Phát triển chuẩn nhân lực ATTT chuyên nghiệp để đảm bảo CĐS thành công

Thông tin trên được ông Nguyễn Thành Phúc, Cục trưởng Cục ATTT chia sẻ tại một sự kiện về ATTT được tổ chức gần đây.

Thành lập từ 2-3 trung tâm R&D để tạo ra các sản phẩm ATTT "Make in Viet Nam"

Cụ thể, tại sự kiện, ông Phúc đã điểm lại những mục tiêu chiến lược, trong đó mục tiêu lớn nhất là đến năm 2030, Việt Nam duy trì thứ hạng 25-30 tại báo cáo xếp hạng an toàn, an ninh mạng toàn cầu (GCI) do Liên minh Viễn thông quốc tế đánh giá.

Thời gian qua, Việt Nam đã liên tục tăng hạng về chỉ số GCI, từ vị trí 100 thế giới vào năm 2017 lên xếp thứ 50 năm 2019 và tiếp tục tăng 25 bậc để vươn lên vị trí thứ 25 thế giới vào năm 2021. "Đây là những tiến bộ vượt bậc, đồng thời là thách thức rất lớn để chúng tôi duy trì vị trí cao của Việt Nam thời gian tới, với thứ hạng từ 25 - 30 thế giới. Nếu duy trì được thứ hạng cao, chúng ta sẽ đảm bảo được niềm tin của các nhà đầu tư với môi trường số của Việt Nam khi mà môi trường mạng được đánh giá an toàn so với các nước", ông Nguyễn Thành Phúc khẳng định.

Mục tiêu chiến lược thứ 2 là mỗi cơ quan, tổ chức, doanh nghiệp (DN) có tối thiểu một đơn vị chuyên nghiệp bảo vệ ATTT. Hiện tại chỉ có các cơ quan nhà nước được các đơn vị bảo vệ ATTT chuyên nghiệp tham gia, còn lại đa phần DN đều chưa có, trừ một số đơn vị thuộc những ngành thực sự cấp thiết như ngân hàng, tài chính.

Ngoài ra, sẽ phải hình thành từ 2-3 trung tâm nghiên cứu và phát triển (R&D) có trình độ cao. Bởi vì, đối với lĩnh vực ATTT, nội lực rất quan trọng và Việt Nam không thể phụ thuộc hoàn toàn vào giải pháp của các DN nước ngoài. "Chúng ta phải có hệ sinh thái các sản phẩm ATTT riêng của Việt Nam, đáp ứng được yêu cầu đặc thù. Do đó, việc hình thành các trung tâm R&D là điều tối cần thiết", ông Phúc bày tỏ.

Bên cạnh đó, 100% các bộ ngành, địa phương phải đảm bảo ATTT theo mô hình 4 lớp và 90% người sử dụng Internet có cơ hội tiếp cận kiến thức, kỹ năng ATTT. Đại diện Cục ATTT khẳng định, năm 2020 được coi là năm khởi đầu về CĐS quốc gia, năm 2021 là năm tổng diễn tập CĐS và năm 2022 được xác định là năm tổng tiến công về CĐS. Tuy nhiên, nếu như người sử dụng Internet không có kiến thức, kỹ năng về ATTT, không tin tưởng vào môi trường mạng thì Việt Nam không thể CĐS thành công.

Lý giải về mục tiêu này, ông Phúc cho biết, Bộ TT&TT đang triển khai chương trình phổ cập giải pháp bảo đảm ATTT cho từng người dân. Trong bối cảnh sắp tới, trên smartphone, iPad, máy tính cá nhân... của mỗi người sẽ được trang bị phần mềm bảo vệ ATTT với chi phí thấp, dự kiến giai đoạn đầu sẽ miễn phí sử dụng các tính năng cơ bản và sẽ trả mức phí rất thấp với những tính năng nâng cao. "Việc này giúp cho người dân yên tâm khi giao dịch trên môi trường số", ông Phúc chia sẻ.

2 nguyên tắc ATTT trong quá trình CĐS

Đối với quan điểm về ATTT trong CĐS, theo ông Phúc, trong Quyết định số 749/QĐ-TTg ngày 03/6/2020 của Thủ tướng Chính phủ phê duyệt "Chương trình CĐS quốc gia đến năm 2025, định hướng đến năm 2030" đã khẳng định rất rõ ràng "Bảo đảm an toàn, an ninh mạng là then chốt để CĐS thành công và bền vững, đồng thời là phần xuyên suốt, không thể tách rời của CĐS. Mọi thiết bị, sản phẩm, phần mềm, hệ thống thông tin, dự án đầu tư về công nghệ thông tin đều có cấu phần bắt buộc về an toàn, an ninh mạng ngay từ khi thiết kế". Đối với quy định đảm bảo ATTT ngay từ khi thiết kế, khi Cục ATTT thẩm định các dự án, rất nhiều dự án đã phải trả về ngay lần đầu tiên, thậm chí phải đến lần thứ 4, thứ 5 mới đạt yêu cầu.

Đối với ATTT trong CĐS, ông Phúc đã đưa ra 2 nguyên tắc, đầu tiên là "Chưa kết luận ATTT thì chưa đưa vào sử dụng". Trong thời gian qua, do CĐS diễn ra rất nhanh cũng như việc thử nghiệm các dịch vụ mới như đô thị thông minh nên các đơn vị chưa thực sự quan tâm đến vấn đề bảo đảm ATTT. Do đó, Cục ATTT đã đưa ra nguyên tắc thứ 2 là "Thử nghiệm nhưng với dữ liệu thật thì phải tuân thủ ATTT như hệ thống chính thức". "Việc triển khai 2 nguyên tắc này trong thực tế cũng gặp rất nhiều khó khăn, thách thức", ông Phúc nói.

Các nhóm ATTT cho CĐS bao gồm 7 giải pháp chính: phát triển phần mềm an toàn DEVSECOPS; bảo đảm ATTT theo cấp độ; giám sát ATTT; bảo đảm ATTT theo mô hình 4 lớp; kiểm tra, đánh giá; bảo vệ thông tin cá nhân; phòng chống mã độc tập trung cá nhân.

Đầu tiên là phát triển phần mềm theo khung an toàn DEVSECOPS. Đây là phương pháp luận hay một chuỗi các quy trình để phát triển phần mềm từ thiết kế, xây dựng và duy trì phần mềm. Việc triển khai này giúp giảm số lượng điểm yếu trong phần mềm đã phát hành; giảm thiểu tác động tiềm ẩn của việc khai thác các điểm yếu chưa được phát hiện hoặc chưa được khắc phục; giải quyết gốc rễ nguyên nhân của các điểm yếu để ngăn chặn sự xuất hiện lặp lại.

Ông Phúc cho rằng, trên thế giới, mặc dù 60% các hệ thống ATTT tuân thủ theo quy trình này, nhưng trong đó, 70% các nhóm phần mềm trên thế giới bỏ qua một số bước. "Ở Việt Nam, 90% các dự án phần mềm không tuân thủ quy trình phát triển an toàn này. Đây là một điều đáng lo ngại. Chúng tôi đang đặt mục tiêu trong năm 2022, 100% các nhóm phát triển dự án phải tuân thủ", đại diện Cục ATTT khẳng định.

Giải pháp thứ 2 là bảo đảm ATTT theo 5 cấp độ, tùy theo tính chất quan trọng của thông tin dữ liệu. Mục tiêu Cục ATTT đặt ra là đến 6/2023 toàn bộ 100% hệ thống ATTT của Việt Nam sẽ phải tuân thủ hoàn toàn các phương án bảo đảm theo cấp độ trong thực tế.

Tiếp theo, việc bảo đảm ATTT theo mô hình 4 lớp, trong đó lớp 1 là lực lượng tại chỗ. Tối thiểu mỗi cơ quan, tổ chức, DN phải có cán bộ chuyên trách về ATTT. Tuy nhiên, khảo sát của Cục ATTT cho thấy, trung bình mỗi bộ/tỉnh ở Việt Nam có 2,8 người chuyên trách, trong đó số lượng chuyên gia hầu như rất ít. "Đây là điều mà Cục ATTT sẽ phải thúc đẩy trong thời gian tới. Bộ TT&TT đã đề xuất cho phép các đơn vị thuê ngoài các chuyên gia ATTT, thì mới có thể làm thay đổi bức tranh ATTT tại Việt Nam", ông Phúc nhấn mạnh.

Lớp 2 là giám sát, bảo vệ chuyên nghiệp. Bởi vì lực lượng tại chỗ trong lớp 1 chỉ xử lý các công việc hàng ngày, còn để đảm bảo ATTT thì phải có lực lượng giám sát, bảo vệ chuyên nghiệp (những chuyên gia hàng đầu Việt Nam) để phát hiện, cảnh báo sớm các nguy cơ.

Lớp 3 là kiểm tra, đánh giá độc lập bởi các công ty có chuyên môn. Khi đó, họ sẽ chỉ ra được những điểm yếu, những lỗ hổng mà các đơn vị cần khắc phục.

Lớp cuối cùng là kết nối, chia sẻ dữ liệu giám sát về Trung tâm giám sát an toàn không gian mạng quốc gia. Các bộ, ngành, địa phương khi xảy ra sự cố thì các lỗ hổng gặp phải sẽ thường giống nhau. Vì vậy, việc kết nối, chia sẻ dữ liệu sẽ giúp khi sự cố xảy ra ở tỉnh này thì ngay lập tức có thể gửi cảnh báo cho toàn bộ các địa phương khác, từ đó khắc phục sớm hơn.

Đối với kiểm tra, đánh giá ATTT, dù là một khâu quan trọng nhưng các hệ thống ATTT 2-3 năm mới được triển khai kiểm tra, đánh giá một lần mà thực hiện cũng chưa thực sự nghiêm túc. Cục ATTT đang yêu cầu các hệ thống ATTT trước khi đi vào sử dụng phải được kiểm tra, đánh giá bởi DN được cấp phép/đơn vị nhà nước có thẩm quyền. Đặc biết mỗi khi nâng cấp, mở rộng hệ thống thì phải được đánh giá lại trước khi tiếp tục được đưa vào sử dụng.

Một điểm quan trọng khác là việc bảo vệ thông tin cá nhân, khi mà trong 2-3 năm vừa qua, các vụ lộ, lọt thông tin, dữ liệu rất nghiêm trọng trên thế giới và Việt Nam. Do đó, các hệ thống sử dụng thông tin cá nhân phải tuân thủ đầy đủ các quy định pháp luật, cân bằng quyền lợi chủ thể dữ liệu với quyền lợi của DN.

Cuối cùng là việc phòng, chống mã độc tập trung khi yêu cầu 100% máy chủ, máy trạm cài đặt giải pháp phần mềm. Hiện tại Việt Nam mới có 39% hệ thống triển khai phòng, chống mã độc tập trung và còn lại sẽ phải hoàn thành trong năm 2022.

Đưa ra 12 nhóm nhân lực chuyên nghiệp về ATTT cho các cơ sở đào tạo

Về vấn đề phát triển nhân lực ATTT cho quá trình CĐS, ông Phúc đã lấy dẫn chứng tiêu chuẩn ATTT theo khung NICE SP800-181 của Mỹ. Cụ thể, tiêu chuẩn này chia vị trí việc làm theo các dạng khác nhau, mỗi vị trí có yêu cầu về tri thức, kiến thức ATTT, kỹ năng ATTT, năng lực ATTT.

Khung NICE tạo ngôn ngữ chung để liên kết giữa các cơ sở đào tạo, người học, tổ chức chứng nhận và người sử dụng nhân lực ATTT. Từ đó, cơ sở đào tạo biết được chuẩn mực về kỹ năng ATTT cần phải đưa ra trong chương trình của mình. Còn người học biết được đang theo chương trình theo chuẩn đã được công bố trước, đã được nghiên cứu một cách khoa học. Những người sử dụng nhân lực ATTT khi nhìn vào nhân sự học theo tiêu chuẩn này thì cũng yên tâm rằng đã được đáp ứng tối thiểu về ATTT.

Trên cơ sở tham khảo Khung chuẩn nhân lực NICE, Cục ATTT đã tham mưu để Bộ TT&TT ban hành Thông tư số 17/2021/TT-BTTTT ngày 30/11/2021 và có hiệu lực từ ngày 01/06/2022 về việc sửa đổi, bổ sung một số điều Thông tư số 11/2015/TT-BTTT ngày 5/5/2015 của Bộ TT&TT quy định chuẩn kỹ năng nhân lực CNTT chuyên nghiệp. Cục ATTT đưa ra chuẩn kỹ năng cho 12 nhóm nhân lực chuyên nghiệp về ATTT gồm: quản lý rủi ro; ứng cứu sự cố; kiểm tra, đánh giá điểm yếu; giám sát ATTT; an toàn hạ tầng thông tin; điều tra số; nghiên cứu phát triển; đánh giá an toàn phần mềm; kiến trúc ATTT; triển khai an toàn hệ thống thông tin; vận hành an toàn hệ thống; phân tích, cảnh báo sớm.

Trên cơ sở đó, ông Phúc đã kiến nghị một số tổ chức, cá nhân, DN… phối hợp với Bộ TT&TT để triển khai chiến lược ATTT giai đoạn 2022-2030 cũng như phổ biến, quán triệt 2 nguyên tắc về ATTT, triển khai đầy đủ 7 giải pháp mà Cục ATTT đã đưa ra.

"Học viện Kỹ thuật mật mã, cùng các cơ sở đào tạo, các cơ quan liên quan phối hợp Cục ATTT để thúc đẩy phát triển chuẩn nhân lực chuyên ATTT chuyên nghiệp, góp phần thực hiện công cuộc CĐS thành công và đảm bảo an toàn thông tin mạng", ông Phúc đề xuất./.