Cần lo ngăn chặn lỗ hổng, nguy cơ mất an toàn thông tin đến từ trong hệ thống

Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng, Trưởng  Ban điều hành tiến hành Quyết định 898 phát biểu kết luận buổi làm việc, kiểm tra công tác an toàn tin tức mạng tại Bộ Giao thông Vận tải ngày 23/10/2018.

Ngày 23/10/2018, tại Hà Nội, đoàn công tác của Ban Điều hành triển khai Quyết định 898 của Thủ tướng Chính phủ phê duyệt phương hướng, mục tiêu, trọng trách bảo hiểm an toàn tin tức mạng (ATTTM) giai đoạn 2016 – 2020 (Ban điều hành 898) do Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng, Trưởng Ban Điều hành làm Trưởng đoàn đã kiểm tra công tác bảo hiểm an toàn tin tức tại Bộ Giao thông Vận tải (GTVT). Tham dự buổi làm việc còn có đại diện Bộ KH&CN, Văn phòng Chính phủ, một số đơn vị liên quan của Bộ TT&TT; về hướng Bộ GTVT có Thứ trưởng Nguyễn Ngọc Đông cùng đại diện các đơn vị liên quan.

Trong tuyên bố kết luận buổi làm việc, Thứ trưởng Nguyễn Thành Hưng đánh giá, công tác bảo hiểm ATTTM trong thời gian qua đã được Bộ GTVT quan tâm toàn diện. “Có những việc rất khó như xác định cấp độ ATTT của các hệ thống thông tin, Bộ GTVT là một trong những bộ làm đầu tiên. Với cấp độ 4, tôi được biết hiện mới chỉ có Bộ Tài chính và Bộ GTVT đã hoàn thành việc định vị cấp độ và nộp tới Bộ TT&TT. Nhiều Bộ, ngành khác vẫn không hoàn thành”, Thứ trưởng cho hay.

Theo báo cáo công tác về đáp ứng ATTTM của Bộ GTVT, nhận thức được tầm quan trọng của việc bảo đảm ATTTM, trong thời gian qua, Bộ GTVT đã triển khai nhiều giải pháp, giải pháp nhằm tăng cường công tác bảo đảm ATTTM và đã có các chuyển biến tích cực trong thời gian gần đây.

Đến nay, hạ tầng kỹ thuật bảo hiểm ATTTM của Bộ GTVT đã được đầu tư, nâng cấp thiết bị an toàn, an ninh thông tin và cơ bản đảm bảo yêu cầu tối thiểu để bảo quản các hệ thống thông tin của Bộ GTVT.

Tháng 7/2017, Ban Chỉ đạo ứng dụng CNTT và ATTTM của Bộ GTVT đã được kiện toàn, do Bộ trưởng làm Trưởng ban. Bộ GTVT cũng đã kiện toàn bộ phận chuyên trách về ATTTM tại các cơ quan, đơn vị trực thuộc – các Tổng cục/Cục, các Viện, Học viện, trường Đại học và các Tổng công ty thuộc Bộ GTVT đã thành lập hoặc chỉ định cơ quan chuyên trách về ATTTM để thực hành các nhiệm vụ về bảo đảm ATTTM tại cơ quan, đơn vị. Bộ GTVT còn xây dựng Tổ chuyên gia tham mưu triển khai công tác bảo hiểm ATTTM của Bộ, có sự tham dự của đại diện Cục An ninh mạng (Bộ Công an; Cục ATTT, Trung tâm Ứng cứu nguy cấp máy tính Việt Nam – VNCERT (Bộ TT&TT); Trung tâm CNTT và Giám sát an ninh mạng (Ban Cơ yếu Chính phủ).

Bên cạnh đó, Bộ GTVT đã phát hành nhiều văn bản liên quan đến công tác bảo đảm an toàn, an ninh tin tức theo chỉ đạo, hướng dẫn của các bộ phận chức năng, đơn cử như: Quyết định 3567 ngày 15/11/2016 của Bộ trưởng Bộ GTVT kiểm duyệt Kế hoạch kiểm tra, đánh giá ATTT các hệ thống thông tin của Bộ GTVT; Quyết định 645 ngày 9/3/2017 của Bộ trưởng Bộ GTVT phê duyệt Kế hoạch bảo đảm an toàn, an ninh thông tin của Bộ GTVT đến năm 2020; Quyết định 991 ngày 14/4/2017 của Bộ trưởng Bộ GTVT ban hành Bộ chỉ tiêu kỹ thuật ít nhất về kiểm tra, đánh giá ATTT các hệ thống thông tin của Bộ GTVT; Quyết định 2081 ngày 17/7/2017 của Bộ trưởng Bộ GTVT phát hành Quy chế bảo đảm an toàn, an ninh tin tức mạng của Bộ GTVT…

Bộ GTVT đang lấy quan điểm đơn vị góp ý cho Quy trình tiếp ứng sự cố ATTTM của Bộ (Quy trình ứng cứu sự cố tấn công thay đổi nội dung, giao diện Trang/Cổng thông tin điện tử; Quy trình tiếp ứng sự cố tấn công từ chối dịch vụ DoS/DDoS).

Đồng thời, hiện tại Bộ GTVT vẫn tiếp tục chỉ đạo đơn vị chuyên trách về ATTT (Trung tâm CNTT) đều đặn theo dõi, hướng dẫn, giám sát, đôn đốc và cập nhật các quy chế về ATTTM cho toàn ngành GTVT.

Thông tin về tình hình tiến hành áp dụng hệ thống quản lý ATTTM theo tiêu chuẩn, quy chuẩn kỹ thuật đối với những hệ thống thông tin, đại diện Trung tâm CNTT của Bộ GTVT cũng cho biết, các bộ phận quản lý nhà nước thuộc Bộ GTVT chưa hoặc triển khai áp dụng chưa đầy đủ hệ thống quản lý ATTTM theo tiêu chuẩn, quy chuẩn kỹ thuật đối với những hệ thống thông tin, cụ thể: các cơ quan, đơn vị của Bộ GTVT đang áp dụng Tiêu chuẩn Quốc gia TCVN 11930:2017 về CNTT; các kỹ thuật an toàn, yêu cầu cơ bản về ATTT theo cấp bậc để xây dựng phương án bảo đảm ATTTM theo cấp độ. Tổng công ty Hàng không Việt Nam (Vietnam Airlines) đang triển khai áp dụng tiêu chí ISO 27001:2013 để thành lập quy chế, chính sách, quy định về ATTTM, định vị cấp độ an toàn hệ thống thông tin, kịch bản hướng dẫn đối phó sự cố mất ATTTM.

Theo tin tức được Trung tâm CNTT – Bộ GTVT chia sẻ tại buổi làm việc ngày 23/10, hạ tầng kỹ thuật bảo hiểm an toàn tin tức mạng của Bộ đã được đầu tư, cải tiến thiết bị và cơ bản đáp ứng đòi hỏi tối thiểu để bảo vệ các hệ thống thông tin của Bộ.

Tuy nhiên, đại diện Bộ GTVT cũng chỉ rõ những khó khăn, vướng mắc trong công tác đáp ứng ATTTM tại Bộ như: ATTTM là lĩnh vực mới và khó, liên quan đến sự bí mật về thông tin, dữ liệu nhạy cảm của các cơ quan, đơn vị nên sự phối hợp, chia sẻ tin tức trong quá trình thực hiện trọng trách bảo hiểm ATTTM còn hạn chế; kinh phí tiến hành các nhiệm vụ về bảo đảm ATTTM còn rất có hạn so với nhu cầu thực tế; thiếu các văn bản chỉ dẫn triển khai các nhiệm vụ về bảo đảm ATTTM như các quy định về định mức, đơn giá trong việc thành lập dự toán cho những trọng trách thuê dịch vụ ATTTM…

Ghi nhận những phản ánh của Bộ GTVT về các khó khăn của Bộ trong việc tiến hành công tác đáp ứng ATTTM, Thứ trưởng Nguyễn Thành Hưng nhận định khó khăn của Bộ GTVT cũng là không dễ khăn chung cả của các cơ quan chính phủ hiện nay. Thứ trưởng đề nghị Bộ GTVT trong khả năng của mình, tiếp tục đoái hoài hơn nữa cho các đơn vị chuyên trách về CNTT, ATTT để củng cố các lĩnh vực này.

Thứ trưởng cũng đòi hỏi trong tiến hành Đề án 99 (Đề án đào tạo và phát triển nguồn nhân cảnh sát toàn, an ninh thông tin đến năm 2020 – PV), Cục ATTT cần có sự đổi mới, phải thành lập được 1 tiêu chí ít nhất cho các cán bộ chuyên trách về ATTT của các bộ, ngành, địa phương để trên cơ sở đó làm nền tảng xây dựng các chương trình đào tạo; tạo điều kiện cho những cán bộ chuyên trách về CNTT, ATTT của các bộ, ngành, địa phương, các Tổng công ty, tập đoàn chính phủ được tham dự, cấp chứng chỉ các khóa đào tạo này. Trên cơ sở đó, các bộ, ngành, bản địa mới quan tâm đến cán bộ chuyên trách về CNTT, ATTT”, Thứ trưởng nói.

Nhấn mạnh công tác diễn tập về ứng cứu sự cố, bảo đảm ATTTM phải được tiến hành thường xuyên, Thứ trưởng Nguyễn Thành Hưng khẳng định: “Bộ TT&TT sẽ tham dự tích cực để hỗ trợ Bộ GTVT cũng như các bộ, ngành, địa phương, coi này là trọng trách quan trọng”. Thứ trưởng cũng đề nghị Cục ATTT phải thay đổi phương pháp diễn tập sao cho người tham dự diễn tập phải cảm thấy nội dung diễn tập hấp dẫn.

Đáng chú ý, một lần nữa nhấn mạnh hơn 90% sự cố mất ATTTM là lỗi do con người, quy chế, Thứ trưởng Nguyễn Thành Hưng cho rằng: “Chúng ta không những lo việc tấn công từ bên ngoài mà còn cần phải lo ngăn chặn các lỗ hổng, nguy cơ ngay từ bên trong hệ thống. Vì vậy, vấn đề quy trình, con người, tiêu chí càng phải được tiếp tục quan tâm tâm. Thời gian qua, Bộ GTVT đã làm tốt công tác triển khai đánh giá, kiểm tra ATTT, đề xuất các chiến sĩ xác định lại các quy trình, các chừng độ truy cập, làm làm sao để xác định rõ các quy chuẩn và kiểm tra giám sát trong những cơ quan, đơn vị trực thuộc sở hữu vấn đề này”.