Cần lo ngăn chặn lỗ hổng, nguy cơ mất an toàn thông tin đến từ trong hệ thống

Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng, Trưởng  Ban điều hành triển khai Quyết định 898 phát biểu kết luận buổi làm việc, kiểm tra công tác an toàn thông tin mạng tại Bộ Giao thông Vận tải ngày 23/10/2018.

Ngày 23/10/2018, tại Hà Nội, đoàn công tác của Ban Điều hành triển khai Quyết định 898 của Thủ tướng Chính phủ phê duyệt phương hướng, mục tiêu, nhiệm vụ bảo đảm an toàn thông tin mạng giai đoạn 2016 - 2020 (Ban điều hành 898) do Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng, Trưởng Ban Điều hành làm Trưởng đoàn đã kiểm tra công tác bảo đảm an toàn thông tin tại Bộ Giao thông Vận tải (GTVT). Tham dự buổi làm việc còn có đại diện Bộ KH&CN, Văn phòng Chính phủ, một số đơn vị liên quan của Bộ TT&TT; về phía Bộ GTVT có Thứ trưởng Nguyễn Ngọc Đông cùng đại diện các đơn vị liên quan.

Trong phát biểu kết luận buổi làm việc, Thứ trưởng Nguyễn Thành Hưng đánh giá, công tác bảo đảm ATTTM trong thời gian qua đã được Bộ GTVT quan tâm toàn diện. “Có những việc rất khó như xác định cấp độ ATTT của các hệ thống thông tin, Bộ GTVT là một trong những bộ làm đầu tiên. Với cấp độ 4, tôi được biết hiện mới chỉ có Bộ Tài chính và Bộ GTVT đã hoàn thành việc xác định cấp độ và nộp tới Bộ TT&TT. Nhiều Bộ, ngành khác vẫn chưa hoàn thành”, Thứ trưởng cho hay.

Theo báo cáo công tác về đảm bảo ATTTM của Bộ GTVT, nhận thức được tầm quan trọng của việc bảo đảm ATTTM, trong thời gian qua, Bộ GTVT đã triển khai nhiều giải pháp, biện pháp nhằm tăng cường công tác bảo đảm ATTTM và đã có những chuyển biến tích cực trong thời gian gần đây.

Đến nay, hạ tầng kỹ thuật bảo đảm ATTTM của Bộ GTVT đã được đầu tư, nâng cấp thiết bị an toàn, an ninh thông tin và cơ bản đáp ứng yêu cầu tối thiểu để bảo vệ các hệ thống thông tin của Bộ GTVT.

Tháng 7/2017, Ban Chỉ đạo ứng dụng CNTT và ATTTM của Bộ GTVT đã được kiện toàn, do Bộ trưởng làm Trưởng ban. Bộ GTVT cũng đã kiện toàn bộ phận chuyên trách về ATTTM tại các cơ quan, đơn vị trực thuộc - các Tổng cục/Cục, các Viện, Học viện, trường Đại học và các Tổng công ty thuộc Bộ GTVT đã thành lập hoặc chỉ định bộ phận chuyên trách về ATTTM để thực hiện các nhiệm vụ về bảo đảm ATTTM tại cơ quan, đơn vị. Bộ GTVT còn thành lập Tổ chuyên gia tư vấn triển khai công tác bảo đảm ATTTM của Bộ, có sự tham gia của đại diện Cục An ninh mạng (Bộ Công an; Cục ATTT, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam – VNCERT (Bộ TT&TT); Trung tâm CNTT và Giám sát an ninh mạng (Ban Cơ yếu Chính phủ).

Bên cạnh đó, Bộ GTVT đã ban hành nhiều văn bản liên quan đến công tác bảo đảm an toàn, an ninh thông tin theo chỉ đạo, hướng dẫn của các cơ quan chức năng, đơn cử như: Quyết định 3567 ngày 15/11/2016 của Bộ trưởng Bộ GTVT phê duyệt Kế hoạch kiểm tra, đánh giá ATTT các hệ thống thông tin của Bộ GTVT; Quyết định 645 ngày 9/3/2017 của Bộ trưởng Bộ GTVT phê duyệt Kế hoạch bảo đảm an toàn, an ninh thông tin của Bộ GTVT đến năm 2020; Quyết định 991 ngày 14/4/2017 của Bộ trưởng Bộ GTVT ban hành Bộ tiêu chí kỹ thuật tối thiểu về kiểm tra, đánh giá ATTT các hệ thống thông tin của Bộ GTVT; Quyết định 2081 ngày 17/7/2017 của Bộ trưởng Bộ GTVT ban hành Quy chế bảo đảm an toàn, an ninh thông tin mạng của Bộ GTVT...

Bộ GTVT đang lấy ý kiến đơn vị góp ý cho Quy trình ứng cứu sự cố ATTTM của Bộ (Quy trình ứng cứu sự cố tấn công thay đổi nội dung, giao diện Trang/Cổng thông tin điện tử; Quy trình ứng cứu sự cố tấn công từ chối dịch vụ DoS/DDoS).

Đồng thời, hiện tại Bộ GTVT vẫn tiếp tục chỉ đạo đơn vị chuyên trách về ATTT (Trung tâm CNTT) thường xuyên theo dõi, hướng dẫn, giám sát, đôn đốc và cập nhật các quy định về ATTTM cho toàn ngành GTVT.

Thông tin về tình hình triển khai áp dụng hệ thống quản lý ATTTM theo tiêu chuẩn, quy chuẩn kỹ thuật đối với các hệ thống thông tin, đại diện Trung tâm CNTT của Bộ GTVT cũng cho biết, các cơ quan quản lý nhà nước thuộc Bộ GTVT chưa hoặc triển khai áp dụng chưa đầy đủ hệ thống quản lý ATTTM theo tiêu chuẩn, quy chuẩn kỹ thuật đối với các hệ thống thông tin, cụ thể: các cơ quan, đơn vị của Bộ GTVT đang áp dụng Tiêu chuẩn Quốc gia TCVN 11930:2017 về CNTT; các kỹ thuật an toàn, yêu cầu cơ bản về ATTT theo cấp độ để xây dựng phương án bảo đảm ATTTM theo cấp độ. Tổng công ty Hàng không Việt Nam (Vietnam Airlines) đang triển khai áp dụng tiêu chuẩn ISO 27001:2013 để xây dựng quy chế, chính sách, quy định về ATTTM, xác định cấp độ an toàn hệ thống thông tin, kịch bản hướng dẫn ứng phó sự cố mất ATTTM.

Theo thông tin được Trung tâm CNTT - Bộ GTVT chia sẻ tại buổi làm việc ngày 23/10, hạ tầng kỹ thuật bảo đảm an toàn thông tin mạng của Bộ đã được đầu tư, nâng cấp thiết bị và cơ bản đáp ứng yêu cầu tối thiểu để bảo vệ các hệ thống thông tin của Bộ.

Tuy nhiên, đại diện Bộ GTVT cũng chỉ rõ những khó khăn, vướng mắc trong công tác đảm bảo ATTTM tại Bộ như: ATTTM là lĩnh vực mới và khó, liên quan đến sự bí mật về thông tin, dữ liệu nhạy cảm của các cơ quan, đơn vị nên sự phối hợp, chia sẻ thông tin trong quá trình thực hiện nhiệm vụ bảo đảm ATTTM còn hạn chế; kinh phí triển khai các nhiệm vụ về bảo đảm ATTTM còn rất hạn chế so với nhu cầu thực tế; thiếu các văn bản hướng dẫn triển khai các nhiệm vụ về bảo đảm ATTTM như các quy định về định mức, đơn giá trong việc xây dựng dự toán cho các nhiệm vụ thuê dịch vụ ATTTM...

Ghi nhận những phản ánh của Bộ GTVT về các khó khăn của Bộ trong việc triển khai công tác đảm bảo ATTTM, Thứ trưởng Nguyễn Thành Hưng nhận định khó khăn của Bộ GTVT cũng là khó khăn chung của các cơ quan nhà nước hiện nay. Thứ trưởng đề nghị Bộ GTVT trong khả năng của mình, tiếp tục quan tâm hơn nữa cho các đơn vị chuyên trách về CNTT, ATTT để củng cố các lĩnh vực này.

Thứ trưởng cũng yêu cầu trong triển khai Đề án 99 (Đề án đào tạo và phát triển nguồn nhân lực an toàn, an ninh thông tin đến năm 2020 - PV), Cục ATTT cần có sự đổi mới, phải xây dựng được một tiêu chuẩn tối thiểu cho các cán bộ chuyên trách về ATTT của các bộ, ngành, địa phương để trên cơ sở đó làm nền tảng xây dựng các chương trình đào tạo; tạo điều kiện cho các cán bộ chuyên trách về CNTT, ATTT của các bộ, ngành, địa phương, các Tổng công ty, tập đoàn nhà nước được tham dự, cấp chứng chỉ các khóa đào tạo này. Trên cơ sở đó, các bộ, ngành, địa phương mới quan tâm đến cán bộ chuyên trách về CNTT, ATTT”, Thứ trưởng nói.

Nhấn mạnh công tác diễn tập về ứng cứu sự cố, bảo đảm ATTTM phải được tiến hành thường xuyên, Thứ trưởng Nguyễn Thành Hưng khẳng định: “Bộ TT&TT sẽ tham gia tích cực để hỗ trợ Bộ GTVT cũng như các bộ, ngành, địa phương, coi đây là nhiệm vụ quan trọng”. Thứ trưởng cũng đề nghị Cục ATTT phải thay đổi cách thức diễn tập sao cho người tham gia diễn tập phải cảm thấy nội dung diễn tập hấp dẫn.

Đáng chú ý, một lần nữa nhấn mạnh hơn 90% sự cố mất ATTTM là lỗi do con người, quy chế, Thứ trưởng Nguyễn Thành Hưng cho rằng: “Chúng ta không chỉ lo việc tấn công từ bên ngoài mà còn cần phải lo ngăn chặn các lỗ hổng, nguy cơ ngay từ bên trong hệ thống. Vì vậy, vấn đề quy trình, con người, tiêu chuẩn cần được tiếp tục quan tâm tâm. Thời gian qua, Bộ GTVT đã làm tốt công tác triển khai đánh giá, kiểm tra ATTT, đề nghị các đồng chí xác định lại các quy trình, các mức độ truy cập, làm thế nào để xác định rõ các quy chuẩn và kiểm tra giám sát trong các cơ quan, đơn vị trực thuộc về vấn đề này”.