Tọa đàm trực tuyến: “Làm gì để bảo đảm an toàn thông tin trong cơ quan nhà nước?”

Buổi tọa đàm chủ đề “Làm gì để bảo đảm an toàn thông tin trong cơ quan nhà nước?ọađàmtrựctuyếnLàmgìđểbảođảmantoànthôngtintrongcơquannhànướtrận banh tối nay” được chuyên trang ICTnews của báo điện tử Infonet tổ chức trong bối cảnh sức nóng của lĩnh vực an toàn thông tin mạng trên thế giới và tại Việt Nam đang có xu hướng ngày càng gia tăng. Nhiều chuyên gia đã đưa ra nhận định, trong năm 2018 và các năm tiếp theo an toàn thông tin mạng vẫn sẽ diễn biến phức tạp. Các cuộc tấn công mạng của tin tặc sẽ sử dụng các công nghệ thông minh hơn, tinh vi hơn và đặc biệt nguy hiểm với các cuộc tấn công có chủ đích nhằm vào các hạ tầng trọng yếu quốc gia. Bối cảnh đó đặt các cơ quan, tổ chức, doanh nghiệp Việt Nam phải đối mặt với vô vàn thách thức để bảo đảm an toàn cho các hệ thống thông tin, nhất là các hệ thống thông tin quan trọng.

Theo số liệu thống kê mới nhất của các cơ quan thuộc khối an toàn thông tin của Bộ TT&TT, trong năm nay, các hệ thống thông tin tại Việt Nam đã phải hứng chịu khoảng 14.000 cuộc tấn công mạng, gồm khoảng 3.000 cuộc tấn công lừa đảo (Phishing), 6.500 cuộc tấn công cài phần mềm độc hại (Malware) và 4.500 cuộc tấn công thay đổi giao diện (Deface). Trong đó, số cuộc tấn công vào hệ thống thông tin của các cơ quan nhà nước có tên miền “.gov.vn” cũng lên tới hàng trăm.

Tham gia buổi tọa đàm trực tuyến chủ đề “Làm gì để bảo đảm an toàn thông tin trong cơ quan nhà nước?” do ICTnews tổ chức chiều ngày 21/12/2017 có ông Nguyễn Khắc Lịch, Phó Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) – Bộ TT&TT; ông Nguyễn Huy Dũng, Phó Cục trưởng Cục An toàn thông tin - Bộ TT&TT; ông Triệu Trần Đức, Tổng giám đốc Công ty cổ phần an ninh an toàn CMC - CMC InfoSec; ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng Công ty Bkav; và ông Khổng Huy Hùng, Tổng Giám đốc Công ty cổ phần Công nghệ an ninh không gian mạng VIệt Nam – VNCS.

Tại tọa đàm trực tuyến này, các chuyên gia sẽ cùng trao đổi về những nguy cơ, thách thức trong việc đảm bảo an toàn thông tin cho hệ thống thông tin của các các cơ quan, tổ chức, đồng thời chia sẻ những kinh nghiệm cũng như đưa ra những khuyến nghị đối với cơ quan, tổ chức… để giúp cho công tác đảm bảo an toàn thông tin trong các cơ quan, tổ chức nhà nước ngày càng chuyên nghiệp hơn.

Buổi tọa đàm được triển khai bằng hình thức đưa ra câu hỏi mà độc giả quan tâm đến các chuyên gia trả lời và đăng tải trên ICTnews.vn. Trong thời gian diễn ra buổi tọa  đàm trực tuyến, độc giả vẫn có thể gửi câu hỏi cho các chuyên gia và gửi về cho Ban Tổ chức theo địa chỉ [email protected] hoặc [email protected].

Dưới đây là nội dung buổi tọa đàm trực tuyến:

MC: Theo một thống kê của Bộ Công an, các trang tên miền .gov bị tấn công nhiều (44% tổng số website), vấn đề nhận thức ATTT trong các cơ quan Nhà nước. Từ con số này, ông có nhận định gì về công tác đảm bảo an ninh, bảo mật thông tin tại các cơ quan nhà nước hiện nay? Phải chăng các cơ quan, tổ chức nhà nước còn lơ là, chưa nhận thức được các nguy cơ?

Ông Nguyễn Huy Dũng:Xin cảm ơn ông vì câu hỏi này. Trước hết chúng ta phải nhận định công tác đảm bảo ATTT trong các cơ quan Nhà nước trong 3 năm gần đây đã được chú trọng hơn trước. Nhưng có một thực tiễn là công nghệ luôn thay đổi do đó các nguy cơ, rủi ro luôn phát triển nhanh hơn cả những cố gắng mà chúng ta đã làm trong thời gian qua. Do đó, cần phải tiếp tục quan tâm hơn nữa tới công tác đảm bảo ATTT đặc biệt cần có sự tham gia chỉ đạo trực tiếp của người đứng đầu các cơ quan tổ chức Nhà nước.

Ông Ngô Tuấn Anh: Con số 40% các website có lỗ hổng theo tôi là con số khá sát thực tế, thống kê về an ninh bảo mật trên các hệ thống website toàn cầu mà chúng tôi đã thực hiện, số website tại Việt Nam có lỗ hổng là khoảng 40%, mức trung bình trong khu vực nhưng là cao so với thế giới. Con số này cần đặt ra những suy nghĩ vì website là cửa ngõ kết nối vào hệ thống thông tin của các cơ quan, tổ chức, hiện nay hầu như đơn vị nào cũng có website. Những trang web .gov.vn là những địa chỉ mà hacker luôn ngắm tới để tìm ra những lỗ hổng nhằm xâm nhập vào hệ thống. Khi xây dựng hệ thống, các tổ chức cần đảm bảo an toàn thông tin cho website, bao gồm khi đưa hệ thống mới vào sử dụng, cũng như khi nâng cấp, bổ sung các tính năng mới, ngoài ra cần có kế hoạch định kỳ thực hiện việc kiểm tra này. Việc phát hiện sớm lỗ hổng sẽ giúp chúng ta xử lý sớm, tránh bị hacker lợi dụng khai thác, xâm nhập vào hệ thống.

Ông Triệu Trần Đức: Theo CMC, nên nhìn nhận con số đó một cách khả quan. Nhìn vào con số 44% thì chúng ta cũng nên quay lại khi 5 năm trước đây con số này phải gấp đôi, khoảng 90%. Như vậy sau 5 năm đã giảm một nửa, đó là nỗ lực rất lớn. Vài năm trở lại đây, nhận thức đã tăng nhanh, đầu tư phù hợp hơn. Tuy nhiên vẫn cần tăng cường các giải pháp kỹ thuật, cần tăng cường nhận thức từ những người lãnh đạo, bộ phận quản trị mạng... để con số này ngày càng giảm hơn.

MC: Cả ở địa phương cũng như tại các bộ, ngành, nhiều cuộc diễn tập ứng cứu sự cố đã được tổ chức. Tuy nhiên, khi triển khai công tác ứng cứu xử lý sự cố tấn công mạng thực tế vẫn lúng túng, phản ứng chậm. Là cơ quan điều phối Mạng lưới ứng cứu sự cố quốc gia, ông bình luận gì về thực tế này?

Ông Nguyễn Khắc Lịch:Trong năm 2017, Trung tâm VNCERT đã tham mưu Lãnh đạo Bộ TT&TT, trình Thủ tướng Chính phủ ban hành Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia; và Tham mưu Bộ trưởng Bộ TT&TT ban hành Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 Quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc. Tại Quyết định số 05/2017/QĐ-TTg và Thông tư số 20/2017/TT-BTTTT đã yêu cầu Các cơ quan, đơn vị xây dựng và thực hiện kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng. Đồng thời, Quyết định số 05/2017/QĐ-TTg và Thông tư số 20/2017/TT-BTTTT đã đưa ra Đề cương Kế hoạch ứng phó sự cố ATTT mạng, trong đó có quy định về triển khai huấn luyện, diễn tập, phòng ngừa sự cố, giám sát phát hiện, bảo đảm các điều kiện sẵn sàng đối phó, ứng cứu, khắc phục sự cố. Yêu cầu về đảm bảo sẵn sàng, phản ứng nhanh và ứng cứu kịp thời khi sự cố xảy ra là một nội dung rất quan trọng trong công tác đảm bảo an toàn thông tin. Để làm tốt yêu cầu này, đòi hỏi các Bộ, ngành, địa phương và các chủ quản hệ thống thông tin cần chủ động nâng cao năng lực đội ngũ, tính sẵn sàng thông qua các hoạt động như đào tạo, huấn luyện, diễn tập ứng cứu sự cố về ATTT... Có thể nói, hoạt động diễn tập là rất cần thiết và cần được tổ chức thường xuyên để tăng tính sẵn sàng và năng lực của các cơ quan, đơn vị. Tuy nhiên, cùng với đó, yêu cầu nâng cao chất lượng của các cuộc diễn tập chưa cao và thiên về "Diễn là chính, tập là phụ”và yêu cầu trong thời gian tới diễn tập về ứng cứu sự cố phải là “Tập là chính diễn là phụ”. Do vậy, để khắc phục được tình trạng nêu trên, trong thời gian tới các Bộ, ngành và địa phương cần trọng triển khai hoạt động diễn tập gắn với thực tế và gắn với Kế hoạch ứng phó sự cố ATTT mạng của từng hệ thống và cơ quan đơn vị mình. Với vai trò là cơ quan được Lãnh đạo Bộ giao theo dõi, đôn đốc triển khai Quyết định số 05/2017/QĐ-TTg và Thông tư số 20/2017/TT-BTTTT, Trung tâm VNCERT sẽ tích cực đôn đốc, hướng dẫn các đơn vị tổ chức các hoạt động diễn tập theo đúng tinh thần trên để nâng cao hiệu quả trong công tác đảm bảo an toàn thông tin.

MC: Tôi muốn hỏi thêm câu hỏi khác, kết nối IoT đặt ra những bài toán bảo mật ra sao cho các cơ quan, tổ chức. Các vị khách mời đánh giá đâu là những nguy cơ nào các cơ quan, tổ chức cần phải quan tâm?

Ông Khổng Huy Hùng: Tôi cho rằng, chúng ta không nên quá hoang mang dẫn đến tâm lý dàn trải để bảo vệ các hệ thống IoT của cơ quan, tổ chức mình. Việc chúng ta cần làm là tập trung vào 2 hướng chính: thứ nhất nên khắc phục những lỗ hổng cơ bản trên hệ thống của mình, thứ hai là tập trung đầu tư để đảm bảo cho hệ thống IoT chính mà mình đang vận hành.

MC: Các doanh nghiệp như VNPT, Viettel… đã triển khai smartcity, đô thị thông minh, bệnh viên kết nối, giáo dục kết nối, vậy những kết nối đó có đặt ra bài toán bảo mật ra sao trong xu hướng 4.0 đang phát triển mạnh mẽ?

Ông Ngô Tuấn Anh:Rõ ràng khi có càng nhiều kết nối thì nguy cơ càng lớn. Gần đây, vào cuối 2016, hẳn chúng ta còn nhớ có mã độc Mirai, đây là loại mã độc thường lợi dụng thói quen không đổi mật khẩu mặc định từ nhà sản xuất của người dùng, để tự động dò tìm và lây nhiễm vào các thiết bị IoT. Cách đây 2 tháng, khi phân tích một biến thể mới của Mirai, chúng tôi cũng đã phát hiện hacker đang nhắm mục tiêu vào Việt Nam. Trong biến thể này, danh sách mật khẩu bị mã độc sử dụng để tấn công xuất hiện thông tin tài khoản mặc định của nhà mạng tại Việt Nam. Sự bùng nổ của IoT khiến vấn đề an ninh trên các thiết bị như Router Wifi, Camera IP… trở thành chủ đề nóng trong thời gian gần đây.

Kết quả nghiên cứu của Bkav năm 2016 cũng cho thấy có hơn 5,6 triệu router trên khắp thế giới có lỗ hổng, riêng tại Việt Nam con số này là 300 nghìn, tương đương với 300 nghìn hệ thống mạng đang trong tình trạng bỏ ngỏ. Sau khi tấn công, kiểm soát thiết bị IoT, hacker có thể huy động các thiết bị này trở thành botnet trong các cuộc tấn công từ chối dịch vụ DDoS hoặc kiểm soát toàn bộ truy cập của người dùng trong mạng, thực hiện các hình thức tấn công MitM, Phishing để ăn cắp tài khoản ngân hàng, mạng xã hội, email... Để phòng tránh nguy cơ bị truy cập trái phép, người sử dụng cần phải kiểm tra, thay đổi mật khẩu quản trị các thiết bị IoT đồng thời tắt tính năng cho phép truy cập thiết bị từ mạng Internet bên ngoài khi không sử dụng. Về phía nhà cung cấp dịch vụ, thiết bị cũng cần thông báo việc phải thay đổi mật khẩu mặc định cho khách hàng sau khi lắp đặt và đưa thiết bị vào sử dụng.

MC: Các chuyên gia đánh giá như thế nào về nguy cơ mất an toàn thông tin trong khối các cơ quan nhà nước hiện nay, nhất là trong xu hướng của cách mạng công nghiệp 4.0, với sự phát triển mạnh mẽ của IoT, Big Data…?

Ông Khổng Huy Hùng:Nhìn nhận lại một cách khách quan, với hệ thống máy tính truyền thống mà hiện chúng ta còn chưa làm tròn việc đảm bảo an toàn thông tin, thì đối với các hạ tầng IoT lại càng khó vì các thiết bị IoT vốn dĩ năng lực bảo mật rất hạn chế, được thiết kế để tập trung thực hiện các nhiệm vụ chuyên môn của nó hơn là quan tâm nhiều đến bảo mật. Quan điểm của tôi là việc cần tập trung, lo lắng trước tiên cho các hệ thống CNTT truyền thống (ứng dụng, hạ tầng DataCeter, thiết bị đầu cuối…) cùng các hệ thống mới manh nha thuộc về IoT của các cơ quan, tổ chức Việt Nam như trạm thu phí không dừng, camera giao thông… khi chúng ta biết rằng có gần 80% camera IP được lắp đặt ở Việt Nam có thể bị xem lén do vẫn dùng mật khẩu mặc định của nhà sản xuất thiết bị.

MC: Xu hướng tấn công mạng của các nhóm tin tặc trên thế giới và tại Việt Nam vào các tổ chức, doanh nghiệp đã và đang có những chuyển biến mới như thế nào và các cơ quan, tổ chức nhà nước cần làm gì để có thể ứng phó?

Ông Khổng Huy Hùng:Với xu hướng tấn công an ninh mạng hiện nay , các cuộc tấn công vào cơ quan tổ chức doanh nghiệp ngày càng tinh vi và có dấu hiệu tập trung vào các hệ thống thông tin trọng yếu quốc gia như hàng không, ngân hàng, viễn thông… Thực tế, các hệ thống này đã là mục tiêu bị phá hoại nghiêm trọng bởi các cuộc tấn công mạng, điển hình là là vụ tấn công mạng vào ngành hàng không Việt Nam hồi tháng 8/2016. Tôi cho rằng, các cơ quan nhà nước cần đề cao tính cấp thiết của an ninh mạng, đặt vấn đề an toàn thông tin lên ưu tiên cao, đưa ra các chính sánh ưu đãi cho yếu tố con người để chiêu mộ nhân tài và củng cố nhận thức về an toàn thông tin trong nội bộ.

MC: Dự báo về tình hình an toàn thông tin mạng thời gian tới, nhiều chuyên gia cho rằng tấn công có chủ đích APT sẽ tiếp tục gia tăng trong năm tới và các hạ tầng thông tin trọng yếu sẽ trở thành đích ngắm của nhiều nhóm tội phạm mạng. Ý kiến của các vị khách mời về vấn đề này như thế nào?

Ông Khổng Huy Hùng:Tôi hoàn toàn đồng ý với nhận định đó. Đặc biệt trong bối cảnh các hệ thống trọng yếu của chúng ta chưa được bảo vệ thích đáng, thì đó là miếng mồi ngon cho các hacker tấn công có tổ chức. Đảm bảo an toàn thông tin là vấn đề nóng hiện nay, tuy nhiên đầu tư cho an toàn thông tin của các cơ quan, tổ chức tại Việt Nam còn rất hạn chế, chiếm tỷ lệ rất nhỏ. Trong bối cảnh nguồn kinh phí hạn hẹp, các cơ quan, đơn vị cần phải làm sao để có thể triển khai nhiệm vụ này có hiệu quả, thưa các chuyên gia? Ông Khổng Huy Hùng: Theo thống kê của một tổ chức quốc tế của Mỹ, tỷ lệ đầu tư cho an toàn thông tin trong tổng ngân sách đầu tư cho CNTT nói chung trung bình trên thế giới là khoảng 30% doanh nghiệp đầu tư ở mức dưới 6%; trong khi con số này ở Việt Nam, theo thống kê của Hiệp hội An toàn thông tin Việt Nam (VNISA) la gần 50% doanh nghiệp. Thực ra không phải là kinh phí đầu tư cho CNTT thấp dẫn đến đầu tư cho an toàn thông tin thấp mà do bản thân các đơn vị chưa chú trọng ưu tiên đầu tư cho an toàn thông tin. Trong điều kiện như vậy, tôi cho rằng tốt nhất là không đầu tư dàn trải mà phương pháp đầu tư cho an toàn thông tin tiết kiệm nhất, hiệu quả nhất vẫn là thực hiện “may đo” cho từng đơn vị. Không có đơn vị, doanh nghiệp nào có thể triển khai đầu tư tất cả các biện pháp đảm bảo an toàn thông tin. May đo ở đây được hiểu là chúng ta phải biết được rủi ro về an toàn thông tin của tổ chức, doanh nghiệp mình nằm ở đâu và xếp thứ tự ưu tiên đối với chúng, từ đó thực hiện đầu tư các biện pháp nhằm giảm thiểu các rủi ro theo thứ tự ưu tiên. Để đánh giá được rủi ro, các tổ chức, doanh nghiệp có thể tự đánh giá cũng có thể mời các đơn vị tư vấn hỗ trợ đánh giá và đưa ra khuyến cáo nên tập trung vào những rủi ro nào để có biện pháp giảm thiểu trước.

MC: Là đơn vị đang cung cấp giải pháp cho nhiều bộ, ngành, ông đánh giá như thế nào về công tác đảm bảo an toàn thông tin của các cơ quan nhà nước hiện nay? Đâu là tồn tại, hạn chế lớn nhất của nhóm đối tượng này? (Minh Hương, Hà Nội)

Ông Triệu Trần Đức: Theo tôi trong 2 năm trở lại đây, năng lực ATTT của các cơ quan nhà nước đã tăng rõ rệt, nhận thức thay đổi nhanh. Tuy nhiên hạn chế lớn hiện nay là về hành lang pháp lý chưa đủ cơ sở để lập dự toán về thuê ngoài dịch vụ ATTT, dẫn đến chưa có đủ nguồn vốn đầu tư. Hy vọng thời gian tới sẽ có sự cải thiện.

MC: Năm 2016, lãnh đạo CMC từng nhận xét, nhiều cơ quan, tổ chức tại Việt Nam coi các sự cố về an ninh mạng là vấn đề “nóng” trong khoảng 2 tuần, sau đó lại nguội ngắt như chưa từng xảy ra, không nhận thức đây là vấn đề cần được quan tâm thường xuyên. Ông có thể cho biết đến nay tình trạng này đã được cải thiện hay chưa? (Mạnh Hùng – Hà Nội)

Ông Triệu Trần Đức: Chúng ta nhìn nhận vấn đề: trong 2 tuần đầu khi hậu quả rất rõ ràng, mọi người đều có nhận thức tốt, đặc biệt là nạn nhân của chính các sự vụ. Tuy nhiên sau đó, khi các hậu quả được xử lý thì độ nóng lại giảm dầntương ứng. Để giải quyết vấn đề luôn duy trì được nhận thức tốt, CMC đã ra mắt trung tâm giám sát an ninh mạng thế hệ mới. Khách hàng của CMC được giám sát và cảnh báo 24/7 về các mối đe dọa an toàn, an ninh thông tin. Từ đó những bộ phận an ninh, an toàn thông tin tại các cơ quan hàng ngày nhận được báo cáo thực tế về các sự kiện an ninh, an toàn thông tin mạng. Từ đó giúp họ giữ được độ “nóng” nhận thức về ATTT, góp phần rõ rệt tăng cường năng lực ATTT của tổ chức.

MC: Từ thực tế cung cấp giải pháp cho các đơn vị, tổ chức, ông đánh giá như thế nào về mức độ đảm bảo an toàn thông tin của các cơ quan, tổ chức tại Việt Nam? Và trong so sánh với khối doanh nghiệp, liệu có hay không sự chênh lệch về mức độ đầu tư, vấn đề nhận thức cũng như công tác thực thi các biện pháp đảm bảo an toàn thông tin tại các cơ quan nhà nước? (Hồng Hạnh, Hà Nội).

Ông Ngô Tuấn Anh: Qua thực tế triển khai cung cấp các giải pháp an ninh cho khách hàng, chúng tôi nhận thấy việc đầu tư nguồn lực cho đảm bảo an toàn an ninh thông tin ở các đơn vị tổ chức hầu như chưa tương xứng với mức độ quan trọng của các hệ thống cần bảo vệ. Một số tổ chức trong khối ngân hàng, tài chính thường có mức độ đầu tư cao hơn so với các nhóm còn lại. Điều này có thể giải thích bởi việc đảm bảo an toàn an ninh thông tin trong thời gian trước đây chưa phải là yêu cầu bắt buộc thực hiện đối với các cơ quan tổ chức. Việc triển khai giải pháp đảm bảo an toàn an ninh thông tin ở các đơn vị, chủ yếu phụ thuộc vào ý thức của đội ngũ lãnh đạo của các đơn vị đó. Tôi cũng hy vọng trong thời gian tới, khi luật an toàn thông tin mạng được triển khai sâu rộng trong cuộc sống, với những quy định rõ ràng về đảm bảo an toàn thông tin theo cấp độ cho từng đối tượng cũng như sự thay đổi nhận thức của các đơn vị tổ chức thì việc đầu tư cho an toàn an ninh thông tin sẽ có mức độ ưu tiên cao hơn, tương xứng với vai trò của nó trong việc đảm bảo an toàn hệ thống thông tin.

MC: Có thông tin chưa chính thức cho rằng các hacker có thể dùng phần mềm quét tự động vào các website.vn và .gov.vn để tìm ra các hệ thống đang mắc lỗi bảo mật, sau đó chỉ việc khai thác lỗ hổng để xâm nhập. Ông có bình luận gì về ý kiến này? (Nghiêm An, Quảng Ninh)

Ông Ngô Tuấn Anh:Thực tế đang diễn ra như vậy, và hacker sẽ tiến hành dò quét tất cả các website trên mạng Internet, chứ không chỉ dò quét vào các website .vn và .gov.vn để tìm lỗ hổng. Khi tìm ra lỗ hổng, hacker sẽ tiến hành khai thác để xâm nhập và điều nguy hiểm là hầu hết các đơn vị chủ quản không hề biết website của mình bị tấn công khai thác. Ghi nhận thực tế của chúng tôi, hàng tháng tại Việt Nam có khoảng 300 website .vn bị hacker khai thác tấn công, trong đó có ghi nhận các website với tên miền .gov.vn. Những lỗ hổng tồn tại trên website chủ yếu xuất phát từ việc thiếu quy trình kiểm tra đánh giá cũng như kinh nghiệm về lập trình an toàn của đội ngũ lập trình viên. Để khắc phục tình trạng này đòi hỏi sự thay đổi nhận thức từ các chính phủ, doanh nghiệp và việc nâng cao kiến thức của các lập trình viên. Trong một dự án IT, cần đầu tư ít nhất từ 5 đến 10% cho an ninh mạng, nếu không hệ quả tất yếu là hệ thống bị xâm nhập, bị đánh cắp dữ liệu. Việc khắc phục rất tốn kém và mất nhiều thời gian.

MC: Được biết năm 2017 CMC Infosec đã phát triển thành công cụ phát hiện và ngăn chặn WannaCry. Vậy đến nay công cụ đang được khối các cơ quan nhà nước đón nhận như thế nào? Năm 2018 công ty sẽ tiếp tục tung ra sản phẩm, giải pháp gì? (Lê Minh, Hà Nội)

Ông Triệu Trần Đức: Đến nay nhiều đơn vị sử dụng và có nhu cầu sử dụng giải pháp chống mã độc tống tiền của CMC. Điển hình là những máy tính quan trọng của lãnh đạo, kế toán trưởng, trưởng phòng… có nhu cầu lớn về chống mã hóa dữ liệu. Chúng tôi tin rằng thời gian tới nhu cầu này sẽ tăng cao. Thời gian tới chúng tôi dự kiến ra mắt sản phẩm, thiết bị hướng tới bảo vệ cho IoT dùng cho smarthome, smartcity…

MC: Hiện nay có nhiều công ty làm về dịch vụ an ninh thông tin nhưng chúng tôi lúng túng không biết chọn bên nào, chuyên gia có thể cho chúng tôi một lời khuyên? (Hoài Nam, Hà Nội)

Ông Triệu Trần Đức: Theo chúng tôi thì nên chọn những đơn vị lâu năm kinh nghiệm, có uy tín thương hiệu, có đầu tư lớn về đội ngũ nhân sự, kỹ sư an ninh, an toàn thông tin. Đặc biệt với các cơ quan nhà nước, đương nhiên phải chọn đơn vị được cấp phép hoạt động trong lĩnh vực AN, ATTT do Bộ TT&TT cấp. CMC là tập đoàn có hơn 20 năm kinh nghiệm tại VN trong lĩnh vực CNTT và hầu hết các khách hàng cơ quan Nhà nước của VN đều là khách hàng của CMC. Riêng CMC Infosec đã có hơn 10 năm hoạt động trong lĩnh vực AN, ATTT. Là công ty đầu tiên được Bộ TT&TT cấp phép hoạt động trong lĩnh vực ATTT tại Việt Nam. Chúng tôi đã giúp rất nhiều đơn vị tăng cường năng lực an ninh, an toàn thông tin. Bạn nên tránh thuê dịch vụ ATTT từ những công ty mới thành lập, bởi vì năng lực không đảm bảo và kể cả khi năng lực đảm bảo thì bạn cũng không thể biết được hộ làm gì với dữ liệu của tổ chức sau khi họ được tiếp cận để thực hiện các dịch vụ ATTT. 

MC: CMC Infosec nhận định đâu là những mối đe dọa về an ninh mạng chủ yếu đối với các cơ quan nhà nước trong năm 2018? Tình hình phát triển của mã độc tống tiền sẽ diễn biến như thế nào? (Tuấn Anh, Hà Nội)

Ông Triệu Trần Đức: Năm 2018 chúng tôi có dự báo các tấn công APT sẽ diễn ra với cường độ cao hơn rất nhiều. Các cơ quan nhà nước cần đặc biệt quan tâm đầu tư kịp thời cho các dịch vụ, giải pháp giám sát và phòng chống APT. Đương nhiên, các nguy cơ về IoT, Cloud, BigData… cũng sẽ đến rất nhanh, nhưng có thể ưu tiên đầu tư sau APT. Cần hết sức thận trọng trong việc mua sắm phần mềm và thiết bị khi kết nối vào hệ thống của cơ quan nhà nước. Các cơ quan nhà nước phải đảm bảo các phần mề, thiết bị này được kiểm tra về ATTT trước khi đưa vào hoạt động trong hệ thống.

MC: Thưa ông Nguyễn Khắc Lịch, VNCERT là đơn vị ứng cứu rất nhiều các sự cố, ông đánh giá thế nào về mức độ quan tâm đến an toàn thông tin trong cơ quan nhà nước?

Ông Nguyễn Khắc Lịch: Trên quan điểm VNCERT là cơ quan điều phối quốc gia, với trách nhiệm theo dõi, phân tích, phát hiện, điều phối và ứng cứu sự cố trên toàn quốc, trong năm qua phần sự cố mất an toàn thông tin trong cơ quan nhà nước giảm rõ rệt, nhận thức của cơ quan nhà nước tăng lên nhiều, các số liệu phản ánh rõ như vậy. Ví dụ, khi xảy ra sự cố WannaCry chúng tôi phát lệnh cảnh báo trước 3 tuần để vá 9 lỗ hổng của hệ điều hành Windows. Sau đó các đơn vị báo cáo về có hơn 1114.159 máy trạm và 3.522 máy chủ đã được vá, chỉ còn rất ít các máy trạm bị nhiễm (khoảng 500 máy) và 4 máy chủ. VNCERT đã tham mưu cho lãnh đạo Bộ TT&TT, trình Thủ tướng Chính phủ hoàn thiện hành lang pháp lý về điều phối ứng cứu sự cố mất an toàn thông tin. Đó là Quyết định 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia và Thông tư 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ TT&TT quy định về điều phối điều phối ứng cứu sự cố thông tin mạng trên toàn quốc. Các văn bản này đã hình thành tương đối đầy đủ các quy định về tổ chức bộ máy, điều phối, ứng cứu quốc gia từ Trung ương tới địa phương. Bao gồm các cơ quan nhà nước, các chủ quản hệ thống thông tin quan trọng quốc gia, các tổ chức, cá nhân liên quan tới hoạt động điều phối, ứng cứu sự cố an toàn thông tin mạng tại Việt Nam.

MC: Các chuyên gia đánh giá như thế nào về nguy cơ mất an toàn thông tin trong khối các cơ quan nhà nước hiện nay, nhất là trong xu hướng của cách mạng công nghiệp 4.0, với sự phát triển mạnh mẽ của IoT, Big Data…?

Ông Khổng Huy Hùng: Nhìn nhận lại một cách khách quan, với hệ thống máy tính truyền thống mà hiện chúng ta còn chưa làm tròn việc đảm bảo an toàn thông tin, thì đối với các hạ tầng IoT lại càng khó vì các thiết bị IoT vốn dĩ năng lực bảo mật rất hạn chế, được thiết kế để tập trung thực hiện các nhiệm vụ chuyên môn của nó hơn là quan tâm nhiều đến bảo mật. Quan điểm của tôi là việc cần tập trung, lo lắng trước tiên là cho các hệ thống CNTT truyền thống (ứng dụng, hạ tầng DataCeter, thiết bị đầu cuối…) cung các hệ thống mới manh nha thuộc về IoT của các cơ quan, tổ chức Việt Nam như trạm thu phí không dừng, camera giao thông… khi chúng ta biết rằng có gần 80% camera IP được lắp đặt ở Việt Nam có thể bị xem lén do vẫn dùng mật khẩu mặc định của nhà sản xuất thiết bị.

MC: Xu hướng tấn công mạng của các nhóm tin tặc trên thế giới và tại Việt Nam vào các tổ chức, doanh nghiệp đã và đang có những chuyển biến mới như thế nào và các cơ quan, tổ chức nhà nước cần làm gì để có thể ứng phó?

Ông Khổng Huy Hùng: Với xu hướng tấn công an ninh mạng hiện nay , các cuộc tấn công vào cơ quan tổ chức doanh nghiệp ngày càng tinh vi và có dấu hiệu tập trung vào các hệ thống thông tin trọng yếu quốc gia như hàng không, ngân hàng, viễn thông… Thực tế, các hệ thống này đã là mục tiêu bị phá hoại nghiêm trọng bởi các cuộc tấn công mạng, điển hình là là vụ tấn công mạng vào ngành hàng không Việt Nam hồi tháng 8/2016. Tôi cho rằng, các cơ quan nhà nước cần đề cao tính cấp thiết của an ninh mạng, đặt vấn đề an toàn thông tin lên ưu tiên cao, đưa ra các chính sánh ưu đãi cho yếu tố con người để chiêu mộ nhân tài và củng cố nhận thức về an toàn thông tin trong nội bộ.

MC: Từ thực tế cung cấp giải pháp cho các đơn vị, tổ chức, ông đánh giá như thế nào về mức độ đảm bảo an toàn thông tin của các cơ quan, tổ chức tại Việt Nam? Và trong so sánh với khối doanh nghiệp, liệu có hay không sự chênh lệch về mức độ đầu tư, vấn đề nhận thức cũng như công tác thực thi các biện pháp đảm bảo an toàn thông tin tại các cơ quan nhà nước? (Hồng Hạnh, Hà Nội).

Ông Ngô Tuấn Anh: Qua thực tế triển khai cung cấp các giải pháp an ninh cho khách hàng, chúng tôi nhận thấy việc đầu tư nguồn lực cho đảm bảo an toàn an ninh thông tin ở các đơn vị tổ chức hầu như chưa tương xứng với mức độ quan trọng của các hệ thống cần bảo vệ. Một số tổ chức trong khối ngân hàng, tài chính thường có mức độ đầu tư cao hơn so với các nhóm còn lại. Điều này có thể giải thích bởi việc đảm bảo an toàn an ninh thông tin trong thời gian trước đây chưa phải là yêu cầu bắt buộc thực hiện đối với các cơ quan tổ chức. Việc triển khai giải pháp đảm bảo an toàn an ninh thông tin ở các đơn vị, chủ yếu phụ thuộc vào ý thức của đội ngũ lãnh đạo của các đơn vị đó. Tôi cũng hy vọng trong thời gian tới, khi luật an toàn thông tin mạng được triển khai sâu rộng trong cuộc sống, với những quy định rõ ràng về đảm bảo an toàn thông tin theo cấp độ cho từng đối tượng cũng như sự thay đổi nhận thức của các đơn vị tổ chức thì việc đầu tư cho an toàn an ninh thông tin sẽ có mức độ ưu tiên cao hơn, tương xứng với vai trò của nó trong việc đảm bảo an toàn hệ thống thông tin.

MC: Dự báo về tình hình an toàn thông tin mạng thời gian tới, nhiều chuyên gia cho rằng tấn công có chủ đích APT sẽ tiếp tục gia tăng trong năm tới và các hạ tầng thông tin trọng yếu sẽ trở thành đích ngắm của nhiều nhóm tội phạm mạng. Ý kiến của các vị khách mời về vấn đề này như thế nào?

Ông Khổng Huy Hùng: Tôi hoàn toàn đồng ý với nhận định đó. Đặc biệt trong bối cảnh các hệ thống trọng yếu của chúng ta chưa được bảo vệ thích đáng, thì đó là miếng mồi ngon cho các hacker tấn công có tổ chức. Đảm bảo an toàn thông tin là vấn đề nóng hiện nay, tuy nhiên đầu tư cho an toàn thông tin của các cơ quan, tổ chức tại Việt Nam còn rất hạn chế, chiếm tỷ lệ rất nhỏ.

MC: Trong bối cảnh nguồn kinh phí hạn hẹp, các cơ quan, đơn vị cần phải làm sao để có thể triển khai nhiệm vụ này có hiệu quả, thưa các chuyên gia?

Ông Khổng Huy Hùng:Theo thống kê của một tổ chức quốc tế của Mỹ, tỷ lệ đầu tư cho an toàn thông tin trong tổng ngân sách đầu tư cho CNTT nói chung trung bình trên thế giới là khoảng 30% doanh nghiệp đầu tư ở mức dưới 6%; trong khi con số này ở Việt Nam, theo thống kê của Hiệp hội An toàn thông tin Việt Nam (VNISA) la gần 50% doanh nghiệp. Thực ra không phải là kinh phí đầu tư cho CNTT thấp dẫn đến đầu tư cho an toàn thông tin thấp mà do bản thân các đơn vị chưa chú trọng ưu tiên đầu tư cho an toàn thông tin. Trong điều kiện như vậy, tôi cho rằng tốt nhất là không đầu tư dàn trải mà phương pháp đầu tư cho an toàn thông tin tiết kiệm nhất, hiệu quả nhất vẫn là thực hiện “may đo” cho từng đơn vị. Không có đơn vị, doanh nghiệp nào có thể triển khai đầu tư tất cả các biện pháp đảm bảo an toàn thông tin. May đo ở đây được hiểu là chúng ta phải biết được rủi ro về an toàn thông tin của tổ chức, doanh nghiệp mình nằm ở đâu và xếp thứ tự ưu tiên đối với chúng, từ đó thực hiện đầu tư các biện pháp nhằm giảm thiểu các rủi ro theo thứ tự ưu tiên. Để đánh giá được rủi ro, các tổ chức, doanh nghiệp có thể tự đánh giá cũng có thể mời các đơn vị tư vấn hỗ trợ đánh giá và đưa ra khuyến cáo nên tập trung vào những rủi ro nào để có biện pháp giảm thiểu trước.

MC: Có thông tin chưa chính thức cho rằng các hacker có thể dùng phần mềm quét tự động vào các website.vn và .gov.vn để tìm ra các hệ thống đang mắc lỗi bảo mật, sau đó chỉ việc khai thác lỗ hổng để xâm nhập. Ông có bình luận gì về ý kiến này? (Nghiêm An, Quảng Ninh)

Ông Ngô Tuấn Anh: Thực tế đang diễn ra như vậy, và hacker sẽ tiến hành dò quét tất cả các website trên mạng Internet, chứ không chỉ dò quét vào các website .vn và .gov.vn để tìm lỗ hổng. Khi tìm ra lỗ hổng, hacker sẽ tiến hành khai thác để xâm nhập và điều nguy hiểm là hầu hết các đơn vị chủ quản không hề biết website của mình bị tấn công khai thác. Ghi nhận thực tế của chúng tôi, hàng tháng tại Việt Nam có khoảng 300 website .vn bị hacker khai thác tấn công, trong đó có ghi nhận các website với tên miền .gov.vn. Những lỗ hổng tồn tại trên website chủ yếu xuất phát từ việc thiếu quy trình kiểm tra đánh giá cũng như kinh nghiệm về lập trình an toàn của đội ngũ lập trình viên. Để khắc phục tình trạng này đòi hỏi sự thay đổi nhận thức từ các chính phủ, doanh nghiệp và việc nâng cao kiến thức của các lập trình viên. Trong một dự án IT, cần đầu tư ít nhất từ 5 đến 10% cho an ninh mạng, nếu không hệ quả tất yếu là hệ thống bị xâm nhập, bị đánh cắp dữ liệu. Việc khắc phục rất tốn kém và mất nhiều thời gian.

MC: Hiện nay, vẫn còn nhiều cơ quan nhà nước chưa nhận thức rõ tầm quan trọng của việc đảm bảo an ninh, an toàn cho thông tin mạng. Họ cho rằng hoạt động của họ không liên quan nhiều đến tài chính nên chẳng may mất dữ liệu thì cũng không có vấn đề gì quá nghiêm trọng. Các vị khách mời bình luận gì về tình trạng này?

Ông Khổng Huy Hùng: Theo tôi thì việc hệ thống website của họ bị tấn công và tin tặc đưa lên các thông tin bôi nhọ, chống phá Đảng và Nhà nước thì đôi khi còn để lại hậu quả nguy hiểm hơn là thiệt hại về tài chính.

MC: Từ kinh nghiệm của mình, các chuyên gia có thể đưa ra phương án gợi ý để các cơ quan, tổ chức nhà nước không chuyên về lĩnh vực an ninh mạng có thể đảm bảo tốt nhất về an toàn thông tin cho hệ thống của đơn vị mình?

Ông Khổng Huy Hùng: Việc nào mình không giỏi thì thuê, các cơ quan , tổ chức có thể thuê các dịch vụ, giai pháp bảo mật , phòng chống những nguy cơ tấn công mạng. Ngoài ra , các tổ chức cơ quan nhà nước cần đề cao tính cấp thiết của vấn đề an ninh mạng cũng như nâng cao nhận thức để tránh những rủi ro đáng tiếc. Ngoài ra theo báo cáo của tổ chức Ernst Young về thực trạng an toàn thông tin thế giới năm 2017, 2018, có đến 90% các lỗ hổng bảo mật là do các tổ chức chưa trang bị đầy đủ các giải pháp an toàn thông tin ở mức cơ bản. Việc cân bằng ngân sách trong việc đầu tư cho các hệ thông bảo mật cơ bản và các giải pháp bảo mật theo xu hướng công nghệ mới nhất là tối quan trọng. Để đảm bảo điều đó nên tập trung vào 2 việc: Thứ nhất, tìm hiểu thật kỹ các nguy cơ, lỗ hổng cơ bản trong hệ thống mạng hiện tại và tìm cách khắc phục chúng trước; Thứ hai, chỉ đầu tư cho các công nghệ an toàn bảo mật mới nếu nó là thực sự cần thiết trong hoạt động kinh doanh/ vận hành của cơ quan tổ chức, tránh đầu tư tràn lan theo số đông.

MC: Thực tế hiện nay, có ý kiến cho rằng một trong những lý do khiến không ít cơ quan, tổ chức còn e ngại, chưa triển khai thuê dịch vụ CNTT là do lo bị lộ lọt thông tin, dữ liệu, không đảm bảo an toàn thông tin. Các chuyên gia nghĩ sao về ý kiến này? Vấn đề an toàn, bảo mật thông tin, dữ liệu có thực sự là “rào cản” đối với chủ trương thuê dịch vụ CNTT hay không?

Ông Khổng Huy Hùng:Ý kiến này là hoàn toàn có cơ sở . Hiện nay, với thực trạng cơ sở hạ tầng và trình độ chưa được trang bị đầy đủ của các cơ quan, tổ chức tại Việt Nam thì việc để lộ các thông tin cho bên thứ 3 là rất quan ngại, nhất là các cơ quan đầu não về chính trị, tài chính. Tuy nhiên ở Việt Nam tôi được biết rào cản kỹ thuật không phải là vấn đề chính, rất nhiều cơ quan tổ chức sẵn sàng thuê dịch vụ CNTT nói chung và an toàn thông tin nói riêng nhưng vướng mắc chính là về mặt cơ chế thực thi.

MC: Các chuyên gia luôn nhấn mạnh yếu tố con người, nhân lực trong đảm bảo an toàn thông tin. Tuy nhiên, hiện nay vẫn chưa có chính sách ưu tiên nào cho đội ngũ những người làm an toàn thông tin, nhất là cho khối cơ quan nhà nước. Vậy xin các khách mời chia sẻ quan điểm đối với vấn đề này? Các cơ quan nhà nước phải làm sao để thu hút được những người giỏi trong lĩnh vực an toàn thông tin vào làm khi mức chênh lệch về thu nhập với vị trí tương tự ở doanh nghiệp hiện rất lớn?

Ông Khổng Huy Hùng:Theo thống kê, có tới 95% nguy cơ tấn công mạng xảy ra do yếu tố con người và quy trình, chứ không phải là trang thiết bị. Công tác bảo đảm an ninh, an toàn thông tin mạng về bản chất là vấn đề giữa con người với con người, giữa một bên tấn công và một bên phòng thủ, nên việc đảm bảo cơ chế, tạo động lực cho người làm an toàn thông tin là rất cần thiết. Có một vấn đề là đối với lĩnh vực an toàn thông tin, hiện việc tính toán giá trị đem lại của việc phòng chống, phát hiện sớm một cuộc tấn công mạng mà một nhân viên đem lại cho tổ chức chưa được chú trọng. Chừng nào các lãnh đạo các cơ quan, tổ chức còn chưa hiểu được nhờ có đội ngũ an toàn thông tin mạnh mà tổ chức mình đã tiết kiệm được bao nhiêu thiệt hại về mặt tài chính, uy tín, hình ảnh… thì chắc chắn rằng sẽ chưa thể đưa ra một cơ chế tốt cho người làm an toàn thông tin trong cơ quan, tổ chức mình.

MC: Việc mỗi tháng có hàng trăm, thậm chí hàng ngàn cuộc tấn công mạng nhằm vào các hệ thống thông tin của Việt Nam, trong đó có nhiều hệ thống của cơ quan nhà nước. Số liệu từ Sách Trắng CNTT&TT Việt Nam 2017 của Bộ TT&TT cũng cho thấy, dù đã có sự cải thiện so với năm 2015 nhưng trong năm 2016 tỉ lệ tổ chức có khả năng ghi nhận các hành vi tấn công mạng (kể cả chưa thành công) vào hệ thống thông tin của đơn vị mình là 62%. Theo đánh giá của các chuyên gia, nguyên nhân của tình trạng này là do đâu? Phải chăng ý thức bảo mật, bảo đảm an toàn thông tin của các tổ chức tại Việt Nam còn rất chủ quan, yếu kém?

Ông Khổng Huy Hùng:Theo nhận định của tôi, ý thức đảm bảo an toàn thông tin là yếu tố then chốt, ngoài ra còn các yếu tố khác như: - Các cổng thông tin điện tử, website, hệ thống mạng thông tin là một trong những hệ thống thiết yếu nhưng chưa được xây dựng theo một tiêu chuẩn thống nhất, thiếu sự kiểm định về an toàn thông tin thường xuyên. - Các phần mềm, ứng dụng và thiết bị phần cứng tồn tại lỗi bảo mật nhưng chưa được khắc phục kịp thời. - Tình trạng sử dụng phần mềm không có bản quyền còn phổ biến. - Nhiều cơ quan, tổ chức chưa có chính sách/ đầu tư các giải pháp cơ banr nhằm đảm bảo an ninh mạng hoàn chỉnh; - Chưa có hoặc có bộ phận chuyên trách về an toàn thông tin và đội ngũ quản trị viên các hệ thống thông tin còn hạn chế về kiến thức, kỹ năng.

MC: Thủ tướng đã phê duyệt danh mục 11 lĩnh vực quan trọng được ưu tiên đảm bảo an toàn thông tin, trong đó có lĩnh vực giao thông vận tải tôi đang công tác. Ông có thể cho biết, đâu là những nội dung công việc mà các đơn vị hoạt động trong những lĩnh vực này cần tập trung thực hiện để có thể bảo vệ an toàn thông tin, dữ liệu của cơ quan, tổ chức mình? (Phạm Hà - Bắc Ninh)

Ông Nguyễn Huy Dũng:Các cơ quan đơn vị có trách nhiệm trong hoạt động này cần tập trung thực hiện các công việc sau đây: Thứ nhất: Xác định và phân loại hệ thống thông tin theo cấp độ an toàn theo quy định của Luật ATTT mạng, Nghị định số 85 của Chính phủ và Thông tư hướng dẫn số 03 của Bộ TT&TT. Thứ hai: Thực thi các phương án bảo đảm an toàn hệ thống thông tin theo cấp độ trên cơ sở tham khảo tiêu chuẩn quốc gia TCVN11930:2017. Thứ ba: Định kỳ tổ chức đào tạo, tập huấn, tuyên truyền, diễn tập về ATTT. Tham gia mạng lưới chuyên trách về ATTT để chia sẻ thông tin, hỗ trợ xử lý tấn công mạng.

MC: Cơ quan tôi đã đầu tư mua phần mềm diệt virus bản quyền, nhưng mỗi key dùng cho 3 máy tính riêng lẻ. Cách thức này có được coi là hiệu quả trong việc chống virus không? (Lý Hoa, Hà Nội)

Ông Ngô Tuấn Anh: Thông thường, các hãng cung cấp phần mềm diệt virus sẽ chỉ cho phép một key (một bản quyền) cho một máy tính. Do vậy, bạn cần liên hệ với hãng để kiểm tra xem phần mềm và bản quyền mình mua có đúng do hãng cung cấp hay không, để tránh mua phải hàng không bản quyền và được sử dụng đầy đủ các tính năng. Tuy nhiên, bên cạnh việc sử dụng phần mềm diệt virus, bạn cần nâng cao ý thức của người sử dụng khi dùng Internet, trao đổi dữ liệu… để giảm thiểu nguy cơ bị lây nhiễm mã độc.

MC: Được biết, cùng với việc Câu lạc bộ chữ ký số và giao dịch điện tử Việt Nam thuộc VNISA được thành lập, ông đã được các bầu làm Chủ nhiệm Câu lạc bộ này. Xin ông cho biết tại sao các doanh nghiệp lại quyết định nhóm họp để cho ra đời Câu lạc bộ này và với vai trò Chủ nhiệm, ông có thể chia sẻ kế hoạch của CLB sẽ tập trung thực hiện những việc gì trong thời gian tới? (Mạnh Hùng, Hà Nội)

Ông Ngô Tuấn Anh: Câu lạc bộ Chữ ký số và giao dịch điện tử Việt Nam ra đời được đánh giá là dấu mốc quan trọng trong sự phát triển của lĩnh vực Chữ ký số, xác thực điện tử và giao dịch điện tử. Câu lạc bộ là tổ chức đại diện cho cộng đồng doanh nghiệp cung cấp dịch vụ chứng thực chữ ký số công cộng tại Việt Nam, với tôn chỉ và mục đích góp phần nâng cao hiệu quả các hoạt động kinh doanh, bảo vệ quyền và lợi ích hợp pháp của các thành viên tham gia; đẩy mạnh các hoạt động nghiên cứu công nghệ, thông tin kinh tế, thị trường, xúc tiến thương mại, thúc đẩy quan hệ hợp tác với cộng đồng doanh nghiệp trong nước và quốc tế. Đồng thời, Câu lạc bộ là cầu nối giữa các doanh nghiệp, giữa doanh nghiệp với chính quyền địa phương, các ban, ngành Trung ương. Câu lạc bộ cũng là nơi tập hợp nguyện vọng của các thành viên với cơ quan quản lý Nhà nước để tạo điều kiện tháo gỡ khó khăn trong hoạt động kinh doanh, đưa dịch vụ chứng thực chữ ký số trở thành dịch vụ CNTT quan trọng trong hạ tầng thông tin quốc gia, là công cụ hữu hiệu trong phát triển chính phủ điện tử, thương mại điện tử. Trong thời gian tới, CLB Chữ ký số và giao dịch điện tử Việt Nam sẽ tập trung đồng hành cùng cơ quan quản lý nhà nước để góp ý xây dựng các văn bản pháp luật liên quan trong lĩnh vực chữ ký số, đồng thời chuẩn hóa, thống nhất các tiêu chuẩn kỹ thuật trong triển khai giải pháp ứng dụng chữ ký số, góp phần tạo thuận lợi cho người sử dụng, đặc biệt là các ứng dụng chữ ký số trên thiết bị di động thông minh. Điều này cũng góp phần thúc đẩy, mở rộng thị trường trong tương lai.

MC: Nếu không đảm bảo an toàn thông tin điện tử thì sẽ rất khó có thể xây dựng được Chính phủ điện tử. Trong khi chúng ta lại đang hô hào xây dựng Chính phủ điện tử. Câu chuyện “con gà, quả trứng” cần gỡ từ đâu, thưa các chuyên gia?

Ông Khổng Huy Hùng: Quan điểm của tôi là làm song song chứ chờ đến khi hoàn hiện xong Chính phủ điện tử mới lo làm an toàn thông tin thì e là đã muộn.

MC: Luật An toàn thông tin mạng, văn bản pháp lý cao nhất trong lĩnh vực an toàn thông tin được Quốc hội thông qua tháng 11/2005 và có hiệu lực từ tháng 7/2016. Từ đó đến nay, các cơ quan quản lý nhà nước trong lĩnh vực an toàn thông tin (Cục An toàn thông tin, VNCERT) đã thực hiện những nội dung công việc gì để luật này thực sự đi được vào cuộc sống? (Mai Linh - Thái Nguyên)

Ông Nguyễn Huy Dũng: Luật ATTT mạng 2015 có hiệu lực từ 2016. Có thể nói ngay khi Luật được ban hành Bộ TT&TT, Bộ Công an, Hộ Quốc Phòng đã tích cực, chủ động xaayu dựng các Nghị định, Thông tư hướng dẫn Luật. Cho đến nay, Chính phủ đã ban hành 5 Nghị Định. Bộ TT&TT đã ban hannfh 3 Thông tư liên quan. Như vậy. Có thể nói toàn bộ các văn bản hướng dẫn Luật đã bnan hành và có hiệu lực. Bên cạnh đó, Bộ TT&TT đã xây dựng, Bộ KH&CN đã thẩm định và công bố tiêu chuẩn quốc gia TCVN11930: 2017 về yêu cầu cơ bản về bảo đảm an toàn hệ thống thông tin theo cấp độ. Trong năm 2018 tới đây, Cục ATTT sẽ đôn đốc, hướng dẫn các cơ quan tổ chức triển khai áp dụng các quy định và tiêu chuẩn kỹ thuật nói trên váo công tác đảm bảo ATTT.

MC: Các chuyên gia đánh giá như thế nào về nguy cơ mất an toàn thông tin trong khối các cơ quan nhà nước hiện nay, nhất là trong xu hướng của cách mạng công nghiệp 4.0, với sự phát triển mạnh mẽ của IoT, Big Data…? (Hà Phương - Hà Nội)

Ông Nguyễn Huy Dũng:Cuộc CMCN 4.0, dữ liệu lớn, IoT mang lại những cơ hội chưa từng có nhưng cũng kèm theo đó là nguy cơ rủi ro mất ATTT ngày càng gia tăng. Mỗi thiết bị IoT nếu được sử dụng tốt thì sẽ là một trợ thủ số đắc lực nhưng ngược lại nếu không đảm bảo ATTT thì lại chính là một gián điệp ngay bên cạnh chúng ta, ngay bên trong của mỗi cơ quan tổ chức. Vì vậy, tôi khuyến nghị các cơ quan tổ chức, đặc biệt là các cơ quan, tổ chức NN cần khẩn trương phân loại và xác định cấp độ ATT hệ thông thông tin để từ đó áp dụng bộ Tiêu chuẩn kỹ thuật TCVN11930:2017 vào hoạt động cúa cơ quan tổ chức mình.

MC: Năm 2017 sẽ được ghi nhớ là năm phát triển mạnh của các mối đe dọa tấn công mạng bằng Ransomware, với 3 đợt tấn công quy mô lớn WannaCry, Petya, Bad Rabbit. Việt Nam cũng đã được xác nhận là có chịu ảnh hưởng, tác động từ các cuộc tấn công này. Các chuyên gia dự báo gì về xu hướng tấn công mạng trong năm 2018, liệu Ransomware có tiếp tục là nguy cơ hàng đầu? Ngoài Ransomware, các cơ quan, tổ chức cần lưu ý về những xu hướng “nóng” nào khác trong năm tới?

Ông Khổng Huy Hùng:Theo dự báo của tôi thì thời gian tới có 3 xu hướng nóng trong lĩnh vực an toàn thông tin cần được quan tâm tại Việt Nam trong năm 2018: Một là, sang năm tới thì mã độc mã hóa dữ liệu tống tiền - Ransomware hay tấn công có chủ đích APT cũng sẽ mạnh mẽ và nguy hiểm hơn. Có lẽ thay vì chỉ tấn công vào hạ tầng máy tính truyền thống, việc hacker tấn công vào hạ tầng thông tin trọng yếu sẽ phổ biến hơn. Hai là, xu hướng khai thác lỗ hổng trên các hệ thống Cloud base ( hệ thống trên nền tảng điện toán đám mây – PV) hoặc thiết bị IoT nhằm lợi dụng các thiết bị này để tấn công từ chối dịch vụ cũng sẽ gia tăng. Ba là, thời đại công nghiệp 4.0 bùng nổ, thế giới và Việt Nam sẽ có rất nhiều ứng dụng giải quyết các vấn đề xã hội của các cá nhân, nhóm nhỏ được ra đời trên các Appstore (mà gần như không quan tâm đến ứng dụng của mình có bảo mật không), xu hướng tấn công khai thác lỗ hổng cài mã độc vào các ứng dụng này, qua đó gián tiếp lây nhiễm đến hàng triệu thiết bị đầu cuối của người dùng cũng sẽ trở nên phổ biến. Người dùng như chúng ta nên đặc biệt cẩn trọng trước khi download/cài đặt 1 phần mềm/ứng dụng chưa rõ nguồn gốc.

MC: Tâm lý “sính ngoại” được nhiều đơn vị cung cấp giải pháp CNTT cho biết đang là rào cản khiến cho họ khó mở rộng thị trường cho sản phẩm nội địa của đơn vị mình. Công ty VNCS có gặp tình trạng này không? Và nếu có, các ông đã làm gì để sản phẩm, giải pháp của VNCS thuyết phục được các lãnh đạo cơ quan, tổ chức đưa vào áp dụng, sử dụng để bảo vệ hệ thống của họ?

Ông Khổng Huy Hùng:Thực ra cũng vì tâm lý này mà bản thân Doanh nghiệp chúng tôi và nhiều doanh nghiệp ở Việt Nam vẫn phải làm theo cả 2 hướng, tức là vừa phân phối các sản phẩm bảo mật quốc tế và vừa phát triển sản phẩm nội địa. Từ kinh nghiệm của chúng tôi, để thuyết phục được các cơ quan, tổ chức sử dụng giải pháp của mình, điều quan trọng là phải làm cho họ hiểu về năng lực của công ty và giải pháp, phải chứng minh được giải pháp đó do mình hoàn toàn làm chủ được công nghệ và sở hữu toàn bộ mã nguồn. Nhiều người chưa nhận thức được rằng tạo ra 1 sản phẩm CNTT 100% do người Việt làm chủ công nghệ đã khó, tạo ra 1 sản phẩm an toàn thông tin nội địa còn khó gấp nhiều lần vì nguồn cung về chất xám trong lĩnh vực này ở Việt Nam vẫn còn rất giới hạn. Khi đã chứng minh được việc người Việt Nam hoàn toàn làm chủ về công nghệ, cộng với bối cảnh bất ổn về chính trị trên thế giới, việc người Việt Nam tin tưởng dùng sản phẩm của Việt Nam, đặc biệt trong 1 lĩnh vực nhạy cảm như an toàn thông tin, tôi cho là điều hết sức cần thiết trong việc đảm bảo an toàn, an ninh quốc gia.

MC: Xu hướng tấn công mạng của các nhóm tin tặc trên thế giới và tại Việt Nam vào các tổ chức, doanh nghiệp đã và đang có những chuyển biến mới như thế nào và các cơ quan, tổ chức nhà nước cần làm gì để có thể ứng phó? (Nam Anh - Hải Phòng)

Ông Nguyễn Huy Dũng:Xu hướng tấn công mạng diễn biến ngày càng phức tạp cả về quy mô lẫn hình thức. Trên thị trường chợ đen thậm chí xuất hiện cả những dịch vụ mua bán phần mềm độc hại hoặc thuê dịch vụ tấn công từ chối dịch vụ theo giờ vói giá thành ngày càng rẻ. Các lỗ hổng nghiêm trọng Zeroday năm 2017 được công bố rộng rãi, các đối tượng tấn công lợi dụng điều này để phát động các cuộc tấn công có quy mô toàn cầu mà mã độc tống tiền WannaCry là một ví dụ điển hình.

Các cơ quan tổ chức VN thời gian qua đã quan tâm hơn tới ATTT, đã đầu tư trang thiết bị, công cụ đảm bảo ATTT. Tuy nhiên, tôi cho rằng cần kết hợp hài hòa giữa việc đầu tư mua sắm máy móc trang thiết bị với việc đào tạo, huấn luyện con người, xây dựng quy trình. Một trong những vấn đề hiện nay của chúng ta là chúng ta vẫn tương đối bị động trong việc đối phó với các cuộc tấn công mạng. Chúng ta cần từng bước chuyển từ bị động đối phó sang chủ động xử lý, khắc phục sự cố.

本文地址：http://game.tour-time.com/news/907b699042.html