Đảm bảo an toàn, an ninh cho các hệ thống thông tin hiện nay

Hàng loạt các cuộc tấn công, xâm nhập, chiếm quyền điều khiển, lấy cắp, phá hoại cơ sở dữ liệu đã không được kiểm tra, quản lý, đánh giá, quản lý rủi ro về an toàn thông tin, dẫn đến không kịp thời phát hiện được nguy cơ, lỗ hổng, mã độc bị cài vào hệ thông thông tin. Bước vào thế kỷ 21, tấn công mạng đã trở thành xu hướng có chủ đích nhằm vào cá nhân, tổ chức có dữ liệu nhạy cảm; phát tán tin giả; tấn công xâm nhập, phá hoại, lấy cắp dữ liệu hệ thống hạ tầng trọng yếu như quốc phòng, an ninh, ngân hàng, điện lực, hàng không,…

Với sự phát triển của Internet (cáp quang, 4G, 5G), kết nối tốc độ cao của các thiết bị di động, thiết bị IoT (Internet vạn vật), máy tính bảng, điện thoại thông minh cùng với các dịch vụ OTT, M2M, Big Data, Cloud, người dùng email, diễn đàn, mạng xã hội, lướt Web, thương mại, thanh toán điện tử, không ngừng tăng lên… các cán bộ, công chức, viên chức, người lao động trực tiếp khai thác, sử dụng các hệ thống thông tin phục vụ công tác quản lý điều hành, cung cấp dịch vụ công ngày càng nhiều, trong số đó không ít các cơ quan, tổ chức chưa hoặc ít quan tâm đến vấn đề bảo đảm an toàn, an ninh thông tin.

Đối với hệ thống các cơ quan nhà nước, hiện nay đang tăng cường sử dụng các hệ thống thông tin, nền tảng công nghệ trực tuyến để phục vụ công tác quản lý và điều hành, cung cấp dịch vụ công cũng như phục vụ cho phát triển kinh tế số, xã hội số. Nghệ An hiện có trên 810 cơ quan đảng, nhà nước từ cấp tỉnh đến cấp xã sử dụng các hệ thống thông tin, phần mềm dùng chung như Hệ thống quản lý văn bản và điều hành VNPT-Ioffice, mạng Truyền số liệu chuyên dùng, Hệ thống thông tin giải quyết thủ tục hành chính (một cửa điện tử), hệ thống giao ban trực tuyến,… và nhiều hệ thống thông tin, nền tảng, phần mềm chuyên ngành khác như Y tế, Giáo dục, Tài nguyên và Môi trường, Kế toán-tài chính,… có kết nối internet.

Việt Nam đang trong tiến trình thúc đẩy chuyển đổi số. Tỉnh Nghệ An đang tham gia tích cực tham gia vào tiến trình là bảo đảm an toàn mạng và an toàn thông tin trong quá trình khởi tạo, truyền và lưu trữ dữ liệu trên máy tính cá nhân, trên mạng và trên cloud (đám mây), chứ không chỉ là “an ninh mạng”.

Trong công nghệ thông tin, Information Security không chỉ là những nguy cơ bị xâm nhập an ninh mạng, mà luôn phải duy trì các yếu tố về an toàn thông tin gồm: (1) Tính bảo mật (đảm bảo dữ liệu không bị lộ, không được phép xem khi không được quyền xem); (2) Tính toàn vẹn (bảo đảm thông tin không bị thay đổi từ khi nó được sinh ra hoặc chỉ được chỉnh sửa bởi người có thẩm quyền); (3) Tính sẵn sàng (đảm bảo thông tin luôn sẵn sàng khi cần thiết); (4) Tính xác thực (chống lại mạo danh và chống bắt chước); (5) Tính chống chối bỏ; (6) Tính mã hóa; (7) Tính kiểm toán (lưu trữ dữ liệu để đối soát khi có sự cố.

An toàn thông tin có nội hàm rộng hơn an ninh thông tin hoặc an ninh mạng. An toàn thông tin còn được hiểu là trạng thái bảo đảm an toàn (bảo vệ) thông tin trước một số người nhưng lại cho phép những người khác tiếp cận khai thác thông tin. Đối tượng của an toàn thông tin là hoạt động bảo đảm (bảo vệ) thông tin không bị tấn công, lấy cắp, phá hoại, công khai hóa,… Nguy cơ đối với bảo đảm an toàn thông tin, thông tin bị rò rỉ, mất mát thể hiện ở ba yếu tố sau:

- Yêu cầu về an toàn thông tin về mặt vật lý, cơ sở vật chất: Tránh nguy cơ thảm hỏa thiên nhiên cho hệ thống như động đất, sét, cháy nổ, lũ lụt,..; Có hệ thống cảnh báo sớm, phòng cháy chữa cháy; Kiểm soát người ra vào khu vực đặt máy chủ, hệ thống thông tin, hệ thống camera giám sát,…

- Yêu cầu ngăn ngừa nguy cơ đối với an toàn thông tin về mặt lô – gíc: Nguy cơ ngưng trệ hoạt động của hệ thống mạng do tắc nghẽn đường truyền, độ an toàn của tường lửa (firewall) và các phần mềm chống virus, chống đột nhập; Nguy cơ lợi dụng lỗ hổng, truy cập bất hợp pháp; Nguy cơ bị cài malware, backdoor, trojan, niffer; Nguy cơ bị lấy cắp dữ liệu, tài khoản, password; Nguy cơ bị lấy cắp thông tin nhạy cảm, phá hoại, làm sai lệch thông tin,…

- Yêu cầu về chính sách trong quản trị hệ thống, quản trị nhân lực: Có chính sách này trong trong hầu hết mọi hoạt động, từ chính quyền số đến xã hội số, kinh tế số; xây dựng con người số, văn hóa số,... Chuyển đổi số trong tất cả mọi lĩnh vực yêu cầu một số lượng lớn các kết nối liên thông nội bộ - nội bộ, nội bộ - internet với các thiết bị kết nối ngày càng nhiều; dữ liệu sinh ra trong quá trình sử dụng là rất lớn, tăng dần theo cấp số nhân qua từng năm. Dữ liệu đang trở thành “nguyên liệu” đầu vào cho phát triển kinh tế số, xây dựng xã hội số, là tài nguyên, là công cụ hết sức quan trọng hỗ trợ cho các nhà lãnh đạo, quản lý ra quyết định. Theo đó, bảo đảm an toàn mạng và an ninh thông tin phải được đặt lên hàng đầu khi xem xét xây dựng, đầu tư, phát triển, duy trì hoạt động các hệ thống thông tin.

Thời gian qua, các địa phương và cơ quan liên quan đã nỗ lực triển khai các nhiệm vụ về bảo đảm an toàn thông tin mạng, chưa để xảy ra các sự cố nghiêm trọng. Tuy nhiên, kết quả triển khai các nhiệm vụ về bảo đảm an toàn thông tin thực sự chưa xứng tầm với yêu cầu phục vụ các hoạt động chuyển đổi số theo quan điểm chỉ đạo của Thủ tướng Chính phủ tại Quyết định số 749/QĐ-TTg ngày 03/6/2020 là “Bảo đảm an toàn, an ninh mạng là then chốt để chuyển đổi số thành công và bền vững, đồng thời là phần xuyên suốt, không thể tách rời của chuyển đổi số”.

Nhiều địa phương, đơn vị đã có nhiều động thái tăng cường an toàn mạng và an ninh thông tin như củng cố hệ thống mạng (LAN, WAN), cài đặt các chương trình diệt virus trên máy tính, ban hành các chính sách liên quan đến bảo đảm an toàn, an ninh thông tin như thành lập ban chỉ đạo chuyển đổi số, ban hành các quy chế hoạt động, quản lý, vận hành hệ thống,.. của đơn vị. Tuy nhiên, vấn đề bảo đảm an toàn, an ninh thông tin ở phần lớn các cơ quan vẫn chưa được xem trọng, nhất là ở cấp xã, thể hiện ở một số yếu tố như: hệ thống mạng LAN thiếu đồng bộ, manh mún, đấu nối tùy tiện các thiết bị đầu cuối thiếu an toàn (máy tính, USB, wifi, Hub, các thiết bị thông minh, thiết bị IoT,..); máy tính không được trang bị các công cụ bảo vệ trước các nguy cơ tấn công (firewall, phần mềm diệt virus); không sử dụng mật khẩu, sử dụng mật khẩu dễ đoán hoặc chia sẻ mật khẩu cho nhiều người sử dụng; soạn thảo, lưu trữ thông tin nhạy cảm, thông tin có tính chất MẬT trong các máy tính kết nối internet; cho nhiều người sử dụng thiết bị riêng,…

Ngoài ra, một trong những vấn đề lớn đặt ra hiện nay là nhận thức về an toàn, an ninh thông tin ở nhiều nơi còn mơ hồ, từ phân biệt nội hàm an toàn thông tin, an ninh thông tin cho đến các nguy cơ tấn công hệ thống mạng cả từ bên ngoài lẫn bên trong, chưa nói đến việc quan tâm các biện pháp phòng ngừa, cách thức xử lý khi có tình huống phát sinh.

Hiện nay, có nhiều quan niệm khác nhau về nội hàm của các khái niệm về trạng thái bảo đảm an toàn thông tin cho hệ thống mạng, như “an toàn, an ninh thông tin” (Information Security), “an ninh mạng” (Cyber Security, Network Security), “bảo mật mạng máy tính”, “bảo mật Router, switch” (phần cứng), “báo mật server” (Hệ điều hành), “bảo mật ứng dụng web, email…”. Trong đó, khái niệm phổ biến là “Information Security”, “Cyber Security” hay “Network Security” có nội hàm phân quyền, quản lý truy cập chặt chẽ; Tăng cường công tác đào tạo nhân lực quản trị và đào tạo người dùng mạng; Có chính sách ghi, lưu trữ log file và giám sát liên tục để phát hiện tấn công.

Ở Việt Nam, ngoài những nguy cơ tấn công từ bên ngoài thì nguy cơ rò rỉ thông tin từ nhân tố bên trong cũng tăng cao, đặc biệt là những nhân viên sử dụng máy tính, thiết bị di động truy cập vào các trang mạng xã hội, những website không an toàn và bị lây nhiễm mã độc, những nhân viên nghỉ việc nắm rõ cách thức lưu trữ, bảo quản, điểm yếu trong quản trị hệ thống, để tấn công, truy cập bất hợp pháp, lấy cắp dữ liệu, sử dụng các thiết bị số không an toàn. Để đảm bảo an toàn thông tin, cần xây dựng hệ thống mạng máy tính an toàn và từng máy trạm an toàn, xây dựng chính sách bảo mật, kiểm soát việc thực hiện chính sách, phát hiện và ngăn chặn các cuộc tấn công trái phép vào hệ thống máy tính bằng các biện pháp: Nhận dạng và xác thực, ủy quyền và kiểm soát truy cập, để xác định những truy cập được phép. Việc xây dựng giá trị thông tin để xây dựng chính sách bảo mật, cơ chế để bảo vệ, phân loại định kỳ thông tin theo nhãn như: Không phân loại, công khai, nhạy cảm, riêng tư, bí mật, hạn chế, bảo mật, bí mật, tối mật, tuyệt mật và phân quyền quản trị hợp lý, ngày càng có vai trò quan trọng. Các yếu tố gây mất an toàn, an ninh thông tin đến từ bên trong hay bên ngoài đều có thể ảnh hưởng nghiêm trọng đến toàn bộ hoạt động của cơ quan, đơn vị, thậm chí ảnh hưởng đến an ninh quốc gia. Do đó, thực hiện quan điểm chỉ đạo về bảo đảm an toàn, an ninh mạng là then chốt, các địa phương cần tập trung vào một số nhóm giải pháp sau đây:

- Nâng cao nhận thức của cán bộ, đảng viên, người lao động, người sử dụng mạng an toàn, an ninh mạng nói chung cũng như các nguy cơ tiềm tàng; tăng cường đào tạo, tập huấn, diễn tập các biện pháp phòng ngừa phù hợp.

- Xây dựng mới hoặc củng cố các hệ thống mạng hiện có, nhất là mạng LAN, WAN, wifi,.. theo các mô hình tiêu chuẩn, có các phân mạng phục vụ cho các đối tượng riêng (người của cơ quan, đơn vị tham gia quản trị, vận hành, sử dụng hệ thống; người ngoài khai thác hệ thống (người dân, doanh nghiệp). Việc làm này bảo đảm tách bạch môi trường làm việc giữa những người bên trong (cung cấp dịch vụ) và những người bên ngoài (khai thác dịch vụ), ví dụ hệ thống wifi phục vụ riêng cho cán bộ, công chức tác nghiệp, hệ thống wifi phục vụ cho người dân truy cập khai thác thông tin trên internet, sử dụng dịch vụ công,…

- Thường xuyên cập nhật thông từ các nguồn tin cậy (cơ quan nhà nước, các tổ chức uy tín, các nhà cung cấp giải pháp, phần mềm) nhằm kịp thời rà soát, khắc phục các lỗ hổng bảo mật có nguy cơ, nguy cơ cao và nghiêm trọng.

Việc thiếu kịp thời cập nhật phần mềm, các bản vá lỗ hổng bảo mật sẽ làm suy yếu hệ thống thông tin trước các nguy cơ tấn công ngày càng nhiều. Năm 2021 và Quý I/2022, Sở Thông tin và Truyền thông đã phát đi gần 10 văn bản cảnh báo lỗ hổng bảo mật ảnh hưởng cao và nghiêm trọng trong các phần mềm Microsoft công bố. Gần đây nhất là cảnh báo của Sở Thông tin và Truyền thông với 128 lỗ hổng bảo mật trong các sản phẩm của Microsoft, trong đó có một số lỗ hổng bảo mật có mức ảnh hưởng nghiêm trọng như CVE-2022-26809 trong RPC Runtime Library cho phép đối tượng tấn công thực thi mã từ xa với đặc quyền cao nhất trên hệ thống bị ảnh hưởng; 02 lỗ hổng CVE-2022-24491, CVE-2022-24497 trong Windows Network File System cho phép đối tượng tấn công thực thi mã từ xa với đặc quyền cao; các lỗ hổng có mức ảnh hưởng Cao như: CVE-2022- 26815, CVE-2022-26904,… cho phép đối tượng tấn công thực thi mã từ xa, tấn công nâng cao đặc quyền,… Một số khuyến nghị đã được đưa ra đối với vấn đề này như: kiểm tra, rà soát xác định máy tính sử dụng hệ điều hành Windows có khả năng bị ảnh hưởng. Thực hiện cập nhật bản vá để tránh nguy cơ bị tấn công; tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng, đồng thời thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mang; Sao lưu dữ liệu định kỳ hàng ngày và đưa lên các dịch vụ lưu trữ Cloud; Cài đặt và cập nhật đầy đủ các phần mềm chống virus (Kaspersky, Norton, Windows Defender, BKAV, …). Trong các trường hợp cần thiết có thể liên hệ đầu mối hỗ trợ của Cục An toàn thông tin (Trung tâm Giám sát an toàn không gian mạng quốc gia, số điện thoại: 02432091616, email: ais@mic. gov.vn). - Tăng cường các chính sách bảo mật thông tin, trong đó coi trọng phân quyền truy cập hệ thống (trong phần mềm) cũng như quyền tiếp cận các hệ thống phần cứng. Điều này nhằm giảm thiểu việc tiếp cận các hệ thống, dữ liệu nhạy cảm đối với những người không có “thẩm quyền” cố tình truy cập có chủ đích hoặc sự “tò mò” của những người không liên quan.

- Ban hành quy chế hoạt động đối với các hệ thống thông tin nhằm từng bước chuyên nghiệp hóa trong vận hành, duy trì, khai thác; đồng thời dễ dàng xác định trách nhiệm từng bộ phận, cá nhân trong việc bảo đảm an toàn mạng, an ninh thông tin của đơn vị.

- Thường xuyên sao lưu dữ liệu đối với các dữ liệu quan trọng; đánh giá mức độ nhạy cảm, quan trọng của dữ liệu để có biện pháp bảo đảm an toàn phù hợp.

- Tăng các cơ chế phối hợp, trao đổi thông tin, chia sẻ trao đổi kinh nghiệm về an toàn, an ninh thông tin nhằm nâng cao nhận thức chung cũng như hỗ trợ lẫn nhau trong việc ứng cứu, xử lý các sự cố phát sinh.

Trong cuộc Cách mạng công nghiệp lần thứ 4, hàng tỷ thiết bị sẽ được kết nối với nhau qua mạng internet; các hệ thống thông tin trở thành những mạch gắn kết không thể thiếu đối với mọi hoạt động kinh tế-chính trị, văn hóa, xã hội, quốc phòng, an ninh. Dữ liệu trở thành tài nguyên vô giá của mỗi quốc gia. Nhiều cơ quan, tổ chức, doanh nghiệp trong đó có cả các cơ quan Trung ương, doanh nghiệp lớn của nhà nước đã từng bị tấn công mạng, ảnh hưởng nghiêm trọng đến hoạt động, hình ảnh của đất nước, điều đó cho thấy, các đối tượng tấn công không loại trừ một ai. Thiệt hại do bị tấn công mạng có thể lớn hơn rất nhiều lần so với chi phí bỏ ra để bảo đảm an toàn, an ninh thông tin, hoặc cũng có thể là nhỏ hơn. Do đó, giải quyết bài thiệt hơn về hiệu quả đầu tư cho các giải pháp bảo đảm an toàn, an ninh mạng cũng cần được cân nhắc, tính toán hợp lý nhất đối với mỗi đơn vị.