh sách các cảnh báo các website lừa đảo. Cục ATTT đã ngăn chặn các website lừa đảo ngân hàng tới 816 website và phát triển các ứng dụng bảo vệ thiết bị đầu cuối như Vsafe để giúp cho người dùng cá nhân có thể yên tâm giao dịch trên Internet, đặc biệt cũng đề nghị Bộ công an xử lý các đối tượng lừa đảo được phát hiện.

Về vấn đề ATTT cho các nền tảng số đặc biệt là việc lộ lọt dữ liệu cá nhân trên nền tảng số, ông Phúc cho biết các nền tảng số là nơi phát tán các thông tin vi phạm pháp luật ảnh hưởng nghiêm trọng đến phát triển kinh tế - xã hội. Nguyên nhân là do chúng ta chưa có quy định cụ thể về trách nhiệm của các DN số, DN viễn thông bảo vệ thông tin cho người dùng trên nền tảng. Chúng ta chưa phân công rõ ràng thẩm quyền trách nhiệm của các CQNN có thẩm quyền trong việc đảm bảo ATTT cho các nền tảng số.

Giải pháp là Bộ TT&TT đã ban hành Chỉ thị số 49/CT-BTTTT ngày 18/8/2021 thúc đẩy và sử dụng các nền tảng số an toàn, trong đó quy định rõ trách nhiệm của DN nền tảng số là phải bảo đảm ATTT về tài khoản, mật khẩu, lịch sử giao dịch của người dùng trên nền tảng. Các DN cũng phải công khai các biện pháp bảo vệ thông tin cá nhân và đặc biệt là phải tuân thủ các quy định pháp luật về bảo đảm ATTT.

3 vấn đề lớn về bảo đảm ATTT cho xã hội

Về ATTT cho xã hội số, ông Phúc cũng nhận định có 3 vấn đề lớn: bảo vệ người dùng trên Internet an toàn, bảo vệ thiết bị đầu cuối và bảo vệ ATTT cho các camera giám sát.

Việt Nam hiện có 68 triệu người dùng Internet, trung bình người dùng Internet Việt Nam trực tuyến 6 giờ 47 phút/ngày tương đương 28% thời gian/ngày. Tuy nhiên, ông Phúc cho rằng hầu hết là người dùng Internet Việt Nam chưa được trang bị tốt về công nghệ, kỹ năng bảo đảm ATTT và nhận thức.

Giải pháp cho vấn đề này là Cục ATTT gắn nhãn tín nhiệm mạng. Hiện đã có 2.335 website của các CQNN, các báo điện tử, các DN đáp ứng ATTT ở mức cơ bản. Trong năm 2022 và các năm tiếp theo, Cục sẽ gắn nhãn tín nhiệm mạng về ATTT cho hầu hết website của Việt Nam.

Bộ TT&TT đã ban hành Chỉ thị của Bộ trưởng về phát triển sử dụng nền tảng số an toàn, lành mạnh. Cục cũng đã phát triển nền tảng hỗ trợ bảo vệ trẻ em trên không gian mạng và phát triển ứng dụng Internet an toàn Vsafe, phát triển cổng không gian mạng quốc gia (khonggianmang.vn) của Cục ATTT là điểm đến về ATTT, kỹ năng ATTT, cung cấp miễn phí công cụ ATTT cho cộng đồng, và thường xuyên tổ chức giám sát, ngăn chặn thông tin giả mạo trên môi trường mạng.

Việt Nam hiện có 99 triệu smartphone, hàng chục triệu PC, máy tính bảng, laptop đang có nguy cơ mất ATTT. Nguyên nhân là do chúng ta chưa có một giải pháp Make in Viet Nam có tính phổ cập, miễn phí hoặc rẻ để bảo vệ tận gốc cho cả smartphone, PC, máy tính bảng.

Giải pháp được ông Phúc chia sẻ là Cục đã phát triển ứng dụng Visafe đa nền tảng, dễ sử dụng để bảo vệ người dân khỏi những cuộc tấn công mạng cơ bản, cảnh báo phát hiện sớm các nguy cơ, nguy hại chưa biết, đặc biệt là người dân sẽ được đảm bảo yên tâm về quyền riêng tư.

Để giải quyết vấn đề ATTT cho các camera giám sát, ông Phúc cho biết Bộ TT&TT đã ban hành tiêu chí an toàn cho camera và trên cơ sở đó, Cục sẽ tổ chức kiểm tra đánh giá an toàn cho các thiết bị camera sử dụng./.