An toàn, an ninh mạng Việt Nam: Kết quả giai đoạn 2016 - 2020 và một số định hướng 2021 - 2025
An toàn thông tin - Ngày đăng : 11:32, 03/05/2021
Tổng quan tình hình an toàn, an ninh mạng
Hiện nay, trên không gian mạng có khoảng 500 cuộc tấn công mạng được ghi nhận trong mỗi giây¹ và hơn 300 mã độc mới được tạo ra trong vòng một phút*. Trung bình các cuộc tấn công mạng gây thiệt hại cho các tổ chức là 3,86 triệu đô la³. Hãng Microsoft cũng cho biết có hơn 8.000 tỷ mối đe dọa an toàn, an ninh hàng ngày từ các bộ sản phẩm, dịch vụ và nguồn chia sẻ dữ liệu đa dạng trên toàn cầu4.
Tội phạm mạng được coi là mối đe dọa lớn nhất đối với mọi tổ chức trên thế giới và là một trong những thách thức lớn nhất với nhân loại trong 2 thập kỷ tới. Các báo cáo dự đoán: trong tương lai tội phạm mạng sẽ khiến thế giới phải tiêu tốn trên 6.000 tỷ đô la vào năm 2021, gấp đôi con số 3.000 tỷ đô la trong năm 20155, tương đương với GDP của Nhật Bản năm 20196. Xu hướng trên thế giới hiện nay cho thấy số lượng các cuộc tấn công và vi phạm dữ liệu từ đầu năm đến nay đã giảm 52% nhưng về số lượng vi phạm, nghiêm trọng thường cao hơn gấp 4 lần các báo cáo trước đó, kéo theo thiệt hại và chi phí xử lý nhiều hơn7.
Trong giai đoạn 2016-2020 tại Việt Nam, cùng với việc đẩy mạnh ứng dụng công nghệ thông tin (CNTT) và triển khai Chính phủ điện tử, các cuộc tấn công, xâm nhập trái phép vào các hệ thống mạng CNTT của các cơ quan nhà nước, các tổ chức và doanh nghiệp để phá hoại, thu thập, lấy cắp thông tin luôn hiện hữu.
Năm 2020, Bộ Thông tin và Truyền thông (TTTT) ghi nhận 5.168 cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam dẫn đến sự cố, giảm 0,15% so với năm 2019. Số lượng IP botnet ghi nhận vào tháng 12/2020 là 1.052.479 – giảm so với đầu năm 2020, nhưng vẫn còn cao8. Lý do là tội phạm mạng vẫn tập trung nhiều vào các cuộc tấn công tinh vi, có chủ đích vào các cơ sở hạ tầng và hệ thống thông tin quan trọng, hệ thống thông tin phục vụ Chính phủ điện tử.
Trong giai đoạn 2016 - 2020, công tác bảo đảm an toàn, an ninh mạng (ATANM) trong nước đã được cơ quan các bộ, ngành, địa phương quan tâm, triển khai quyết liệt và đã đạt được một số kết quả, chuyển biến tích cực. Các hệ thống kỹ thuật quy mô quốc gia đã được triển khai và đưa vào vận hành khai thác phục vụ công tác bảo đảm ATANM trên cả nước. Tình hình phát triển của thị trường sản phẩm, dịch vụ an toàn thông tin đã bước đầu hình thành, bước đầu đóng vai trò chủ đạo tại thị trường sản phẩm, dịch vụ an toàn thông tin trong nước, góp phần chủ động trong công tác đảm bảo an toàn thông tin mạng cho Chính phủ điện tử. Công tác đào tạo, tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin được thực hiện thường xuyên, định kỳ nhằm giảm thiểu tối đa các nguy cơ mất ATANM từ con người.
Năm 2019, Liên minh Viễn thông quốc tế (ITU) đã chính thức ban hành Báo cáo Chỉ số An toàn thông tin (ATTT) toàn cầu (GCI) 2018. Theo đó, Việt Nam xếp hạng thứ 50 trên 175 hạng của 194 quốc gia và vùng lãnh thổ được khảo sát đánh giá. Kết quả này tăng 50 bậc so với đánh giá năm 2017 (hạng 100), vượt 20 bậc so với dự kiến. Như vậy, lần đầu tiên Việt Nam lọt vào top các nước có mức độ cam kết cao về ATANM.
Tuynhiênvềtổngthể,côngtácbảođảmATANMcủa ViệtNamvẫncònđangởtìnhthếbịđộng,hệthốngtiêu chuẩn,quychuẩnkỹthuậtcònthiếu,nhậnthứccủaphần đôngngườidùngcònhạnchế.VấnđềATANMcũngtiềm ẩnnhiềuyếutốphứctạp,khólườngkhôngchỉđốivớisự pháttriểnkinhtế-xãhộimàcònđốivớichủquyền,an ninhquốcgia,trậttự-antoànxãhội.Dođó,côngtácbảo đảmATANMcầnphảiđượctiếptụcđẩymạnh,songhành vớicôngtácứngdụngCNTT.Hiệnnay,ViệtNamđang bướcvàotiếntrìnhchuyểnđổisố,pháttriểnchínhphủsố, kinhtếsố,xãhộisố.Vìvậy,ATANMlàđiềukiệncơbản, làyếutốsốngcòn,khôngthểtáchrời.Trongnhiềutình huống,ATANMcầnphảiđitrướcmộtbước.
Mộtsốkếtquảtriểnkhaicôngtácbảođảman toàn,anninhmạnggiaiđoạn2016-2020
- Mộtsốkếtquảchínhđạtđược
i- Nhiệm vụ bảo đảm ATTT mạng quy mô quốc gia
BộTTTTđãxâydựng vàtrìnhThủtướngChínhphủbanhành"Danhmụccáchệthốngthôngtinquantrọngquốc gia" tại Quyết định số 632/QĐ-TTg ngày 10/5/2017 ban hànhdanhmụclĩnhvựcquantrọngcầnưutiênbảođảm antoànthôngtinmạngvàhệthốngthôngtinquantrọng quốcgiavàhướngdẫnchitiết"Yêucầucơbảnbảođảm ATTTmạngđốivớicáchệthốngthôngtinquantrọngcủa quốcgia(hệthốngthôngtincấpđộ5)"tạiThôngtưsố 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ trưởng Bộ TTTT quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.
Mạng nội bộ và thiết bị đầu cuối trong cơ quan nhà nước đã từng bước được trang bị các thiết bị, phần mềm về ATTT như: phần mềm diệt vi-rút cho máy tính, các thiết bị tường lửa, thiết bị lưu trữ dữ liệu, thiết bị bảo mật và chặn lọc thư rác chuyên dụng. Các cơ sở dữ liệu quốc gia khi đưa vào khai thác, vận hành đã bước đầu được trang bị một số giải pháp kỹ thuật bảo đảm ATTT tối thiểu và có các quy chế, quy trình đảm bảo ATTT.
Các hạ tầng quan trọng của mạng Internet Việt Nam là hệ thống máy chủ tên miền (DNS) quốc gia ".vn", hệ thống Trạm trung chuyển Internet quốc gia (VNIX) được triển khai áp dụng tiêu chuẩn DNSSEC (theo Đề án số 1524/ QĐ-BTTTT ngày 23/10/2014 của Bộ TTTT) nhằm đảm bảo chính xác, tin cậy trong truy cập, sử dụng các dịch vụ Internet trên nền tảng tên miền và được chứng nhận, áp dụng tiêu chuẩn quốc tế ISO 27001 về quản lý bảo đảm ATTT.
Hệ thống giám sát an toàn mạng quốc gia do Bộ TTTT chủ trì triển khai đã hoàn thành, thiết lập hệ thống cảm biến giám sát ATTT với quy mô bước đầu khoảng 50 điểm trên mạng Internet Việt Nam. Hệ thống Chứng thực chữ ký số quốc gia RootCA MIC 1.2 được hoàn thiện và bàn giao, đưa vào sử dụng từ năm 2017 đảm bảo tính ổn định và việc tuân thủ các yêu cầu, tiêu chuẩn kỹ thuật mới về chữ ký số và xác thực điện tử theo đúng quy định của pháp luật.
ii- Nhiệm vụ bảo đảm AzT mạng trong hoạt động của cơ quan, tổ chức
Tỷ lệ các cơ quan, tổ chức đã ban hành quy chế, chính sách đảm bảo ATTT trong hoạt động của cơ quan, tổ chức tương đối cao, đạt 89,7%, dưới các hình thức bao gồm: Chỉ thị, quy chế, quy trình đảm bảo ATTT mạng. Nhận thức về đảm bảo ATTTT mạng các cấp tăng cao, các cơ quan, tổ chức ngày càng quan tâm, thường xuyên hoặc định kỳ cập nhật quy chế, quy trình để đảm bảo đáp ứng các yêu cầu bảo đảm ATTTT.
Tỷ lệ các cơ quan, tổ chức triển khai áp dụng hệ thống quản lý ATTT mạng theo tiêu chuẩn ISO 2700x, TCVN 11930:2017, quy định/tiêu chuẩn kỹ thuật về ATTT cho các hệ thống thông tin do Bộ TTT ban hành, hướng dẫn áp dụng đạt tới 81%. Ngoài ra, tùy theo yêu cầu đảm bảo ATTT theo ngành, lĩnh vực, các đơn vị có áp dụng các tiêu chuẩn TIA-942, TCVN 9250:2012, v.v.. cho Trung tâm dữ liệu; ISO/IEC 17799:2005, SSL, OWASP, NIST, CIS Benchmark, PCI-DSS, ISO 20022 và nhiều tiêu chuẩn khác. Đặc biệt, căn cứ quy định tại Nghị định số 85/2016/ NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ và Thông tư số 03/2017/TT-BTTT ngày 24/4/2017 của Bộ trưởng Bộ TTTT hướng dẫn Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ, các cơ quan, tổ chức đã và đang hoàn thành phân loại hệ thống thông tin, xây dựng hồ sơ đề xuất cấp độ với phương án đảm bảo an toàn hệ thống thông tin đảm bảo tuân thủ các yêu cầu của Thông tư số 03/2017/TT-BTTTT và tài liệu TCVN 11930:2017 theo đúng quy định.
Tỷ lệ các cơ quan, tổ chức xây dựng và triển khai kế hoạch dự phòng, sao lưu dữ liệu đạt trên 80%; đã thực hiện sao lưu dữ liệu định kỳ theo quy định và có hệ thống dự phòng riêng, tuy nhiên, đa số các địa phương hiện chỉ dự phòng được một số hệ thống thông tin quan trọng, quy mô và mức độ đầu tư còn hạn chế.
Công tác kiện toàn bộ máy, phân công lãnh đạo phụ trách và thành lập hoặc chỉ định bộ phận đầu mối chịu trách nhiệm về ATTT mạng đã bước đầu đạt được kết quả nhất định. Tỷ lệ các cơ quan, tổ chức đã phân công lãnh đạo phụ trách, thành lập/chỉ định bộ phận đầu mối chịu trách nhiệm về ATTT mạng đạt 94,8%. Trên thực tế, đơn vị chịu trách nhiệm về ATTT tại các bộ, ngành hiện đang được giao cho các đơn vị chuyên trách về công nghệ thông tin thực hiện. Các đơn vị phụ trách thường là đơn vị cấp Cục hoặc Trung tâm, trong đó, một số ít đã thành lập phòng ATTT. Ở địa phương, đầu mối về ATTT thường được giao cho Phòng Công nghệ thông tin hoặc Trung tâm Công nghệ thông tin trực thuộc Sở TTTT. Một số địa phương hiện đã có đầu mối về ATTT ở cấp quận, huyện.
Công tác tuyên truyền ATTT nhìn chung được các bộ, ngành, địa phương thực hiện tốt, kịp thời ứng cứu, xử lý sự cố và chủ động phòng ngừa, ngăn chặn các nguy cơ tấn công mạng.
Các bộ, ngành, địa phương đã thường xuyên thực hiện triển khai các chương trình đào tạo, phổ biến kiến thức nhằm nâng cao nhận thức của các đơn vị, cán bộ công chức viên chức và đạt được những kết quả cụ thể: Tổ chức các lớp cập nhật kiến thức về công nghệ thông tin, ATTT cho các cán bộ mới vào ngành, đào tạo tiền công vụ; Cập nhật kiến thức cơ bản, kiến thức ATTT mạng cho Trưởng các đơn vị trực thuộc; phối hợp với các đơn vị chức năng của Bộ TTT, Bộ Công an, Bộ Quốc phòng tổ chức các buổi nói chuyện về an toàn, an ninh thông tin mạng; cập nhật kiến thức cho các cán bộ trước các sự kiện lớn của đất nước như APEC 2017, Năm Việt Nam làm Chủ tịch ASEAN, v.v..; Cung cấp nguồn tài liệu tham khảo về ATTT mạng cho cán bộ; thường xuyên tổng hợp các văn bản quy phạm pháp luật, các văn bản chỉ đạo điều hành của Chính phủ, bộ, ngành chức năng; sưu tầm, biên tập bài viết liên quan đến ATTT mạng và cập nhật lên chuyên mục về ATTT lưu hành nội bộ, trên trang thông tin điện tử hoặc mở chuyên mục "điểm báo" cập nhật các nội dung được trích xuất từ Báo cáo ATTT tuần của Bộ TTT, từ đó, giúp các đơn vị, cán bộ có nguồn tài liệu tham khảo, tự cập nhật thông tin và kiến thức về ATTT tại Việt Nam và thế giới, thông tin về chính sách mới ban hành, số liệu đánh giá và các thông tin cảnh báo, khuyến cáo người dùng; Công tác đào tạo, tập huấn về kiến thức, kỹ năng ATTT cho cán bộ chuyên trách/bán chuyên trách tại các bộ, ngành, địa phương thống kê được trên 25.000 lượt đào tạo. Tính đến thời điểm hiện tại, lực lượng cán bộ đảm bảo ATTT mạng đã cơ bản hình thành, đáp ứng được yêu cầu công việc mặc dù còn một số hạn chế về số lượng, năng lực chuyên môn, mức lương trong cơ quan nhà nước chưa đáp ứng cuộc sống v.v..
iii- Nhiệm vụ phát triển thị trường sản phẩm và dịch vụ ATTT mạng
Thị trường ATTT mạng đã được định hình và có bước phát triển tích cực trong xu hướng Make in Viet Nam. Đến nay, đã có 87 doanh nghiệp (03 tập đoàn nhà nước, 55 công ty cổ phần và 29 công ty TNHH). Trong đó: 73 doanh nghiệp được cấp phép nhập khẩu sản phẩm ATTT; 13 doanh nghiệp được cấp phép sản xuất sản phẩm ATTT và 57 doanh nghiệp được cấp phép cung cấp dịch vụ ATTT. Bộ TTTT đã thành lập Liên minh Phát triển sản phẩm ATANM Việt Nam với sự tham gia của 21 doanh nghiệp nội địa. Tỷ lệ nhóm chủng loại sản phẩm ATTT mạng do doanh nghiệp nội địa sản xuất so với 22 nhóm chủng loại của hệ sinh thái sản phẩm ATANM đạt 91%.
Doanh thu thị trường ATTT mạng năm 2020 đạt 1.948 tỷ đồng (tăng 31% so với năm 2019), năm 2019 đạt 1.542 tỷ đồng (tăng trưởng 22% so với năm 2018) và năm 2018 là 1.200 tỷ đồng (tăng 47% so vưới năm 2017). Thị phần doanh thu của sản phẩm nội địa hiện nay chiếm khoảng 49,7% tổng doanh thu thị trường, tăng 16,4% so với năm 2019 (33,3%), tăng 38,8% so với năm 2018 (10,9%) và lớn hơn nhiều so với các năm trước đó.
Dịch vụ chứng thực chữ ký số giai đoạn 2016 - 2020 là giai đoạn thị trường dịch vụ có sự phát triển tăng vọt do nhu cầu về xác thực điện tử trong các giao dịch điện tử ngày càng tăng: Đến tháng 5/2020, trên cả nước có 15 nhà cung cấp dịch vụ chứng thực chữ ký số công cộng được cấp phép cung cấp dịch vụ, 5 tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng đăng ký hoạt động với Bộ TTTT. Theo số liệu thống kê của Bộ TTTT đến 31/3/2020, thị trường dịch vụ chứng thực chữ ký số công cộng ghi nhận 3.241.801 chứng thư số công cộng đã được cấp phát, trong đó có 1.425.405 chứng thư số đang hoạt động để thực hiện các dịch vụ giao dịch điện tử (bình quân tăng 23,4% so với cùng kỳ năm trước).
Việc ứng dụng chữ ký số chuyên dùng Chính phủ để đảm bảo xác thực và bảo mật trong việc trao đổi văn bản điện tử trong các cơ quan nhà nước cũng được chú trọng đẩy mạnh trong giai đoạn vừa qua, đặc biệt là việc ứng dụng trong Trục Liên thông văn bản điện tử quốc gia. Tính đến hết năm 2019, Ban Cơ yếu Chính phủ đã cấp phát 213.187 chứng thư số cho các bộ, ngành địa phương, trong đó có 195.194 chứng thư số đang hoạt động, tăng 47,8 % so với cùng kỳ năm 2018.
b) Tồn tại, hạn chế
i- Công tác bảo đảm ATTT vẫn còn bị động
Về tổng thể, công tác bảo đảm ATANM của Việt Nam vẫn còn đang ở tình thế bị động dù các cơ quan, tổ chức đã bắt đầu có quan tâm nhiều hơn. Khảo sát thực tế thời gian vừa qua cho thấy, nhiều cơ quan, tổ chức, doanh nghiệp ở Việt Nam đang buông lỏng, hầu như không áp dụng các biện pháp tối thiểu để bảo đảm ATTT mạng và chưa có quy trình thao tác chuẩn để ứng phó khi sự cố xảy ra. Theo kết quả khảo sát, hơn 60% số cơ quan, tổ chức không hề có khả năng ghi nhận, cảnh báo hành vi dò quét, thử tấn công của kẻ xấu nhằm vào hệ thống thông tin của mình; gần 50% số cơ quan, tổ chức không có quy trình thao tác chuẩn để phản hồi ngay cả khi đã phát hiện ra là mình bị tấn công. Đặc biệt, công tác bảo đảm ATTT cho hệ thống thông tin quan trọng quốc gia còn chưa được đầu tư đúng mức.
ii- Tỷ lệ lây nhiễm phần mềm độc hại vẫn ở mức cao
Theo đánh giá của Bộ TTTT, mặc dù có những chuyển biến tích cực trong giai đoạn vừa qua, nhưng tình hình lây nhiễm mã độc gây mất ATTT vẫn còn ở mức cao do hệ lụy của việc lây nhiễm một thời gian rất dài trước đây. Tỉ lệ lây nhiễm phần mềm độc hại cao đồng nghĩa với nguy cơ bị đánh cắp, lộ lọt thông tin, phá hủy dữ liệu, nguy cơ bị điều khiển để tham gia các mạng máy tính ma thực hiện tấn công từ chối dịch vụ, gửi thư rác cũng cao một cách tương ứng. Vấn đề này đã và đang gây ra những thiệt hại lớn, đồng thời đặt ra nhiều nguy cơ, rủi ro trong tương lai, ảnh hưởng không nhỏ tới hình ảnh và mức độ tin cậy của Việt Nam đối với quốc tế trong lĩnh vực công nghệ thông tin.
iii- Thị trường sản phẩm, dịch vụ ATTT chưa phát triển
Hiện nay, thị trường sản phẩm, dịch vụ ATANM còn chưa tương xứng với sự phát triển của lĩnh vực công nghệ thông tin. Hệ sinh thái sản phẩm ATTT của Việt Nam còn thiếu. Thị phần doanh thu của sản phẩm nội địa chiếm khoảng 47,34%. Phần lớn các cơ quan, tổ chức vẫn đang sử dụng sản phẩm nước ngoài là chủ yếu. Các doanh nghiệp chưa quan tâm đến việc kết nối, tương thích các sản phẩm của nhau để tạo nên hệ sinh thái sản phẩm nội địa đầy đủ, hiệu quả.
Một số chủ trương, quan điểm và và giải pháp triển khai bảo đảm an toàn, an ninh mạng giai đoạn 2021-2025
a) Tự chủ về công nghệ, sản phẩm, giải pháp và phát triển ngành công nghiệp ATANM Việt Nam
Tại Hội nghị Vietnam Security Summit được tổ chức tại Hà Nội vào tháng 4 năm 2019, Bộ trưởng Bộ Thông tin và Truyền thông đã nhận định Việt Nam có thể trở thành cường quốc về ATANM, trước hết là để bảo vệ Việt Nam, sau đó là tham gia bảo vệ hòa bình thế giới.
Để trở thành cường quốc về ATANM, Việt Nam phải tự chủ về công nghệ, sản phẩm và giải pháp ATANM – nghĩa là tự giải được các bài toán lớn về ATANM mà không phụ thuộc vào ngoại lực. Để thực hiện khát vọng này, trước hết cần tập trung phát triển một số doanh nghiệp ATANM chủ lực của quốc gia và đội ngũ chuyên gia giỏi về ATANM. Đến hết năm 2020, Việt Nam có 87 doanh nghiệp được Bộ Thông tin và Truyền thông cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng với 2.765 kỹ sư, sản xuất được 91% chủng loại sản phẩm an toàn thông tin mạng và thị trường đạt hơn 1.900 tỷ đồng, tăng trưởng 31% so với năm 2019.
Trong đó, một số sản phẩm ATANM "Make in VietNam" chiếm lĩnh thị trường trong nước như BKAV-Pro (sản phẩm bảo vệ máy tính cá nhân/ máy chủ) của BKAV, VCS-CyM (sản phẩm quản lý sự kiện và an toàn thông tin) của Vie¦el hay CMDD (sản phẩm bảo vệ máy tính cá nhân/máy chủ) của CMC. Đây là một trong các kết quả nổi bật sau 1 năm thành lập Liên minh phát triển Hệ sinh thái sản phẩm ATANM Việt Nam do Bộ TT&TT khởi xướng và dẫn dắt. Bên cạnh đó, năm học 2019-2020 cũng là năm học mà số sinh viên chuyên ngành an toàn thông tin tốt nghiệp ra trường đạt cao kỷ lục, 1.025 sinh viên.
Vì vậy, ta có cơ sở để đặt niềm tin Việt Nam sẽ trở thành cường quốc về ATANM. Một số giải pháp quan trọng bao gồm:
Tập trung hỗ trợ, thúc đẩy các doanh nghiệp ATANM phát triển hoàn thiện các chủng loại sản phẩm, đạt 100% chủng loại sản phẩm có sản phẩm nội địa trong năm 2021; giao một số nhiệm vụ bảo đảm ATANM ở quy mô quốc gia cho các doanh nghiệp nội địa chủ lực của lĩnh vực. Hoàn thiện, bổ sung các bộ tiêu chí kỹ thuật, các tiêu chuẩn/quy chuẩn kỹ thuật về an toàn thông tin mạng và xây dựng hệ thống kỹ thuật đánh giá, kiểm định ATANM theo chuẩn quốc tế.
Triển khai hiệu quả Đề án "Đào tạo và phát triển nguồn nhân lực an toàn thông tin giai đoạn 2021-2025" đã được Thủ tướng Chính phủ phê duyệt tại Quyết định số 21/QĐ-TTg ngày 06/01/2021.
Tập hợp nhóm chuyên gia về ATANM từ các cơ quan, doanh nghiệp, tổ chức trong khu vực công và khu vực tư và có cơ chế huy động lực lượng này tham gia thực hiện các nhiệm vụ mới, khó, chưa có tiền lệ về ATANM. Trong bối cảnh công nghệ thay đổi liên tục, thì đây là cách tốt nhất đào tạo ra các chuyên gia giỏi vì yếu tố "con người" trong ATANM là quan trọng nhất (tương tự như trong cuộc sống thật, dịch bệnh mới như COVID-19 là chưa có tiền lệ và chỉ có thể được giải quyết nếu các chuyên gia y học, vi-rút học phát minh ra vắc-xin mới vì các loại vắc-xin, thuốc hiện hành là không có tác dụng).
b) Bảo đảm an toàn thông tin mạng theo phương thức quản trị rủi ro
Thực tiễn cho thấy quản trị rủi ro là phương thức tối ưu để bảo đảm ATANM. Không thể bảo đảm ATANM tuyệt đối mà thay vào đó là áp dụng phương pháp quản trị rủi ro (ISO/IEC 27001) để xác định, phân tích, đánh giá tính nghiêm trọng (khả năng xảy ra và thiệt hại gây ra) của các nguy cơ mất ATANM và căn cứ nguồn lực, tình hình thức tế để đưa ra kế hoạch xử lý (loại bỏ, giảm thiểu, chia sẻ hoặc chấp nhận).
Thực tiễn cũng cho thấy chỉ có 2 loại cơ quan/tổ chức: Loại đã bị tấn công mạng và loại chưa bị tấn công mạng. Việc một cơ quan, tổ chức, cá nhân xảy ra sự cố mất ATANM là vấn đề thời gian. Do đó, không thể tập trung toàn bộ nguồn lực vào việc triển khai các giải pháp phòng vệ, chống tấn công mạng. Phương án bảo đảm ATANM phải có phương án xử lý sau sự cố, đưa hệ thống quay lại hoạt động bình thường trong thời gian sớm nhất. Khôi phục chủ động (resilience - ITU) – phương án để hệ thống quay lại hoạt động bình thường trong thời gian sớm nhất sau sự cố ATANM - phải nằm trong mọi phương án bảo đảm ATANM.
Một số giải pháp, nhiệm vụ bao gồm:
- Đưa yêu cầu triển khai phương án bảo đảm ATANM ngay từ khi thiết kế, xây dựng hệ thống thông tin trở thành bắt buộc đối với các cơ quan, doanh nghiệp nhà nước và thành thông lệ khuyến nghị (best-practice) đối với tổ chức, doanh nghiệp trong xã hội.
- Trong bối cảnh chuyển đổi số quốc gia, cần ban hành quy định, hướng dẫn cụ thể để các nền tảng số, hạ tầng số được tích hợp sẵn các chức năng về bảo đảm ATANM ngay từ khi thiết kế, xây dựng; quy định yêu cầu mọi thiết bị, sản phẩm, phần mềm, hệ thống thông tin, dự án đầu tư về công nghệ thông tin đều có cấu phần bắt buộc về ATANM ngay từ khi thiết kế, trong đó, tối thiểu 10% chi cho bảo đảm ATANM trong tổng chi cho công nghệ thông tin.
- Nghiên cứu, đề xuất quy định loại hình dịch vụ và hình thành thị trường bảo hiểm an toàn thông tin mạng (là dịch vụ dựa trên quản trị rủi ro ATANM)
c) Bảo vệ không gian mạng Việt Nam lành mạnh, góp phần duy trì niềm tin của xã hội
Trong thế giới thực có gì thì trên không gian mạng cũng có điều như vậy. Chuyển đổi số là cuộc chuyển dịch vĩ đại toàn bộ thế giới thực vào thế giới ảo. Tuy nhiên, trong thế giới ảo không có các thiết chế duy trì sự lành mạnh của không gian mạng. Về lâu dài, ta cần đưa giáo dục kỹ năng sống trong không gian mạng vào giáo dục từ phổ thông - đây là giải pháp căn cơ nhất. Vấn đề trước mắt là xử lý "rác" trên không gian mạng - là những tin tức sai sự thật, nội dung nhảm nhí, xấu độc, không phù hợp với thể chế, văn hóa, lịch sử, tín ngưỡng và thuần phong mỹ tục của Việt Nam.
Các nhà mạng ISPs, các doanh nghiệp nền tảng Việt Nam đóng vai trò then chốt trong bảo đảm không gian mạng lành mạnh, bảo vệ người dân, trước hết là khách hàng, người sử dụng dịch vụ của mình, khỏi "rác" trên không gian mạng, trên nền tảng của mình.
Một số nhiệm vụ, giải pháp bao gồm:
- Giao sứ mệnh cho các ISP, các doanh nghiệp nền tảng Việt Nam bảo đảm thông tin đáng tin cậy, an toàn, lành mạnh; phát triển hệ thống nền tảng, hạ tầng, mạng lưới của mình có khả năng tự sàng lọc, phát hiện tấn công, thông tin xấu độc và có biện pháp, giải pháp xử lý hiệu quả, kịp thời về kỹ thuật lẫn phi kỹ thuật.
- Xây dựng các bộ quy tắc ứng xử, tạo lập niềm tin trong môi trường số, hình thành văn hóa số gắn liền với bảo vệ các giá trị đạo đức căn bản của nhân loại và văn hóa truyền thống của Việt Nam.
- Thiết lập khung danh tính số quốc gia có sự tham gia và phối hợp chặt chẽ của khu vực nhà nước và khu vực tư nhân; phát triển hệ thống danh tính số quốc gia cung cấp dịch vụ định danh và xác thực an toàn, tin cậy, bảo mật, bảo vệ thông tin riêng, bảo vệ danh tính của tổ chức, doanh nghiệp, người dân và danh tính thiết bị, đảm bảo hiệu quả và bền vững.
- Xây dựng và triển khai các chương trình, đề án riêng về bảo vệ trẻ em, người cao tuổi trên không gian mạng.
Tài liệu tham khảo
1. https://www.horangi.com/blog/the-cost-of-cyber-attacks-to-businesses
2. https://www.av-test.org/en/statistics/malware/
3. https://www.ibm.com/downloads/cas/ZBZLY7KL
4. https://news.microsoft.com/en-cee/2020/08/31/new-data-from-microsoft-shows-howthe-pandemic-is-accelerating-the-digital-transformation-of-cyber-security/
5. https://www.herjavecgroup.com/wp-content/uploads/2018/12/CV-HG-2019-OfficialAnnual-Cybercrime-Report.pdf
6. https://worldpopulationreview.com/countries/countries-by-gdp
7. https://pages.riskbasedsecurity.com/hubfs/Reports/2020/2020%20Mid%20Year%20
Data%20Breach%20QuickView%20Report.pdf
8. https://khonggianmang.vn/chiendich2020
(Bài viết đăng ấn phẩm in Tạp chí TT&TT số 4 - tháng 4/2021)