Những người làm công tác an toàn thông tin, cũng như Hiệp hội VNISA mong rằng, nhận thức xã hội, các cấp lãnh đạo cần xem công tác an toàn thông tin như một phần công tác y tế dự phòng, hay công tác phòng cháy chữa cháy (PCCC).
Chia sẻ trên được ông Nguyễn Thành Hưng, Chủ tịch Hiệp hội An toàn thông tin Việt Nam (VNISA) đưa ra tại Hội thảo “Đảm bảo an toàn thông tin cho hạ tầng số, dữ liệu số và kinh tế số trước tội phạm mạng”, do Cục An toàn Thông tin (Bộ TT&TT), Sở TT&TT TP.HCM và Hiệp hội An toàn Thông tin Việt Nam – Chi hội phía Nam (VNISA phía Nam) phối hợp đồng tổ chức, dưới sự bảo trợ của Bộ TT&TT và Ủy ban Nhân dân thành phố Hồ Chí Minh, vào ngày 23/8.
Theo ông Nguyễn Thành Hưng, hiện nay, khuôn khổ pháp lý về công tác đảm bảo an toàn thông tin tương đối đầy đủ mặc dù vẫn đang tiếp tục rà soát, điều chỉnh. Nhưng việc thực hiện được một cách đầy đủ các quy định pháp luật liên quan đến công tác an toàn thông tin tại Việt Nam là một thách thức lớn đối với các cơ quan, tổ chức, doanh nghiệp hay địa phương… đặc biệt là sự thiếu hụt về nguồn nhân lực để triển khai. Chính vì vậy, Chủ tịch VNISA cho rằng, các cơ quan có thẩm quyền cần rà soát điều chỉnh các quy định sát với thực tiễn hơn, chỉ có như vậy công tác đảm bảo an toàn thông tin mới hiệu quả thực tế.
Đồng thời, để nâng cao nhận thức và triển khai việc đảm bảo an toàn thông tin một cách hiệu quả, theo ông Nguyễn Thành Hưng, những người làm công tác an toàn thông tin, cũng như Hiệp hội VNISA mong rằng, nhận thức xã hội, các cấp lãnh đạo cần xem công tác an toàn thông tin như một phần công tác y tế dự phòng, hay công tác phòng cháy chữa cháy.
Ông Lâm Đình Thắng, Giám đốc Sở TT&TT TP.HCM, cho biết tại TP.HCM việc chuyển đổi số đang được đẩy mạnh. Điều này đồng nghĩa với việc lượng dữ liệu số ngày càng tăng, hạ tầng số ngày càng phức tạp, tạo ra một môi trường hấp dẫn cho các hoạt động tấn công mạng.
Với tư cách là trung tâm kinh tế lớn nhất cả nước, TP.HCM đang phải đối mặt với áp lực tấn công mạng rất lớn. Các cuộc tấn công không chỉ nhắm vào các doanh nghiệp lớn mà còn lan rộng đến các doanh nghiệp vừa và nhỏ, gây ra những thiệt hại kinh tế nghiêm trọng. Theo ước tính, trung bình mỗi vụ tấn công mạng có thể khiến một doanh nghiệp mất hàng tỷ đồng để khắc phục hậu quả.
Ông Lâm Đình Thắng chia sẻ, TP.HCM đã có nhiều nỗ lực trong việc nâng cao an toàn thông tin, như đầu tư phát triển hạ tầng CNTT, hạ tầng số gắn với đầu tư an toàn thông tin; thành lập Trung tâm An toàn thông tin, tổ chức các diễn tập thực chiến, đội ứng cứu an toàn thông tin; thực hiện nghiêm túc các quy chuẩn, quy định và hướng dẫn của Bộ TT&TT, tăng cường tuyên truyền về ý thức bảo vệ thông tin.
Tuy nhiên, theo Giám đốc Sở TT&TT TP.HCM, các nỗ lực này vẫn chưa đủ để đáp ứng hoàn toàn nhu cầu đảm bảo an toàn thông tin, do một bộ phận người dùng và doanh nghiệp chưa thực sự quan tâm đến vấn đề an toàn thông tin, dẫn đến việc chủ quan trong việc bảo vệ thông tin của mình.
Việc đầu tư cho an toàn thông tin còn hạn chế, đặc biệt là đối với các doanh nghiệp vừa và nhỏ, kể cả cơ quan nhà nước. Mặc dù, đã có nhiều quy định pháp luật về an toàn thông tin, nhưng việc thực thi còn chưa đồng bộ và hiệu quả.
Bên cạnh đó, TP.HCM còn thiếu nguồn nhân lực có chuyên môn cao về an toàn thông tin.
Theo ông Lâm Đình Thắng, an toàn thông tin không phải là vấn đề của riêng một cá nhân, một tổ chức hay một doanh nghiệp mà là vấn đề của toàn xã hội. Để xây dựng một không gian mạng an toàn, tin cậy, cần sự chung tay của tất cả các thành phần.
Ông Lê Văn Tuấn, Cục trưởng Cục An toàn thông tin (Bộ TT&TT) cũng cho rằng, mặc dù đã có các quy định và chế tài về công tác bảo đảm an toàn thông tin, nhưng thực tế nhiều doanh nghiệp vẫn chưa nâng cao nhận thức về vấn đề này.
Chính phủ và Bộ TT&TT đã nhận diện rõ ràng về tình trạng này, vì thế, đã đưa ra các quy định, giải pháp và mục tiêu cho các doanh nghiệp thực hiện. Chẳng hạn như, bảo đảm 100% hệ thống thông tin đang vận hành phải được phê duyệt cấp độ an toàn hệ thống thông tin chậm nhất trong tháng 9/2024 và triển khai đầy đủ phương án bảo đảm an toàn thông tin theo hồ sơ đề xuất cấp độ được phê duyệt chậm nhất trong tháng 12/2024.
Ngoài ra, các tổ chức, doanh nghiệp, địa phương… phải triển khai các biện pháp sao lưu dự phòng offline, phục hồi nhanh khi bị tấn công…
Cục An toàn thông tin, trong thời gian tới, sẽ chú trọng thanh tra, kiểm tra, giám sát việc thực hiện công tác đảm bảo an toàn thông tin của các địa phương, tổ chức, doanh nghiệp. Tổ chức giám sát việc thực hiện các biện pháp đảm bảo an toàn thông tin ngay cả trong quá trình phát triển các phần mềm.
Theo ông Lê Văn Tuấn, công nghệ chỉ đóng vai trò hỗ trợ, không phải là toàn năng; yếu tố con người bao gồm kỹ năng đào tạo và đạo đức nghề nghiệp vẫn là yếu tố quyết định, trong quản lý vận hành trước các cuộc tấn công mạng.
Trên 50% tổ chức chưa làm hoặc đã làm nhưng chưa được phê duyệt cấp độ an toàn hệ thống thông tin
Khảo sát "Hiện trạng an toàn thông tin khu vực phía Nam năm 2024", do VNISA phía Nam thực hiện tại 160 doanh nghiệp cho thấy: Dù phân loại cấp độ hệ thống thông tin đã là một yêu cầu khá quen thuộc, tuy nhiên, việc triển khai thực hiện vẫn còn nhiều khó khăn với trên 50% tổ chức chưa làm hoặc đã làm đánh giá nhưng chưa được phê duyệt.
Về biện pháp sử dụng bảo hiểm an ninh mạng để giảm thiệt hại khi bị tấn công cũng chưa được phổ biến, với 61% tổ chức chưa biết về cách làm này; Một số đơn vị quan tâm (13%) nhưng chưa có đầy đủ thông tin về biện pháp này.
Một điểm đáng chú ý trong khảo sát năm nay là doanh nghiệp đã tăng (20% năm 2023 lên 50% năm 2024) về thuê ngoài dịch vụ giám sát an toàn thông tin để tối ưu chi phí, nhưng vẫn đảm bảo hiệu quả mong muốn.
Nhu cầu về đào tạo, đặc biệt đào tạo nhận thức an toàn thông tin của người dùng cũng tăng lên nhanh chóng, khi 31,3% doanh nghiệp đang cần đào tạo ngay trong năm 2024 (so với 19,7% năm 2023).