"An toàn thông tin không phải cuộc đua nước rút"

Theo Thứ trưởng Bộ TTTT Nguyễn Huy Dũng, ATTT là chặng đua đường dài, không phải cuộc đua nước rút bởi đòi hỏi sự đầu tư liên tục và bền bỉ.

Ngày 23/6, phát biểu tại Hội thảo và Triển lãm quốc tế về An toàn không gian mạng (Vietnam Security Summit), Thứ trưởng Bộ TT&TT, ông Nguyễn Huy Dũng đã nhân định bảo đảm an toàn thông tin mạng cho các nền tảng số phải được coi là trọng tâm, ưu tiên hàng đầu.

Bởi đây là nhiệm vụ gắn liền, không thể tách rời với việc thúc đẩy, phát triển, sử dụng các nền tảng số quốc gia.

Thứ trưởng Bộ TT&TT, ông Nguyễn Huy Dũng phát biểu khai mạc Vietnam Security Summit 2022

"Nền móng" của chuyển đổi số còn nhiều vấn đề

Nhận định nền tảng số không chỉ là không gian diễn ra các hoạt động của cơ quan, tổ chức, doanh nghiệp, người dân Việt Nam trên môi trường số, mà nền tảng số Việt Nam cũng chính là không gian mạng quốc gia. Bởi vậy, bảo đảm an toàn thông tin mạng cho các nền tảng số quốc gia cũng chính là bảo vệ không gian mạng quốc gia.

Từ đó, Thứ trưởng cho rằng, thúc đẩy chuyển đổi số dựa trên nền tảng số mà không gắn liền vào bảo đảm an toàn thông tin cũng giống như xây một ngôi nhà trên một nền móng không vững chắc. Các nền tảng số sẽ không có khả năng chống chịu bền bỉ trước các cuộc tấn công với tần suất ngày càng tăng, quy mô ngày càng rộng, kỹ thuật ngày càng tinh vi và gây ra hậu quả ngày càng lớn như hiện nay.

Về vấn đề này, ông Nguyễn Thành Phúc, Cục trưởng Cục ATTT, Bộ TT&TT chỉ ra 6 vấn đề chính là thách thức Việt Nam gặp phải trong năm 2022.

Ông Nguyễn Thành Phúc, Cục trưởng Cục ATTT, Bộ TT&TT

Thứ nhất, Phê duyệt Hồ sơ đề xuất cấp độ và triển khai phương án đảm bảo an toàn thông tin theo cấp độ tỉ lệ còn thấp.

Thứ hai, tình trạng lừa đảo trên không gian mạng. Cụ thể, từ 05/2019 đến nay, xuất hiện các chiến dịch tấn công Phishing nhằm vào các Ngân hàng tại Việt Nam (thu thập thông tin cá nhân, thông tin giao dịch thanh toán của khách hàn...)

Không dừng lại, từ đầu năm 2022 đến nay đã có hơn 1.000 lượt phản ánh của người dân về các sự vụ lừa đảo trên không gian mạng. Trong 5 tháng đầu năm 2022, đã phát hiện, xử lý 506 website lừa đảo giả mạo tổ chức tài chính, ngân hàng. Bên cạnh đó, hỗ trợ xử lý ngăn ngừa 1,5 triệu người dùng internet Việt Nam tránh truy cập vào các trang lừa đảo, vi phạm pháp luật.

Thứ ba, Nhiều thiết bị số phục vụ Chính phủ điện tử (CPĐT) đang sử dụng chưa được kiểm tra, đánh giá ATTT. Sở dĩ bởi, nhận thức chưa đúng về tầm quan trọng của việc kiểm tra ATTT Thiết bị số trước khi sử dụng, đồng thời, chưa có quy định về kiểm tra, đánh giá ATTT thiết bị số phục vụ CPĐT.

Mặt khác, cơ quan Nhà nước chưa bố trí nguồn lực kiểm tra, đánh giá ATTT. Dự án CNTT phục vụ CPĐT không có hạng mục kiểm tra, đánh giá ATTT cho thiết bị.

Thứ tư, diễn tập ATTT còn thiếu và chưa thực tiễn. Số cuộc diễn tập thực chiến còn ít: 1/152 cuộc năm 2021, 0/98 cuộc năm 2020. Ông Phúc cho biết, năng lực nhân lực chuyên trách ATTT thiếu (mỗi bộ, ngành, địa phương trung bình có 2,4 nhân sự ATTT) và kinh phí bố trí không đủ để diễn tập thực chiến.

Thứ năm, ATTT của mạng truyền số liệu chuyên dùng (TSLCD) cấp II ở một số tỉnh chưa được phê duyệt. Mô hình kết nối mạng của bộ, ngành, địa phương vào mạng TSLCD không tổng thể và đồng bộ theo quy định về nguyên tắc bảo đảm an toàn HTTT theo cấp độ (Điều 4 Nghị định 85/2016/NĐ-CP).

Cuối cùng, kiểm tra, đánh giá ATTT. Cụ thể, nhiều hệ thống thông tin của CQNN chưa được kiểm tra, đánh giá ATTT trước khi đưa vào sử dụng, mỗi khi nâng cấp mở rộng, kiểm tra định kỳ theo quy định.

Nền tảng sẽ được củng cố ra sao?

Từ đó, Thứ trưởng Bộ TTTT bày tỏ định hướng, an toàn thông tin cũng cần có sự thay đổi cơ bản về nhận thức và cách là. Vì đặc trưng cơ bản của nền tảng là dùng chung, số lượng người dùng lớn, sinh ra dữ liệu lớn. Các nền tảng số sẽ là những mục tiêu, những “miếng mồi ngon” mà tội phạm mạng hướng tới.

Nếu như trước đây, các tổ chức, doanh nghiệp coi việc phát triển các ứng dụng với tính năng theo yêu cầu của người dùng là chính, còn an toàn thông tin là tính năng bổ sung, tăng thêm.

“Thì nay, bảo đảm an toàn thông tin cho nền tảng phải được thực hiện ngay từ khâu thiết kế. Các nền tảng số quốc gia khi xây dựng, phát triển cần xác định cấp độ an toàn thông tin và triển khai phương án bảo đảm an toàn hệ thống thông tin theo cấp độ”, ông nhấn mạnh.

Toàn cảnh Hội thảo

Nếu như trước đây, an toàn thông tin mới được nhắc đến nhiều khi có sự cố mất an toàn thông tin nghiêm trọng vừa xảy ra. Thì nay, an toàn thông tin luôn được chú trọng suốt vòng đời phát triển và vận hành nền tảng, bảo đảm tuân thủ theo quy trình phát triển – vận hành an toàn (DevSecOps).

Nếu như trước đây, các chủ quản hệ thống thông tin vẫn “tặc lưỡi” chấp nhận đưa vào sử dụng các hệ thống chưa đáp ứng yêu cầu về an toàn thông tin. Thì ngay, chúng ta kiên quyết áp dụng nguyên tắc hệ thống chưa kết luận bảo đảm an toàn thông tin thì chưa đưa vào sử dụng.

Và để làm được điều này thì nhà phát triển nền tảng phải ưu tiên dành tỉ lệ kinh phí phù hợp (tối thiểu khoảng 20-30%) cho các tính năng về an toàn thông tin mạng. Có như vậy, việc bảo đảm an toàn thông tin mới được thực hiện một cách chuyên nghiệp, bài bản, không chắp vá.

Từ đó, ông kết luận: “An toàn thông tin là chặng đua đường dài, không phải cuộc đua nước rút”.

Phát triển các nền tảng mới có thể nhìn thấy ngay kết quả về kinh tế, tài chính, nhưng với an toàn thông tin, sự quan tâm, chú ý lại thường đến khi xảy ra các sự cố nghiêm trọng. Do đó, các cơ quan, tổ chức, doanh nghiệp cần đặc biệt quan tâm, đầu tư liên tục, bền bỉ để bảo đảm an toàn thông tin cho các nền tảng số.

Bên cạnh đó, Bộ Thông tin và Truyền thông sẽ cố gắng hơn nữa, Bộ đã và đang triển khai thúc đẩy, phát triển và sử dụng 35 nền tảng số quốc gia. Thay mặt Bộ, ông Dũng chia sẻ mong muốn các doanh nghiệp cung cấp nền tảng số cùng đồng hành, tham gia chương trình với tinh thần như vậy hướng tới phát triển một tương lai số bền vững

Với chủ đề “An toàn thông tin cho nền tảng số quốc gia: Kiến tạo tương lai số bền vững”, sự kiện hướng tới mục tiêu trở thành diễn đàn uy tín giúp các nhà hoạch định chính sách và chiến lược, các chuyên gia đầu ngành, các nhà cung cấp giải pháp hàng đầu trong và ngoài nước gặp gỡ, thảo luận và chia sẻ kinh nghiệm nhằm nâng cao năng lực ứng phó với các rủi ro an toàn, an ninh mạng phi truyền thống và bảo vệ các nền tảng số quan trọng trong quá trình chuyển đổi số.

Sự kiện thu hút hơn 800 đại biểu cấp cao phụ trách an toàn thông tin mạng, bảo mật, công nghệ thông tin đến từ khối Chính phủ và khối Doanh nghiệp trong các lĩnh vực như Tài chính – Ngân hàng, Bảo hiểm, Viễn thông, Bán lẻ & Thương mại điện tử, Vận tải – Logistics, Năng lượng, Sản xuất,…

Đối thoại

"An toàn thông tin không phải cuộc đua nước rút"

Theo Thứ trưởng Bộ TTTT Nguyễn Huy Dũng, ATTT là chặng đua đường dài, không phải cuộc đua nước rút bởi đòi hỏi sự đầu tư liên tục và bền bỉ.

Thứ trưởng Bộ TT&TT, ông Nguyễn Huy Dũng phát biểu khai mạc Vietnam Security Summit 2022

Ông Nguyễn Thành Phúc, Cục trưởng Cục ATTT, Bộ TT&TT

Toàn cảnh Hội thảo