5% bộ, ngành và địa phương chưa thực hiện đầy đủ kiểm tra, đánh giá ATTT định kỳ các HTTT
Doanh thu lĩnh vực an toàn thông tin (ATTT) mạng đạt 1.418 tỷ đồng, tăng 48,8% so với cùng kỳ năm 2021. Tỷ lệ nhóm sản phẩm, dịch vụ ATTT mạng của Việt Nam so với 22 nhóm sản phẩm hệ sinh thái ATTT mạng đạt 95,5%. Tỷ lệ sản xuất/nhập khẩu tháng 6/2022 đạt 72,6%. Đã có 922/3022 HTTT của cơ quan nhà nước (CQNN) được phê duyệt hồ sơ đề xuất cấp độ ATTT, đạt 31%.
Tuy nhiên, theo Bộ TT&TT, vẫn còn một số tồn tại, hạn chế như trên 95% các bộ, ngành và địa phương chưa thực hiện đầy đủ hoạt động kiểm tra, đánh giá ATTT định kỳ cho các HTTT thuộc phạm vi quản lý theo quy định của pháp luật. 100% cơ quan chưa thực hiện kiểm tra, đánh giá ATTT mã nguồn đối với các HTTT trước khi đưa vào sử dụng và khi nâng cấp, cập nhật.
Các bộ, ngành, địa phương mới thực hiện triển khai giám sát ATTT ở mức cơ bản, chủ yếu mới thực hiện giám sát 2/4 lớp kỹ thuật: lớp mạng và lớp hệ điều hành (máy chủ) và cơ sở dữ liệu (CSDL); chưa chú trọng giám sát lớp ứng dụng và lớp endpoint (người dùng, thiết bị đầu cuối). Tỷ lệ HTTT cấp 3, 4, 5 được giám sát mới đạt 69,9%.
Bên cạnh đó, nhân lực ATTT mạng cũng chưa đáp ứng yêu cầu, bình quân mỗi đơn vị chuyên trách về ATTT mạng của bộ, ngành và địa phương có 2,4 người, bằng một nửa so với yêu cầu tối thiểu là 5 người.
Theo đó, Bộ TT&TT đề nghị các bộ, ngành, địa phương tổ chức phổ biến, quán triệt tới toàn bộ các tổ chức, cá nhân liên quan về 2 nguyên tắc, 4 giải pháp bảo đảm an toàn, an ninh mạng. Cụ thể, hai nguyên tắc là: HTTT chưa kết luận bảo đảm an toàn, an ninh mạng chưa đưa vào sử dụng; hệ thống thử nghiệm, có dữ liệu thật thì phải tuân thủ đầy đủ quy định như hệ thống chính thức.
Bốn giải pháp là: phần mềm nội bộ do đơn vị chuyên nghiệp phát triển, tuân thủ theo quy trình Khung phát triển phần mềm an toàn; HTTT triển khai đầy đủ phương án bảo đảm ATTT theo cấp độ; HTTT được kiểm tra, đánh giá ATTT mạng trước khi đưa vào sử dụng, khi nâng cấp, thay đổi, định kỳ theo quy định; HTTT được quản lý, vận hành theo mô hình 4 lớp theo Chỉ thị số 14/CT-TTg ngày 07/6/2019 của Thủ tướng Chính phủ.
Bộ TT&TT cũng đề nghị tổ chức xác định, phân loại và phê duyệt hồ sơ đề xuất cấp độ của 100% các HTTT thuộc phạm vi quản lý trước ngày 30/9/2022; triển khai các phương án bảo đảm an toàn HTTT theo cấp độ trước ngày 15/11/2022 và cho dừng các HTTT không bảo đảm ATTT mạng theo quy định của pháp luật từ ngày 01/01/2023.
Bên cạnh đó, các tổ chức cần giám sát cho 100% HTTT thuộc phạm vi quản lý của các bộ, ngành, địa phương; hoàn thành giám sát ATTT mạng cho 100% các HTTT cấp độ 3, 4, 5 trước ngày 15/11/2022; tăng cường tổ chức diễn tập thực chiến về ATTT theo hướng dẫn của Bộ TT&TT. Các tổ chức tối thiểu tổ chức 01 diễn tập thực chiến trong năm 2022, hoàn thành trước ngày 30/11/2022.
Bộ TT&TT cũng đề nghị 100% các HTTT kết nối, chia sẻ với CSDL quốc gia về dân cư hoàn thành phê duyệt hồ sơ đề xuất cấp độ và triển khai đầy đủ phương án bảo đảm ATTT trước ngày 15/11/2022; rà soát, bổ sung nhân lực ATTT (theo hình thức thuê chuyên gia), bảo đảm tối thiểu mỗi đơn vị chuyên trách ATTT mạng của các bộ, ngành và địa phương có tối thiểu 05 chuyên gia về ATTT, ứng cứu sự cố, hoàn thành trước 15/12/2022.
Cần tăng cường nhân lực chuyên trách ATTT
Trao đổi thêm về công tác đảm bảo an toàn, an ninh mạng trong CĐS, Trung tướng Nguyễn Duy Ngọc, Thứ trưởng Bộ Công an cho biết có ba tồn tại an ninh mạng hiện nay là: sự tấn công chủ động, trong đó các CQNN, các tập đoàn lớn cũng đã bị tấn công; mất an ninh an toàn trong kết nối khi các đơn vị không chủ động các giải pháp, các kế hoạch, đầu tư, vẫn còn có bộ, địa phương vi phạm những quy định về an ninh, an toàn; các văn bản đảm bảo cho thu thập dữ liệu chưa kịp thời, dẫn đến các nguy cơ mất ATTT trong quá trình CĐS và xây dựng trung tâm dữ liệu lớn.
Theo Bộ Công an, có 4 nguyên nhân liên quan đến ATTT mạng và CĐS. Đầu tiên là nhận thức của nhiều cấp uỷ, địa phương, các cơ quan bộ về công tác đảm bảo an toàn, an ninh mạng, đặc biệt sau khi Văn phòng Chính phủ, Bộ Công an, Bộ TT&TT thống nhất về các hướng dẫn về các thiết bị, hạ tầng và các tiêu chuẩn thì triển khai chưa đạt kết quả. Thứ hai là tiến độ xây dựng CSDL và HTTT của một số ngành, địa phương rất là chậm nên các TTHC, các hồ sơ nộp TTHC cũng bị chậm theo. Thứ ba là tình trạng của các công ty cung cấp HTTT không nắm được quyền quản trị dẫn đến nguy cơ bị lộ lọt thông tin, không đảm bảo được an ninh thông tin. Thứ tư là nhân lực CNTT quá mỏng.
Để đảm bảo an ninh mạng trong xây dựng và phát triển CPĐT, cần phải triển khai tổng thể, đồng bộ các giải pháp đảm bảo an toàn, an ninh mạng. Theo đó, Bộ Công an đề nghị các bộ ngành phối hợp cùng Bộ Công an xây dựng các nghị định: Nghị định về bảo vệ dữ liệu cá nhân, nghị định định danh và xác thực, nghị định xử phạt vi phạm hành chính trên lĩnh vực an ninh mạng và nghị định quy định điều kiện kinh doanh sản phẩm an ninh mạng.
Bộ Công an cũng đề nghị sớm xây dựng chiến lược đào tạo, thu hút nguồn nhân lực chất lượng cao về CNTT trong CQNN, phấn đấu đạt trung bình mỗi đơn vị chuyên trách về ATTT mạng của bộ, ngành và địa phương có tối thiểu là 5 người; ưu tiên nguồn lực với 2 đề án gồm đề án phát đào tạo triển nguồn nhân lực ATTT giai đoạn 2021 - 2025, đề án đào tạo nguồn nhân lực an ninh mạng giai đoạn 2021 - 2025, tầm nhìn 2030.
Tiếp theo cần tăng cường trách nhiệm đảm bảo an ninh mạng, ATTT cho HTTT của đơn vị chủ quản hệ thống. Do vậy, các cơ quan chủ quản HTTT phải có trách nhiệm chính trong việc đảm bảo an ninh mạng, ATTT cho hệ thống đang quản lý, sử dụng, đảm bảo tiến độ trong việc kết nối đến hệ thống CSDL quốc gia về dân cư, bảo đảm tỷ lệ chi kinh phí cho sản phẩm, dịch vụ ATTT tối thiểu theo quy định.
Đối với các HTTT trọng yếu, Bộ Công an cũng thống nhất đề nghị phải xây dựng, triển khai giải pháp an ninh, an toàn theo cấp độ. Những cơ quan đã được Bộ Công an kiểm tra an ninh mạng, ATTT cần khẩn trương khắc phục các tồn tại. Các bộ, ngành, địa phương nâng cao tinh thần chủ động, phối hợp với Bộ Công an, Bộ TT&TT đẩy mạnh công tác đào tạo, huấn luyện, phát triển nguồn nhân lực. Lực lượng chuyên trách về an ninh mạng phải kiểm tra thường xuyên HTTT nhằm phát hiện kịp thời các nguy cơ gây mất an ninh, ATTT mạng./.