Liên kết bảo vệ an ninh, an toàn mạng: Tầm nhìn xa trước thách thức lớn

Đội ngũ nhân sự tại Công ty An ninh mạng Viettel (VCS)"

Bài 3: Xây dựng tuyến phòng thủ kiên cố

Một nền móng vững vàng

Nghị quyết Đại hội XIII của Đảng xác định bảo đảm an ninh, an toàn mạng là một trong những nhiệm vụ quan trọng trong “Chiến lược bảo vệ Tổ quốc trong tình hình mới”, “Chiến lược bảo vệ an ninh quốc gia”; nhất là trong bối cảnh đất nước ta đang đẩy mạnh quá trình chuyển đổi số, xây dựng chính phủ điện tử, hướng tới chính phủ số, nền kinh tế số, xã hội số, công dân số. Nhiệm vụ “Xây dựng không gian mạng an toàn, lành mạnh, rộng khắp, góp phần xây dựng và bảo vệ vững chắc Tổ quốc Việt Nam XHCN” được nhấn mạnh trong Nghị quyết số 29-NQ/TW ngày 25/7/2018 về “Chiến lược bảo vệ Tổ quốc trên không gian mạng”.

Nhằm góp phần thực hiện Nghị quyết của Đảng, Hiệp hội An ninh mạng quốc gia chính thức được thành lập, quy tụ các tổ chức, cá nhân ưu tú về CNTT; là nơi các thành viên hợp tác và cạnh tranh lành mạnh cùng phát triển vì mục tiêu chung. Trung tướng Nguyễn Minh Chính, Cục trưởng A05, Phó Chủ tịch Thường trực Hiệp hội nhấn mạnh: “Tuy mới thành lập nhưng Hiệp hội đã cùng các đơn vị, tổ chức, doanh nghiệp CNTT trong cả nước góp phần quan trọng từng bước xây dựng thế trận an ninh nhân dân, xây dựng tuyến phòng thủ kiên cố trên không gian mạng, góp phần giảm thiểu tình trạng bị động trước sự tấn công của tội phạm”.

Theo nhiều chuyên gia, để bảo đảm an toàn không gian mạng, Việt Nam cần giải quyết các vấn đề: Hoàn thiện khung khổ pháp lý; Đào tạo và sử dụng nhân lực ngành CNTT; Đầu tư xây dựng cơ sở vật chất ngành CNTT, chú trọng đầu tư cho an ninh mạng. Thiếu tướng Lê Minh Mạnh, Phó Cục trưởng A05 cho biết, Ban Thư ký Hiệp hội đã kịp thời có văn bản trao đổi với các thành viên về tình hình tấn công mạng tại Việt Nam và triển khai hoạt động ứng phó của Hiệp hội; Thành viên Hiệp hội, đặc biệt là các chủ quản hệ thống thông tin quan trọng, phạm vi lớn, phức tạp được yêu cầu rà soát, đánh giá hệ thống thông tin trong phạm vi quản lý; trao đổi với cơ quan chức năng để hướng dẫn phương án ứng phó khi gặp tấn công mạng, sự cố mạng. Các thành viên có thế mạnh về công nghệ, bảo mật mạng cùng tham gia hình thành mạng lưới bảo vệ an ninh mạng do Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an chủ trì, điều phối.

Cùng quan điểm trên, Trung tá Triệu Mạnh Tùng, Phó Cục trưởng Cục A05 nói rõ hơn: “Cần cụ thể hóa trách nhiệm của tổ chức, đơn vị và cá nhân trong công tác bảo vệ an ninh hệ thống mạng thông tin quốc gia, nhất là hệ thống thông tin quan trọng về an ninh quốc gia; định kỳ/đột xuất kiểm tra, giám sát việc thực hiện các quy định về bảo vệ an ninh mạng; xử lý nghiêm các vụ việc gây mất an ninh mạng, lộ bí mật Nhà nước, dữ liệu cá nhân trên không gian mạng. Tổ chức tuyên truyền trong toàn hệ thống chính trị, các cơ quan, đơn vị về công tác bảo đảm an ninh, an toàn hệ thống mạng”.

Ông Vũ Xuân Nguyên, Chủ tịch Hội đồng quản trị Công ty cổ phần IGB cho rằng, cần tiếp tục hoàn thiện chính sách thúc đẩy khởi nghiệp, đổi mới sáng tạo theo hướng phù hợp với cơ chế thị trường và thông lệ quốc tế. Đồng bộ hóa các quy định, quy chế, chính sách liên quan; có cơ chế thí điểm, đầu tư mạo hiểm, chấp nhận rủi ro nhằm tháo gỡ các nút thắt, rào cản, tạo điều kiện, môi trường thuận lợi cho khởi nghiệp, đổi mới sáng tạo; khuyến khích đặt hàng, công nhận sản phẩm, dịch vụ mới. Trong khi đó, chuyên gia CNTT Ngô Minh Hiếu kiến nghị Hiệp hội có thể tham gia quá trình xây dựng và đề xuất các chính sách liên quan đến an ninh mạng, “bảo đảm các quy định mới phản ánh đúng thực tế và nhu cầu của cộng đồng CNTT”.

Đầu tư cho nguồn nhân lực và hạ tầng an ninh mạng

Ông Vũ Ngọc Sơn, Ủy viên Ban Chấp hành, Trưởng ban Nghiên cứu công nghệ của Hiệp hội, Giám đốc công nghệ, Công ty Công nghệ An ninh mạng quốc gia NCS đánh giá, thế mạnh của Hiệp hội là ở chỗ: “Thành viên Hiệp hội đều là những công ty công nghệ, trong đó có những công ty chuyên nghiệp về an ninh mạng, với đội ngũ chuyên gia hoạt động lâu năm trong lĩnh vực này có thể trở thành nòng cốt để hỗ trợ, nâng cao kiến thức, kỹ năng an ninh mạng cho các thành viên khác”. Ông khẳng định: “Việt Nam không thiếu chuyên gia giỏi, có khả năng phát triển các sản phẩm an ninh mạng đạt chất lượng quốc tế hay đủ khả năng tư vấn giải pháp phòng chống tấn công tổng cho các hệ thống mạng quy mô lớn”. Vấn đề ở đây là quy tụ và khai phá tiềm năng đó ra sao?

Nguồn nhân lực chất lượng cao có vị trí, vai trò vô cùng quan trọng trong bối cảnh hiện nay khi đất nước mở cửa, hội nhập sâu vào nền kinh tế thế giới. Trước diễn biến phức tạp của tình hình an ninh mạng hiện nay, ông Vũ Xuân Nguyên đề xuất: “Về đào tạo, nên xây dựng các club, các khóa học về CNTT từ các cấp học nhỏ để bồi dưỡng và phát hiện các nhân tố tài năng, đồng thời nâng cao tiêu chuẩn tuyển chọn đầu vào các trường đại học, cao đẳng, các khối ngành CNTT để sàng lọc, lựa chọn được nhân tài và đào tạo ra các chuyên gia.

Cần tuyên truyền và đặt ngành CNTT đúng với vai trò trong xã hội hiện đại, các kỹ sư, chuyên gia CNTT cần được coi trọng và đãi ngộ xứng đáng”. Chuyên gia bảo mật Ngô Minh Hiếu chia sẻ: Thông qua các khóa học, hội thảo và chương trình đào tạo, Hiệp hội giúp nâng cao trình độ chuyên môn cho các chuyên gia an ninh mạng, tạo điều kiện để họ cập nhật các kỹ thuật và công nghệ mới nhất trong lĩnh vực, xây dựng chuẩn mực và các “hành động tốt nhất” (best practices) giúp các tổ chức tăng cường bảo vệ dữ liệu và hạ tầng mạng của mình.

Sau các sự cố với VNDirect, PVOil..., tháng 4 vừa qua, Hiệp hội đã phối hợp Câu lạc bộ Nhà báo CNTT Việt Nam tổ chức Tọa đàm “Phòng, chống tấn công mã hóa dữ liệu tống tiền”; phối hợp với Ủy ban Chứng khoán tổ chức hai hội thảo: “Kiểm soát rủi ro và biện pháp ứng phó khẩn cấp bảo đảm an ninh, an toàn hệ thống giao dịch chứng khoán” và “Ứng phó trước làn sóng tấn công mạng vào các tổ chức, công ty tài chính”, dành cho các ngân hàng, tổ chức tài chính, công ty chứng khoán và các tổ chức, đơn vị có nhiều dữ liệu quan trọng, đã cho thấy hiệu quả tích cực, góp phần làm cho các tổ chức, công ty ý thức hơn, hiểu rõ hơn về các nguy cơ, biết được việc gì cần làm ngay, biện pháp, kỹ thuật nào giúp nâng cao an ninh, an toàn hệ thống... “Thời gian tới, Hiệp hội sẽ tăng cường trao đổi, hoạt động online nhiều hơn để các thành viên có thể linh hoạt tham gia mà không ảnh hưởng đến hoạt động của tổ chức, doanh nghiệp. Đặc biệt về đào tạo, Hiệp hội sẽ cân nhắc đào tạo theo mô hình hybrid, kết hợp giữa online và trực tiếp với tỷ lệ thời gian hợp lý bảo đảm chất lượng”, ông Vũ Ngọc Sơn cho biết.

Vẫn nhiều khó khăn, rất cần giải pháp

Hiện nay ở nước ta, nhu cầu bảo vệ an toàn trên không gian mạng cho 100 triệu người dân, hơn 3.000 hệ thống thông tin quan trọng của các cơ quan Đảng, Nhà nước, hơn 1 triệu doanh nghiệp, 5 triệu hộ kinh doanh cá thể, 26 triệu hộ gia đình, 14.000 cơ sở y tế và 44.000 trường học cùng nhiều cơ quan, tổ chức là rất lớn, nhưng doanh nghiệp CNTT còn bị động trước làn sóng tấn công của tin tặc.

Quy mô thị trường an ninh mạng còn nhỏ, lợi nhuận từ các hoạt động an ninh mạng không cao, khả năng tái đầu tư nghiên cứu, phát triển công nghệ an ninh mạng chưa tương xứng. Nhiều doanh nghiệp lúng túng khi xảy ra sự cố, chậm thông báo cho cơ quan chức năng, không có kế hoạch điều tra ứng phó, vội vã khôi phục, gây khó khăn cho việc truy dấu vết. Ngành an ninh mạng thiếu vốn đầu tư, thiếu nguồn nhân lực, thiếu sự hỗ trợ của Chính phủ và sự tin tưởng của khách hàng.

Đối phó với tấn công mã độc nguy hiểm, từ ngày 1/7, Quyết định số 2345-QĐ/NHNN về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng sẽ có hiệu lực thực thi. Theo Phó Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN) Phạm Tiến Dũng, quyết định nêu trên yêu cầu các giao dịch thanh toán điện tử của khách hàng cá nhân có giá trị hơn 10 triệu đồng hoặc tổng giá trị giao dịch thanh toán trong ngày vượt 20 triệu đồng phải áp dụng biện pháp xác thực sinh trắc học khớp với dữ liệu được lưu trong cơ sở dữ liệu sinh trắc học về khách hàng; kiểm tra, khuyến khích kết hợp với phương thức xác thực OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP.

Vụ trưởng Vụ Thanh toán NHNN Phạm Anh Tuấn nhấn mạnh, để triển khai Quyết định số 2345 hiệu quả, các tổ chức tín dụng, trung gian thanh toán cần rất nhiều nguồn lực. Đến nay, có 51 trong số 59 tổ chức tín dụng đã phối hợp với C06 (Bộ Công an) triển khai xác thực khách hàng thông qua căn cước công dân gắn chíp tại quầy, 41 trong số 59 tổ chức tín dụng thực hiện xác thực căn cước công dân gắn chíp qua ứng dụng trên thiết bị di động và 14 đơn vị triển khai ứng dụng định danh điện tử công dân (VNeID).

Theo Trung tá Triệu Mạnh Tùng, Phó Cục trưởng Cục A05, vấn đề bây giờ là các cơ quan, tổ chức, doanh nghiệp cần quán triệt, thực hiện nghiêm Luật An ninh mạng năm 2018, Nghị định số 53/2022/NĐ-CP của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng, Nghị định số 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.

Theo ông Tùng, những ưu tiên là: Tuyên truyền, phổ biến nâng cao nhận thức, trách nhiệm đối với công tác bảo đảm an ninh, an toàn hệ thống mạng; thường xuyên cập nhật, thực hiện nghiêm các thông báo, cảnh báo của cơ quan chuyên trách về các loại tội phạm mạng, tội phạm sử dụng công nghệ cao, nguy cơ mất an ninh mạng, lộ lọt thông tin dữ liệu cá nhân. Rà soát, xây dựng, hoàn thiện các quy định, quy trình, quy chế, hướng dẫn; kiểm tra, đánh giá an ninh, an toàn hệ thống mạng trong nội bộ; khẩn trương kết nối các hệ thống thông tin quan trọng vào hệ thống giám sát của Trung tâm An ninh mạng quốc gia để kịp thời phát hiện, cảnh báo, giám sát, khắc phục các sự cố, tình huống nguy cấp. Tập trung đầu tư, phân bổ kinh phí, bố trí nhân lực bảo vệ an ninh mạng gắn với công tác chuyển đổi số; tổ chức tập huấn, bồi dưỡng, nâng cao kiến thức, kỹ năng cho cán bộ, đảng viên, đội ngũ chuyên trách công nghệ thông tin, an ninh mạng tại cơ quan, đơn vị.

Để có kỹ năng đối phó trước thách thức, cần tổ chức diễn tập phòng chống tấn công mạng và ứng phó, khắc phục sự cố an ninh mạng. Khẩn trương thiết lập các kênh chia sẻ thông tin, thông báo sự cố giữa các lực lượng chuyên trách và chủ quản hệ thống thông tin. Chỉ đạo các cơ quan, tổ chức, doanh nghiệp, cá nhân có hoạt động thu thập, xử lý dữ liệu cá nhân, tiến hành rà soát tổng thể, phân loại dữ liệu cá nhân đã thu thập, đang xử lý; đánh giá tác động xử lý dữ liệu cá nhân và chuyển dữ liệu cá nhân ra nước ngoài; xử lý nghiêm các hành vi chuyển giao, mua bán dữ liệu cá nhân trái phép...

Trong năm 2024, các chủ đề nóng, thiết thực sẽ tiếp tục được Hiệp hội phối hợp với các bên liên quan tổ chức như: Hội thảo phòng chống lừa đảo trên không gian mạng; Xây dựng chính sách bảo vệ dữ liệu cá nhân; Bình chọn sản phẩm dịch vụ an ninh mạng 2024; Gặp mặt các KOLs nhân vật quản trị hội, nhóm, diễn đàn lớn trên không gian mạng (do Cục A05 tổ chức); Tổ chức diễn tập quy mô lớn các đội tham gia phòng thủ, tấn công; Hội thi cho các hacker để khích lệ phong trào học tập, nghiên cứu, ứng dụng an ninh mạng, tăng cường nguồn lực an ninh mạng quốc gia; Liên kết giữa cộng đồng an ninh mạng Việt Nam và thế giới; Thời gian tới sẽ ra mắt Viện Nghiên cứu, tư vấn chính sách, pháp luật; Xúc tiến Đề án Thành lập mạng lưới đào tạo, huấn luyện về an ninh mạng; Tổ chức đánh giá, kiểm định các sản phẩm dịch vụ SOC và Pentest tại Việt Nam...

Cần hành động sớm khi chưa quá muộn, đó là lời thúc giục từ bản thân mỗi doanh nghiệp, tổ chức, rộng hơn là vì an ninh an toàn, chủ quyền quốc gia. Đó là ưu tiên bố trí vốn để xây dựng, triển khai các giải pháp an ninh mạng; là chiến lược đầu tư đều, giám sát an ninh mạng và quy trình phản ứng khi xảy ra tấn công mạng. Tại Hội thảo-Triển lãm quốc tế “Ngày An toàn thông tin Việt Nam 2023” diễn ra tại Hà Nội ngày 30/11/2023, Thứ trưởng Thông tin và Truyền thông, Phó Chủ tịch Hiệp hội Nguyễn Huy Dũng lưu ý: Dữ liệu là tài sản của mỗi tổ chức, cá nhân, bảo vệ dữ liệu cũng chính là bảo vệ tài sản của tổ chức mình. Vì vậy, trách nhiệm bảo đảm an toàn thông tin phải xuất phát từ chính mỗi cá nhân, mỗi tổ chức, mỗi ngành, mỗi lĩnh vực.