Những vấn đề lớn về an toàn thông tin
Ông Nguyễn Thành Phúc, Cục trưởng Cục An toàn thông tin (ATTT - Bộ Thông tin và Truyền thông) cho biết: Chuyển đổi số (CĐS) quốc gia với 3 trụ cột chính là chính quyền số, kinh tế số và xã hội số.
Về ATTT cho chính phủ số, từ góc độ cơ quan quản lý nhà nước, Cục ATTT nhận thấy đang gặp phải 4 vấn đề lớn là: ATTT trong quá trình phát triển phần mềm; triển khai thử nghiệm rất nhiều hệ thống trên dữ liệu thật nhưng không tuân thủ các quy định của ATTT; tổ chức diễn tập ATTT theo kịch bản nhưng diễn nhiều hơn tập; khi được cảnh báo lỗ hổng xảy ra thì không biết được lỗ hổng đã bị khai thác trên hệ thống của cơ quan nhà nước hay chưa.
Để giải quyết vấn đề này, ông Nguyễn Thành Phúc cho rằng 100% hệ thống CNTT khi triển khai thử nghiệm phải đảm bảo ATTT theo đúng quy định của Nghị định 85/2016/NĐ-CP về đảm bảo ATTT theo cấp độ ngay từ khâu thử nghiệm đến làm báo cáo khả thi, thiết kế chi tiết và triển khai thực tế sau này. Các hệ thống thông tin thử nghiệm đã phải làm rõ trách nhiệm của cơ quan chủ quản là Bộ hoặc UBND tỉnh với trách nhiệm của DN CNTT triển khai hệ thống theo quy định của Nghị định 85.
Về ATTT cho kinh tế số, ông Phúc cho biết, hiện có 3 vấn đề lớn là: Lộ lọt dữ liệu cá nhân, lừa đảo trực tuyến và ATTT đối với các nền tảng số. Do đó, giải pháp là sẽ ban hành Nghị định bảo vệ dữ liệu cá nhân ngay trong năm 2021. Bộ TT&TT đã phát động chương trình tìm lỗ hổng Bug Bounty trên các nền tảng CĐS quốc gia để hỗ trợ cho các nền tảng CĐS quốc gia có thể nhanh chóng phát hiện ra những lỗ hổng nghiêm trọng ảnh hưởng đến lộ lọt dữ liệu cá nhân trên nền tảng của mình. Các doanh nghiệp công nghệ thông (CNTT) phải thực hiện quy trình phát triển phần mềm an toàn để đảm bảo không lộ lọt dữ liệu cá nhân.
Về ATTT cho xã hội số, có 3 vấn đề lớn được Cục ATTT chỉ ra gồm: Bảo vệ người dùng trên Internet an toàn, bảo vệ thiết bị đầu cuối và bảo vệ ATTT cho các camera giám sát. Giải pháp là gắn nhãn tín nhiệm mạng cho các trang web, phát triển ứng dụng Visafe cho ATTT cho người dân, cảnh báo phát hiện sớm các nguy cơ, nguy hại...
Theo các chuyên gia công nghệ thông tin, mỗi quốc gia phải đối mặt với các vấn đề khác nhau về an ninh mạng nên phải xây dựng chiến lược và ưu tiên khác nhau. Tuy nhiên, các quốc gia phải tăng cường hợp tác khi các cuộc tấn công có tác động toàn cầu.
Bà Genie Sugene Gan, Giám đốc phụ trách đối ngoại khu vực Châu Á- Thái Bình Dương của Kaspersky nhận định, mỗi quốc gia phải đối mặt với các vấn đề khác nhau về an ninh mạng, như các lỗ hổng bảo mật mức độ đào tạo về an ninh mạng hay khả năng ứng phó với các cuộc tấn công. Nghiên cứu về mã độc tống tiền ở các quốc gia trong khu vực Đông Nam Á cho thấy, tại Việt Nam, mã độc tống tiền nhắm vào ngành sản xuất, thương mại. Trong khi đó, ở Indonesia là ngành sản xuất dầu cọ, còn Thái Lan thì ngành du lịch, khách sạn và sản xuất đồ uống là đích ngắm của các cuộc tấn công của tin tặc.
“Do sự khác biệt, nên mỗi quốc gia cần có những chiến lược khác nhau và những ưu tiên khác nhau về an ninh mạng để bịt các lỗ hổng bảo mật hay bảo vệ các hệ thống thông tin trọng yếu”, bà Genie Sugene Gan cho biết.
Còn theo chuyên gia bảo mật thế giới, Mikko Hypponen, Giám đốc Nghiên cứu F-Secure cho rằng, khi nhìn vào thiệt hại tài chính, mã độc tống tiền không phải tác nhân lớn nhất. Thực tế, số tiền bị mất vì những kẻ lừa đảo bằng email còn cao hơn nhiều.
Chuyên gia Mikko Hypponen nhận định: Thay đổi lớn nhất trong 30 năm qua chính là Internet. Do dịch COVID-19, khi mọi người làm việc từ xa, chúng ta sử dụng nhiều máy chủ hơn bao giờ hết để truy cập dữ liệu doanh nghiệp qua Internet, thay vì mạng nội bộ tại văn phòng như trước. Nhân viên rất dễ bị đánh lừa bằng các email giả mạo, chứa liên kết độc hại hay mã độc chỉ với vài thủ thuật đơn giản.
“Chúng ta đang ở giữa cuộc cách mạng kỹ thuật số, mọi thứ đều tiến lên Internet. Người dùng muốn bảo vệ dữ liệu và thiết bị của họ. Tôi cho rằng các nhà mạng đóng vai trò quan trọng trong việc cung cấp giải pháp an ninh cho người dùng cuối vì họ nhìn thấy mọi dữ liệu và xu hướng trực tuyến”, ông Mikko Hypponen cho hay.
Nhanh – nhỏ - gần – cơ động
Bộ trưởng Nguyễn Mạnh Hùng cho rằng, kinh nghiệm chống dịch COVID-19 vừa qua có thể áp dụng cho phòng chống tấn công mạng. Kinh nghiệm chống dịch là “nhanh - nhỏ - gần - cơ động”, nghĩa là xét nghiệm nhanh, khoanh vùng nhỏ, điều trị gần và cơ động ứng cứu nhau. An toàn thông tin thì cũng cơ bản là vậy. Do đó, Cục An toàn thông tin, Hiệp hội An toàn thông tin là hai đơn vị chịu trách nhiệm tổng kết những kinh nghiệm, công thức này để phổ biến ra toàn dân.
Theo Bộ Thông tin và Truyền thông, Việt Nam có trên 90 triệu máy điện thoại thông minh, hàng chục triệu máy tính (PC), laptop, máy tính bảng. Nhưng đa số các thiết bị cá nhân này chưa được cài phần mềm bảo vệ. Việt Nam có gần 3 triệu camera và đã có những hình ảnh riêng tư bị lộ lọt trên mạng. Rất nhiều camera chưa được đánh giá an toàn thông tin và chưa được cài đặt chức năng bảo mật. Trên thế giới, mới có 60% dự án phát triển phần mềm áp dụng qui trình phát triển - ATTT - vận hành. “Ở Việt Nam, con số này còn thấp hơn nhiều. Vì vậy, còn rất nhiều những lỗi lập trình sơ đẳng đã gây mất ATTT nghiêm trọng. Nếu những phần mềm này là các nền tảng số quốc gia thì hậu quả rất lớn. Lừa đảo trực tuyến tăng mạnh trong giai đoạn COVID vừa qua khi CĐS được thúc đẩy. Thế giới có hơn 2 triệu website lừa đảo. Ở Việt Nam, từ tháng 12/2020 đến tháng 11/2021, Cục ATTT đã phát hiện và xử lý 816 website lừa đảo giả mạo ngân hàng”, Bộ trưởng Nguyễn Mạnh Hùng cho biết.
"Cách tốt nhất để giảm thiểu rủi ro lại là tăng cường sử dụng công nghệ số chứ không phải là không dùng. Vì chúng ta không thể không dùng và cũng phải thông qua dùng thì vấn đề mới bộc lộ ra và từ đó hoàn thiện. Muốn an toàn thì phải có các sản phẩm ATTT Make in Viet Nam. CĐS quốc gia là toàn dân và toàn diện, là tất cả các ngành, các lĩnh vực và mọi người dân. Đây là thị trường rộng lớn, là cơ hội cho các doanh nghiệp doanh nghiệp ATTT mạng phát triển. Người Việt Nam có cảm thấy an toàn khi CĐS hay không là phụ thuộc vào các nền tảng số Việt Nam có độ an toàn cao, phụ thuộc vào sự bảo vệ của các doanh nghiệp ATTT Việt Nam", Bộ trưởng Nguyễn Mạnh Hùng nhận định.
Việt Nam cũng đã chủ động thêm một khâu nữa, đó là Bug Bounty, tức là kêu gọi các chuyên gia tiếp tục phát hiện lỗ hổng bảo mật sau khi đã đưa phần mềm vào sử dụng. Hàng năm, Việt Nam sẽ vinh danh top 50 chuyên gia bảo mật có đóng góp cho việc phát hiện lỗ hổng bảo mật của các nền tảng số quốc gia.
“Muốn an toàn thì phải hợp tác quốc tế vì Internet, không gian mạng là toàn cầu. Chỉ có sự chung tay toàn cầu thì không gian mạng mới an toàn”, Bộ trưởng Nguyễn Mạnh Hùng yêu cầu.
Ông Nguyễn Thành Hưng, Chủ tịch Hiệp hội An toàn thông tin Việt Nam (VNISA) nhận định, để chuyển đổi số thành công, vấn đề an toàn thông tin cần phải được đặc biệt quan tâm, được coi là một yếu tố quan trọng không thể tách rời trong quá trình chuyển đổi số. Hiệp hội sẽ triển khai một số tiêu chuẩn cơ sở dựa trên thực tiễn (theo mô hình Best Practice) gồm có: Đánh giá các doanh nghiệp có năng lực kiểm tra đánh giá an toàn thông tin để giới thiệu tham gia chương trình Hệ sinh thái tín nhiệm mạng của Cục An toàn thông tin; Đánh giá an toàn thông tin một số nền tảng ứng dụng phổ biến như Nền tảng Hoá đơn điện tử. Hiệp hội cũng sẽ triển khai chương trình khảo sát về sự tin tưởng, tin cậy của người dùng đối với các nền tảng số quan trọng của các doanh nghiệp trong nước.