Ông Trịnh Ngọc Minh phát biểu tại Hội thảo trực tuyến Ngày An toàn thông tin Việt Nam 2020 phía Nam
Năm 2020 là một năm đặc biệt do xảy ra đại dịch COVID-19, gây ra nhiều hậu quả kinh tế nặng nề, làm thay đổi phương thức làm việc và sản sinh ra những “điều bình thường mới” (thế giới thay đổi nhanh chóng và không quay trở lại phương thức cũ).
Trong bối cảnh này, Ngày An toàn thông tin Việt Nam khu vực phía Nam phải thay đổi hình thức, quy mô. Phương thức thực hiện khảo sát an toàn thông tin phía Nam đã phải thực hiện hoàn toàn trực tuyến nên cũng gặp một số khó khăn. Do đó, số lượng khảo sát có được là 74 phiếu cho các tổ chức/doanh nghiệp, thấp hơn nhiều so với kỳ vọng. Với số lượng ít, nên VNISA cũng đưa ra khuyến cáo, cần thận trọng trong bình luận vì kết quả thống kê có thể có sai số trong thực tế.
Khảo sát của VNISA phía Nam được đưa ra dưới dạng câu hỏi và trả lời. Nội dung khảo sát bao phủ cả Quy trình, Kỹ thuật và Con người. Đối tượng khảo sát được phân bổ đều (1/3) cho các tổ chức/doanh nghiệp với quy mô khác nhau (công ty nhỏ <50 người; công ty trung bình 50-300 người và công ty lớn >300 người).
Quy trình, chính sách tuân thủ các yêu cầu an toàn thông tin
Kết quả khảo sát cho thấy, về quy trình xây dựng chính sách tuân thủ các yêu cầu về an toàn thông tin, trên 3/4 tổ chức cho biết rằng có xây dựng các quy trình và phần lớn (59%) tuân thủ theo Tiêu chuẩn ISO 27001. Tuy nhiên, trên 1/2 tổ chức không dựa theo Tiêu chuẩn ISO 27001 (52%), hoặc có ý định làm theo nhưng chưa có kế hoạch cụ thể (58%). Do đó, có thể cần xem xét lại sự hiệu quả và lợi ích thực tế của chính sách an toàn thông tin tuân theo Tiêu chuẩn ISO 27001.
Trong khi đó, gần 1/2 (46%) tổ chức đã lấy tiêu chuẩn của Việt Nam làm hướng dẫn cho chính sách an toàn thông tin của tổ chức mình. Tiêu chuẩn này liên kết chặt chẽ với Tiêu chuẩn ISO 2700 và được viết bằng tiếng Việt nên có thể phù hợp với người Việt Nam và dễ triển khai hơn.
Việc bảo vệ thông tin cá nhân được chú ý với phần lớn (85%) các tổ chức cho biết đã ban hành quy chế để bảo vệ thông tin cá nhân. Tuy nhiên việc bảo vệ thông tin cá nhân trong y tế còn ít (2%), có thể do tổ chức y tế tham gia vào khảo sát là không nhiều. Có tới 1/4 (23%) tổ chức chưa có chính sách an toàn thông tin và đây là một số liệu đáng lo ngại. Việc phân loại dữ liệu được đa số (74%) tổ chức thực hiện, chứng tỏ các tổ chức đã có ý thức hơn về phân loại dữ liệu để tránh rò rỉ dữ liệu.
An toàn thông tin từ góc nhìn công nghệ
Phòng thủ bằng tường lửa (89%), chống virus (78%) và chống thư rác (64%) là ba công nghệ an toàn thông tin phổ biến nhất. Các công nghệ tốn kém và cần đầu tư nhiều hơn là kiểm soát truy cập (58%) và IDS/IPS (47%). Khả năng nhận biết tấn công mạng thông qua các công cụ giám sát, phân tích với quy trình và con người tương ứng là 1/3 tổ chức nhận biết được mình bị tấn công và có theo dõi đầy đủ. Tuy nhiên, 20% tổ chức không biết có bị tấn công hay không.
Việc phân hoạch mạng thành các vùng nhỏ được các tổ chức quan tâm triển khai. An ninh vật lý với kiểm soát vào ra (88%), sử dụng cả sinh trắc (46%) được chú trọng. Chữ ký số được ứng dụng ngày càng rộng rãi với phần lớn (81%) các tổ chức cho biết họ sử dụng chữ ký số trong các giao dịch. Hầu hết (96%) tổ chức có sao lưu dữ liệu.
Vấn đề con người trong an toàn thông tin
Hầu hết các tổ chức đều có nhân sự chuyên trách (77%) hoặc bán chuyên trách (51%) về an toàn thông tin. Tuy nhiên, số lượng quá ít với đa số chỉ có 1-2 người (gần 50%). Việc giám sát an toàn thông tin, nắm được các kỹ thuật về an toàn thông tin sẽ là thách thức lớn khi có rất ít nhân sự.
Từ đó, dễ nhận thấy đây là lý do cho việc thuê ngoài an toàn thông tin khá phát triển (65%) với kiểm thử xâm nhập và tư vấn (61%), giám sát thuê (61%). Việc đào tạo an toàn thông tin được chú trọng (70%) và đầu tư đào tạo để có chứng chỉ an toàn thông tin cũng được quan tâm (61%). Việc đào tạo nhận thức cho rộng rãi nhân viên được chú trọng (84%) với phần lớn các tổ chức thực hiện đào tạo, trong đó gần 1/2 (43%) tổ chức đào tạo được phần lớn (80%) nhân viên.
Đặc biệt, tập huấn xử lý tình huống an toàn thông tin được gần 1/2 (49%) tổ chức thực hiện, giúp người sử dụng biết được nếu có sự cố thì phải làm điều gì. Việc tuyên truyền về nguy cơ mất an toàn thông tin và kỹ năng xử lý chống mất an toàn thông tin là hai nội dung được quan tâm nhất. Tuy nhiên, việc cập nhật về luật pháp, đạo đức về an toàn thông tin, thời sự về an toàn thông tin là nội dung ít được đề cập hơn hẳn so với hai nội dung trên.
Kết quả thực tế về tình hình an toàn thông tin
Trên thực tế, tấn công không rõ chủ đích vẫn là chủ yếu (49%) với phần lớn là tấn công để lấy tài nguyên tính toán của tổ chức, phục vụ mục tiêu cá nhân (20%). Phương thức tấn công được các tổ chức ghi nhận chủ yếu vẫn là mã độc tự phát (39%), sau đó là mã độc không tự phát tán và tấn công từ chối dịch vụ DDoS (cùng 34%).
Một vấn đề khác, nếu gặp sự cố an toàn thông tin, các tổ chức có xu hướng “dấu bệnh” vẫn là biện pháp chính (66%). Các tổ chức này chỉ báo cáo trong nội bộ, không thông báo ra bên ngoài, càng ít người biết càng tốt. Điều này trái ngược với những quy định của Mỹ khi yêu cầu người bị tấn công có nghĩa vụ phải báo cáo, như vậy mới số liệu thực tế chính xác về an toàn thông tin để đưa ra các chính sách có hiệu quả.
Ngoài ra, dịch bệnh COVID-19 đã dẫn đến thay đổi lớn trong phương thức làm việc tại các tổ chức, khi hầu hết (98%) các tổ chức làm việc từ xa. Khi triển khai làm việc theo hình thức này, phần lớn (82%) tổ chức gặp các vấn đề về an toàn thông tin liên quan tới làm việc từ xa. Tuy nhiên, với điều “bình thường mới” này, 3/4 tổ chức muốn tiếp tục làm việc qua Internet, 1/4 tổ chức còn lại muốn trở lại cách làm việc có tiếp xúc trực tiếp như trước.
Về vấn đề về đầu tư an toàn thông tin, bức tranh nhiều năm qua cho thấy phần lớn các tổ chức đầu tư cho an toàn thông tin chỉ chiếm <5% ngân sách (37%). Theo tiêu chí Bộ Thông tin và Truyền thông, đầu tư an toàn thông tin phải chiếm 10% ngân sách công nghệ thông tin thì mới có tiến bộ trong an toàn thông tin. Khó khăn tài chính (không đủ đầu tư) chỉ là nguyên nhân thứ 3 của triển khai an toàn thông tin. Hai nguyên nhân hàng đầu là nhận thức của người dùng (50%) và hiểu biết về an toàn thông tin trong tổ chức (39%).
Một số kiến nghị để cải thiện tình hình an toàn thông tin tại khu vực phía Nam
Thứ nhất, cần một kiến trúc an toàn thông tin đơn giản, dễ hiểu cho chuyển đổi số. Đây là vấn đề mà đa số các tổ chức quan tâm, nhưng để chuyển đổi số như thế nào cho dễ hiểu thì phải cần nghiên cứu sâu hơn.
Thứ hai, tổ chức nên có phương thức thuê dịch vụ an toàn thông tin trong “rổ” các giải pháp của mình.
Thứ ba, bên cạnh những biện pháp truyền thống như tường lửa, chống virus, chống thư rác, các tổ chức cần phải đầu tư cho các công nghệ tiên tiến khác như kiểm soát truy cập với xác thực mạnh, tăng cường khả năng nhìn thấy (visibility) thông qua các phương pháp mang tính tích hợp, phân tích nên được xem xét bên cạnh truyền thống.
T.U
16:00 | 21/11/2019
16:00 | 21/11/2019
09:00 | 18/12/2018
09:00 | 19/10/2021
09:00 | 19/04/2024
Quảng Ninh xác định triển khai thực hiện chuyển đổi số toàn diện trên cả ba lĩnh vực chính quyền số, kinh tế số, xã hội số, phấn đấu trở thành mô hình mẫu của cả nước về chuyển đổi số nhằm thúc đẩy phát triển toàn diện về kinh tế, văn hóa, xã hội. Để đạt được mục tiêu đó, việc nâng cao chất lượng đội ngũ cán bộ, nhân viên Cơ yếu bắt kịp xu thế chuyển đổi số toàn diện là một trong những yếu tố then chốt.
08:00 | 04/04/2024
Ngày 20/3, cơ quan quản lý Pháp thông báo phạt Google 250 triệu euro (272 triệu USD) vì vi phạm các cam kết chi trả cho các công ty truyền thông khi sử dụng lại nội dung của các công ty này trên mạng trực tuyến, cũng như sử dụng tư liệu để đào tạo công cụ hội thoại Trí tuệ nhân tạo (AI) mà không có thông báo.
10:00 | 26/03/2024
Theo Bloomberg, cơ quan chức năng châu Âu đang có kế hoạch điều tra Apple, Meta và Google của Alphabet để xác định việc có hay không việc các công ty này vi phạm quy định trong Đạo luật Thị trường kỹ thuật số của Liên minh châu Âu (EU).
16:00 | 25/01/2024
Quần đảo Trường Sa là vùng lãnh thổ thiêng liêng không thể tách rời của Tổ quốc Việt Nam; trạm gác tiền tiêu, pháo đài canh gác, lá chắn vững chắc từ hướng biển, phên dậu sườn Đông của Tổ quốc; không gian chiến lược đặc biệt quan trọng đối với quốc phòng, an ninh và kinh tế của đất nước. Vì vậy, mỗi chuyến công tác tới Trường Sa đều đem lại rất nhiều cảm xúc và ý nghĩa. Đặc biệt là chuyến thăm, tặng quà Tết hàng năm.
Chiều 17/4, tại Hà Nội diễn ra Lễ công bố quyết định và trao tặng Bằng khen của Viện trưởng Viện Kiểm sát nhân dân tối cao đối với tập thể, cá nhân Cục Cơ yếu Đảng - Chính quyền (Ban Cơ yếu Chính phủ), vì đã có thành tích xuất sắc trong việc xây dựng Quy chế phối hợp giữa Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ.
16:00 | 19/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Ngày 03/4 vừa qua, Microsoft và công ty điện toán Quantinuum đưa ra thông báo về việc hai công ty này đã đạt được thỏa thuận then chốt trong quá trình phát triển các máy tính lượng tử khả thi về mặt thương mại.
12:00 | 12/04/2024