Theo ông Vũ Quốc Thành, Phó Chủ tịch kiêm Tổng thư ký VNISA, phương pháp đầu tư cho an toàn thông tin tiết kiệm, hiệu quả nhất đối với các doanh nghiệp chính là may đo, lựa chọn các biện pháp dựa trên việc đánh giá rủi ro của đơn vị mình.

VNISA: Doanh nghiep nen dau tu cho an toan thong tin theo phuong phap 'may do' - Anh 1

Ông Vũ Quốc Thành, Phó Chủ tịch kiêm Tổng thư ký Hiệp hội An toàn thông tin Việt Nam trao đổi với báo chí tại vòng Sơ khảo cuộc thi "Sinh viên với An toàn thông tin" năm 2016.

Ngày 2/12 tới, Hiệp hội ATTT Việt Nam - VNISA sẽ phối hợp cùng Cục CNTT thuộc Bộ Quốc phòng, Cục ATTT và Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thuộc Bộ TT&TT tổ chức sự kiện “Ngày ATTT Việt Nam” 2016 với chủ đề “Kỷ nguyên mới của an ninh mạng”. Trước thềm sự kiện thường niên quan trọng trong lĩnh vực ATTT này, ICTnews đã có cuộc trao đổi với Phó Chủ tịch kiêm Tổng thư ký VNISA Vũ Quốc Thành về thực trạng ATTT Việt Nam, đặc biệt là chất lượng đội ngũ nhân lực ATTT nước nhà.

Thời gian gần đây, tại Việt Nam đã ghi nhận hàng loạt cuộc tấn công mạng vào các cơ quan tổ chức, trong đó tiêu biểu là vụ tấn công vào hệ thống hàng không Việt Nam hồi cuối tháng 7/2016. Xin ông cho biết VNISA đánh giá như thế nào về thực trạng ATTT tại Việt Nam hiện nay?

Tôi cho rằng, thực trạng ATTT tại Việt Nam không nằm ngoài thực trạng chung của thế giới. Đây cũng là một nội dung mà VNISA sẽ trình bày tại hội thảo quốc tế được tổ chức nhân Ngày ATTT Việt Nam 2016 vào ngày 2/12 tới. Nét chung của bức tranh an toàn thông tin là chúng ta đang bước vào kỷ nguyên mới về an ninh mạng, với một số điểm chính như:

Thứ nhất, trước đây lĩnh vực ATTT ở tầm khu vực, tầm quốc gia nhưng đến nay nó đã thành vấn đề chung của toàn cầu. Trên thế giới, có những nét mới như đã hình thành những liên minh giữa các quốc gia để tạo thành phe phái trong lĩnh vực an ninh mạng - điều chưa từng thấy trước đây. Hay sự xuất hiện của những cuộc chạy đua vũ trang trên mạng được công khai hóa, tiêu biêu là Chính phủ Mỹ đã công khai kêu gọi thầu để xây dựng các vũ khí chiến tranh mạng. Những điều này nói lên rằng an ninh mạng đã trở thành một vấn đề lớn nhất của xã hội.

Tại Việt Nam, các cuộc tấn công mạng hiện nay càng ngày càng nhiều. Và điều này hoàn toàn dễ hiểu bởi lẽ sự bảo vệ cho nhiều hệ thống thông tin của chúng ta còn rất yếu. Mặt khác, các cuộc tấn công mạng hiện nay, đối tượng gây ra không phải chỉ là những cá nhân, tổ chức có mức độ chuyên nghiệp cao mà ngay cả những cá nhân nghiệp dư cũng thực hiện. Điều đó cũng phần nào cho thấy hiện nay việc tấn công vào một số hệ thống quá dễ dàng, người ta có thể tấn công có mục đích hoặc không có mục đích, hay chỉ để chứng minh rằng tôi có thể tấn công được và thậm chí là chỉ để bày tỏ một trạng thái cảm xúc. Rõ ràng là, chừng nào mà chúng ta còn chưa nâng cao được mức độ đảm bảo ATTT chung thì chúng ta vẫn sẽ còn phải đối mặt với nhiều cuộc tấn công mạng.

Con người là yếu tố đặc biệt quan trọng trong công tác đảm bảo ATTT. Vậy hiện tại đội ngũ nhân lực ATTT của Việt Nam như thế nào, thưa ông?

Nói đến nhân lực ATTT trong các các cơ quan, tổ chức, doanh nghiệp, đặc biệt là các cơ quan nhà nước là chúng ta đang nói đến đội ngũ những người làm về ATTT đã hoạt động trong thực tế và đang hàng ngày giữ vai trò quan trọng trong việc bảo vệ các hệ thống thống tin của toàn xã hội. Có thể nhận định, nhìn chung lực lượng này đang rất thiếu và trình độ của họ cũng chưa đạt được theo mức yêu cầu chung của xã hội. Và nếu so với các nước có trình độ tương đối phát triển trong khu vực như Singapore, Malaysia… thì nhân lực ATTT của Việt Nam hiện vẫn yếu hơn nhiều.

Trên thực tế, nhận thức rõ tầm quan trọng đặc biệt của yếu tố con người trong bảo đảm ATTT, Chính phủ, Bộ TT&TT đã và đang chỉ đạo triển khai nhiều hoạt động trong các chương trình, đề án, kế hoạch với mục tiêu là làm sao để tăng cường nguồn nhân lực ATTT trong các cơ quan, tổ chức, doanh nghiệp, trong đó có thể kể đến Đề án “Đào tạo và phát triển nguồn nhân lực ATTT đến năm 2020” được Thủ tướng Chính phủ phê duyệt ngày 14/1/2014 theo Quyết định 99 (Đề án 99); Đề án “Tuyên truyền, phổ biến nâng cao nhận thức, trách nhiệm về ATTT đến năm 2020” được Thủ tướng Chính phủ phê duyệt ngày 19/6/2015 theo Quyết định 893 (Đề án 893).

Thời gian qua, các chương trình, đề án, kế hoạch nhằm tăng cường các nguồn nhân lực ATTT đang được chúng ta thực hiện từng bước. Ở góc độ của VNISA, chúng tôi cũng đóng góp vào các chương trình, kế hoạch này bằng những hoạt động đào tạo, tổ chức cuộc thi... để làm sao nâng cao được nhận thức về vai trò của người làm ATTT cũng như sự say mê học hỏi về ATTT cho các em sinh viên.

VNISA: Doanh nghiep nen dau tu cho an toan thong tin theo phuong phap 'may do' - Anh 2

Cuộc thi "Sinh viên với An toàn thông tin" được VNISA chủ trì tổ chức hằng năm là một trong những hoạt động nhằm tăng cường nguồn nhân lực ATTT Việt Nam.

Theo đánh giá của ông, các chương trình, đề án nhằm tăng cường đội ngũ nhân lực ATTT Việt Nam, nhất là Đề án 99 đến nay đã đạt được những kết quả gì?

Vấn đề này có lẽ Ban điều hành Đề án 99 sẽ có các thông tin, số liệu chi tiết và cụ thể hơn. Tuy nhiên, ở góc độ của những người làm trong lĩnh vực ATTT, chúng tôi nhận thấy rằng Đề án “Đào tạo và phát triển nguồn nhân lực ATTT đến năm 2020” - Đề án 99 là một đề án được xây dựng rất công phu, nhằm vào thực hiện những nhu cầu rất thiết thực và theo đánh giá của tôi nhiều khả năng sẽ là 1 trong những đề án hiệu quả nhất trong lĩnh vực ATTT. Thời gian vừa qua, Hiệp hội chúng tôi cũng đã rất tích cực tham gia vào các hoạt động chung của Đề án 99.

Tuy nhiên, tôi cho rằng Đề án 99 còn khá mới, thời gian triển khai chưa lâu nên hiện tại nói về tác động chung của nó trong xã hội thì vẫn còn quá sớm. Hơn thế, Đề án 99 nhằm vào việc xây dựng nguồn nhân lực ATTT lâu dài cho các cơ quan, tổ chức, doanh nghiệp Việt Nam nên đòi hỏi cần có một khoảng thời gian nhất định để có thể tạo ra tác động nào đó mà chúng ta có thể nhận biết được trong xã hội.

Với các doanh nghiệp, tối ưu hóa chi phí luôn là yêu cầu bức thiết. Ông có lời khuyên gì với các doanh nghiệp để đầu tư cho ATTT không quá cao nhưng vẫn đạt hiệu quả mong muốn?

Tôi cho rằng phương pháp đầu tư cho an toàn thông tin tiết kiệm nhất, hiệu quả nhất vẫn là thực hiện “may đo” cho từng đơn vị. May đo ở đây được hiểu là chúng ta phải biết được rủi ro về ATTT của tổ chức, doanh nghiệp mình nằm ở đâu và xếp thứ tự ưu tiên đối với chúng từ 1- 10, từ đó thực hiện đầu tư các biện pháp nhằm giảm thiểu các rủi ro. Còn nếu chúng ta chỉ đơn giản là xem các tổ chức, doanh nghiệp tương tự chúng ta làm những gì để đem phương pháp, cách thức đó áp dụng cho đơn vị mình thì dễ dẫn đến chi phí đầu tư cho việc đảm bảo ATTT sẽ rất lớn.

Không có đơn vị, doanh nghiệp nào có thể triển khai đầu tư tất cả các biện pháp đảm bảo ATTT mà trên thế giới có và đang khuyến cáo. Quan trọng hơn cả là tổ chức, doanh nghiệp phải chọn lựa biện pháp đảm bảo ATTT phù hợp với mình, dựa trên việc đánh giá những rủi ro của chính nội tại đơn vị mình. Để đánh giá được rủi ro, các tổ chức, doanh nghiệp có thể tự đánh giá cũng có thể mời các đơn vị tư vấn hỗ trợ đánh giá và đưa ra khuyến cáo nên tập trung vào những rủi ro nào để có biện pháp giảm thiểu trước.

Vân Anh (Thực hiện)