Việt Nam vẫn bị động trong đảm bảo an toàn thông tin
Chưa có quy trình chuẩn đối phó với các cuộc tấn công mạng
Chia sẻ về công tác bảo đảm an toàn thông tin mạng hiện nay ở Việt Nam, ông Nguyễn Huy Dũng cho biết, công tác đảm bảo an toàn thông tin tại Việt Nam thời gian qua ngày càng được chú trọng hơn, thu hút được sự quan tâm của lãnh đạo cấp cao nhất, cũng như sự quan tâm của người sử dụng trong cộng đồng xã hội. Hiện nay đã có đơn vị quản lý nhà nước chuyên trách về an toàn thông tin là Cục An toàn Thông tin trực thuộc Bộ Thông tin và Truyền thông. Đối với lực lượng ứng cứu sự cố, Việt Nam cũng có trung tâm ứng cứu khẩn cấp máy tính Việt Nam VNCERT. Bên cạnh đó, các Bộ Quốc phòng và Bộ Công an cũng có những đơn vị chuyên trách cho công tác đảm bảo an ninh mạng, phòng chống chiến tranh mạng.
“Tuy nhiên, một cách khách quan mà nói, công tác đảm bảo an toàn thông tin của chúng ta vẫn còn ở tình thế tương đối bị động, nhiều cơ quan tổ chức chưa có quy trình thao tác chuẩn để đối phó với các cuộc tấn công mạng” – ông Dũng nhấn mạnh.
Thông thường, định kỳ hoặc đột xuất theo yêu cầu thực tế, Cục An toàn Thông tin sẽ có những cảnh báo về lỗ hổng, điểm yếu cũng như các sự cố trong hệ thống thông tin của các cơ quan, tổ chức Nhà nước. Tuy nhiên, cũng có một số cơ quan nhà nước chưa thực sự quan tâm tới việc này. Hiện tại, chúng ta chưa có hành lang pháp lý để xử lý các cơ quan tổ chức chưa tuân thủ nghiêm các quy định về bảo đảm an toàn thông tin.
“Vừa qua, Quốc hội đã thông qua Luật An toàn thông tin mạng, trong đó, quy định rõ trách nhiệm tối thiểu của các cơ quan tổ chức trong việc đảm bảo an toàn thông tin. Bộ Thông tin và Truyền thông sẽ khẩn trương hoàn thiện văn bản hướng dẫn Luật để có cơ sở xử lý những hành vi vi phạm” – ông Dũng nói thêm.
Đồng quan điểm, ông Nguyễn Tiến Quỳnh – Phó Giám đốc Phụ trách đào tạo Học viện NetPro cho rằng, đầu tiên là nhận thức về vấn đề bảo vệ website của những nhà quản trị các trang web của các cơ quan nhà nước. Hầu như mọi người đưa thông tin lên website như một cổng thông tin nhưng chưa biết cách bảo vệ thông tin và chưa đánh giá được đúng mức độ cần thiết phải bảo vệ các thông tin đó. Đây là lý do lớn nhất làm cho các website của các cơ quan nhà nước dễ bị tấn công. Bên cạnh đó, có một vấn đề nữa là nhiều đơn vị chưa đầu tư đúng mức trong việc bảo vệ thông tin trên các website.
Đứng ở góc độ cá nhân, ông Ngô Tuấn Anh - Phó Chủ tịch Phụ trách An ninh mạng của Tập đoàn BKAV chia sẻ, thực trạng hiện nay tại Việt Nam, tỷ lệ người dùng bị nhiễm mã độc vẫn còn ở mức cao. Điều này xuất phát từ việc người dùng chưa có ý thức bảo vệ máy tính của mình. Một ví dụ đơn giản là mọi người có thể thoải mái cài đặt phần mềm từ internet mà không cần quan tâm đến nguồn gốc của phần mềm đó. Trong khi đó, một khảo sát gần đây của BKAV cho thấy có tới 7/10 kết quả tìm kiếm những phần mềm phổ biến khi tìm kiếm trên internet là chứa mã độc.
Các tổ chức, cá nhân Việt Nam vẫn chưa có ý thức cao về đảm bảo an toàn thông tin khi truy cập internet
Nguồn nhân lực về an ninh mạng còn thiếu và yếu
Con người là một trong những nhân tố quyết định về hiệu quả trong công tác bảo đảm an toàn thông tin. Tuy nhiên, nguồn nhân lực trong lĩnh vực này của Việt Nam còn rất hạn chế.
Đứng ở góc độ giáo dục, ông Nguyễn Tiến Quỳnh cho biết, về lĩnh vực an ninh mạng sinh viên các trường có truyền thống về kỹ thuật hoặc công nghệ thông tin sẽ ưu thế hơn. Trong Đề án 99 của Thủ tướng Chính phủ cũng đã lựa chọn một số trường đào tạo trọng điểm về an toàn an ninh thông tin. Ví dụ: Đại học Bách Khoa Hà Nội, Đại học Quốc gia Hà Nội, Học viện Công nghệ Bưu chính Viễn thông, Học viện Kỹ thuật Quân sự, Học viện Kỹ thuật mật mã…
Tuy nhiên, về đào tạo an ninh mạng nói riêng và đào tạo công nghệ thông tin nói chung, trong nhà trường của Việt Nam hiện nay còn thiếu tính thực tiễn gồm cả kiến thức và phương pháp học. Đầu tiên là cái chúng ta đã đề cập nhiều, học chưa đi đôi với hành, các trường chưa có điều kiện để sinh viên có thể thực hành. Nhưng với một ngành còn mới mà lại có tốc độ thay đổi chóng mặt như an ninh mạng thì cũng rất khó để các trường có thể cập nhật những công nghệ mới để cho sinh viên thực hành.
“Chính vì vậy, tôi cho rằng cái quan trọng hơn chính là vấn đề về phương pháp học. Phần lớn các em mới là “học” mà chưa biết “hỏi”. Các em đang học một cách thụ động mà chưa có kỹ năng học chủ động. Nếu học chủ động thì với những kiến thức nền tảng được học ở trường, các em hoàn toàn có thể tự bù đắp phần thực tiễn bằng việc tìm thông tin từ các nguồn khác, thậm chí từ những doanh nghiệp hàng đầu về lĩnh vực an ninh mạng nói riêng hay các ngành khác nói chung, ví dụ như thông qua việc xin thực tập ở các đơn vị đó” – ông Quỳnh nhận định.
Thuê dịch vụ an toàn thông tin – một giải pháp tốt?
Về vấn đề này, ông Triệu Trần Đức cho rằng, thuê dịch vụ an toàn thông tin là điều rất cần thiết, bởi cơ quan nhà nước cần có một bên độc lập, bên thứ 3 có uy tín và chuyên môn đủ tốt, cũng như kinh nghiệm đánh giá bảo mật với các hệ thống chính phủ để đánh giá hệ thống đang vận hành. Ví dụ như hệ thống ngân hàng hoặc Thương mại điện tử thì CMC đã đánh giá nhiều năm nay và một năm được đánh giá khoảng 2-4 lần, dù hệ thống công nghệ thông tin của Chính phủ không liên quan trực tiếp đến tiền hay thương mại điện tử nhưng liên quan đến người dân và các vấn đề của nhà nước thì cần được đánh giá định kỳ, ít nhất 1 năm một lần.
Một lý do khác cần thuê ngoài đó là, vì thông thường dịch vụ tấn công đánh giá hệ thống đều đòi hỏi kiến thức liên tục cập nhật và các công ty như CMC cũng cần đầu tư nhiều và thường xuyên để nâng cấp trình độ kỹ sư và theo đánh giá của chúng tôi cơ quan nhà nước không thể đầu tư vào các hạng mục như vậy bởi vốn rất lớn, vì vậy thuê ngoài là hợp lý. Quan trọng là chọn đối tác nào.
Ủng hộ quan điểm trên, nhưng ông Ngô Tuấn Anh bày tỏ sự băn khoăn, hiện nay Việt Nam chưa có thị trường dịch vụ bảo mật an toàn an ninh mạng đúng nghĩa. Trong hầu hết các dự án đầu tư công nghệ thông tin hiện nay, các công ty cung cấp thiết bị lại là đơn vị tư vấn dịch vụ kèm theo luôn. Đa phần những công ty này lại không phải chuyên nghiệp trong lĩnh vực an ninh an toàn mạng. Các đơn vị này thường là đại lý cung cấp 1 vài sản phẩm nào đó, và họ thường tư vấn luôn cho chủ đầu tư sử dụng các sản phẩm, giải pháp mà họ phân phối. Điều này làm mất tính khách quan trong việc lựa chọn các sản phẩm, giải pháp an toàn ninh mạng cho hệ thống công nghệ thông tin. Ngoài ra, do chưa có một yêu cầu cụ thể nào về việc bắt buộc phải xây dựng các hệ thống an toàn bảo mật nên có nhiều đơn vị bỏ qua hạng mục này khi đầu tư xây dựng các hệ thống công nghệ thông tin.
Tuy nhiên, ông Tuấn Anh cũng kỳ vọng “Một điều đáng mừng là trong Luật An toàn thông tin mạng mà Quốc hội vừa thông qua đã có những quy định bắt buộc các cơ quan, tổ chức khi xây dựng các hệ thống công nghệ thông tin cần có hệ thống bảo vệ tương ứng tùy theo mức độ quan trọng của hệ thống công nghệ thông tin. Điều này sẽ góp phần tạo ra được thị trường dịch vụ bảo mật an toàn thông tin đúng nghĩa”./.
Bình luận