Xây dựng quy trình toàn diện để bảo đảm hoạt động an toàn thông tin

Thời gian gần đây, hoạt động tin tặc liên tục gia tăng về mức độ nguy hiểm, tính tự động ngày càng cao với các kiểu tiến công đa dạng. Xu hướng hiện nay của tin tặc là tiến công vào các cơ quan liên quan đến tài chính, ngân hàng và cơ quan nhà nước (CQNN). Đánh giá từ Hiệp hội An toàn thông tin Việt Nam (VNISA) cho thấy, có đến 78% các website có tên miền (gov.vn) bị tiến công theo kiểu từ chối dịch vụ (DDoS), dẫn đến tê liệt hoạt động. Một nghiên cứu mới đây nhất từ Công ty cổ phần Bkav cho thấy, tỷ lệ các website tại Việt Nam tồn tại các lỗ hổng bảo mật lên đến 40%, trong khi tỷ lệ đó ở khu vực châu Á là 36%, châu Âu 15%, châu Mỹ 5% và Châu Phi là 33%... Cứ 10 website thì có ít nhất một trang có thể bị tin tặc tiến công, cài mã độc, trong đó có nhiều website quan trọng của các CQNN. Mức độ an ninh của hệ thống website tại Việt Nam tuy đạt mức trung bình so với khu vực, nhưng thuộc diện thấp so với thế giới. Hầu như cơ quan, doanh nghiệp nào cũng có website, nhưng công tác bảo đảm ATTT cho “cửa ngõ” này lại không được quan tâm đúng mức. Việc tin tặc dễ dàng thực hiện các cuộc tiến công như hiện nay xuất phát từ sự chủ quan của các cơ quan quản lý website. Những lỗ hổng tồn tại trên website chủ yếu bắt nguồn từ việc thiếu quy trình kiểm tra đánh giá cũng như kinh nghiệm về lập trình an toàn của đội ngũ lập trình viên. Rất nhiều website đang sử dụng phần mềm mã nguồn mở, bởi vậy, khi các diễn đàn bảo mật trên mạng công bố các lỗi bảo mật mà người quản trị không kịp chỉnh sửa thì sẽ bị tin tặc lợi dụng, chiếm quyền kiểm soát khá dễ dàng. Thực tế cho thấy, một máy chủ chứa nhiều website và chỉ cần một trong số đó bị chiếm quyền, có thể toàn bộ website đặt chung máy chủ cũng mất quyền kiểm soát theo kiểu tiến công leo thang đặc quyền. Các chuyên gia cho rằng, việc bảo đảm ATTT trong CQNN tại Việt Nam chưa cao, khả năng tự bảo vệ trước mã độc và các cuộc tiến công còn thấp, dẫn đến việc mất nhiều thời gian để xử lý sự cố. Trong khi đó, CQNN là nơi lưu trữ và xử lý nhiều thông tin quan trọng, có thể ảnh hưởng đến những quyết sách của cả quốc gia. Vì vậy, việc bảo đảm ATTT trong các cơ quan này là yếu tố quan trọng hàng đầu. Mặc dù hằng năm, một số đơn vị cũng triển khai một số giải pháp, nhưng hầu hết vẫn bộc lộ những nguy cơ tiềm ẩn mất ATTT, có thể dẫn tới toàn bộ hệ thống bị chiếm quyền. Theo ông Nguyễn Đức Tuấn (giảng viên Viện đại học Mở Hà Nội), để phòng, chống và khắc phục các sự cố mất ATTT, các CQNN, tổ chức cần xây dựng một hệ thống an ninh mạng, đồng thời áp dụng các biện pháp vận hành, duy trì hệ thống này. Trong đó, việc xây dựng nguồn nhân lực có trình độ cao về công nghệ cần được ưu tiên trong quá trình vận hành, tương đương với việc duy trì hệ thống an ninh mạng thường xuyên; xây dựng và thực thi nghiêm chỉnh chính sách bảo mật thông tin, các quy trình kiểm tra, kiểm soát... Tuy vậy, hầu hết các CQNN mặc dù đã được đầu tư, triển khai nhiều biện pháp nhưng đều chỉ giải quyết phần “ngọn”, cho nên hiệu quả vẫn chưa được như mong muốn, chưa theo kịp yêu cầu từ thực tế.

Đánh giá từ Cục Tin học thống kê (Bộ Tài chính) cho thấy, những thách thức về vấn đề bảo đảm ATTT trong các CQNN chỉ chiếm khoảng 20%, còn lại là do thiếu cơ chế, chính sách, quy trình quản lý và nhận thức của con người. Theo Phó Chủ tịch phụ trách an ninh mạng của Bkav Ngô Tuấn Anh, bên cạnh việc chuẩn bị tốt về trang thiết bị, cần quan tâm đến các kịch bản ứng phó và nhân lực chuyên về ATTT. Cho dù thiết bị được đầu tư tốt đến đâu, nhưng con người không sử dụng được, quy trình lại lỏng lẻo thì việc lộ, lọt, mất thông tin hoàn toàn có thể xảy ra. Xây dựng các chính sách, quy trình bảo mật thông tin còn giúp đơn vị, người quản lý biết cần phải bảo vệ tài nguyên gì, mức độ bảo vệ tương ứng với từng loại tài nguyên, những điểm hạn chế cần khắc phục thông qua các buổi diễn tập, qua đó định hướng được lựa chọn các giải pháp an ninh. Trên hết vẫn là cần sự thay đổi nhận thức từ lãnh đạo các CQNN, doanh nghiệp và việc nâng cao kiến thức của các lập trình viên. Một quy trình toàn diện sẽ bảo đảm về mặt kỹ thuật, tính ổn định của hệ thống thông tin và các nguyên tắc hoạt động của con người để sử dụng các tài nguyên sẵn có.