"An toàn thông tin không phải cuộc đua nước rút"

Ngày 23/6, phát biểu tại Hội thảo và Triển lãm quốc tế về An toàn không gian mạng (Vietnam Security Summit), Thứ trưởng Bộ TT&TT, ông Nguyễn Huy Dũng đã nhân định bảo đảm an toàn thông tin mạng cho các nền tảng số phải được coi là trọng tâm, ưu tiên hàng đầu.

Bởi đây là nhiệm vụ gắn liền, không thể tách rời với việc thúc đẩy, phát triển, sử dụng các nền tảng số quốc gia.

"Nền móng" của chuyển đổi số còn nhiều vấn đề

Nhận định nền tảng số không chỉ là không gian diễn ra các hoạt động của cơ quan, tổ chức, doanh nghiệp, người dân Việt Nam trên môi trường số, mà nền tảng số Việt Nam cũng chính là không gian mạng quốc gia. Bởi vậy, bảo đảm an toàn thông tin mạng cho các nền tảng số quốc gia cũng chính là bảo vệ không gian mạng quốc gia.

Từ đó, Thứ trưởng cho rằng, thúc đẩy chuyển đổi số dựa trên nền tảng số mà không gắn liền vào bảo đảm an toàn thông tin cũng giống như xây một ngôi nhà trên một nền móng không vững chắc. Các nền tảng số sẽ không có khả năng chống chịu bền bỉ trước các cuộc tấn công với tần suất ngày càng tăng, quy mô ngày càng rộng, kỹ thuật ngày càng tinh vi và gây ra hậu quả ngày càng lớn như hiện nay.

Về vấn đề này, ông Nguyễn Thành Phúc, Cục trưởng Cục ATTT, Bộ TT&TT chỉ ra 6 vấn đề chính là thách thức Việt Nam gặp phải trong năm 2022.

Thứ nhất, Phê duyệt Hồ sơ đề xuất cấp độ và triển khai phương án đảm bảo an toàn thông tin theo cấp độ tỉ lệ còn thấp.

Thứ hai, tình trạng lừa đảo trên không gian mạng. Cụ thể, từ 05/2019 đến nay, xuất hiện các chiến dịch tấn công Phishing nhằm vào các Ngân hàng tại Việt Nam (thu thập thông tin cá nhân, thông tin giao dịch thanh toán của khách hàn...)

Không dừng lại, từ đầu năm 2022 đến nay đã có hơn 1.000 lượt phản ánh của người dân về các sự vụ lừa đảo trên không gian mạng. Trong 5 tháng đầu năm 2022, đã phát hiện, xử lý 506 website lừa đảo giả mạo tổ chức tài chính, ngân hàng. Bên cạnh đó, hỗ trợ xử lý ngăn ngừa 1,5 triệu người dùng internet Việt Nam tránh truy cập vào các trang lừa đảo, vi phạm pháp luật.

Thứ ba, Nhiều thiết bị số phục vụ Chính phủ điện tử (CPĐT) đang sử dụng chưa được kiểm tra, đánh giá ATTT. Sở dĩ bởi, nhận thức chưa đúng về tầm quan trọng của việc kiểm tra ATTT Thiết bị số trước khi sử dụng, đồng thời, chưa có quy định về kiểm tra, đánh giá ATTT thiết bị số phục vụ CPĐT.

Mặt khác, cơ quan Nhà nước chưa bố trí nguồn lực kiểm tra, đánh giá ATTT. Dự án CNTT phục vụ CPĐT không có hạng mục kiểm tra, đánh giá ATTT cho thiết bị.

Thứ tư, diễn tập ATTT còn thiếu và chưa thực tiễn. Số cuộc diễn tập thực chiến còn ít: 1/152 cuộc năm 2021, 0/98 cuộc năm 2020. Ông Phúc cho biết, năng lực nhân lực chuyên trách ATTT thiếu (mỗi bộ, ngành, địa phương trung bình có 2,4 nhân sự ATTT) và kinh phí bố trí không đủ để diễn tập thực chiến.

Thứ năm, ATTT của mạng truyền số liệu chuyên dùng (TSLCD) cấp II ở một số tỉnh chưa được phê duyệt. Mô hình kết nối mạng của bộ, ngành, địa phương vào mạng TSLCD không tổng thể và đồng bộ theo quy định về nguyên tắc bảo đảm an toàn HTTT theo cấp độ (Điều 4 Nghị định 85/2016/NĐ-CP).

Cuối cùng, kiểm tra, đánh giá ATTT. Cụ thể, nhiều hệ thống thông tin của CQNN chưa được kiểm tra, đánh giá ATTT trước khi đưa vào sử dụng, mỗi khi nâng cấp mở rộng, kiểm tra định kỳ theo quy định.

Nền tảng sẽ được củng cố ra sao?

Từ đó, Thứ trưởng Bộ TTTT bày tỏ định hướng, an toàn thông tin cũng cần có sự thay đổi cơ bản về nhận thức và cách là. Vì đặc trưng cơ bản của nền tảng là dùng chung, số lượng người dùng lớn, sinh ra dữ liệu lớn. Các nền tảng số sẽ là những mục tiêu, những “miếng mồi ngon” mà tội phạm mạng hướng tới.

Nếu như trước đây, các tổ chức, doanh nghiệp coi việc phát triển các ứng dụng với tính năng theo yêu cầu của người dùng là chính, còn an toàn thông tin là tính năng bổ sung, tăng thêm. 

“Thì nay, bảo đảm an toàn thông tin cho nền tảng phải được thực hiện ngay từ khâu thiết kế. Các nền tảng số quốc gia khi xây dựng, phát triển cần xác định cấp độ an toàn thông tin và triển khai phương án bảo đảm an toàn hệ thống thông tin theo cấp độ”, ông nhấn mạnh.

Nếu như trước đây, an toàn thông tin mới được nhắc đến nhiều khi có sự cố mất an toàn thông tin nghiêm trọng vừa xảy ra. Thì nay, an toàn thông tin luôn được chú trọng suốt vòng đời phát triển và vận hành nền tảng, bảo đảm tuân thủ theo quy trình phát triển – vận hành an toàn (DevSecOps).

Nếu như trước đây, các chủ quản hệ thống thông tin vẫn “tặc lưỡi” chấp nhận đưa vào sử dụng các hệ thống chưa đáp ứng yêu cầu về an toàn thông tin. Thì ngay, chúng ta kiên quyết áp dụng nguyên tắc hệ thống chưa kết luận bảo đảm an toàn thông tin thì chưa đưa vào sử dụng. 

Và để làm được điều này thì nhà phát triển nền tảng phải ưu tiên dành tỉ lệ kinh phí phù hợp (tối thiểu khoảng 20-30%) cho các tính năng về an toàn thông tin mạng. Có như vậy, việc bảo đảm an toàn thông tin mới được thực hiện một cách chuyên nghiệp, bài bản, không chắp vá.

Từ đó, ông kết luận: “An toàn thông tin là chặng đua đường dài, không phải cuộc đua nước rút”.

Phát triển các nền tảng mới có thể nhìn thấy ngay kết quả về kinh tế, tài chính, nhưng với an toàn thông tin, sự quan tâm, chú ý lại thường đến khi xảy ra các sự cố nghiêm trọng. Do đó, các cơ quan, tổ chức, doanh nghiệp cần đặc biệt quan tâm, đầu tư liên tục, bền bỉ để bảo đảm an toàn thông tin cho các nền tảng số. 

Bên cạnh đó, ​Bộ Thông tin và Truyền thông sẽ cố gắng hơn nữa, Bộ đã và đang triển khai thúc đẩy, phát triển và sử dụng 35 nền tảng số quốc gia. Thay mặt Bộ, ông Dũng chia sẻ mong muốn các doanh nghiệp cung cấp nền tảng số cùng đồng hành, tham gia chương trình với tinh thần như vậy hướng tới phát triển một tương lai số bền vững