Ông Trịnh Ngọc Minh phát biểu tại Hội thảo trực tuyến Ngày An toàn thông tin Việt Nam 2020 phía Nam
Năm 2020 là một năm đặc biệt do xảy ra đại dịch COVID-19, gây ra nhiều hậu quả kinh tế nặng nề, làm thay đổi phương thức làm việc và sản sinh ra những “điều bình thường mới” (thế giới thay đổi nhanh chóng và không quay trở lại phương thức cũ).
Trong bối cảnh này, Ngày An toàn thông tin Việt Nam khu vực phía Nam phải thay đổi hình thức, quy mô. Phương thức thực hiện khảo sát an toàn thông tin phía Nam đã phải thực hiện hoàn toàn trực tuyến nên cũng gặp một số khó khăn. Do đó, số lượng khảo sát có được là 74 phiếu cho các tổ chức/doanh nghiệp, thấp hơn nhiều so với kỳ vọng. Với số lượng ít, nên VNISA cũng đưa ra khuyến cáo, cần thận trọng trong bình luận vì kết quả thống kê có thể có sai số trong thực tế.
Khảo sát của VNISA phía Nam được đưa ra dưới dạng câu hỏi và trả lời. Nội dung khảo sát bao phủ cả Quy trình, Kỹ thuật và Con người. Đối tượng khảo sát được phân bổ đều (1/3) cho các tổ chức/doanh nghiệp với quy mô khác nhau (công ty nhỏ <50 người; công ty trung bình 50-300 người và công ty lớn >300 người).
Kết quả khảo sát an toàn thông tin của VNISA phía Nam
Quy trình, chính sách tuân thủ các yêu cầu an toàn thông tin
Kết quả khảo sát cho thấy, về quy trình xây dựng chính sách tuân thủ các yêu cầu về an toàn thông tin, trên 3/4 tổ chức cho biết rằng có xây dựng các quy trình và phần lớn (59%) tuân thủ theo Tiêu chuẩn ISO 27001. Tuy nhiên, trên 1/2 tổ chức không dựa theo Tiêu chuẩn ISO 27001 (52%), hoặc có ý định làm theo nhưng chưa có kế hoạch cụ thể (58%). Do đó, có thể cần xem xét lại sự hiệu quả và lợi ích thực tế của chính sách an toàn thông tin tuân theo Tiêu chuẩn ISO 27001.
Trong khi đó, gần 1/2 (46%) tổ chức đã lấy tiêu chuẩn của Việt Nam làm hướng dẫn cho chính sách an toàn thông tin của tổ chức mình. Tiêu chuẩn này liên kết chặt chẽ với Tiêu chuẩn ISO 2700 và được viết bằng tiếng Việt nên có thể phù hợp với người Việt Nam và dễ triển khai hơn.
Việc bảo vệ thông tin cá nhân được chú ý với phần lớn (85%) các tổ chức cho biết đã ban hành quy chế để bảo vệ thông tin cá nhân. Tuy nhiên việc bảo vệ thông tin cá nhân trong y tế còn ít (2%), có thể do tổ chức y tế tham gia vào khảo sát là không nhiều. Có tới 1/4 (23%) tổ chức chưa có chính sách an toàn thông tin và đây là một số liệu đáng lo ngại. Việc phân loại dữ liệu được đa số (74%) tổ chức thực hiện, chứng tỏ các tổ chức đã có ý thức hơn về phân loại dữ liệu để tránh rò rỉ dữ liệu.
An toàn thông tin từ góc nhìn công nghệ
Phòng thủ bằng tường lửa (89%), chống virus (78%) và chống thư rác (64%) là ba công nghệ an toàn thông tin phổ biến nhất. Các công nghệ tốn kém và cần đầu tư nhiều hơn là kiểm soát truy cập (58%) và IDS/IPS (47%). Khả năng nhận biết tấn công mạng thông qua các công cụ giám sát, phân tích với quy trình và con người tương ứng là 1/3 tổ chức nhận biết được mình bị tấn công và có theo dõi đầy đủ. Tuy nhiên, 20% tổ chức không biết có bị tấn công hay không.
Việc phân hoạch mạng thành các vùng nhỏ được các tổ chức quan tâm triển khai. An ninh vật lý với kiểm soát vào ra (88%), sử dụng cả sinh trắc (46%) được chú trọng. Chữ ký số được ứng dụng ngày càng rộng rãi với phần lớn (81%) các tổ chức cho biết họ sử dụng chữ ký số trong các giao dịch. Hầu hết (96%) tổ chức có sao lưu dữ liệu.
Vấn đề con người trong an toàn thông tin
Hầu hết các tổ chức đều có nhân sự chuyên trách (77%) hoặc bán chuyên trách (51%) về an toàn thông tin. Tuy nhiên, số lượng quá ít với đa số chỉ có 1-2 người (gần 50%). Việc giám sát an toàn thông tin, nắm được các kỹ thuật về an toàn thông tin sẽ là thách thức lớn khi có rất ít nhân sự.
Từ đó, dễ nhận thấy đây là lý do cho việc thuê ngoài an toàn thông tin khá phát triển (65%) với kiểm thử xâm nhập và tư vấn (61%), giám sát thuê (61%). Việc đào tạo an toàn thông tin được chú trọng (70%) và đầu tư đào tạo để có chứng chỉ an toàn thông tin cũng được quan tâm (61%). Việc đào tạo nhận thức cho rộng rãi nhân viên được chú trọng (84%) với phần lớn các tổ chức thực hiện đào tạo, trong đó gần 1/2 (43%) tổ chức đào tạo được phần lớn (80%) nhân viên.
Đặc biệt, tập huấn xử lý tình huống an toàn thông tin được gần 1/2 (49%) tổ chức thực hiện, giúp người sử dụng biết được nếu có sự cố thì phải làm điều gì. Việc tuyên truyền về nguy cơ mất an toàn thông tin và kỹ năng xử lý chống mất an toàn thông tin là hai nội dung được quan tâm nhất. Tuy nhiên, việc cập nhật về luật pháp, đạo đức về an toàn thông tin, thời sự về an toàn thông tin là nội dung ít được đề cập hơn hẳn so với hai nội dung trên.
Kết quả thực tế về tình hình an toàn thông tin
Trên thực tế, tấn công không rõ chủ đích vẫn là chủ yếu (49%) với phần lớn là tấn công để lấy tài nguyên tính toán của tổ chức, phục vụ mục tiêu cá nhân (20%). Phương thức tấn công được các tổ chức ghi nhận chủ yếu vẫn là mã độc tự phát (39%), sau đó là mã độc không tự phát tán và tấn công từ chối dịch vụ DDoS (cùng 34%).
Một vấn đề khác, nếu gặp sự cố an toàn thông tin, các tổ chức có xu hướng “dấu bệnh” vẫn là biện pháp chính (66%). Các tổ chức này chỉ báo cáo trong nội bộ, không thông báo ra bên ngoài, càng ít người biết càng tốt. Điều này trái ngược với những quy định của Mỹ khi yêu cầu người bị tấn công có nghĩa vụ phải báo cáo, như vậy mới số liệu thực tế chính xác về an toàn thông tin để đưa ra các chính sách có hiệu quả.
Ngoài ra, dịch bệnh COVID-19 đã dẫn đến thay đổi lớn trong phương thức làm việc tại các tổ chức, khi hầu hết (98%) các tổ chức làm việc từ xa. Khi triển khai làm việc theo hình thức này, phần lớn (82%) tổ chức gặp các vấn đề về an toàn thông tin liên quan tới làm việc từ xa. Tuy nhiên, với điều “bình thường mới” này, 3/4 tổ chức muốn tiếp tục làm việc qua Internet, 1/4 tổ chức còn lại muốn trở lại cách làm việc có tiếp xúc trực tiếp như trước.
Về vấn đề về đầu tư an toàn thông tin, bức tranh nhiều năm qua cho thấy phần lớn các tổ chức đầu tư cho an toàn thông tin chỉ chiếm <5% ngân sách (37%). Theo tiêu chí Bộ Thông tin và Truyền thông, đầu tư an toàn thông tin phải chiếm 10% ngân sách công nghệ thông tin thì mới có tiến bộ trong an toàn thông tin. Khó khăn tài chính (không đủ đầu tư) chỉ là nguyên nhân thứ 3 của triển khai an toàn thông tin. Hai nguyên nhân hàng đầu là nhận thức của người dùng (50%) và hiểu biết về an toàn thông tin trong tổ chức (39%).
Một số kiến nghị để cải thiện tình hình an toàn thông tin tại khu vực phía Nam
Thứ nhất, cần một kiến trúc an toàn thông tin đơn giản, dễ hiểu cho chuyển đổi số. Đây là vấn đề mà đa số các tổ chức quan tâm, nhưng để chuyển đổi số như thế nào cho dễ hiểu thì phải cần nghiên cứu sâu hơn.
Thứ hai, tổ chức nên có phương thức thuê dịch vụ an toàn thông tin trong “rổ” các giải pháp của mình.
Thứ ba, bên cạnh những biện pháp truyền thống như tường lửa, chống virus, chống thư rác, các tổ chức cần phải đầu tư cho các công nghệ tiên tiến khác như kiểm soát truy cập với xác thực mạnh, tăng cường khả năng nhìn thấy (visibility) thông qua các phương pháp mang tính tích hợp, phân tích nên được xem xét bên cạnh truyền thống.