Tọa đàm trực tuyến: “Làm gì để bảo đảm an toàn thông tin trong cơ quan nhà nước?”

Buổi tọa đàm chủ đề “Làm gì để bảo đảm an toàn thông tin trong cơ quan nhà nước?” được chuyên trang ICTnews của báo điện tử Infonet tổ chức trong bối cảnh sức nóng của lĩnh vực an toàn thông tin mạng trên thế giới và tại Việt Nam đang có xu hướng ngày càng gia tăng. Nhiều chuyên gia đã đưa ra nhận định, trong năm 2018 và các năm tiếp theo an toàn thông tin mạng vẫn sẽ diễn biến phức tạp. Các cuộc tấn công mạng của tin tặc sẽ sử dụng các công nghệ thông minh hơn, tinh vi hơn và đặc biệt nguy hiểm với các cuộc tấn công có chủ đích nhằm vào các hạ tầng trọng yếu quốc gia. Bối cảnh đó đặt các cơ quan, tổ chức, doanh nghiệp Việt Nam phải đối mặt với vô vàn thách thức để bảo đảm an toàn cho các hệ thống thông tin, nhất là các hệ thống thông tin quan trọng.

Theo số liệu thống kê mới nhất của các cơ quan thuộc khối an toàn thông tin của Bộ TT&TT, trong năm nay, các hệ thống thông tin tại Việt Nam đã phải hứng chịu khoảng 14.000 cuộc tấn công mạng, gồm khoảng 3.000 cuộc tấn công lừa đảo (Phishing), 6.500 cuộc tấn công cài phần mềm độc hại (Malware) và 4.500 cuộc tấn công thay đổi giao diện (Deface). Trong đó, số cuộc tấn công vào hệ thống thông tin của các cơ quan nhà nước có tên miền “.gov.vn” cũng lên tới hàng trăm.

Tham gia buổi tọa đàm trực tuyến chủ đề “Làm gì để bảo đảm an toàn thông tin trong cơ quan nhà nước?” do ICTnews tổ chức chiều ngày 21/12/2017 có ông Nguyễn Khắc Lịch, Phó Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) – Bộ TT&TT; ông Nguyễn Huy Dũng, Phó Cục trưởng Cục An toàn thông tin - Bộ TT&TT; ông Triệu Trần Đức, Tổng giám đốc Công ty cổ phần an ninh an toàn CMC - CMC InfoSec; ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng Công ty Bkav; và ông Khổng Huy Hùng, Tổng Giám đốc Công ty cổ phần Công nghệ an ninh không gian mạng VIệt Nam – VNCS.

Tại tọa đàm trực tuyến này, các chuyên gia sẽ cùng trao đổi về những nguy cơ, thách thức trong việc đảm bảo an toàn thông tin cho hệ thống thông tin của các các cơ quan, tổ chức, đồng thời chia sẻ những kinh nghiệm cũng như đưa ra những khuyến nghị đối với cơ quan, tổ chức… để giúp cho công tác đảm bảo an toàn thông tin trong các cơ quan, tổ chức nhà nước ngày càng chuyên nghiệp hơn.

Buổi tọa đàm được triển khai bằng hình thức đưa ra câu hỏi mà độc giả quan tâm đến các chuyên gia trả lời và đăng tải trên ICTnews.vn. Trong thời gian diễn ra buổi tọa  đàm trực tuyến, độc giả vẫn có thể gửi câu hỏi cho các chuyên gia và gửi về cho Ban Tổ chức theo địa chỉ [email protected] hoặc [email protected].

Dưới đây là nội dung buổi tọa đàm trực tuyến:

MC: Theo một thống kê của Bộ Công an, các trang tên miền .gov bị tấn công nhiều (44% tổng số website), vấn đề nhận thức ATTT trong các cơ quan Nhà nước. Từ con số này, ông có nhận định gì về công tác đảm bảo an ninh, bảo mật thông tin tại các cơ quan nhà nước hiện nay? Phải chăng các cơ quan, tổ chức nhà nước còn lơ là, chưa nhận thức được các nguy cơ?

Ông Nguyễn Huy Dũng: Xin cảm ơn ông vì câu hỏi này. Trước hết chúng ta phải nhận định công tác đảm bảo ATTT trong các cơ quan Nhà nước trong 3 năm gần đây đã được chú trọng hơn trước. Nhưng có một thực tiễn là công nghệ luôn thay đổi do đó các nguy cơ, rủi ro luôn phát triển nhanh hơn cả những cố gắng mà chúng ta đã làm trong thời gian qua. Do đó, cần phải tiếp tục quan tâm hơn nữa tới công tác đảm bảo ATTT đặc biệt cần có sự tham gia chỉ đạo trực tiếp của người đứng đầu các cơ quan tổ chức Nhà nước.

Ông Ngô Tuấn Anh: Con số 40% các website có lỗ hổng theo tôi là con số khá sát thực tế, thống kê về an ninh bảo mật trên các hệ thống website toàn cầu mà chúng tôi đã thực hiện, số website tại Việt Nam có lỗ hổng là khoảng 40%, mức trung bình trong khu vực nhưng là cao so với thế giới. Con số này cần đặt ra những suy nghĩ vì website là cửa ngõ kết nối vào hệ thống thông tin của các cơ quan, tổ chức, hiện nay hầu như đơn vị nào cũng có website. Những trang web .gov.vn là những địa chỉ mà hacker luôn ngắm tới để tìm ra những lỗ hổng nhằm xâm nhập vào hệ thống. Khi xây dựng hệ thống, các tổ chức cần đảm bảo an toàn thông tin cho website, bao gồm khi đưa hệ thống mới vào sử dụng, cũng như khi nâng cấp, bổ sung các tính năng mới, ngoài ra cần có kế hoạch định kỳ thực hiện việc kiểm tra này. Việc phát hiện sớm lỗ hổng sẽ giúp chúng ta xử lý sớm, tránh bị hacker lợi dụng khai thác, xâm nhập vào hệ thống.

Ông Triệu Trần Đức: Theo CMC, nên nhìn nhận con số đó một cách khả quan. Nhìn vào con số 44% thì chúng ta cũng nên quay lại khi 5 năm trước đây con số này phải gấp đôi, khoảng 90%. Như vậy sau 5 năm đã giảm một nửa, đó là nỗ lực rất lớn. Vài năm trở lại đây, nhận thức đã tăng nhanh, đầu tư phù hợp hơn. Tuy nhiên vẫn cần tăng cường các giải pháp kỹ thuật, cần tăng cường nhận thức từ những người lãnh đạo, bộ phận quản trị mạng... để con số này ngày càng giảm hơn.

MC: Cả ở địa phương cũng như tại các bộ, ngành, nhiều cuộc diễn tập ứng cứu sự cố đã được tổ chức. Tuy nhiên, khi triển khai công tác ứng cứu xử lý sự cố tấn công mạng thực tế vẫn lúng túng, phản ứng chậm. Là cơ quan điều phối Mạng lưới ứng cứu sự cố quốc gia, ông bình luận gì về thực tế này?

Ông Nguyễn Khắc Lịch: Trong năm 2017, Trung tâm VNCERT đã tham mưu Lãnh đạo Bộ TT&TT, trình Thủ tướng Chính phủ ban hành Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia; và Tham mưu Bộ trưởng Bộ TT&TT ban hành Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 Quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc. Tại Quyết định số 05/2017/QĐ-TTg và Thông tư số 20/2017/TT-BTTTT đã yêu cầu Các cơ quan, đơn vị xây dựng và thực hiện kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng. Đồng thời, Quyết định số 05/2017/QĐ-TTg và Thông tư số 20/2017/TT-BTTTT đã đưa ra Đề cương Kế hoạch ứng phó sự cố ATTT mạng, trong đó có quy định về triển khai huấn luyện, diễn tập, phòng ngừa sự cố, giám sát phát hiện, bảo đảm các điều kiện sẵn sàng đối phó, ứng cứu, khắc phục sự cố. Yêu cầu về đảm bảo sẵn sàng, phản ứng nhanh và ứng cứu kịp thời khi sự cố xảy ra là một nội dung rất quan trọng trong công tác đảm bảo an toàn thông tin. Để làm tốt yêu cầu này, đòi hỏi các Bộ, ngành, địa phương và các chủ quản hệ thống thông tin cần chủ động nâng cao năng lực đội ngũ, tính sẵn sàng thông qua các hoạt động như đào tạo, huấn luyện, diễn tập ứng cứu sự cố về ATTT... Có thể nói, hoạt động diễn tập là rất cần thiết và cần được tổ chức thường xuyên để tăng tính sẵn sàng và năng lực của các cơ quan, đơn vị. Tuy nhiên, cùng với đó, yêu cầu nâng cao chất lượng của các cuộc diễn tập chưa cao và thiên về "Diễn là chính, tập là phụ”và yêu cầu trong thời gian tới diễn tập về ứng cứu sự cố phải là “Tập là chính diễn là phụ”. Do vậy, để khắc phục được tình trạng nêu trên, trong thời gian tới các Bộ, ngành và địa phương cần trọng triển khai hoạt động diễn tập gắn với thực tế và gắn với Kế hoạch ứng phó sự cố ATTT mạng của từng hệ thống và cơ quan đơn vị mình. Với vai trò là cơ quan được Lãnh đạo Bộ giao theo dõi, đôn đốc triển khai Quyết định số 05/2017/QĐ-TTg và Thông tư số 20/2017/TT-BTTTT, Trung tâm VNCERT sẽ tích cực đôn đốc, hướng dẫn các đơn vị tổ chức các hoạt động diễn tập theo đúng tinh thần trên để nâng cao hiệu quả trong công tác đảm bảo an toàn thông tin.

MC: Tôi muốn hỏi thêm câu hỏi khác, kết nối IoT đặt ra những bài toán bảo mật ra sao cho các cơ quan, tổ chức. Các vị khách mời đánh giá đâu là những nguy cơ nào các cơ quan, tổ chức cần phải quan tâm?

Ông Khổng Huy Hùng: Tôi cho rằng, chúng ta không nên quá hoang mang dẫn đến tâm lý dàn trải để bảo vệ các hệ thống IoT của cơ quan, tổ chức mình. Việc chúng ta cần làm là tập trung vào 2 hướng chính: thứ nhất nên khắc phục những lỗ hổng cơ bản trên hệ thống của mình, thứ hai là tập trung đầu tư để đảm bảo cho hệ thống IoT chính mà mình đang vận hành.

MC: Các doanh nghiệp như VNPT, Viettel… đã triển khai smartcity, đô thị thông minh, bệnh viên kết nối, giáo dục kết nối, vậy những kết nối đó có đặt ra bài toán bảo mật ra sao trong xu hướng 4.0 đang phát triển mạnh mẽ?

Ông Ngô Tuấn Anh: Rõ ràng khi có càng nhiều kết nối thì nguy cơ càng lớn. Gần đây, vào cuối 2016, hẳn chúng ta còn nhớ có mã độc Mirai, đây là loại mã độc thường lợi dụng thói quen không đổi mật khẩu mặc định từ nhà sản xuất của người dùng, để tự động dò tìm và lây nhiễm vào các thiết bị IoT. Cách đây 2 tháng, khi phân tích một biến thể mới của Mirai, chúng tôi cũng đã phát hiện hacker đang nhắm mục tiêu vào Việt Nam. Trong biến thể này, danh sách mật khẩu bị mã độc sử dụng để tấn công xuất hiện thông tin tài khoản mặc định của nhà mạng tại Việt Nam. Sự bùng nổ của IoT khiến vấn đề an ninh trên các thiết bị như Router Wifi, Camera IP… trở thành chủ đề nóng trong thời gian gần đây.

Kết quả nghiên cứu của Bkav năm 2016 cũng cho thấy có hơn 5,6 triệu router trên khắp thế giới có lỗ hổng, riêng tại Việt Nam con số này là 300 nghìn, tương đương với 300 nghìn hệ thống mạng đang trong tình trạng bỏ ngỏ. Sau khi tấn công, kiểm soát thiết bị IoT, hacker có thể huy động các thiết bị này trở thành botnet trong các cuộc tấn công từ chối dịch vụ DDoS hoặc kiểm soát toàn bộ truy cập của người dùng trong mạng, thực hiện các hình thức tấn công MitM, Phishing để ăn cắp tài khoản ngân hàng, mạng xã hội, email... Để phòng tránh nguy cơ bị truy cập trái phép, người sử dụng cần phải kiểm tra, thay đổi mật khẩu quản trị các thiết bị IoT đồng thời tắt tính năng cho phép truy cập thiết bị từ mạng Internet bên ngoài khi không sử dụng. Về phía nhà cung cấp dịch vụ, thiết bị cũng cần thông báo việc phải thay đổi mật khẩu mặc định cho khách hàng sau khi lắp đặt và đưa thiết bị vào sử dụng.

MC: Các chuyên gia đánh giá như thế nào về nguy cơ mất an toàn thông tin trong khối các cơ quan nhà nước hiện nay, nhất là trong xu hướng của cách mạng công nghiệp 4.0, với sự phát triển mạnh mẽ của IoT, Big Data…?

Ông Khổng Huy Hùng: Nhìn nhận lại một cách khách quan, với hệ thống máy tính truyền thống mà hiện chúng ta còn chưa làm tròn việc đảm bảo an toàn thông tin, thì đối với các hạ tầng IoT lại càng khó vì các thiết bị IoT vốn dĩ năng lực bảo mật rất hạn chế, được thiết kế để tập trung thực hiện các nhiệm vụ chuyên môn của nó hơn là quan tâm nhiều đến bảo mật. Quan điểm của tôi là việc cần tập trung, lo lắng trước tiên cho các hệ thống CNTT truyền thống (ứng dụng, hạ tầng DataCeter, thiết bị đầu cuối…) cùng các hệ thống mới manh nha thuộc về IoT của các cơ quan, tổ chức Việt Nam như trạm thu phí không dừng, camera giao thông… khi chúng ta biết rằng có gần 80% camera IP được lắp đặt ở Việt Nam có thể bị xem lén do vẫn dùng mật khẩu mặc định của nhà sản xuất thiết bị.

MC: Xu hướng tấn công mạng của các nhóm tin tặc trên thế giới và tại Việt Nam vào các tổ chức, doanh nghiệp đã và đang có những chuyển biến mới như thế nào và các cơ quan, tổ chức nhà nước cần làm gì để có thể ứng phó?

Ông Khổng Huy Hùng: Với xu hướng tấn công an ninh mạng hiện nay , các cuộc tấn công vào cơ quan tổ chức doanh nghiệp ngày càng tinh vi và có dấu hiệu tập trung vào các hệ thống thông tin trọng yếu quốc gia như hàng không, ngân hàng, viễn thông… Thực tế, các hệ thống này đã là mục tiêu bị phá hoại nghiêm trọng bởi các cuộc tấn công mạng, điển hình là là vụ tấn công mạng vào ngành hàng không Việt Nam hồi tháng 8/2016. Tôi cho rằng, các cơ quan nhà nước cần đề cao tính cấp thiết của an ninh mạng, đặt vấn đề an toàn thông tin lên ưu tiên cao, đưa ra các chính sánh ưu đãi cho yếu tố con người để chiêu mộ nhân tài và củng cố nhận thức về an toàn thông tin trong nội bộ.

MC: Dự báo về tình hình an toàn thông tin mạng thời gian tới, nhiều chuyên gia cho rằng tấn công có chủ đích APT sẽ tiếp tục gia tăng trong năm tới và các hạ tầng thông tin trọng yếu sẽ trở thành đích ngắm của nhiều nhóm tội phạm mạng. Ý kiến của các vị khách mời về vấn đề này như thế nào?

Ông Khổng Huy Hùng: Tôi hoàn toàn đồng ý với nhận định đó. Đặc biệt trong bối cảnh các hệ thống trọng yếu của chúng ta chưa được bảo vệ thích đáng, thì đó là miếng mồi ngon cho các hacker tấn công có tổ chức. Đảm bảo an toàn thông tin là vấn đề nóng hiện nay, tuy nhiên đầu tư cho an toàn thông tin của các cơ quan, tổ chức tại Việt Nam còn rất hạn chế, chiếm tỷ lệ rất nhỏ. Trong bối cảnh nguồn kinh phí hạn hẹp, các cơ quan, đơn vị cần phải làm sao để có thể triển khai nhiệm vụ này có hiệu quả, thưa các chuyên gia? Ông Khổng Huy Hùng: Theo thống kê của một tổ chức quốc tế của Mỹ, tỷ lệ đầu tư cho an toàn thông tin trong tổng ngân sách đầu tư cho CNTT nói chung trung bình trên thế giới là khoảng 30% doanh nghiệp đầu tư ở mức dưới 6%; trong khi con số này ở Việt Nam, theo thống kê của Hiệp hội An toàn thông tin Việt Nam (VNISA) la gần 50% doanh nghiệp. Thực ra không phải là kinh phí đầu tư cho CNTT thấp dẫn đến đầu tư cho an toàn thông tin thấp mà do bản thân các đơn vị chưa chú trọng ưu tiên đầu tư cho an toàn thông tin. Trong điều kiện như vậy, tôi cho rằng tốt nhất là không đầu tư dàn trải mà phương pháp đầu tư cho an toàn thông tin tiết kiệm nhất, hiệu quả nhất vẫn là thực hiện “may đo” cho từng đơn vị. Không có đơn vị, doanh nghiệp nào có thể triển khai đầu tư tất cả các biện pháp đảm bảo an toàn thông tin. May đo ở đây được hiểu là chúng ta phải biết được rủi ro về an toàn thông tin của tổ chức, doanh nghiệp mình nằm ở đâu và xếp thứ tự ưu tiên đối với chúng, từ đó thực hiện đầu tư các biện pháp nhằm giảm thiểu các rủi ro theo thứ tự ưu tiên. Để đánh giá được rủi ro, các tổ chức, doanh nghiệp có thể tự đánh giá cũng có thể mời các đơn vị tư vấn hỗ trợ đánh giá và đưa ra khuyến cáo nên tập trung vào những rủi ro nào để có biện pháp giảm thiểu trước.

MC: Là đơn vị đang cung cấp giải pháp cho nhiều bộ, ngành, ông đánh giá như thế nào về công tác đảm bảo an toàn thông tin của các cơ quan nhà nước hiện nay? Đâu là tồn tại, hạn chế lớn nhất của nhóm đối tượng này? (Minh Hương, Hà Nội)

Ông Triệu Trần Đức: Theo tôi trong 2 năm trở lại đây, năng lực ATTT của các cơ quan nhà nước đã tăng rõ rệt, nhận thức thay đổi nhanh. Tuy nhiên hạn chế lớn hiện nay là về hành lang pháp lý chưa đủ cơ sở để lập dự toán về thuê ngoài dịch vụ ATTT, dẫn đến chưa có đủ nguồn vốn đầu tư. Hy vọng thời gian tới sẽ có sự cải thiện.

MC: Năm 2016, lãnh đạo CMC từng nhận xét, nhiều cơ quan, tổ chức tại Việt Nam coi các sự cố về an ninh mạng là vấn đề “nóng” trong khoảng 2 tuần, sau đó lại nguội ngắt như chưa từng xảy ra, không nhận thức đây là vấn đề cần được quan tâm thường xuyên. Ông có thể cho biết đến nay tình trạng này đã được cải thiện hay chưa? (Mạnh Hùng – Hà Nội)

Ông Triệu Trần Đức: Chúng ta nhìn nhận vấn đề: trong 2 tuần đầu khi hậu quả rất rõ ràng, mọi người đều có nhận thức tốt, đặc biệt là nạn nhân của chính các sự vụ. Tuy nhiên sau đó, khi các hậu quả được xử lý thì độ nóng lại giảm dầntương ứng. Để giải quyết vấn đề luôn duy trì được nhận thức tốt, CMC đã ra mắt trung tâm giám sát an ninh mạng thế hệ mới. Khách hàng của CMC được giám sát và cảnh báo 24/7 về các mối đe dọa an toàn, an ninh thông tin. Từ đó những bộ phận an ninh, an toàn thông tin tại các cơ quan hàng ngày nhận được báo cáo thực tế về các sự kiện an ninh, an toàn thông tin mạng. Từ đó giúp họ giữ được độ “nóng” nhận thức về ATTT, góp phần rõ rệt tăng cường năng lực ATTT của tổ chức.

MC: Từ thực tế cung cấp giải pháp cho các đơn vị, tổ chức, ông đánh giá như thế nào về mức độ đảm bảo an toàn thông tin của các cơ quan, tổ chức tại Việt Nam? Và trong so sánh với khối doanh nghiệp, liệu có hay không sự chênh lệch về mức độ đầu tư, vấn đề nhận thức cũng như công tác thực thi các biện pháp đảm bảo an toàn thông tin tại các cơ quan nhà nước? (Hồng Hạnh, Hà Nội).

Ông Ngô Tuấn Anh: Qua thực tế triển khai cung cấp các giải pháp an ninh cho khách hàng, chúng tôi nhận thấy việc đầu tư nguồn lực cho đảm bảo an toàn an ninh thông tin ở các đơn vị tổ chức hầu như chưa tương xứng với mức độ quan trọng của các hệ thống cần bảo vệ. Một số tổ chức trong khối ngân hàng, tài chính thường có mức độ đầu tư cao hơn so với các nhóm còn lại. Điều này có thể giải thích bởi việc đảm bảo an toàn an ninh thông tin trong thời gian trước đây chưa phải là yêu cầu bắt buộc thực hiện đối với các cơ quan tổ chức. Việc triển khai giải pháp đảm bảo an toàn an ninh thông tin ở các đơn vị, chủ yếu phụ thuộc vào ý thức của đội ngũ lãnh đạo của các đơn vị đó. Tôi cũng hy vọng trong thời gian tới, khi luật an toàn thông tin mạng được triển khai sâu rộng trong cuộc sống, với những quy định rõ ràng về đảm bảo an toàn thông tin theo cấp độ cho từng đối tượng cũng như sự thay đổi nhận thức của các đơn vị tổ chức thì việc đầu tư cho an toàn an ninh thông tin sẽ có mức độ ưu tiên cao hơn, tương xứng với vai trò của nó trong việc đảm bảo an toàn hệ thống thông tin.

MC: Có thông tin chưa chính thức cho rằng các hacker có thể dùng phần mềm quét tự động vào các website.vn và .gov.vn để tìm ra các hệ thống đang mắc lỗi bảo mật, sau đó chỉ việc khai thác lỗ hổng để xâm nhập. Ông có bình luận gì về ý kiến này? (Nghiêm An, Quảng Ninh)

Ông Ngô Tuấn Anh: Thực tế đang diễn ra như vậy, và hacker sẽ tiến hành dò quét tất cả các website trên mạng Internet, chứ không chỉ dò quét vào các website .vn và .gov.vn để tìm lỗ hổng. Khi tìm ra lỗ hổng, hacker sẽ tiến hành khai thác để xâm nhập và điều nguy hiểm là hầu hết các đơn vị chủ quản không hề biết website của mình bị tấn công khai thác. Ghi nhận thực tế của chúng tôi, hàng tháng tại Việt Nam có khoảng 300 website .vn bị hacker khai thác tấn công, trong đó có ghi nhận các website với tên miền .gov.vn. Những lỗ hổng tồn tại trên website chủ yếu xuất phát từ việc thiếu quy trình kiểm tra đánh giá cũng như kinh nghiệm về lập trình an toàn của đội ngũ lập trình viên. Để khắc phục tình trạng này đòi hỏi sự thay đổi nhận thức từ các chính phủ, doanh nghiệp và việc nâng cao kiến thức của các lập trình viên. Trong một dự án IT, cần đầu tư ít nhất từ 5 đến 10% cho an ninh mạng, nếu không hệ quả tất yếu là hệ thống bị xâm nhập, bị đánh cắp dữ liệu. Việc khắc phục rất tốn kém và mất nhiều thời gian.

MC: Được biết năm 2017 CMC Infosec đã phát triển thành công cụ phát hiện và ngăn chặn WannaCry. Vậy đến nay công cụ đang được khối các cơ quan nhà nước đón nhận như thế nào? Năm 2018 công ty sẽ tiếp tục tung ra sản phẩm, giải pháp gì? (Lê Minh, Hà Nội)

Ông Triệu Trần Đức: Đến nay nhiều đơn vị sử dụng và có nhu cầu sử dụng giải pháp chống mã độc tống tiền của CMC. Điển hình là những máy tính quan trọng của lãnh đạo, kế toán trưởng, trưởng phòng… có nhu cầu lớn về chống mã hóa dữ liệu. Chúng tôi tin rằng thời gian tới nhu cầu này sẽ tăng cao. Thời gian tới chúng tôi dự kiến ra mắt sản phẩm, thiết bị hướng tới bảo vệ cho IoT dùng cho smarthome, smartcity…

MC: Hiện nay có nhiều công ty làm về dịch vụ an ninh thông tin nhưng chúng tôi lúng túng không biết chọn bên nào, chuyên gia có thể cho chúng tôi một lời khuyên? (Hoài Nam, Hà Nội)

Ông Triệu Trần Đức: Theo chúng tôi thì nên chọn những đơn vị lâu năm kinh nghiệm, có uy tín thương hiệu, có đầu tư lớn về đội ngũ nhân sự, kỹ sư an ninh, an toàn thông tin. Đặc biệt với các cơ quan nhà nước, đương nhiên phải chọn đơn vị được cấp phép hoạt động trong lĩnh vực AN, ATTT do Bộ TT&TT cấp. CMC là tập đoàn có hơn 20 năm kinh nghiệm tại VN trong lĩnh vực CNTT và hầu hết các khách hàng cơ quan Nhà nước của VN đều là khách hàng của CMC. Riêng CMC Infosec đã có hơn 10 năm hoạt động trong lĩnh vực AN, ATTT. Là công ty đầu tiên được Bộ TT&TT cấp phép hoạt động trong lĩnh vực ATTT tại Việt Nam. Chúng tôi đã giúp rất nhiều đơn vị tăng cường năng lực an ninh, an toàn thông tin. Bạn nên tránh thuê dịch vụ ATTT từ những công ty mới thành lập, bởi vì năng lực không đảm bảo và kể cả khi năng lực đảm bảo thì bạn cũng không thể biết được hộ làm gì với dữ liệu của tổ chức sau khi họ được tiếp cận để thực hiện các dịch vụ ATTT. 

MC: CMC Infosec nhận định đâu là những mối đe dọa về an ninh mạng chủ yếu đối với các cơ quan nhà nước trong năm 2018? Tình hình phát triển của mã độc tống tiền sẽ diễn biến như thế nào? (Tuấn Anh, Hà Nội)

Ông Triệu Trần Đức: Năm 2018 chúng tôi có dự báo các tấn công APT sẽ diễn ra với cường độ cao hơn rất nhiều. Các cơ quan nhà nước cần đặc biệt quan tâm đầu tư kịp thời cho các dịch vụ, giải pháp giám sát và phòng chống APT. Đương nhiên, các nguy cơ về IoT, Cloud, BigData… cũng sẽ đến rất nhanh, nhưng có thể ưu tiên đầu tư sau APT. Cần hết sức thận trọng trong việc mua sắm phần mềm và thiết bị khi kết nối vào hệ thống của cơ quan nhà nước. Các cơ quan nhà nước phải đảm bảo các phần mề, thiết bị này được kiểm tra về ATTT trước khi đưa vào hoạt động trong hệ thống.

MC: Thưa ông Nguyễn Khắc Lịch, VNCERT là đơn vị ứng cứu rất nhiều các sự cố, ông đánh giá thế nào về mức độ quan tâm đến an toàn thông tin trong cơ quan nhà nước?

Ông Nguyễn Khắc Lịch: Trên quan điểm VNCERT là cơ quan điều phối quốc gia, với trách nhiệm theo dõi, phân tích, phát hiện, điều phối và ứng cứu sự cố trên toàn quốc, trong năm qua phần sự cố mất an toàn thông tin trong cơ quan nhà nước giảm rõ rệt, nhận thức của cơ quan nhà nước tăng lên nhiều, các số liệu phản ánh rõ như vậy. Ví dụ, khi xảy ra sự cố WannaCry chúng tôi phát lệnh cảnh báo trước 3 tuần để vá 9 lỗ hổng của hệ điều hành Windows. Sau đó các đơn vị báo cáo về có hơn 1114.159 máy trạm và 3.522 máy chủ đã được vá, chỉ còn rất ít các máy trạm bị nhiễm (khoảng 500 máy) và 4 máy chủ. VNCERT đã tham mưu cho lãnh đạo Bộ TT&TT, trình Thủ tướng Chính phủ hoàn thiện hành lang pháp lý về điều phối ứng cứu sự cố mất an toàn thông tin. Đó là Quyết định 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia và Thông tư 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ TT&TT quy định về điều phối điều phối ứng cứu sự cố thông tin mạng trên toàn quốc. Các văn bản này đã hình thành tương đối đầy đủ các quy định về tổ chức bộ máy, điều phối, ứng cứu quốc gia từ Trung ương tới địa phương. Bao gồm các cơ quan nhà nước, các chủ quản hệ thống thông tin quan trọng quốc gia, các tổ chức, cá nhân liên quan tới hoạt động điều phối, ứng cứu sự cố an toàn thông tin mạng tại Việt Nam.

MC: Các chuyên gia đánh giá như thế nào về nguy cơ mất an toàn thông tin trong khối các cơ quan nhà nước hiện nay, nhất là trong xu hướng của cách mạng công nghiệp 4.0, với sự phát triển mạnh mẽ của IoT, Big Data…?

Ông Khổng Huy Hùng: Nhìn nhận lại một cách khách quan, với hệ thống máy tính truyền thống mà hiện chúng ta còn chưa làm tròn việc đảm bảo an toàn thông tin, thì đối với các hạ tầng IoT lại càng khó vì các thiết bị IoT vốn dĩ năng lực bảo mật rất hạn chế, được thiết kế để tập trung thực hiện các nhiệm vụ chuyên môn của nó hơn là quan tâm nhiều đến bảo mật. Quan điểm của tôi là việc cần tập trung, lo lắng trước tiên là cho các hệ thống CNTT truyền thống (ứng dụng, hạ tầng DataCeter, thiết bị đầu cuối…) cung các hệ thống mới manh nha thuộc về IoT của các cơ quan, tổ chức Việt Nam như trạm thu phí không dừng, camera giao thông… khi chúng ta biết rằng có gần 80% camera IP được lắp đặt ở Việt Nam có thể bị xem lén do vẫn dùng mật khẩu mặc định của nhà sản xuất thiết bị.

MC: Xu hướng tấn công mạng của các nhóm tin tặc trên thế giới và tại Việt Nam vào các tổ chức, doanh nghiệp đã và đang có những chuyển biến mới như thế nào và các cơ quan, tổ chức nhà nước cần làm gì để có thể ứng phó?

Ông Khổng Huy Hùng: Với xu hướng tấn công an ninh mạng hiện nay , các cuộc tấn công vào cơ quan tổ chức doanh nghiệp ngày càng tinh vi và có dấu hiệu tập trung vào các hệ thống thông tin trọng yếu quốc gia như hàng không, ngân hàng, viễn thông… Thực tế, các hệ thống này đã là mục tiêu bị phá hoại nghiêm trọng bởi các cuộc tấn công mạng, điển hình là là vụ tấn công mạng vào ngành hàng không Việt Nam hồi tháng 8/2016. Tôi cho rằng, các cơ quan nhà nước cần đề cao tính cấp thiết của an ninh mạng, đặt vấn đề an toàn thông tin lên ưu tiên cao, đưa ra các chính sánh ưu đãi cho yếu tố con người để chiêu mộ nhân tài và củng cố nhận thức về an toàn thông tin trong nội bộ.

MC: Từ thực tế cung cấp giải pháp cho các đơn vị, tổ chức, ông đánh giá như thế nào về mức độ đảm bảo an toàn thông tin của các cơ quan, tổ chức tại Việt Nam? Và trong so sánh với khối doanh nghiệp, liệu có hay không sự chênh lệch về mức độ đầu tư, vấn đề nhận thức cũng như công tác thực thi các biện pháp đảm bảo an toàn thông tin tại các cơ quan nhà nước? (Hồng Hạnh, Hà Nội).

Ông Ngô Tuấn Anh: Qua thực tế triển khai cung cấp các giải pháp an ninh cho khách hàng, chúng tôi nhận thấy việc đầu tư nguồn lực cho đảm bảo an toàn an ninh thông tin ở các đơn vị tổ chức hầu như chưa tương xứng với mức độ quan trọng của các hệ thống cần bảo vệ. Một số tổ chức trong khối ngân hàng, tài chính thường có mức độ đầu tư cao hơn so với các nhóm còn lại. Điều này có thể giải thích bởi việc đảm bảo an toàn an ninh thông tin trong thời gian trước đây chưa phải là yêu cầu bắt buộc thực hiện đối với các cơ quan tổ chức. Việc triển khai giải pháp đảm bảo an toàn an ninh thông tin ở các đơn vị, chủ yếu phụ thuộc vào ý thức của đội ngũ lãnh đạo của các đơn vị đó. Tôi cũng hy vọng trong thời gian tới, khi luật an toàn thông tin mạng được triển khai sâu rộng trong cuộc sống, với những quy định rõ ràng về đảm bảo an toàn thông tin theo cấp độ cho từng đối tượng cũng như sự thay đổi nhận thức của các đơn vị tổ chức thì việc đầu tư cho an toàn an ninh thông tin sẽ có mức độ ưu tiên cao hơn, tương xứng với vai trò của nó trong việc đảm bảo an toàn hệ thống thông tin.

MC: Dự báo về tình hình an toàn thông tin mạng thời gian tới, nhiều chuyên gia cho rằng tấn công có chủ đích APT sẽ tiếp tục gia tăng trong năm tới và các hạ tầng thông tin trọng yếu sẽ trở thành đích ngắm của nhiều nhóm tội phạm mạng. Ý kiến của các vị khách mời về vấn đề này như thế nào?

Ông Khổng Huy Hùng: Tôi hoàn toàn đồng ý với nhận định đó. Đặc biệt trong bối cảnh các hệ thống trọng yếu của chúng ta chưa được bảo vệ thích đáng, thì đó là miếng mồi ngon cho các hacker tấn công có tổ chức. Đảm bảo an toàn thông tin là vấn đề nóng hiện nay, tuy nhiên đầu tư cho an toàn thông tin của các cơ quan, tổ chức tại Việt Nam còn rất hạn chế, chiếm tỷ lệ rất nhỏ.

MC: Trong bối cảnh nguồn kinh phí hạn hẹp, các cơ quan, đơn vị cần phải làm sao để có thể triển khai nhiệm vụ này có hiệu quả, thưa các chuyên gia?

Ông Khổng Huy Hùng: Theo thống kê của một tổ chức quốc tế của Mỹ, tỷ lệ đầu tư cho an toàn thông tin trong tổng ngân sách đầu tư cho CNTT nói chung trung bình trên thế giới là khoảng 30% doanh nghiệp đầu tư ở mức dưới 6%; trong khi con số này ở Việt Nam, theo thống kê của Hiệp hội An toàn thông tin Việt Nam (VNISA) la gần 50% doanh nghiệp. Thực ra không phải là kinh phí đầu tư cho CNTT thấp dẫn đến đầu tư cho an toàn thông tin thấp mà do bản thân các đơn vị chưa chú trọng ưu tiên đầu tư cho an toàn thông tin. Trong điều kiện như vậy, tôi cho rằng tốt nhất là không đầu tư dàn trải mà phương pháp đầu tư cho an toàn thông tin tiết kiệm nhất, hiệu quả nhất vẫn là thực hiện “may đo” cho từng đơn vị. Không có đơn vị, doanh nghiệp nào có thể triển khai đầu tư tất cả các biện pháp đảm bảo an toàn thông tin. May đo ở đây được hiểu là chúng ta phải biết được rủi ro về an toàn thông tin của tổ chức, doanh nghiệp mình nằm ở đâu và xếp thứ tự ưu tiên đối với chúng, từ đó thực hiện đầu tư các biện pháp nhằm giảm thiểu các rủi ro theo thứ tự ưu tiên. Để đánh giá được rủi ro, các tổ chức, doanh nghiệp có thể tự đánh giá cũng có thể mời các đơn vị tư vấn hỗ trợ đánh giá và đưa ra khuyến cáo nên tập trung vào những rủi ro nào để có biện pháp giảm thiểu trước.

MC: Có thông tin chưa chính thức cho rằng các hacker có thể dùng phần mềm quét tự động vào các website.vn và .gov.vn để tìm ra các hệ thống đang mắc lỗi bảo mật, sau đó chỉ việc khai thác lỗ hổng để xâm nhập. Ông có bình luận gì về ý kiến này? (Nghiêm An, Quảng Ninh)

Ông Ngô Tuấn Anh: Thực tế đang diễn ra như vậy, và hacker sẽ tiến hành dò quét tất cả các website trên mạng Internet, chứ không chỉ dò quét vào các website .vn và .gov.vn để tìm lỗ hổng. Khi tìm ra lỗ hổng, hacker sẽ tiến hành khai thác để xâm nhập và điều nguy hiểm là hầu hết các đơn vị chủ quản không hề biết website của mình bị tấn công khai thác. Ghi nhận thực tế của chúng tôi, hàng tháng tại Việt Nam có khoảng 300 website .vn bị hacker khai thác tấn công, trong đó có ghi nhận các website với tên miền .gov.vn. Những lỗ hổng tồn tại trên website chủ yếu xuất phát từ việc thiếu quy trình kiểm tra đánh giá cũng như kinh nghiệm về lập trình an toàn của đội ngũ lập trình viên. Để khắc phục tình trạng này đòi hỏi sự thay đổi nhận thức từ các chính phủ, doanh nghiệp và việc nâng cao kiến thức của các lập trình viên. Trong một dự án IT, cần đầu tư ít nhất từ 5 đến 10% cho an ninh mạng, nếu không hệ quả tất yếu là hệ thống bị xâm nhập, bị đánh cắp dữ liệu. Việc khắc phục rất tốn kém và mất nhiều thời gian.

MC: Hiện nay, vẫn còn nhiều cơ quan nhà nước chưa nhận thức rõ tầm quan trọng của việc đảm bảo an ninh, an toàn cho thông tin mạng. Họ cho rằng hoạt động của họ không liên quan nhiều đến tài chính nên chẳng may mất dữ liệu thì cũng không có vấn đề gì quá nghiêm trọng. Các vị khách mời bình luận gì về tình trạng này?

Ông Khổng Huy Hùng: Theo tôi thì việc hệ thống website của họ bị tấn công và tin tặc đưa lên các thông tin bôi nhọ, chống phá Đảng và Nhà nước thì đôi khi còn để lại hậu quả nguy hiểm hơn là thiệt hại về tài chính.

MC: Từ kinh nghiệm của mình, các chuyên gia có thể đưa ra phương án gợi ý để các cơ quan, tổ chức nhà nước không chuyên về lĩnh vực an ninh mạng có thể đảm bảo tốt nhất về an toàn thông tin cho hệ thống của đơn vị mình?

Ông Khổng Huy Hùng: Việc nào mình không giỏi thì thuê, các cơ quan , tổ chức có thể thuê các dịch vụ, giai pháp bảo mật , phòng chống những nguy cơ tấn công mạng. Ngoài ra , các tổ chức cơ quan nhà nước cần đề cao tính cấp thiết của vấn đề an ninh mạng cũng như nâng cao nhận thức để tránh những rủi ro đáng tiếc. Ngoài ra theo báo cáo của tổ chức Ernst Young về thực trạng an toàn thông tin thế giới năm 2017, 2018, có đến 90% các lỗ hổng bảo mật là do các tổ chức chưa trang bị đầy đủ các giải pháp an toàn thông tin ở mức cơ bản. Việc cân bằng ngân sách trong việc đầu tư cho các hệ thông bảo mật cơ bản và các giải pháp bảo mật theo xu hướng công nghệ mới nhất là tối quan trọng. Để đảm bảo điều đó nên tập trung vào 2 việc: Thứ nhất, tìm hiểu thật kỹ các nguy cơ, lỗ hổng cơ bản trong hệ thống mạng hiện tại và tìm cách khắc phục chúng trước; Thứ hai, chỉ đầu tư cho các công nghệ an toàn bảo mật mới nếu nó là thực sự cần thiết trong hoạt động kinh doanh/ vận hành của cơ quan tổ chức, tránh đầu tư tràn lan theo số đông.

MC: Thực tế hiện nay, có ý kiến cho rằng một trong những lý do khiến không ít cơ quan, tổ chức còn e ngại, chưa triển khai thuê dịch vụ CNTT là do lo bị lộ lọt thông tin, dữ liệu, không đảm bảo an toàn thông tin. Các chuyên gia nghĩ sao về ý kiến này? Vấn đề an toàn, bảo mật thông tin, dữ liệu có thực sự là “rào cản” đối với chủ trương thuê dịch vụ CNTT hay không?

Ông Khổng Huy Hùng: Ý kiến này là hoàn toàn có cơ sở . Hiện nay, với thực trạng cơ sở hạ tầng và trình độ chưa được trang bị đầy đủ của các cơ quan, tổ chức tại Việt Nam thì việc để lộ các thông tin cho bên thứ 3 là rất quan ngại, nhất là các cơ quan đầu não về chính trị, tài chính. Tuy nhiên ở Việt Nam tôi được biết rào cản kỹ thuật không phải là vấn đề chính, rất nhiều cơ quan tổ chức sẵn sàng thuê dịch vụ CNTT nói chung và an toàn thông tin nói riêng nhưng vướng mắc chính là về mặt cơ chế thực thi.

MC: Các chuyên gia luôn nhấn mạnh yếu tố con người, nhân lực trong đảm bảo an toàn thông tin. Tuy nhiên, hiện nay vẫn chưa có chính sách ưu tiên nào cho đội ngũ những người làm an toàn thông tin, nhất là cho khối cơ quan nhà nước. Vậy xin các khách mời chia sẻ quan điểm đối với vấn đề này? Các cơ quan nhà nước phải làm sao để thu hút được những người giỏi trong lĩnh vực an toàn thông tin vào làm khi mức chênh lệch về thu nhập với vị trí tương tự ở doanh nghiệp hiện rất lớn?

Ông Khổng Huy Hùng: Theo thống kê, có tới 95% nguy cơ tấn công mạng xảy ra do yếu tố con người và quy trình, chứ không phải là trang thiết bị. Công tác bảo đảm an ninh, an toàn thông tin mạng về bản chất là vấn đề giữa con người với con người, giữa một bên tấn công và một bên phòng thủ, nên việc đảm bảo cơ chế, tạo động lực cho người làm an toàn thông tin là rất cần thiết. Có một vấn đề là đối với lĩnh vực an toàn thông tin, hiện việc tính toán giá trị đem lại của việc phòng chống, phát hiện sớm một cuộc tấn công mạng mà một nhân viên đem lại cho tổ chức chưa được chú trọng. Chừng nào các lãnh đạo các cơ quan, tổ chức còn chưa hiểu được nhờ có đội ngũ an toàn thông tin mạnh mà tổ chức mình đã tiết kiệm được bao nhiêu thiệt hại về mặt tài chính, uy tín, hình ảnh… thì chắc chắn rằng sẽ chưa thể đưa ra một cơ chế tốt cho người làm an toàn thông tin trong cơ quan, tổ chức mình.

MC: Việc mỗi tháng có hàng trăm, thậm chí hàng ngàn cuộc tấn công mạng nhằm vào các hệ thống thông tin của Việt Nam, trong đó có nhiều hệ thống của cơ quan nhà nước. Số liệu từ Sách Trắng CNTT&TT Việt Nam 2017 của Bộ TT&TT cũng cho thấy, dù đã có sự cải thiện so với năm 2015 nhưng trong năm 2016 tỉ lệ tổ chức có khả năng ghi nhận các hành vi tấn công mạng (kể cả chưa thành công) vào hệ thống thông tin của đơn vị mình là 62%. Theo đánh giá của các chuyên gia, nguyên nhân của tình trạng này là do đâu? Phải chăng ý thức bảo mật, bảo đảm an toàn thông tin của các tổ chức tại Việt Nam còn rất chủ quan, yếu kém?

Ông Khổng Huy Hùng: Theo nhận định của tôi, ý thức đảm bảo an toàn thông tin là yếu tố then chốt, ngoài ra còn các yếu tố khác như: - Các cổng thông tin điện tử, website, hệ thống mạng thông tin là một trong những hệ thống thiết yếu nhưng chưa được xây dựng theo một tiêu chuẩn thống nhất, thiếu sự kiểm định về an toàn thông tin thường xuyên. - Các phần mềm, ứng dụng và thiết bị phần cứng tồn tại lỗi bảo mật nhưng chưa được khắc phục kịp thời. - Tình trạng sử dụng phần mềm không có bản quyền còn phổ biến. - Nhiều cơ quan, tổ chức chưa có chính sách/ đầu tư các giải pháp cơ banr nhằm đảm bảo an ninh mạng hoàn chỉnh; - Chưa có hoặc có bộ phận chuyên trách về an toàn thông tin và đội ngũ quản trị viên các hệ thống thông tin còn hạn chế về kiến thức, kỹ năng.

MC: Thủ tướng đã phê duyệt danh mục 11 lĩnh vực quan trọng được ưu tiên đảm bảo an toàn thông tin, trong đó có lĩnh vực giao thông vận tải tôi đang công tác. Ông có thể cho biết, đâu là những nội dung công việc mà các đơn vị hoạt động trong những lĩnh vực này cần tập trung thực hiện để có thể bảo vệ an toàn thông tin, dữ liệu của cơ quan, tổ chức mình? (Phạm Hà - Bắc Ninh)

Ông Nguyễn Huy Dũng: Các cơ quan đơn vị có trách nhiệm trong hoạt động này cần tập trung thực hiện các công việc sau đây: Thứ nhất: Xác định và phân loại hệ thống thông tin theo cấp độ an toàn theo quy định của Luật ATTT mạng, Nghị định số 85 của Chính phủ và Thông tư hướng dẫn số 03 của Bộ TT&TT. Thứ hai: Thực thi các phương án bảo đảm an toàn hệ thống thông tin theo cấp độ trên cơ sở tham khảo tiêu chuẩn quốc gia TCVN11930:2017. Thứ ba: Định kỳ tổ chức đào tạo, tập huấn, tuyên truyền, diễn tập về ATTT. Tham gia mạng lưới chuyên trách về ATTT để chia sẻ thông tin, hỗ trợ xử lý tấn công mạng.

MC: Cơ quan tôi đã đầu tư mua phần mềm diệt virus bản quyền, nhưng mỗi key dùng cho 3 máy tính riêng lẻ. Cách thức này có được coi là hiệu quả trong việc chống virus không? (Lý Hoa, Hà Nội)

Ông Ngô Tuấn Anh: Thông thường, các hãng cung cấp phần mềm diệt virus sẽ chỉ cho phép một key (một bản quyền) cho một máy tính. Do vậy, bạn cần liên hệ với hãng để kiểm tra xem phần mềm và bản quyền mình mua có đúng do hãng cung cấp hay không, để tránh mua phải hàng không bản quyền và được sử dụng đầy đủ các tính năng. Tuy nhiên, bên cạnh việc sử dụng phần mềm diệt virus, bạn cần nâng cao ý thức của người sử dụng khi dùng Internet, trao đổi dữ liệu… để giảm thiểu nguy cơ bị lây nhiễm mã độc.

MC: Được biết, cùng với việc Câu lạc bộ chữ ký số và giao dịch điện tử Việt Nam thuộc VNISA được thành lập, ông đã được các bầu làm Chủ nhiệm Câu lạc bộ này. Xin ông cho biết tại sao các doanh nghiệp lại quyết định nhóm họp để cho ra đời Câu lạc bộ này và với vai trò Chủ nhiệm, ông có thể chia sẻ kế hoạch của CLB sẽ tập trung thực hiện những việc gì trong thời gian tới? (Mạnh Hùng, Hà Nội)

Ông Ngô Tuấn Anh: Câu lạc bộ Chữ ký số và giao dịch điện tử Việt Nam ra đời được đánh giá là dấu mốc quan trọng trong sự phát triển của lĩnh vực Chữ ký số, xác thực điện tử và giao dịch điện tử. Câu lạc bộ là tổ chức đại diện cho cộng đồng doanh nghiệp cung cấp dịch vụ chứng thực chữ ký số công cộng tại Việt Nam, với tôn chỉ và mục đích góp phần nâng cao hiệu quả các hoạt động kinh doanh, bảo vệ quyền và lợi ích hợp pháp của các thành viên tham gia; đẩy mạnh các hoạt động nghiên cứu công nghệ, thông tin kinh tế, thị trường, xúc tiến thương mại, thúc đẩy quan hệ hợp tác với cộng đồng doanh nghiệp trong nước và quốc tế. Đồng thời, Câu lạc bộ là cầu nối giữa các doanh nghiệp, giữa doanh nghiệp với chính quyền địa phương, các ban, ngành Trung ương. Câu lạc bộ cũng là nơi tập hợp nguyện vọng của các thành viên với cơ quan quản lý Nhà nước để tạo điều kiện tháo gỡ khó khăn trong hoạt động kinh doanh, đưa dịch vụ chứng thực chữ ký số trở thành dịch vụ CNTT quan trọng trong hạ tầng thông tin quốc gia, là công cụ hữu hiệu trong phát triển chính phủ điện tử, thương mại điện tử. Trong thời gian tới, CLB Chữ ký số và giao dịch điện tử Việt Nam sẽ tập trung đồng hành cùng cơ quan quản lý nhà nước để góp ý xây dựng các văn bản pháp luật liên quan trong lĩnh vực chữ ký số, đồng thời chuẩn hóa, thống nhất các tiêu chuẩn kỹ thuật trong triển khai giải pháp ứng dụng chữ ký số, góp phần tạo thuận lợi cho người sử dụng, đặc biệt là các ứng dụng chữ ký số trên thiết bị di động thông minh. Điều này cũng góp phần thúc đẩy, mở rộng thị trường trong tương lai.

MC: Nếu không đảm bảo an toàn thông tin điện tử thì sẽ rất khó có thể xây dựng được Chính phủ điện tử. Trong khi chúng ta lại đang hô hào xây dựng Chính phủ điện tử. Câu chuyện “con gà, quả trứng” cần gỡ từ đâu, thưa các chuyên gia?

Ông Khổng Huy Hùng: Quan điểm của tôi là làm song song chứ chờ đến khi hoàn hiện xong Chính phủ điện tử mới lo làm an toàn thông tin thì e là đã muộn.

MC: Luật An toàn thông tin mạng, văn bản pháp lý cao nhất trong lĩnh vực an toàn thông tin được Quốc hội thông qua tháng 11/2005 và có hiệu lực từ tháng 7/2016. Từ đó đến nay, các cơ quan quản lý nhà nước trong lĩnh vực an toàn thông tin (Cục An toàn thông tin, VNCERT) đã thực hiện những nội dung công việc gì để luật này thực sự đi được vào cuộc sống? (Mai Linh - Thái Nguyên)

Ông Nguyễn Huy Dũng: Luật ATTT mạng 2015 có hiệu lực từ 2016. Có thể nói ngay khi Luật được ban hành Bộ TT&TT, Bộ Công an, Hộ Quốc Phòng đã tích cực, chủ động xaayu dựng các Nghị định, Thông tư hướng dẫn Luật. Cho đến nay, Chính phủ đã ban hành 5 Nghị Định. Bộ TT&TT đã ban hannfh 3 Thông tư liên quan. Như vậy. Có thể nói toàn bộ các văn bản hướng dẫn Luật đã bnan hành và có hiệu lực. Bên cạnh đó, Bộ TT&TT đã xây dựng, Bộ KH&CN đã thẩm định và công bố tiêu chuẩn quốc gia TCVN11930: 2017 về yêu cầu cơ bản về bảo đảm an toàn hệ thống thông tin theo cấp độ. Trong năm 2018 tới đây, Cục ATTT sẽ đôn đốc, hướng dẫn các cơ quan tổ chức triển khai áp dụng các quy định và tiêu chuẩn kỹ thuật nói trên váo công tác đảm bảo ATTT.

MC: Các chuyên gia đánh giá như thế nào về nguy cơ mất an toàn thông tin trong khối các cơ quan nhà nước hiện nay, nhất là trong xu hướng của cách mạng công nghiệp 4.0, với sự phát triển mạnh mẽ của IoT, Big Data…? (Hà Phương - Hà Nội)

Ông Nguyễn Huy Dũng: Cuộc CMCN 4.0, dữ liệu lớn, IoT mang lại những cơ hội chưa từng có nhưng cũng kèm theo đó là nguy cơ rủi ro mất ATTT ngày càng gia tăng. Mỗi thiết bị IoT nếu được sử dụng tốt thì sẽ là một trợ thủ số đắc lực nhưng ngược lại nếu không đảm bảo ATTT thì lại chính là một gián điệp ngay bên cạnh chúng ta, ngay bên trong của mỗi cơ quan tổ chức. Vì vậy, tôi khuyến nghị các cơ quan tổ chức, đặc biệt là các cơ quan, tổ chức NN cần khẩn trương phân loại và xác định cấp độ ATT hệ thông thông tin để từ đó áp dụng bộ Tiêu chuẩn kỹ thuật TCVN11930:2017 vào hoạt động cúa cơ quan tổ chức mình.

MC: Năm 2017 sẽ được ghi nhớ là năm phát triển mạnh của các mối đe dọa tấn công mạng bằng Ransomware, với 3 đợt tấn công quy mô lớn WannaCry, Petya, Bad Rabbit. Việt Nam cũng đã được xác nhận là có chịu ảnh hưởng, tác động từ các cuộc tấn công này. Các chuyên gia dự báo gì về xu hướng tấn công mạng trong năm 2018, liệu Ransomware có tiếp tục là nguy cơ hàng đầu? Ngoài Ransomware, các cơ quan, tổ chức cần lưu ý về những xu hướng “nóng” nào khác trong năm tới?

Ông Khổng Huy Hùng: Theo dự báo của tôi thì thời gian tới có 3 xu hướng nóng trong lĩnh vực an toàn thông tin cần được quan tâm tại Việt Nam trong năm 2018: Một là, sang năm tới thì mã độc mã hóa dữ liệu tống tiền - Ransomware hay tấn công có chủ đích APT cũng sẽ mạnh mẽ và nguy hiểm hơn. Có lẽ thay vì chỉ tấn công vào hạ tầng máy tính truyền thống, việc hacker tấn công vào hạ tầng thông tin trọng yếu sẽ phổ biến hơn. Hai là, xu hướng khai thác lỗ hổng trên các hệ thống Cloud base ( hệ thống trên nền tảng điện toán đám mây – PV) hoặc thiết bị IoT nhằm lợi dụng các thiết bị này để tấn công từ chối dịch vụ cũng sẽ gia tăng. Ba là, thời đại công nghiệp 4.0 bùng nổ, thế giới và Việt Nam sẽ có rất nhiều ứng dụng giải quyết các vấn đề xã hội của các cá nhân, nhóm nhỏ được ra đời trên các Appstore (mà gần như không quan tâm đến ứng dụng của mình có bảo mật không), xu hướng tấn công khai thác lỗ hổng cài mã độc vào các ứng dụng này, qua đó gián tiếp lây nhiễm đến hàng triệu thiết bị đầu cuối của người dùng cũng sẽ trở nên phổ biến. Người dùng như chúng ta nên đặc biệt cẩn trọng trước khi download/cài đặt 1 phần mềm/ứng dụng chưa rõ nguồn gốc.

MC: Tâm lý “sính ngoại” được nhiều đơn vị cung cấp giải pháp CNTT cho biết đang là rào cản khiến cho họ khó mở rộng thị trường cho sản phẩm nội địa của đơn vị mình. Công ty VNCS có gặp tình trạng này không? Và nếu có, các ông đã làm gì để sản phẩm, giải pháp của VNCS thuyết phục được các lãnh đạo cơ quan, tổ chức đưa vào áp dụng, sử dụng để bảo vệ hệ thống của họ?

Ông Khổng Huy Hùng: Thực ra cũng vì tâm lý này mà bản thân Doanh nghiệp chúng tôi và nhiều doanh nghiệp ở Việt Nam vẫn phải làm theo cả 2 hướng, tức là vừa phân phối các sản phẩm bảo mật quốc tế và vừa phát triển sản phẩm nội địa. Từ kinh nghiệm của chúng tôi, để thuyết phục được các cơ quan, tổ chức sử dụng giải pháp của mình, điều quan trọng là phải làm cho họ hiểu về năng lực của công ty và giải pháp, phải chứng minh được giải pháp đó do mình hoàn toàn làm chủ được công nghệ và sở hữu toàn bộ mã nguồn. Nhiều người chưa nhận thức được rằng tạo ra 1 sản phẩm CNTT 100% do người Việt làm chủ công nghệ đã khó, tạo ra 1 sản phẩm an toàn thông tin nội địa còn khó gấp nhiều lần vì nguồn cung về chất xám trong lĩnh vực này ở Việt Nam vẫn còn rất giới hạn. Khi đã chứng minh được việc người Việt Nam hoàn toàn làm chủ về công nghệ, cộng với bối cảnh bất ổn về chính trị trên thế giới, việc người Việt Nam tin tưởng dùng sản phẩm của Việt Nam, đặc biệt trong 1 lĩnh vực nhạy cảm như an toàn thông tin, tôi cho là điều hết sức cần thiết trong việc đảm bảo an toàn, an ninh quốc gia.

MC: Xu hướng tấn công mạng của các nhóm tin tặc trên thế giới và tại Việt Nam vào các tổ chức, doanh nghiệp đã và đang có những chuyển biến mới như thế nào và các cơ quan, tổ chức nhà nước cần làm gì để có thể ứng phó? (Nam Anh - Hải Phòng)

Ông Nguyễn Huy Dũng: Xu hướng tấn công mạng diễn biến ngày càng phức tạp cả về quy mô lẫn hình thức. Trên thị trường chợ đen thậm chí xuất hiện cả những dịch vụ mua bán phần mềm độc hại hoặc thuê dịch vụ tấn công từ chối dịch vụ theo giờ vói giá thành ngày càng rẻ. Các lỗ hổng nghiêm trọng Zeroday năm 2017 được công bố rộng rãi, các đối tượng tấn công lợi dụng điều này để phát động các cuộc tấn công có quy mô toàn cầu mà mã độc tống tiền WannaCry là một ví dụ điển hình.

Các cơ quan tổ chức VN thời gian qua đã quan tâm hơn tới ATTT, đã đầu tư trang thiết bị, công cụ đảm bảo ATTT. Tuy nhiên, tôi cho rằng cần kết hợp hài hòa giữa việc đầu tư mua sắm máy móc trang thiết bị với việc đào tạo, huấn luyện con người, xây dựng quy trình. Một trong những vấn đề hiện nay của chúng ta là chúng ta vẫn tương đối bị động trong việc đối phó với các cuộc tấn công mạng. Chúng ta cần từng bước chuyển từ bị động đối phó sang chủ động xử lý, khắc phục sự cố.

MC: Giải pháp giám sát website tập trung VNCS Web Monitoring do VNCS phát triển mới đây được VNISA trao danh hiệu “Sản phẩm An toàn thông tin chất lượng cao năm 2017”. Được biết giải pháp này đã được VNCS phát triển từ khoảng 3-4 năm trước. Ông có thể chia sẻ kết quả triển khai giải phápVNCS Web Monitoring cho các cơ quan, tổ chức trong thời gian qua? (Thanh Hải, Hải Dương)

Ông Khổng Huy Hùng: Đến nay, giải pháp giám sát website tập trung VNCS Web Monitoring của VNCS được rất nhiều cơ quan, tổ chức, doanh nghiệp tại Việt Nam tin dùng. Giải pháp này giúp cảnh báo sớm cho các cơ quan, tổ chức về các cuộc tấn công mạng vào hệ thống website, Cổng thông tin điện tử của cơ quan, tổ chức mình, đặc biệt là tấn công thay đổi giao diện website (Deface).

MC: Nhiều địa phương không có bộ phận an ninh thông tin, nhân sự chuyên trách cũng chỉ là một vị trí kiêm nhiệm của bộ phận CNTT. Theo chuyên gia, vấn đề này cần được giải quyết như thế nào trước thực tế các cuộc tấn công ngày càng tinh vi? (Trí Vũ, Thái Nguyên)

Ông Triệu Trần Đức: Đây là thực tế không thể tránh khỏi vì chúng ta đang thiếu hụt nhân lực CNTT trong các cơ quan nhà nước. Khả năng duy nhất để cải thiện tình hình là tăng cường đầu tư vào các công nghệ phòng thủ và giám sát thế hệ mới có ứng dụng trí tuệ nhân tạo và BigData để tăng cường kiểm soát và báo cáo thời gian thực. CMC có những dịch vụ phù hợp với các đơn vị không có nguồn lực, sẵn sàng cung cấp chuyên gia theo dạng cho thuê hàng tháng hoặc hàng năm cho tới khi đơn vị có đủ năng lực tự bảo vệ mình. Thông thường các cơ quan nhà nước có thể thuê từ 2-5 chuyên gia thường xuyên.

MC: Giải pháp VNCS Web Monitoring của VNCS đã giành được nhiều  giải thưởng như:  Nhân tài Đất Việt năm 2014, Sao Khuê năm 2014, giải Bạc ở hạng mục Nghiên cứu và phát triển của giải thưởng CNTT&TT ASEAN – AICTA 2014. Nhiều doanh nghiệp quan niệm rằng “hữu xạ tự nhiên hương”, sản phẩm tốt tự khắc sẽ được người dùng đón nhận và việc tham gia các giải thưởng tiêu tốn thời gian. Vậy tại sao VNCS lại mang sản phẩm đi tham dự nhiều cuộc thi như vậy? Việc đạt các giải thưởng này thực tế giúp gì cho hoạt động sản xuất kinh doanh của doanh nghiệp không? Với VNCS thì đó là những lợi ích gì, thưa ông?  (Khổng Hằng, TP.HCM)

Ông Khổng Huy Hùng: Tôi cho rằng trong bối cảnh hiện nay khi Việt Nam chưa có cơ quan chính thức kiểm định sản phẩm, dịch vụ an toàn thông tin nên việc chúng tôi tham gia và đạt các giải thưởng lớn, uy tín nhất về CNTT&TT ở Việt Nam và ASEAN là nhằm khẳng định năng lực và giải pháp của doanh nghiệp mình. Bởi lẽ, mỗi một giải thưởng có một bộ tiêu chí và các chuyên gia đầu ngành khác nhau tham gia đánh giá, ngoài việc nâng cao giá trị thương hiệu cho sản phẩm thì sự tham gia này cũng giúp chúng tôi có thêm các ý tưởng để hoàn thiện sản phẩm ngày càng tốt hơn.

MC: Mạng xã hội hiện là nguồn phát tán virus rất mạnh, mà các cơ quan như VNCERT hay các doanh nghiệp về bảo mật thường chỉ đưa ra khuyến cáo sau khi virus đã hoành hành. Vậy theo ông có cách nào để các cơ quan chuyên môn về bảo mật có thể giám sát và cảnh báo sớm hơn tới người dùng hay không? (Tuấn Bảo – Điện Biên)

Ông Nguyễn Khắc Lịch: Hoạt động theo dõi, giám sát nguồn tấn công mạng và phát tán virus đã được VNCERT là cơ quan điều phối quốc gia, chuyên trách về ATTT thường xuyên quan tâm và chú trọng. Điều này được thể hiện cụ thể thông qua việc VNCERT đã phát cảnh báo sớm 3 tuần trước cuộc tấn công mã độc tống tiền WannaCry tại công văn số 123/VNCERT-ĐPƯC ngày 24/4/2017 trước khi sự cố xảy ra trên diện rộng vào ngày 12/5/2017, do vậy góp phần đưa Việt Nam tránh được thiệt hại so với nhiều nước trong khu vực và thế giới. Tuy nhiên, trách nhiệm đảm bảo an toàn thông tin và ngăn chặn các cuộc tấn công, phát tán Virus không chỉ là trách nhiệm của các cơ quan chuyên môn về ATTT mà còn là trách nhiệm của cả cộng đồng xã hội. Khi phát hiện được dấu hiệu của việc phát tán virus, cộng đồng xã hội cần thông báo đến các cơ quan chuyên môn về ATTT sẽ góp phần hiệu quả trong việc cảnh báo sớm các cuộc tấn công mạng. Bên cạnh đó, vấn đề trao đổi, chia sẻ thông tin giữa các cơ quan quản lý nhà nước về ATTT và các đơn vị vận hành hệ thống thông tin quan trọng, các nhà mạng Viễn thông, Internet, các cơ quan chuyên môn về ATTT và người dùng là cực kỳ quan trọng góp phần giúp cảnh báo sớm trên diện rộng. Nhưng rào cản hiện nay là tâm lý ngại chia sẻ thông tin về sự cố an toàn thông tin.

MC: Là một doanh nghiệp thành viên của nhà mạng (Hanoi Telecom), trong hơn 6 năm qua, xin ông cho biết điều này có tạo ra ưu thế gì cho VNCS hay không? Tại sao? (Hoàng Vy, Hải Phòng)

Ông Khổng Huy Hùng: Những năm qua, là một doanh nghiệp thành viên của nhà mạng viễn thông, chúng tôi đã nhận được nhiều hỗ trợ cả về nguồn lực và tập khách hàng để phát triển kinh doanh tốt, nhất là trong một lĩnh vực mới, nhiều khó khăn, thử thách như an toàn thông tin tại Việt Nam.

MC: Tôi thấy qua báo đài có chuyên gia đánh giá rất nhiều cuộc tấn công, xâm nhập của hacker diễn ra trong năm 2017 nhưng nhiều cơ quan không hề hay biết, hacker âm thầm đánh cắp thông tin dữ liệu. Vậy để phát hiện được nguy cơ thì phải làm gì thưa chuyên gia? (Lâm Hoàng, Đồng Nai)

Ông Triệu Trần Đức: Theo tôi, tốt nhất nên thuê ngoài các công ty có dịch vụ rà soát APT, hoặc dịch vụ giám sát an ninh mạng. Như vậy năng lực phát hiện bị tấn công và thất thoát dữ liệu sẽ được nâng lên ngay lập tức.

MC: VNCS cung cấp cả giải pháp bảo mật của các hãng nước ngoài cũng như sản phẩm do Công ty tự phát triển, cá nhân ông đánh giá như thế nào về sản phẩm an toàn thông tin của Việt Nam so với sản phẩm của các hãng quốc tế? (Mỹ Linh, Hà Nội)

Ông Khổng Huy Hùng: Về mặt công nghệ, phải thừa nhận là các doanh nghiệp Việt Nam còn phải học hỏi quốc tế rất nhiều. Tuy nhiên, tôi cho rằng, các sản phẩm an toàn thông tin nội địa lại có lợi thế về tính địa phương hóa, sát với nhu cầu của khách hàng tại Việt Nam. Ví dụ như giải pháp VNCS Web Monitoring của chúng tôi có chức năng giám sát tấn công thay đổi giao diện website mà hiện nay trên thế giới vẫn chưa có nhiều giải pháp đáp ứng được yêu cầu này.

MC: Số liệu từ Sách trắng CNTT&TT Việt Nam 2017 của Bộ TT&TT cũng cho thấy, dù đã có sự cải thiện so với năm 2015 nhưng trong năm 2016 tỉ lệ tổ chức có khả năng ghi nhận các hành vi tấn công mạng (kể cả chưa thành công) vào hệ thống thông tin của đơn vị mình là 62%. Theo đánh giá của ông,  nguyên nhân của tình trạng này là do đâu? Phải chăng ý thức bảo mật, bảo đảm an toàn thông tin của các tổ chức tại Việt Nam còn rất chủ quan, yếu kém? (Phan Thành - Bình Dương)

Ông Nguyễn Huy Dũng: Nguyên nhân của tình trạng trên trước hết là từ nhận thức. Thời gian vừa qua, như tôi đã chia sẻ nhận thức của chúng ta về tầm quan trọng của công tác đảm bảo ATTT đã tăng lên, tuy nhiên nguy cơ rủi ro mất ATTT cũng đang gia tăng nhanh chóng, thậm chí là tăng nhanh hơn. Vì thế, để nâng cao hơn nữa khả năng ghi nhận các hành vi tấn công mạng, chúng ta cần tiếp tục đẩy mạnh việc tuyên truyền phổ biến nâng cao nhận thức, đặc biệt là sự quan tâm vào cuộc của người đứng đàu mỗi cơ quan tổ chức.

Nguyên nhân thứ 2 là nguồn lực đầu tư của chúng ta còn thiếu thốn nên kinh phí cho ATTT là rất thấp. Khi thực hiện đầu tư, nhiều cơ quan tổ chức lại chưa chú trọng đúng mức tới yếu tố con người, quy trình vận hành nên chưa thực sự tối ưu, chủ động trong công tác đảm bảo ATTT.

MC: Ông từng nhận xét các bạn sinh viên rằng khi đi thực tập trước khi chính thức ra trường thường chỉ để ý quy mô công ty hơn là những gì học được trong thời gian này. Xin đối thoại với ông về việc này: Cá nhân tôi cho rằng việc lựa chọn đơn vị thực tập theo quy mô, nhất là với các công ty bảo mật là chuyện nên làm. Với trình độ của các em sinh viên, đúng là chưa đóng góp được gì nhiều, dù tham gia vào công ty quy mô nhỏ hay quy mô lớn; nhưng việc tham gia vào bộ máy hoạt động (hay kể cả đứng quan sát hoạt động) ở một công ty quy mô cũng cho các em cái nhìn đầy đủ hơn, nhất là khi doanh nghiệp chia ban tổ rõ ràng. Còn ở các đơn vị quy mô nhỏ, quy trình làm việc nhập - tách tuỳ theo chỉ đạo cụ thể của người lãnh đạo. Ông có bình luận gì về việc này? (Xuân Lan, Hà Nội)

Ông Khổng Huy Hùng: Từ kinh nghiệm của mình, tôi thấy rằng, tại các đơn vị quy mô lớn, quy trình tuân thủ chuẩn và nghiêm ngặt thì các bạn sinh viên thưởng chỉ được tham gia vào một phần của quy trình. Còn ở các doanh nghiệp có quy mô nhỏ hơn, các bạn sinh viên có thể được coi là nguồn nhân lực tương lai của công ty, vì vậy sẽ luôn được tạo điều kiện tốt hơn, thậm chí là được đào tạo hoặc cho tham gia vào một vài dự án (nếu tính chất cho phép). Và vì quy mô của Công ty không quá lớn, do đó các bạn sinh viên có thể gần như hiểu rõ được quy trình, cơ chế vận hành (chức năng, nhiệm vụ…) qua đó học hỏi được nhiều yếu tố ngoài chuyên môn hơn.

MC: Có một số địa phương như Bạc Liêu 3 năm liền không được cấp kinh phí cho CNTT, dẫn đến việc bảo đảm an toàn thông tin hầu như không có? Ở vai trò cơ quan điều phối ông có ý kiến gì về việc này? Nguyên nhân là do đâu? (Minh Tiến - Bạc Liêu)

Ông Nguyễn Khắc Lịch: Thời gian qua, chỉ đạo về đẩy mạnh triển khai công tác ứng dụng CNTT nói chung và công tác bảo đảm an toàn thông tin đã được Lãnh đạo Đảng và Nhà nước quan tâm và chỉ đạo, điển hình như Bộ Chính trị đã ban hành Nghị quyết số 36-NQ/TW ngày 01/7/2014 về đẩy mạnh ứng dụng, phát triển CNTT đáp ứng yêu cầu phát triển bền vững và hội nhập quốc tế; Chính phủ đã ban hành Nghị quyết số 26/NQ-CP ngày 01/4/2015 của Chính phủ ban hành Chương trình hành động triển khai Nghị quyết số 36-NQ/TW; Nghị quyết số 36a/NQ-CP ngày 14/10/2015 về Chính phủ điện tử...; Thủ tướng Chính phủ đã ban hành nhiều quyết định liên quan đến công tác an toàn thông tin như Quyết định số 898/QĐ-TTg, Quyết định số 893/QĐ-TTg, Quyết định số 05/2017/QĐ-TTg,... tại các văn bản nêu trên, đều có yêu cầu trách nhiệm của các cơ quan đơn vị liên quan, đặc biệt là người đứng đầu các địa phương phải trực tiếp quan tâm, chỉ đạo công tác ứng dụng, phát triển CNTT và đảm bảo an toàn thông tin. Tuy nhiên, như đã đề cập nêu trên, vẫn còn một số nơi, địa phương như bạn đề cập chưa quan tâm đến công tác ứng dụng CNTT nói chung và bảo đảm an toàn thông tin nói riêng. Để dẫn đến thực trạng này, có nhiều nguyên nhân khách quan và nguyên nhân chủ quan, trong đó có một phần trách nhiệm của đơn vị chuyên trách CNTT, an toàn thông tin, ứng cứu sự cố tại địa phương chưa tham mưu, báo cáo để Lãnh đạo các cấp nhìn nhận được sự cần thiết về triển khai công tác ứng dụng, đảm bảo an toàn thông tin. Và cũng có một phần trách nhiệm không nhỏ của người lãnh đạo đơn vị đứng đầu các cơ quan nhà nước trong việc cấp kinh phí để triển khai ứng dụng CNTT và ATTT. Trong thời gian tới, với vai trò là Cơ quan điều phối quốc gia về ứng cứu sự cố, Trung tâm VNCERT cùng các cơ quan chuyên trách về ATTT liên quan thúc đẩy vấn đề này.

MC: Em là một sinh viên chuyên ngành an toàn thông tin chuẩn bị ra trường, để có thể làm việc được trong môi trường của Công ty VNCS thì ngoài các kiến thức trong trường em cần có thêm những kỹ năng gì? (Bích Lan, Thanh Hóa)

Ông Khổng Huy Hùng: Ngoài kiến thức chuyên môn, một trong những tiêu chí hàng đầu mà VNCS luôn tìm kiếm ở các bạn sinh viên mới ra trường là kỹ năng làm việc nhóm, kỹ năng giải quyết vấn đề và tính chuyên nghiệp sẽ giúp các bạn sinh viên hòa nhập nhanh vào môi trường doanh nghiệp.

MC: Nếu không đảm bảo an toàn thông tin điện tử thì sẽ rất khó có thể xây dựng được Chính phủ điện tử. Trong khi chúng ta lại đang hô hào xây dựng Chính phủ điện tử. Câu chuyện “con gà, quả trứng” cần gỡ từ đâu, thưa ông? (Bùi Linh - TP.HCM)

Ông Nguyễn Huy Dũng: Đúng là việc đảm bảo ATTT có ý nghĩa quan trọng sống còn trong việc pt Chính phủ đt và chính quyền điện tử các cấp. Nhưng tôi không cho rằng đây là vấn đề “con gà, quả trứng”. Thực tế là, có những cơ quan tổ chức đã tiên phong ứng dụng CNTT thu được kết quả tích cực đồng thời thực hiện tốt công tác đảm bảo ATTT. Tôi cho rằng nên coi đây là vấn đề của cái phanh và chiếc xe chứ không phải vấn đê con gà quả trứng. ATTT cũng giống như cái phanh. Cái phanh là để giúp người lái tự tin đi nhanh hơn chứ không phải là để dừng chiếc xe lại. ATTT cũng vậy, là cơ sở để chúng ta ứng dụng và phát triển CNTT nhanh hơn, bền vững hơn. Nhận thức như vậy thì chính là nút gỡ để phát triển.

MC: Ông đánh giá thế nào về thực tế đào tạo nhân lực an ninh mạng tại Việt Nam hiện nay? Việc đào tạo của Việt Nam còn hạn chế gì? (Quang Huy, TPHCM)

Ông Triệu Trần Đức: Tôi thấy điểm tốt là có nhiều bạn trẻ ngày càng quan tâm đến ngành học AN, ATTT. Cũng có rất nhiều cơ hội nghề nghiệp cho các bạn trẻ với thu nhập cao hơn so với ngành nghề CNTT khác. Vì thế đây có thể là động lực để phát triển nhân lực an ninh, an toàn thông tin tại Việt Nam. Điểm chưa tốt là một số chương trình đào tạo về an ninh, an toàn thông tin tại Việt Nam còn chưa cập nhật kịp với tình trạng thực tế đang diễn ra. Dẫn tới các bạn sinh viên sau khi ra trường thực sự vẫn chưa thể làm được việc. Tôi cho rằng cần phải tăng cường chất lượng đào tạo càng sớm càng tốt. CMC cũng sẵn sàng hợp tác với các đơn vị đào tạo để tư vấn về nội dung và các kịch bản đào tạo, nhằm đưa chất lượng bắt kịp với trình độ thế giới.

MC: Hiện các cơ quan, tổ chức, doanh nghiệp tại Việt Nam thường lựa chọn các hệ thống, giải pháp an toàn thông tin của nước ngoài. Theo ông những nguyên nhân nào khiến các sản phẩm an toàn thông tin nội khó “cạnh tranh” với các sản phẩm ngoại?  (Quỳnh Trang, Bắc Ninh)

Ông Khổng Huy Hùng: Tôi cho rằng một trong những rào cản với các sản phẩm an toàn thông tin nội địa chính là tâm lý của nhiều người dùng Việt Nam thường muốn dùng các sản phẩm của các hãng lớn trên thế giới. Điều này các sản phẩm an toàn thông tin Việt Nam khó đạt được trong tương lai gần.

MC: Từ kinh nghiệm của mình, ông có thể đưa ra phương án gợi ý để các cơ quan, tổ chức nhà nước không chuyên về lĩnh vực an ninh mạng có thể đảm bảo tốt nhất về an toàn thông tin cho hệ thống của đơn vị mình? (Hà Nam - TP.HCM)

Ông Nguyễn Huy Dũng: Gợi ý của tôi là chúng ta có thể cân nhắc để thuê dịch vụ chuyên nghiệp do các doanh nghiệp cung cấp. Hiện nay, đã có 16 doanh nghiệp được cấp giấy phép kinh doanh dịch vụ sản phẩm dịch vụ ATTT.

MC: Ở một CQNN không chuyên ngành, không thuộc khối cơ quan cần độ mật cao thì vấn đề ATTT và bảo mật có thực sự quan trọng và cần thiết không? Tôi muốn các khách mời giải thích và làm rõ thêm về vai trò của ATTT và bảo mật trong CQNN hiện nay. (Lê Văn Việt – Hưng Yên)

Ông Nguyễn Khắc Lịch: Theo quy định của Luật An toàn thông tin và các văn bản quy phạm pháp luật về an toàn thông tin, việc đảm bảo an toàn thông tin trong không gian mạng là trách nhiệm của toàn bộ cơ quan, tổ chức, cá nhân tham gia sử dụng không gian mạng. Không phân biệt theo cơ quan chuyên ngành hay cơ quan cần độ bảo mật cao hay thấp. Nếu coi nhẹ việc đảm bảo ATTT của các cơ quan nhà nước không chuyên ngành hoặc thuộc khối cơ quan không cần độ bảo mật cao sẽ dẫn tới các hệ thống thông tin có thể bị tấn công hoặc có thể bị lợi dụng để tấn công sang các hệ thống khác gây ảnh hưởng nghiêm trọng đến ATTT chung trong không gian mạng. Do đó, việc đảm bảo ATTT là nhiệm vụ quan trọng và cần thiết của bất kỳ cơ quan, tổ chức, cá nhân nào trong không gian mạng.

MC: Tôi là chủ một doanh nghiệp nhỏ về xuất nhập khẩu, hiện nay công ty tôi có giao dịch trên mạng Internet. Chúng tôi liệu có cần phải đầu tư cho công tác đảm bảo an toàn thông tin hay không? Nếu có thì chúng tôi nên bắt đầu từ đâu và việc này có tốn kém không?

Ông Khổng Huy Hùng: Đầu tư cho an toàn thông tin nên là trách nhiệm của mỗi cá nhân, đơn vị - vì từng cá nhân, đơn vị đều là thành phần trong hệ thống an toàn thông tin chung. Với các đơn vị quy mô nhỏ có thể lựa chọn đầu tư các giải pháp dạng UTM (tất cả tính năng bảo mật cần thiết trên một thiết bị) – hoặc tiếp cận theo hướng thuê dịch vụ của các đơn vị chuyên nghiệp. Chi phí đầu tưu sẽ rất linh hoạt, và tương xứng với quy mô, mức độ quan trọng hệ thống… của đơn vị.

MC: Theo đánh giá của ông, dịch vụ thuê ngoài về an ninh bảo mật tại Việt Nam hiện nay đang phát triển như thế nào? Việc các cơ quan vẫn tự đầu tư nhưng nhân lực trình độ hạn chế dẫn tới những hậu quả khó lường, vậy nên chăng ở góc độ chính sách, có nên bắt buộc các đơn vị không đủ năng lực phải thuê ngoài thay vì “tự nguyện” hay không? (Lê Huy, Hà Nội)

Ông Triệu Trần Đức: Về chính sách, tôi nghĩ không cần thiết phải bắt buộc bởi vì bản thân CMC đã có kinh nghiệm về việc này. Có một số khách hàng muốn tự thực hiện việc đánh giá hệ thống CNTT của mình mà không thuê ngoài dịch vụ của các công ty chuyên nghiệp, được cấp phép.

Tuy nhiên chỉ sau khoảng 12 tháng “tự chủ”, thì rất nhiều vấn đề về ATTT bị phát hiện khó có thể khắc phục được. Các đơn vị này cuối cùng vẫn phải thuê ngoài để các đơn vị chuyên nghiệp thực hiện. Và kết quả là mất thời gian tự vận hành hệ thống ATTT mà không đạt được nhiều hiệu quả. Thậm chí để lại rất nhiều hậu quả.

MC: Hiện nay, vẫn còn nhiều cơ quan nhà nước chưa nhận thức rõ tầm quan trọng của việc đảm bảo an ninh, an toàn cho thông tin mạng. Họ cho rằng hoạt động của họ không liên quan nhiều đến tài chính nên chẳng may mất dữ liệu thì cũng không có vấn đề gì quá nghiêm trọng. Các vị khách mời bình luận gì về tình trạng này? (Hoàng Nam - Hà Nội)

Ông Nguyễn Huy Dũng: Trong số các thiệt hại của tấn công mạng thì thiệt hại về tài chính chỉ là 1 trong số những hậu quả có thể có. Bên cạnh đó, các cuộc tấn công mạng còn gây lộ lọt thông tin tài liệu nhạy cảm, bí mật hoặc làm tổn hại đến uy tín đến sự tin cậy của mỗi cơ quan tổ chức. Nhiều cơ quan tổ chức ở Việt Nam chỉ nhận thức hết được hậu quả sau khi sự cố đã xảy ra.

MC: Nhiều chuyên gia vẫn đánh giá nhận thức về an toàn thông tin dù đã được cải thiện nhưng hiện vẫn đang là khâu yếu, thậm chí là điểm yếu nhất của các cơ quan, tổ chức tại Việt Nam. Là đơn vị cung cấp giải pháp cho nhiều cơ quan, tổ chức, quan điểm của ông về vấn đề này? Và theo ông, các cơ quan nên chú trọng vào yếu tố nào: đầu tư trang thiết bị, tuyển nhân lực làm an toàn thông tin giỏi hay chú trọng xây dựng các quy định, quy trình để đảm bảo an toàn thông tin?

Ông Khổng Huy Hùng: Để đảm bảo an toàn thông tin thì các đơn vị không chỉ đầu tư một vài yêu tố, mà cần đầu tư bài bản, tổng thể - bao gồm cả hạ tầng, nhân lực và quy trình. Nếu làm được như vậy thì quá trình đầu tư mới thực sự mang lại giá trị như mong muốn.

MC: Các chuyên gia luôn nhấn mạnh yếu tố con người, nhân lực trong đảm bảo an toàn thông tin. Tuy nhiên, hiện nay vẫn chưa có chính sách ưu tiên nào cho đội ngũ những người làm an toàn thông tin, nhất là cho khối cơ quan nhà nước. Vậy xin anh chia sẻ quan điểm đối với vấn đề này? Các cơ quan nhà nước phải làm sao để thu hút được những người giỏi trong lĩnh vực an toàn thông tin vào làm khi mức chênh lệch về thu nhập với vị trí tương tự ở doanh nghiệp hiện rất lớn? (Gia Minh - Hà Nội)

Ông Nguyễn Huy Dũng: Tôi đồng ý rằng mức chênh lệch lớn về thu nhập là một trong những nguyên nhân khiến cơ quan tổ chức NN khó thu hút được nhân lực trình độ cao về ATTT vào làm việc. Hiện nay, Cục ATTT và VNCERT đang phối hợp xây dựng đề án thí điểm cơ chế chính sách ưu đãi về thu nhập cho cán bộ chuyên môn về ATTT. Bộ TT&TT đã trình TT Chính phủ và hiện nay đang hoàn thiện theo ý kiến chỉ đạo của TT Chính phủ. Hi vọng chúng ta sẽ sớm có cơ hội thí điểm cơ chế chính sách ưu đãi này trong phạm vi hẹp để từ đó tổng kết rút kinh nghiệm, đề xuất cấp có thẩm quyền cho phép triển khai trên phạm vi rộng. Bên cạnh đó, để thu hút nhân lực chất lượng cao, tôi cho rằng một điều quan trọng không kém là xây dựng văn hóa làm việc, môi trường làm việc tạo thuận lợi cho nhân lực chuyên môn về ATTT có thể công tác, gắn bó lâu dài.

MC: Bkav có giải pháp bảo mật cho các cơ quan nhà nước không? Nếu có thì cụ thể các gói này như thế nào? (Hải Oanh, Hà Tĩnh)

Ông Ngô Tuấn Anh: Hiện nay, bên cạnh giải pháp phòng chống virus dành cho người sử dụng cá nhân, BKAV cũng có các giải pháp bảo mật cho tất cả các cơ quan tổ chức, bao gồm cả các cơ quan nhà nước. Một trong các bộ giải pháp nổi bật mà BKAV cung cấp là Firewall và các thiết bị chống tấn công có chủ đích APT. Đây là các giải pháp toàn diện giúp cơ quan, tổ chức, doanh nghiệp phát hiện sớm, cảnh báo và ngăn chặn nguy cơ bị tấn công. Sản phẩm bao gồm: thiết bị Firewall thế hệ mới BIF (Bkav IPS Firewall Next Generation), thiết bị phát hiện và cảnh báo tấn công BNI (Bkav Network Inspector) và thiết bị kiểm soát chính sách an ninh thông tin BTN (Bkav Total NAC).

Cụ thể, BNI là thiết bị phòng vệ vòng ngoài, phát hiện và cảnh báo tấn công. Bên cạnh việc giám sát tính sẵn sàng của các dịch vụ quan trọng trong hệ thống, BNI còn có khả năng phát hiện sớm kiểu tấn công nằm vùng, đặc trưng của các cuộc tấn công APT. Từ đó cảnh báo để quản trị hệ thống cách ly, xử lý các máy tính đã bị xâm nhập, ngăn chặn hacker có thể thọc sâu vào hệ thống. Thiết bị kiểm soát chính sách an ninh thông tin BTN chuẩn hóa chính sách an ninh mạng, chặn tấn công APT bằng mã độc. Hiện nay, các giải pháp NAC phổ biến trên thị trường có tính năng đảm bảo các máy tính được cài đầy đủ phần mềm diệt virus. Tuy nhiên, biện pháp này không chống được loại virus đặc chủng sử dụng trong tấn công APT. BTN là một giải pháp NAC toàn diện được tích hợp tính năng cao cấp chống các loại virus đặc chủng tấn công APT.

Bên cạnh bộ thiết bị chống tấn công có chủ đích APT, chúng tôi cũng ra mắt thiết bị Firewall BIF. Đây là một trong những Firewall thế hệ mới hiếm hoi trên thế giới hiện nay được trang bị đầy đủ tính năng chống tấn công từ chối dịch vụ DDoS và chống tấn công xâm nhập web. Bạn có thể tìm hiểu đầy đủ về các giải pháp của chúng tôi trên website bkav.com.vn.

MC: Thủ tướng Chính phủ đã “đặt đầu bài” là đến năm 2020 Việt Nam phải có ít nhất 5 sản phẩm an toàn thông tin được sử dụng phổ biến. Theo quan điểm của ông thì mục tiêu này liệu có khả thi? Để đạt được mục tiêu, chúng ta cần phải làm gì?

Ông Khổng Huy Hùng: Trong Quyết định 898 phê duyệt Phương hướng, mục tiêu, nhiệm vụ đảm bảo an toàn thông tin giai đoạn 2016 – 2020, để thực hiện mục tiêu này, Thủ tướng Chính phủ đã giao nhiệm vụ rất rõ cho các bộ ngành liên quan. Tôi cho rằng, nếu chúng ta coi mục tiêu đạt tối thiểu 5 sản phẩm an toàn thông tin thương hiệu Việt được sử dụng phổ biến là yếu tố tiên quyết và định nghĩa rõ được thế nào là được “sử dụng phổ biến” thì chắc chắn sẽ có cách làm phù hợp để đạt mục tiêu.

MC: Ông đánh giá như thế nào về tầm quan trọng của việc cần có những sản phẩm, thương hiệu Việt được các cơ quan, tổ chức, người dùng tại Việt Nam sử dụng phổ biến?

Ông Khổng Huy Hùng: Như tôi đã nói ở trên, việc có những sản phẩm an toàn thông tin do doanh nghiệp Việt Nam làm chủ công nghệ là vô cùng quan trọng bởi lẽ điều này sẽ đóng góp lớn vào việc đảm bảo an toàn, an ninh quốc gia trên không gian mạng.

MC: Cuộc Cách mạng Công nghiệp 4.0 sẽ dẫn tới những thách thức về bảo mật như thế nào cho các cơ quan nhà nước, thưa ông? Con người trong các cơ quan nhà nước (vốn rất hạn chế hiểu biết về bảo mật) cần phải thay đổi như thế nào? (Hoàng Hà, TPHCM)

Ông Triệu Trần Đức: Quan điểm của tôi cho rằng CMCN 4.0 sẽ ảnh hưởng đến xã hội, người dùng phổ thông cũng như doanh nghiệp tương tác trực tiếp với người dùng nhiều hơn. Điểm đáng lo ngại nhất đến các hệ thống của cơ quan nhà nước chính là các thành phố thông minh và hệ thống chính phủ điện tử. Nếu một trong hai hệ thống này không được đảm bảo an ninh, an toàn thông tin từ khâu thiết kế thì rất có thể sẽ trở thành “thành phố nguy hiểm”. Và thất thoát dữ liệu từ chính phủ điện tử sẽ gây ra hậu quả trầm trọng, chưa kể khi mọi thứ được số hóa bao gồm cả chứng minh nhân dân, nếu tin tặc có thể thay đổi được những thông tin này thì hậu quả là điều mọi người có thể tưởng tượng được.

MC: Cơ quan tôi là một đơn vị thuộc ngành Giáo dục Hà Nội hiện không đầu tư chi phí mua các phần mềm bảo mật mà khuyến nghị nhân viên tải phần mềm quét virus miễn phí. Tôi băn khoăn điều này có ảnh hưởng đến an toàn, bảo mật thông tin dữ liệu của đơn vị không? Vì sao khoản kinh phí này chưa nằm trong chi tiêu thường xuyên của các đơn vị? (Hoài Phương - Đà Nẵng)

Ông Nguyễn Huy Dũng: Có rất nhiều phần mềm diệt virus miễn phí có chất lượng tốt và đáng tin cậy. Vì vậy, nếu cơ quan bạn lựa chọn và sử dụng thì không ảnh hưởng gì đến An toàn bảo mật thông tin dữ liệu cúa đơn vị. Hiện nay, Bộ TT&TT đã đề xuất và có văn bản gửi Bộ Tài chính về Dự thảo Thông tư cúa Bộ Tài chính hướng dẫn sử dụng kinh phí sự nghiệp chi cho công tác đảm bảo ATTT. Hi vọng, khi Thông tư được ban hành thì sẽ giải quyết được vấn đề về kinh phí chi tiêu thường xuyên của các đơn vị cho công tác đảm bảo ATTT.

MC: Qua thực tế triển khai các giải pháp đảm bảo an toàn an ninh thông tin cho các cơ quan nhà nước, chuyên gia nhận định đâu là những “căn bệnh” cố hữu của các cơ quan dẫn tới nguy cơ bị tin tặc tấn công? (Hoài Anh, Hà Nội)

Ông Triệu Trần Đức: Các căn bệnh theo tôi lớn nhất là đầu tư không đủ cho an ninh, an toàn thông tin. Đôi khi chỉ coi trọng đầu tư ứng dụng vào thiết bị phục vụ, chỉ quan tâm hệ thống đạt được tính năng cần thiết mà không quan tâm đến độ an toàn của hệ thống.

MC: Hiện nay, nhiều địa phương phản ánh đang gặp khó khăn trong vấn đề kinh phí đầu tư cho an toàn thông tin, không biết sử dụng nguồn kinh phí nào và chi ra sao. Xin ông cho biết với nhiệm vụ được lãnh đạo Bộ giao, Cục An toàn thông tin đã và sẽ làm gì để tháo gỡ khó khăn này cho địa phương? (Minh Khang - Vĩnh Phúc)

Ông Nguyễn Huy Dũng: Về nguồn chi cho ATTT các cơ quan đơn vị có thể sử dụng hai nguồn lớn là nguồn đầu tư phát triển và nguồn vốn sự nghiệp thường xuyên. Với việc sử dụng nguồn vốn đầu tư phát triển, các đơn vị thực hiện theo hành lang pháp lý về đầu tư công. Với nguồn vốn sự nghiệp mang tính chất thường xuyên như tôi đã chia sẻ ở trên, hiện, Bộ TT&TT đã đề xuất và có văn bản gửi Bộ Tài chính về Dự thảo Thông tư cúa Bộ Tài chính hướng dẫn sử dụng kinh phí sự nghiệp chi cho công tác đảm bảo ATTT. Hi vọng, khi TT được ban hành thì sẽ giải quyết được vấn đề về kinh phí chi tiêu thường xuyên của các đơn vị cho công tác đảm bảo ATTT.

MC: Tôi công tác trong ngành Hải quan. Thực tế hiện nay máy của tôi không kết nối Internet nhưng vẫn bị virus thường xuyên vì lây lan từ USB. Cá nhân tôi nghĩ nên bỏ yêu cầu một số máy tính phục vụ công việc đặc thù không được kết nối Internet mà thay vào đó hãy đầu tư phần mềm diệt virus và các giải pháp bảo mật hiệu quả khác. Chuyên gia có thể cho tôi lời khuyên về vấn đề này? (Lê Quân, Đà Nẵng)

Ông Triệu Trần Đức: Theo tôi đây cũng là một dạng giải pháp tình thế khi mà chúng ta đang bị vướng về cơ chế đầu tư cũng như cần phải ưu tiên đầu tư cho những hệ thống CNTT phục vụ nghiệp vụ quan trọng trước. Tôi tin rằng khi có đầy đủ sự đầu tư thì sẽ đạt được những kỳ vọng mà bạn và những người dùng cuối khác mong muốn.

MC: Ông có bình luận gì về tâm lý “sính ngoại” trong việc sử dụng phần mềm, giải pháp ATTT của nhiều cơ quan nhà nước hiện nay? Ông có thể trao đổi về năng lực của doanh nghiệp bảo mật trong nước? (Thu Hà, TPHCM)

Theo nhận định của CMC thì tâm lý sính ngoại của cơ quan nhà nước là có, nhưng có xu hướng giảm. Thậm chí một số nước như Trung Quốc, Mỹ… còn cấm. Nhưng tại sao cơ quan nhà nước đôi khi vẫn phải mua sản phẩm ngoại? Vì những sản phẩm, thiết bị mua sau cần phải làm việc với sản phẩm, thiết bị mua trước. Đôi khi việc mua sản phẩm ngoại không thể tránh khỏi, thậm chí là mua của hãng cũ. Đây là tình trạng bị phụ thuộc vào nhà cung cấp cố tình bán cho người mua thứ người mua khó thể thay đổi.

Vì lý do đó, tôi thấy xu hướng dịch chuyển mua và dùng sản phẩm, thiết bị nội hiện đang tăng lên rõ rệt, đặc biệt là dịch vụ về ATTT là không có của nước ngoài theo quy định của nhà nước.

MC: Dự báo về tình hình an toàn thông tin mạng thời gian tới, nhiều chuyên gia cho rằng tấn công có chủ đích APT sẽ tiếp tục gia tăng trong năm tới và các hạ tầng thông tin trọng yếu sẽ trở thành đích ngắm của nhiều nhóm tội phạm mạng. Ý kiến của ông về vấn đề này như thế nào? (Minh Hà - TP.HCM)

Ông Nguyễn Huy Dũng: Tôi hoàn toàn đồng tình với nhận định trên. Các cuộc tấn công APT được hậu thuẫn bởi các tổ chức có tiềm lực cả về công nghệ lẫn tài chính, thậm chí có sự hậu thuẫn của cả CHính phủ của một số quốc gia nhằm vào các hệ thống hạ tầng thông tin quan trọng của một quốc gia khác. Đây là một vđ cần đặc biệt quan tâm trong thời gian tới. Hiện nay, Cục ATTT đang vận hành hệ thống xử lý tấn công mạng Internet Việt Nam. Trong đó, chúng tôi cũng coi việc xử lý các cuộc tấn công có chủ đích APT là một trong những nội dung quan trọng cần ưu tiên. Đối với các hệ thống thông tin quan trọng thuộc 11 lĩnh vực cần ưu tiên đảm bảo ATTT mạng theo chỉ đạo của Thủ tướng Chính phủ, chúng tôi luôn sẵn sàng hỗ trợ trong việc phát hiện, xử lý các chiến dịch tấn công APT.

MC: Đảm bảo an toàn thông tin là vấn đề nóng hiện nay, tuy nhiên đầu tư cho an toàn thông tin của các cơ quan, tổ chức tại Việt Nam còn rất hạn chế, chiếm tỷ lệ rất nhỏ. Trong bối cảnh nguồn kinh phí hạn hẹp, các cơ quan, đơn vị cần phải làm sao để có thể triển khai nhiệm vụ này có hiệu quả, thưa các chuyên gia? (Thế Phương - Hà Nội):

Ông Nguyễn Huy Dũng: Có thể nói, tỷ lệ kinh phí đầu tư cho ATTT ở VN hiện nay là tương đối thấp. Nếu như các cơ quan tổ chức nước ngoài thương dành từ 20 – 25% kinh phí đầu tư cho CNTT để phục vụ bảo đảm ATTT thì ở Việt Nam con số này chỉ vào khoảng 5 - 10%. Trong bối cảnh nguồn lực hạn hẹp, tôi cho rằng các cơ quan tổ chức ở Việt Nam cần tăng cường chia sẻ thông tin, định kỳ tổ chức kiểm tra đánh giá, diễn tập. Cục ATTT vẫn thường xuyên hỗ trợ các cơ quan, tổ chức thông qua việc phát hành các văn bản cảnh báo sớm, hỗ trợ công tác giám sát ATTT mạng; hỗ trợ tổ chức đào tạo diễn tập đảm bảo ATTT.

MC: Mới đây Bkav trình diễn qua mặt ID Apple. Theo ông lỗ hổng này của Apple có nguy cơ gì cho người dùng? (Đỗ Quang, Hà Nội)

Ông Ngô Tuấn Anh: Face ID là công nghệ nhận diện khuôn mặt được Apple sử dụng trên dòng điện thoại mới nhất của hãng là iPhone X. Theo Apple, Face ID sử dụng trí tuệ nhân tạo AI để có thể phân biệt được khuôn mặt thật của chủ nhân và các mặt nạ được tạo ra để đánh lừa nó. Tuy nhiê n mới đây, chúng tôi đã chế tạo thành công mặt nạ để mở khóa Face ID, điều này cho thấy công nghệ trí tuệ nhân tạo trong Face ID đã bị đánh lừa.

Lỗ hổng trong AI của Face ID được Bkav tiên đoán kể từ thời điểm Apple ra mắt, dựa trên các nghiên cứu và phân tích khoa học. Ngay khi iPhone X được bán ra thị trường, Bkav đã lập tức tiến hành các thực nghiệm để khẳng định điểm yếu đã "thấy trước". Và đúng như thế, Face ID đã bị mặt nạ đánh bại, trái ngược với những gì Apple tuyên bố tại buổi ra mắt iPhoneX. Ngày 15/11, Bkav đã public PoC (Proof of Concept) về thực nghiệm này và cho biết cần khoảng thời gian 9 đến 10 tiếng để đánh lừa AI của iPhone X. Dựa vào nguyên lý gốc này, ngày 27/11 vừa qua, Bkav đã tạo ra phiên bản mặt nạ thứ hai. Rõ ràng là iPhone X đã lập tức bị đánh lừa ngay sau khi vừa enroll khuôn mặt của chủ nhân chiếc điện thoại mà không cần tới 9 hay 10 tiếng như ở nghiên cứu trước. Đây là lỗ hổng an ninh rất lớn.

Với kết quả nghiên cứu này, chúng tôi nhận thấy cần phải nâng mức cảnh báo an ninh đối với tất cả mọi người: Face ID không đảm bảo an ninh để sử dụng trong các giao dịch thương mại, vì mọi người đều có thể bị "nhân bản" tạo ra mặt nạ của mình. Do đó, chúng tôi khuyến nghị Apple cần đưa ra khuyến cáo tương tự như với các cặp sinh đôi, tức là cần khuyến cáo tất cả người dùng iPhone X phải dùng passcode cho mọi tình huống có dữ liệu nhạy cảm và khi thực hiện các giao dịch thương mại. 

Hiện nay, việc tạo hình 3D rất đơn giản. Một người có thể bị chụp trộm chỉ trong vài giây khi vào một căn phòng bố trí sẵn hệ thống máy ảnh ở nhiều góc khác nhau. Sau đó, thuật toán sẽ ghép các ảnh này thành vật thể 3D.Có thể nói cho đến nay Fingerprint vẫn là công nghệ sinh trắc học đảm bảo nhất. Việc lấy mẫu vân tay sẽ khó khăn hơn chụp ảnh lấy mẫu từ xa. Trong khi đó, chỉ cần chụp ảnh từ xa và dựng 3D như trên là có thể dễ dàng vượt qua cả Face ID của Apple và Iris Scanner của Samsung.

MC: Một số nhân viên các cơ quan, doanh nghiệp nhà nước vẫn giữ thói quen lưu mật khẩu trên trình duyệt, sử dụng email công vụ vào mục đích cá nhân, sử dụng một mật khẩu cho nhiều tài khoản khác nhau... Một số ý kiến cho rằng, nhân viên và các doanh nghiệp, cơ quan nhà nươc sẽ chịu rủi ro an toàn thông tin nếu như không từ bỏ những thói quen tiện lợi này. Ý kiến đó có đúng không ? Làm thế nào để người dùng có thể thay đổi những thói quen này ? (Lê Hoàng, Hà Nội)

Ông Ngô Tuấn Anh: Hiện nay giải pháp xác thực vào các hệ thống thông tin, email đa phần là dùng mật khẩu, việc lưu trữ mật khẩu trên trình duyệt, sử dụng mật khẩu chung cho nhiều tài khoản… tạo thuận lợi cho người dùng, nhưng cũng đặt các tài khoản này trước các rủi ro như khi máy tính bị nhiễm virus, các tài khoản lưu trên trình duyệt sẽ bị đánh cắp, khi một tài khoản bị lộ, những tài khoản khác dùng chung mật khẩu cũng bị lộ. Để đảm bảo an toàn, chúng ta cần có kế hoạch trang bị các giải pháp xác thực mạnh, xác thực đa nhân tố ví dụ như chữ ký số để giảm thiểu rủi ro khi mật khẩu, tài khoản bị lộ lọt.

MC: Thực tế hiện nay, có ý kiến cho rằng một trong những lý do khiến không ít cơ quan, tổ chức còn e ngại, chưa triển khai thuê dịch vụ CNTT là do lo bị lộ lọt thông tin, dữ liệu, không đảm bảo an toàn thông tin. Ông nghĩ sao về ý kiến này? Vấn đề an toàn, bảo mật thông tin, dữ liệu có thực sự là “rào cản” đối với chủ trương thuê dịch vụ CNTT hay không? (Phương Nam - Vĩnh Phúc)

Ông Nguyễn Huy Dũng: Trong vấn đề này tôi cho rằng chúng ta cần nhìn nhận đầy đủ các mặt. Thông tin hay dữ liệu cũng là một loại tài sản. Đây là loại tài sản mang tính phi truyền thống. Vì vậy, cũng dễ hiê nếu một số lượng không nhỏ các cơ quan tổ chức có tâm lý e ngại khi giao thông tin dữ liệu cúa mình cho bên thứ 3 bảo vệ khi đi thuê dịch vụ. Nhưng chúng ta hình dung bản thân nhiều thứ có giá trị khác chẳng hạn như tiền thì chúng ta gửi ngân hàng. Rõ ràng sẽ an toàn hơn so với việc chúng ta tự cất giữ và bảo vệ ở nhà hay ở trong chính cơ quan tổ chức của chúng ta. Vì vậy, việc thuê dịch vụ chuyên nghiệp sẽ đảm bảo ATTT hơn vì các doanh nghiệp cung cấp dịch vụ chuyên nghiệp có những chuyên gia, hệ thống kỹ thuật chuyên dụng để bảo vệ.

Nhưng chúng ta cũng cần nhìn nhận từ một góc độ khác, đó là một số doanh nghiệp cung cấp dịch vụ nhưng lại chưa chuyên nghiệp hoặc chưa đạt chất lượng như cam kết dẫn đến làm suy giảm lòng tin hoặc thậm chí là mất lòng tin của khách hàng. Đây cũng là một trong những rào cản của việc thuê dịch vụ.

Theo tôi, chủ trương đẩy mạnh việc thuê dịch vụ CNTT nói chung, dịch vụ ATTT nói riêng là hết sức đúng đắn. Để thúc đẩy hơn nữa việc thuê dịch vụ trong thời gian tới chúng ta vừa phải hoàn thiện những quy định, quy chế cụ thể. Ví dụ, quy định về trách nhiệm bảo đảm ATTT của bên cung cấp dịch vụ hay thậm chí là hướng dẫn về tiêu chuẩn chuyên môn nghiệp vụ tối thiểu của nhân lực tham gia cung cấp dịch vụ,…Mặc khác, cũng cần thúc đẩy tính chuyên nghiệp hơn nữa của các doanh nghiệp cung cấp dịch vụ để có thể cung cấp các dịch vụ đạt chất lượng cho khách hàng.MC: Cách đây hơn 1 năm, Cục trưởng Cục An toàn thông tin từng nhận định, cùng với sự phát triển của ứng dụng CNTT, triển khai Chính phủ điện tử, các nguy cơ trong việc đảm bảo an toàn thông tin đang là những thách thức lớn. Theo đánh giá của các tổ chức quốc tế, Việt Nam luôn nằm trong top các nước bị lây nhiễm mã độc rất cao và là mục tiêu của nhiều cuộc tấn công mạng có chủ đích. Xin hỏi đại diện Cục An toàn thông tin, trong một năm qua, Bộ TT&TT, Cục An toàn thông tin các cơ quan nhà nước, vì sao một năm qua thực trạng không có chuyển biến?  (Hoài Thương - TP.HCM)

Ông Nguyễn Huy Dũng: Có thể nói Việt Nam là một trong những quốc gia phát triển kết nối Internet rất nhanh. Số lượng người sử dụng thiết bị kết nối mạng ngày càng lớn. Vì vậy, việc lây nhiễm phần mềm độc hại tiếp tục là một vấn đề nóng. Để giải quyết vấn đề này, chúng ta vừa phải thực hiện những biện pháp mang tính dài hạn, vừa phải thực hiện những chiến dịch vận động ngắn hạn.

Về dài hạn, như tôi đã chia sẻ ở trên, chúng ta cần đưa các quy định của Luật ATTT và các văn bản hướng dẫn thi hành vào thực tế. Các cơ quan, tổ chức cần triển khai áp dụng đối với các hệ thống thông tin cúa mình. Nếu chúng ta thực thi nghiêm túc, đầy đủ quy định thì vấn đề phần mềm độc hại sẽ giảm. Tuy nhiên, các cơ quan tổ chức sẽ cần thời gian, cần nguồn lực để triển khai việc này. Về ngắn hạn, Cục ATTT đã tham mưu cho Bộ TT&TT trình Thủ tướng Chính phủ dự thảo Chỉ thị của Thủ tướng Chính phủ về nâng cao năng lực phòng chống phần mềm độc hại của Việt Nam. Trong đó chỉ đạo các Bộ, ngành, địa phương triển khai ngay nhiều giải pháp cấp bách để giảm tỷ lệ lây nhiễm phầm mềm độc hại.

MC: Năm nay Cục An toàn thông tin và VNISA đã phối hợp xây dựng bộ tiêu chí đánh giá mới cho Chỉ số An toàn thông tin Việt Nam, trong đó có đánh giá mức độ an toàn thông tin của cả khối cơ quan nhà nước. Xin ông cho biết bộ tiêu chí này khác gì với bộ tiêu chí đã được sử dụng để đánh giá Chỉ số An toàn thông Việt Nam trong 4 năm trước? (Bùi Minh - Hà Nội)

Ông Nguyễn Huy Dũng: Bộ tiêu chí mới được xây dựng theo hướng cập nhật những tinh thần mới nhất của Luật ATTT mạng và các văn bản hướng dẫn thi hành mới được ban hành. Đồng thời bộ tiêu chí mới cũng tương đồng với các bộ tiêu chí mà quốc tế đang sử dụng để đánh giá mức độ đảm bảo ATTT trong khoảng 2 năm trở lại đây.

Chúng tôi hi vọng bộ tiêu chí mới sẽ là một thước đo phù hợp hơn, phản ánh sát thực hơn mức độ đảm bảo ATTT của mỗi cơ quan tổ chức cũng như của cả quốc gia.