Ngày 17/4/2019, trong khuôn khổ sự kiện Vietnam Security Summit 2019, Bộ TT&TT đã công bố Xếp hạng an toàn thông tin (ATTT) mạng của các cơ quan, tổ chức nhà nước năm 2018. Kết quả xếp hạng năm 2018 do Cục ATTT (Bộ TT&TT) và Hiệp hội ATTT Việt Nam (VNISA) phối hợp thực hiện.
Trong phát biểu khai mạc VietNam Security Summit 2019, Bộ trưởng Nguyễn Mạnh Hùng nhận định, “Đây là lần đầu tiên Bộ TT&TT công bố đánh giá mức độ bảo đảm an toàn thông tin mạng trong các cơ quan, tổ chức nhà nước năm 2018”. Bộ trưởng khẳng định, việc đánh giá này sẽ được triển khai định kỳ hàng năm. Và trong thời gian tới sẽ đánh giá ATTT cho các doanh nghiệp và tổ chức khác trong xã hội.
Bộ trưởng cho rằng những đánh giá về an toàn, an ninh không gian mạng Việt Nam của các tổ chức quốc tế có uy tín là rất cần thiết vì đó là sở cứ để quốc tế tham khảo khi đưa ra các quyết định, trong đó có quyết định đầu tư vào Việt Nam.
Cũng theo Bộ trưởng, chúng ta cũng cần có đánh giá riêng của Việt Nam để có những nhận định, đánh giá sâu hơn về tình hình ATTT của chính Việt Nam. Mặc dù mọi xếp hạng đều chỉ mang tính tương đối nhưng nó luôn cung cấp thông tin để chúng ta phấn đấu, nỗ lực hơn nữa, nhất là trong tương quan so sánh với các đơn vị, tổ chức khác.
Theo đại diện Cục ATTT (Bộ TT&TT), việc xếp hạng ATTT mạng của các cơ quan, tổ chức nhà nước năm 2018 được tiến hành đối với 27 Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ (ngoại trừ Bộ TT&TT, Bộ Công an, Bộ Quốc phòng) và 63 tỉnh, thành phố trực thuộc Trung ương.
Kết quả đánh giá xếp hạng ATTT mạng của các cơ quan, tổ chức nhà nước năm 2018 được chia làm 5 mức:
- Đã quan tâm triển khai ATTT ở mức tốt (mức A)
- Đã quan tâm triển khai ATTT ở mức khá (mức B)
- Đã quan tâm triển khai ATTT ở mức trung bình (mức C)
- Mới bắt đầu quan tâm đến ATTT (mức D)
- Chưa quan tâm đến ATTT (mức E)
Theo đại diện Cục ATTT, kết quả Xếp hạng ATTT mạng của các cơ quan, tổ chức nhà nước năm 2018 không có cơ quan nào xếp hạng A, nghĩa là triển khai ATTT ở mức tốt. Và cũng không có cơ quan nhà nước nào xếp hạng E, nghĩa là chưa quan tâm đến ATTT.
Đa số Bộ, ngành, địa phương (70%) được xếp hạng C, tức là quan tâm triển khai ATTT ở mức trung bình. 17% cơ quan được đánh giá triển khai ATTT ở mức khá và 15% cơ quan dừng ở mức D, tức là mới bắt đầu quan tâm đến ATTT.
Cụ thể, đối với khối các cơ quan Bộ, ngành, bốn cơ quan xếp hạng B (quan tâm đến ATTT ở mức khá) gồm có: Bảo hiểm Xã hội Việt Nam, Bộ Tài chính, Ngân hàng Nhà nước Việt Nam và Văn phòng Chính phủ. Đây cũng là những cơ quan có nguồn lực đầu tư cho CNTT và ATTT khá lớn, theo đại diện Cục ATTT.
19 trong số 27 Bộ, ngành tham gia xếp hạng đứng ở mức C (quan tâm triển khai ATTT ở mức trung bình), trong đó có những Bộ như: Bộ Giao thông Vận tải, Bộ Tài nguyên Môi trường, Bộ Nông nghiệp và Phát triển nông thôn.
4 Bộ, ngành được xếp hạng ở mức D (mới bắt đầu quan tâm đến ATTT) gồm: Bộ Công thương, Bộ Khoa học Công nghệ, Bộ Nội vụ và Ủy ban dân tộc.
Đối với các tỉnh thành, có 12 tỉnh thành xếp hạng B (quan tâm triển khai ATTT ở mức khá), với các địa phương như: Đà Nẵng, Bắc Ninh, Lâm Đồng, Cần Thơ, Đồng Nai, Lào Cai, Quảng Ngãi, Quảng Trị, Thái Bình, Thừa Thiên Huế, Vĩnh Phúc.
Xếp hạng Việt Nam trong dự thảo Báo cáo xếp hạng an toàn, an ninh mạng toàn cầu GCI 2018 của Liên minh Viễn thông quốc tế (ITU):
Việt Nam xếp thứ: 50/175 trong 194 quốc gia, vùng lãnh thổ được xếp hạng (tăng 61 hạng so với năm 2017); thứ 11 trong khu vực châu Á Thái Bình Dương; thứ 5 trong khu vực Đông Nam Á.
|
44 địa phương xếp hạng C (quan tâm triển khai ATTT ở mức trung bình) trong đó có hai thành phố lớn nhất cả nước Hà Nội, TPHCM.
8 địa phương xếp loại D (mới bắt đầu quan tâm đến ATTT) chủ yếu là các địa phương nằm ở Nam Bộ (Cà Mau, Khánh Hòa, Long An, Phú Yên, Sóc Trăng, Tiền Giang, Lai Châu, Nam Định).
Trên cơ sở kết quả đánh giá xếp hạng, Cục ATTT đã đưa ra nhận định về tình hình triển khai ATTT ở các cơ quan, tổ chức nhà nước. Cụ thể:
- Các cơ quan xếp hạng cao đều có đơn vị/bộ phận chuyên trách về ATTT
- Hầu hết các cơ quan, tổ chức đều chưa có doanh nghiệp giám sát, bảo vệ chuyên nghiệp, dẫn đến việc bị tấn công mạng mà không biết. Chỉ có khoảng 25,3% cơ quan có khả năng ghi nhận tấn công mạng và 9,2% cơ quan có hệ thống giám sát ATTT.
- Hầu hết các cơ quan lúng túng, chậm xử lý khi bị tấn công mạng vì chỉ có 35,7% cơ quan tham gia đánh giá xếp hạng có quy trình thao tác chuẩn ứng phó sự cố.
Về kinh phí dành cho ATTT, có đến 56,2% cơ quan không chi kinh phí cho ATTT. Chỉ có 6,1% cơ quan chi từ 15% trở lên cho ATTT trong tổng chi cho CNTT. 67,15% cơ quan tự đánh giá kinh phí chi cho ATTT đáp ứng dưới 20% nhu cầu thực tiễn.
Về vai trò của người đứng đầu cơ quan, có đến 30% cơ quan tham gia đánh giá xếp hạng cho rằng lãnh đạo chưa quan tâm đến ATTT.
Về những khuyến nghị mà bảng đánh giá xếp hạng ATTT mạng của các cơ quan, tổ chức nhà nước năm 2018 đưa ra, đại diện Cục ATTT nhận định những khuyến nghị này khá giống với lĩnh vực phòng cháy chữa cháy. Đó là cần triển khai bảo đảm ATTT theo nguyên tắc “4 tại chỗ”: Chỉ huy tại chỗ, Lực lượng tại chỗ, Thiết bị tại chỗ và Hậu cần tại chỗ.
Theo đó, người đứng đầu cơ quan phải chịu trách nhiệm về ATTT; Chỉ định/kiện toàn đơn vị/bộ phận chịu trách nhiệm về ATTT; Bố trí kinh phí cho ATTT tối thiểu 10% trong kinh phí chi cho ATTT; Sử dụng sản phẩm/dịch vụ ATTT có độ tin cậy của tổ chức/doanh nghiệp uy tín; Mỗi cơ quan, tổ chức có tối thiểu một doanh nghiệp bảo vệ ATTT mạng.
Phương pháp đánh giá xếp hạng ATTT mạng của các cơ quan, tổ chức nhà nước năm 2018 dựa trên kết quả đánh giá thông qua khảo sát kết hợp với kết quả đánh giá ghi nhận thực tiễn thông qua hệ thống kỹ thuật của Trung tâm giám sát an toàn không gian mạng quốc gia (Cục ATTT) và một số hệ thống kỹ thuật khác của các đơn vị chức năng trực thuộc Bộ TT&TT với tỷ lệ 50/50.
Kết quả khảo sát dựa trên mẫu phiếu khảo sát do các cơ quan tham gia xếp hạng (các Bộ ngành, địa phương) tự điền với 9 nhóm tiêu chí. Nội dung khảo sát dựa trên bộ câu hỏi của Báo cáo xếp hạng an ninh mạng toàn cầu GCI của Liên minh Viễn thông Quốc tế (ITU), có bổ sung cho phù hợp tình hình thực tiễn Việt Nam.
Kết quả đánh giá ghi nhận thực tiễn bao gồm: Tình trạng lây nhiễm mã độc, Tình trạng lộ lọt thông tin tài khoản, Tình trạng bảo đảm ATTT của Trang/Cổng TTĐT, Số lượng sự cố nghiêm trọng đã ghi nhận.
|