Để tận dụng tối đa giá trị và sức mạnh của đám mây, một trong những yêu cầu đặt ra là việc phân loại dữ liệu sao cho sử dụng tài nguyên CNTT vừa đảm bảo an toàn, phù hợp với mức độ quan trọng của dữ liệu, vừa tiết kiệm chi phí. Bởi vậy, một số chính phủ trên thế giới đã ban hành các chính sách, chiến lược như chiến lược ưu tiên ĐTĐM, cũng như một số quy định về sử dụng cơ sở hạ tầng trong khu vực công tại luật chính phủ số; trong đó, đặc biệt phải kể đến chính sách phân loại dữ liệu.
ĐTĐM trong quá trình xây dựng chính phủ số
Cách tiếp cận của một số quốc gia trên thế giới về định hướng chiến lược và chính sách cho chính phủ số hiện nay đều nhấn mạnh vai trò của cơ sở hạ tầng dữ liệu của khu vực công trong việc quản trị, khai thác, bảo vệ dữ liệu chính phủ cũng như đảm bảo quyền riêng tư của chủ thể dữ liệu mà khu vực công nắm giữ. 2 trong số 6 cấu phần để xây dựng chính phủ số theo cách tiếp cận của Ngân hàng thế giới (WB) cũng cho rằng dữ liệu chia sẻ trong khu vực công cần được thống nhất, và chính phủ số cần có cơ sở hạ tầng chính phủ chia sẻ.
Trong số các giải pháp công nghệ phục vụ cho việc quản trị và lưu trữ dữ liệu, ĐTĐM trở thành giải pháp được nhiều quốc gia ưu tiên áp dụng. Theo đó, một số quốc gia như Hoa Kỳ, Vương quốc Anh, Úc đã ban hành Chính sách Ưu tiên ĐTĐM yêu cầu các cơ quan, tổ chức đánh giá độ an toàn và hiệu quả và sử dụng dịch vụ công nghệ ĐTĐM khi thực hiện bất kỳ khoản đầu tư mới nào hoặc phải chứng minh giải pháp thay thế tối ưu hơn về chi phí và an ninh.
Bên cạnh đó, các đạo luật chính phủ số hiện nay cũng hướng tới quy định việc sử dụng cơ sở hạ tầng, hệ thống CNTT an toàn trong các cơ quan chính phủ, đảm bảo nền tảng phù hợp để cung cấp các dịch vụ công trực tuyến đến người dân. Bởi vậy, trong quá trình xây dựng luật chính phủ số tại Việt Nam, các cơ quan có liên quan có thể nghiên cứu, tìm hiểu và đưa ra các quy định điều chỉnh phù hợp liên quan đến việc sử dụng cơ sở hạ tầng, đặc biệt là hạ tầng �ĐTĐM.
Lợi ích của ĐTĐM trong khu vực công
Trong những năm gần đây, nhận thấy được vai trò của ĐTĐM trong quá trình hoạt động, tăng cường tính ổn định, thúc đẩy năng lực CNTT, chính phủ các quốc gia đã phân bổ quỹ và nguồn lực để thúc đẩy việc áp dụng đám mây giữa các cơ quan chính phủ. Ví dụ: ở Hoa Kỳ, Quốc hội đã thông qua Đạo luật hiện đại hóa công nghệ của Chính phủ năm 2017, trong đó thành lập Quỹ hiện đại hóa công nghệ trị giá 500 triệu USD để cải thiện CNTT và tăng cường an ninh mạng trong toàn chính phủ liên bang, bao gồm để “... chuyển đổi các hệ thống CNTT kế thừa sang ĐTĐM...”. Tương tự, Liên minh châu Âu đã tạo ra Euro Cloud như một trung tâm đổi mới đám mây toàn châu Âu và Nhật Bản đã xây dựng Đám mây Kasumigaseki để tích hợp tốt hơn các nguồn thông tin giữa các cơ quan chính phủ.[1]
THỊ TRƯỜNG �ĐTĐM:
Nhờ vào việc sử dụng ĐTĐM, Chính phủ các nước trên thế giới đã thu được những lợi ích đáng kể về giá trị kinh tế cũng như nâng cao chất lượng hoạt động cung ứng dịch vụ công, đảm bảo an ninh, an toàn thông tin (ATTT).
Về chi phí, ĐTĐM hoạt động theo mô hình thuê bao, nghĩa là người sử dụng chỉ phải chi trả cho những dịch vụ đang sử dụng; do đó, công nghệ này có thể giúp cắt giảm đáng kể chi phí vận hành, bảo trì cơ sở hạ tầng nội bộ và các chi phí hoạt động khác nhờ vào việc tận dụng được tài nguyên của nhà cung cấp dịch vụ đám mây. Như vậy, thay vì phải sở hữu và bảo trì các trung tâm dữ liệu và máy chủ vật lý, các cơ quan chính phủ có thể tiếp cận các dịch vụ công nghệ như năng lượng điện toán, lưu trữ và cơ sở dữ liệu (CSDL) khi cần thiết. Ví dụ như tại tại Hoa Kỳ, việc sử dụng ĐTĐM đã được đặt ra như một yêu cầu bắt buộc đối với các CQNN ở khu vực công.
Theo đó, Quận King, một quận của tiểu bang Washington, cần một giải pháp hiệu quả và tiết kiệm chi phí hơn để thay thế một hệ thống sao lưu dựa trên băng được sử dụng để lưu trữ thông tin do 17 cơ quan khác nhau của quận tạo ra. Bởi vậy, chính quyền quận này đã sử dụng ĐTĐM của AWS để đáp ứng các tiêu chuẩn bảo mật liên bang các quy định của Dịch vụ Thông tin Tư pháp Hình sự. Từ đó, quận đã tiết kiệm được khoảng 1 triệu USD trong năm đầu tiên do không phải thay thế các máy chủ lỗi thời và dự kiến tiết kiệm được khoảng 200.000 USD hàng năm bằng cách giảm chi phí hoạt động liên quan đến lưu trữ dữ liệu.[3]
Không giống như các mô hình lưu trữ thông thường, ĐTĐM cung cấp cho người dùng sự linh hoạt để tăng hoặc giảm dung lượng lưu trữ dữ liệu tùy thuộc nhu cầu sử dụng. Ngoài ra, cơ quan chính phủ cũng có thể dễ dàng triển khai các ứng dụng, dịch vụ công trên nền tảng CNTT sẵn có, từ đó đáp ứng mục tiêu lấy người dân làm trung tâm.
Ví dụ, tiểu bang California của Hoa Kỳ dự kiến hoàn thiện Hệ thống phúc lợi tự động toàn tiểu bang California (CalSAWS) [4], một hệ thống được xây dựng dựa trên đám mây, để để hỗ trợ một hệ thống tích hợp trên toàn tiểu bang vào năm 2023, tiết kiệm cho tiểu bang tới 30 triệu USD một năm. 58 quận của bang California sẽ dựa vào CalSAWS khi xác định công dân nào đủ điều kiện nhận hỗ trợ dưới hình thức tiền mặt, tem thực phẩm, bảo hiểm y tế và các lợi ích công cộng khác.
Một trong những khó khăn trong quá trình dịch chuyển lên mây là sự lo lắng về tính an toàn, bảo mật; đặc biệt là đối với khu vực công - cơ quan nắm giữ nhiều thông tin cá nhân nhất. Tuy nhiên, ĐTĐM đảm bảo an toàn vì nó có các công cụ bảo mật cụ thể có thể thông báo cho người dùng về những hành vi đáng ngờ. Các nhà cung cấp dịch vụ này có thể sử dụng các cơ chế bảo vệ khác nhau như cầu lửa mạng, mã hóa do khách hàng kiểm soát, v.v.. Đặc biệt, so với giải pháp lưu trữ tại chỗ hiện nay, nếu thiết bị bị lỗi, các cơ sở y tế có thể mất toàn bộ dữ liệu và ứng dụng của mình, trong khi đó, ĐTĐM có thể tự động hóa tạo ra các bản sao lưu và các tùy chọn khôi phục.
Bài toán về việc sử dụng hiệu quả ĐTĐM trong quá trình xây dựng chính phủ số tại Việt Nam
Để tận dụng lợi ích của ĐTĐM cũng như giải quyết vấn đề an toàn thông tin, bên cạnh việc ban hành Chính sách Ưu tiên Đám mây để có phương hướng sử dụng công nghệ này một cách hiệu quả, nhiều quốc gia trên thế giới đã còn ban hành các nguyên tắc phân loại dữ liệu theo mức độ nhạy cảm kết hợp với yêu cầu bảo mật tương ứng nhằm chống lại đe dọa hiện hành và tiềm ẩn đối với an ninh quốc gia nếu dữ liệu đó bị xâm phạm.
Mặc dù Việt Nam đã từng bước thừa nhận vai trò quan trọng của ĐTĐM trong các chiến lược chuyển đổi số (CĐS) quốc gia và đưa việc sử dụng �ĐTĐM trở thành ưu tiên trong khu vực công; tuy nhiên, Việt Nam vẫn chưa có các quy định về tiêu chuẩn, điều kiện để phân loại dữ liệu nhằm nâng cao giá trị sử dụng của khối dữ liệu công, phân quyền tiếp cận dữ liệu và các biện pháp sử dụng tài nguyên CNTT một cách hợp lý.
Phân loại dữ liệu đã được sử dụng trong nhiều thập kỷ để giúp các tổ chức bảo vệ dữ liệu nhạy cảm hoặc quan trọng với mức độ bảo vệ thích hợp. Bất kể dữ liệu được xử lý hoặc lưu trữ trong các hệ thống tại chỗ truyền thống hay đám mây, việc phân loại dữ liệu là điểm khởi đầu để duy trì tính bảo mật (và có khả năng là tính toàn vẹn và tính khả dụng) của dữ liệu dựa trên mức độ ảnh hưởng rủi ro của dữ liệu. Nói cách khác, phân loại dữ liệu có thể coi là vấn đề xuyên suốt và có ảnh hưởng đối các vấn đề khác như bảo vệ dữ liệu cá nhân, dữ liệu mở, và sử dụng cơ sở hạ tầng số, mà điển hình là công nghệ ĐTĐM:
- Đối với vấn đề bảo vệ dữ liệu cá nhân, việc phân loại sẽ giúp chính phủ đưa ra được những biện pháp phù hợp nhằm tránh gây “tắc nghẽn” dòng chảy dữ liệu xuyên biên giới.
- Đối với dữ liệu mở, việc phân loại dữ liệu mở theo tính chất nhạy cảm của dữ liệu là cở sở để chính phủ có thể mở dữ liệu ở các cấp độ khác nhau.
- Đối với việc sử dụng cơ sở hạ tầng số, việc phân loại dữ liệu sẽ giúp chính phủ đưa ra được quyết định sử dụng công nghệ phù hợp cho việc lưu trữ dữ liệu, giữa các lựa chọn như lưu trữ dữ liệu tại chỗ hoặc sử dụng ĐTĐM công cộng hay đám mây riêng tư.
Mỗi cấp độ phân loại dữ liệu phải được liên kết với một tập hợp các biện pháp kiểm soát bảo mật cơ bản để cung cấp sự bảo vệ thích hợp chống lại các lỗ hổng, các mối đe dọa và rủi ro tương ứng với cấp độ bảo vệ được chỉ định. Theo nghiên cứu của Hiệp hội ĐTĐM châu Á (ACCA), các quốc gia thường phân loại mức độ nhạy cảm của dữ liệu theo 03 hoặc 04 mức độ. Ở cấp độ thấp nhất là những dữ liệu ít nhạy cảm; tuy nhiên, những dữ liệu này có dung lượng lớn nhất khi chiếm từ 80 - 85% lượng thông tin, dữ liệu chính phủ. Các cấp độ tăng dần tương ứng với tính nhạy cảm của dữ liệu càng cao nhưng dung lượng sẽ thấp dần. Dựa trên cách phân loại này, chính phủ và các cơ quan khu vực công có thể đưa ra những đáng giá và lựa chọn được những mô hình đám mây phù hợp.
Phân loại mức độ nhạy cảm và dung lượng của dữ liệu - Nguồn: ACCA
Việc phân loại dữ liệu ở cấp độ chính xác là rất quan trọng đối với an ninh quốc gia, tiết kiệm chi phí và hoạt động hiệu quả của các cơ quan chính phủ. Ngược lại, việc phân loại dữ liệu ở mức độ không phù hợp với mục đích "chỉ để an toàn" không hợp lý có thể dẫn đến những tác động nghiêm trọng, làm tăng độ phức tạp của việc lưu trữ, xử lý và truyền dữ liệu và có thể dẫn đến sự suy yếu tổng thể về bảo mật bằng cách dàn trải hệ thống phòng thủ của tổ chức trên một nhóm hệ thống và dữ liệu rộng hơn nhiều so với mức cần thiết. Việc phân loại quá mức cũng có thể gia tăng thêm chi phí khi thực hiện các biện pháp kiểm soát, duy trì cơ sở hạ tầng, hạn chế tính sẵn có và quyền tiếp cận dữ liệu của các chủ thể, cơ quan chính quyền.
Trên thế giới, một số quốc gia đã ban hành các chính sách để phân loại dữ liệu theo mức độ nhạy cảm kết hợp với yêu cầu bảo mật tương ứng, ví dụ như Úc, Vương quốc Anh, Philippines. Đây đều là những ví dụ mà Việt Nam có thể tham khảo và học hỏi để xây dựng được khung chính sách về phân loại dữ liệu phù hợp.
Kinh nghiệm phân loại dữ liệu của Úc
Từ năm 2018, Úc đã ban hành chính sách phân loại thông tin theo mức độ nhạy cảm với mục tiêu là đưa ra các cơ sở đánh giá chính xác mức độ nhạy cảm hoặc phân loại bảo mật của thông tin và áp dụng các quy tắc đánh dấu, xử lý, lưu trữ và hủy bỏ thông tin nhằm chống lại sự xâm phạm bất hợp pháp. Theo đó, thông tin do chính phủ nắm giữ được phân theo các cấp độ sau [5]:
(1) Thông tin không chính thức (Unofficial): là thông tin không có ảnh hưởng kinh doanh và không gây ra thiệt hại nếu bị xâm phạm.
(2) Thông tin chính thức (Official): có mức độ ảnh hưởng kinh doanh thấp, không hoặc gây thiệt hại không đáng kể nếu bị xâm phạm.
(3) Thông tin chính thức nhạy cảm (Official Sensitive): có mức độ ảnh hưởng kinh doanh thấp tới trung bình, gây thiệt hại nhất định đến lợi ích quốc gia, tổ chức và cá nhân.
(4) Thông tin cần bảo vệ (Protected): có mức độ ảnh hưởng kinh doanh cao, gây thiệt hại đến lợi ích quốc gia, tổ chức và cá nhân.
(5) Thông tin bí mật (Secret): có mức độ ảnh hưởng kinh doanh rất cao, gây thiệt hại nghiêm trọng đến lợi ích quốc gia, tổ chức và cá nhân.
(6) Thông tin tuyệt mật (Top Secret): có mức độ ảnh hưởng kinh doanh rất nghiêm trọng, gây thiệt hại đặc biệt nghiêm trọng đến lợi ích quốc gia, tổ chức và cá nhân.
Kinh nghiệm phân loại dữ liệu của Philippines
Năm 2020, theo tuyên bố của Bộ CNTT và Truyền thông (DICT), Chính phủ Philippines đã nhận thấy tầm quan trọng của CNTT trong trạng thái “bình thường mới” giữa đại dịch COVID-19, họ đã sửa đổi Chính sách Ưu tiên Đám mây năm 20176 để cung cấp hướng dẫn rõ ràng hơn về phạm vi chính sách, phân loại dữ liệu và bảo mật dữ liệu đảm bảo các cơ quan của Chính phủ có thể triển khai các dịch vụ trên ĐTĐM với tiêu chuẩn toàn cầu từ đó nâng cao năng lực cạnh tranh của Chính phủ.
Về phân loại dữ liệu, bản sửa đổi quy định 04 cấp độ nhạy cảm của dữ liệu và yêu cầu cơ quan thuộc Chính phủ phải lựa chọn mô hình dịch vụ đám mây phù hợp như đám mây riêng, đám mây công cộng, đám mây lai mà được lưu ở trong nước hay ngoài nước dựa trên sự phân loại dữ liệu cùng với việc xem xét nhu cầu cụ thể của tổ chức, chi phí sử dụng và các đặc tính như khả năng cho phép kiểm soát, bảo mật, khả năng mở rộng của đám mây. 4 cấp độ nhạy cảm của dữ liệu bao gồm:
(1) Dữ liệu Chính phủ nhạy cảm cao (Highly Sensitive Government Data): chỉ được lưu và xử lý trên đám mây khi cần thiết trong trường hợp cơ quan sử dụng đám mây riêng được lưu “tại chỗ” và đi liền với yêu cầu mã hóa theo tiêu chuẩn bảo vệ cao hơn dữ liệu nhạy cảm và tương đối nhạy cảm.
(2) Dữ liệu Chính phủ tương đối nhạy cảm (Above Sensitive Government Data): được lưu và xử lý trên đám mây công cộng của nhà cung cấp dịch vụ uy tín và được lưu “tại chỗ” hoặc dùng Philippines GovCloud. Theo đó, Philippines GovCloud là đám mây riêng của Chính phủ Philippines do Bộ CNTT và Truyền thông xây dựng và vận hành.
(3) Dữ liệu Chính phủ nhạy cảm (Sensitive Government Data): được lưu trên đám mây công cộng “tại chỗ” hoặc ở nước ngoài hoặc được lưu trên Philippines GovCloud.
(4) Dữ liệu Chính phủ không nhạy cảm (Non-Sensitive Government Data): bao gồm dữ liệu mở, dữ liệu có thể truy cập công khai, dữ liệu chưa phân loại hoặc dữ liệu tương tự được lưu và xử lý trên đám mây do nhà cung cấp dịch vụ đám mây uy tín ở trong nước hoặc nước ngoài hoặc sử dụng Philippines GovCloud.
Như vậy, học hỏi từ kinh nghiệm của các quốc gia trên thế giới như Úc hay Philippines, dữ liệu của Chính phủ nên được phân chia theo mức độ nhạy cảm hoặc quan trọng từ thấp, trung bình đến cao (như mô hình kim tự tháp), tránh phân chia nhỏ, vụn dữ liệu dẫn đến khó quản trị. Trong đó, dữ liệu có mức độ nhạy cảm thấp và thuộc loại cho phép chia sẻ công khai để thực hiện chính sách dữ liệu mở nên được lưu trữ trên đám mây công cộng, dữ liệu có mức độ nhạy cảm trung bình và cao cần được cân nhắc để lưu trên đám mây riêng.
Đề xuất, khuyến nghị tiếp cận và chính sách cho Luật Chính phủ số của Việt Nam
Trên cơ sở đánh giá kinh nghiệm thế giới cũng như thực tiễn CĐS khu vực công ở Việt Nam, về mặt định hướng, Luật Chính phủ số cần có chế định riêng cho phần dữ liệu của khu vực công, cũng như định hướng lựa chọn công nghệ cho hạ tầng số.
Thứ nhất, về mặt tiếp cận công nghệ, cần dứt khoát xác định, điện toán đám mây là hạ tầng ưu tiên cao nhất cho các vấn đề liên quan đến dữ liệu. Điều đó đồng nghĩa, các CSDL quốc gia, CSDL ngành, CSDL của địa phương cần được định hướng xây dựng, vận hành trên nền tảng đám mây. Nguyên tắc này, khi được xác định trong luật, sẽ giúp định hướng về đầu tư hạ tầng hạ tầng CNTT về dữ liệu, theo đó, chấm dứt các yêu cầu mua sắm, thuê các trung tâm dữ liệu vật lý để "chuyển dịch" (migrate) lên đám mây.
Thứ hai, về mặt thực thi, để tiết kiệm chi phí, cần có hướng dẫn cụ thể về phân loại dữ liệu làm nền tảng cho việc “dịch chuyển” dữ liệu và tác vụ lên hệ thống đám mây. Như kinh nghiệm từ các quốc gia khác, phân loại dữ liệu là đặc biệt quan trọng, làm cơ sở cho việc bảo vệ tốt dữ liệu; đồng thời làm căn cứ cho lựa chọn "hạ tầng" phù hợp. Không nhất thiết mọi dữ liệu và tác vụ đều nên triển khai trên đám mây riêng của Chính phủ, điều đó sẽ gây ra tốn kém chi phí không cần thiết. Chỉ những dữ liệu cần thiết, nhạy cảm nhất mới cần ưu tiên vận hành trên đám mây riêng.
Phân loại dữ liệu, vì vậy cũng cần thiết được đưa vào luật, dưới hình thức các nguyên tắc định hướng, đi kèm với phân cấp dữ liệu theo các mức độ quan trọng và nhạy cảm. Trên cơ sở của điều khoản này trong Luật, Chính phủ có thể ban hành hướng dẫn chi tiết riêng về nghiệp vụ phân loại dữ liệu.
Thứ ba, cần bổ sung thiết chế “cán bộ dữ liệu” (data chief officer) chuyên trách tại các cơ quan đầu mối quản lý CĐS quan trọng. Trên cơ sở này sẽ tạo ra vị trí công việc mới - “Cán bộ dữ liệu”- đóng vai trò “kiến trúc sư trưởng” cho việc hoạch định, điều phối các chính sách và kế hoạch cụ thể tại các bộ, ngành và địa phương trong tiến trình “chuyển dịch” lên “đám mây” nói riêng và toàn bộ tác nghiệp liên quan đến quản lý, khai thác, bảo vệ, lưu trữ dữ liệu số của khu vực nhà nước nói chung.
Tài liệu tham khảo
[1] Todd Bernhard, How the Public Sector Benefits from the Cloud, CloudCheckr, https:// cloudcheckr.com/cloud-security/public-sector-benefits/
[2] Todd Bernhard, How the Public Sector Benefits from the Cloud, CloudCheckr, https:// cloudcheckr.com/cloud-security/public-sector-benefits/
[3] https://aws.amazon.com/vi/solutions/case-studies/king-county/
[4]. Accenture, CalSAWS takes first step in cloud journey, https://www.accenture.com/us-en/ case-studies/public-service/calsaws-cloud-journey?src=SOMS
[5] Attorney-General’s Department (2018 - 2019), PSPF policy 8: Sensitive and classified information.
[6] Philippines, DICT Department Circular No. 010, s. 2020: Amendments to Department Circular No.2017-002.
(Bài viết đăng ấn phẩm in Tạp chí TT&TT số 2 tháng 2/2022)
.jpeg "Phó Giám đốc NEAC Phạm Quốc Hoàn biệt phái làm Giám đốc Sở TT&TT Khánh Hòa")
.jpg "Cuốn sách về lịch sử loài người bán chạy nhất thế giới ra mắt ấn bản bỏ túi")
