Kết quả khảo sát An toàn thông tin khu vực phía Nam năm 2015

14:07 | 30/11/2015

Trong Hội thảo Ngày An toàn thông tin Việt Nam năm 2015 tổ chức tại TP. HCM ngày 19/11/2015, Chi hội An toàn thông tin phía Nam đã công bố kết quả khảo sát ATTTkhu vực phía Nam năm 2015.

Năm 2015, VNISA phía Nam đã tiến hành khảo sát hơn 200 tổ chức, doanh nghiệp đang ứng dụng CNTT vào các hoạt động điều hành, quản lý, sản xuất kinh doanh. Đối tượng tham gia khảo sát trực tiếp là các cán bộ quản lý chịu trách nhiệm chung, hoặc phụ trách kỹ thuật hệ thống CNTT. Kết quả khảo sát một số lĩnh vực như sau:

Về bộ máy tổ chức, chính sách và kinh phí đầu tư cho ATTT

Theo số liệu khảo sát năm 2015, tỷ lệ các tổ chức, doanh nghiệp (TC/DN) có lãnh đạo, hoặc cán bộ chuyên trách/bán chuyên trách về ATTT là 34% (giảm so với 73% của năm 2014). Điều này cho thấy tổ chức, bộ máy và nhân sự cho ATTT ở các doanh nghiệp vừa và nhỏ còn rất nhiều khoảng trống và chưa được quan tâm đúng mức. Số các TC/DN có phê duyệt và ban hành chính sách về ATTT cũng giảm còn 23,7% (so với 30% năm 2014 và 25% năm 2013). Số lượng các TC/DN ban hành quy định về bảo mật, ATTT cá nhân cũng chiếm tỷ lệ khá khiêm tốn, là 22,7% (trong đó, số TC/DN tuân theo các chuẩn ATTT quốc tế như 2700x hay PCI… chiếm chưa đến 13%). 

Xu hướng thuê ngoài dịch vụ ATTT chưa có sự chuyển biến nhiều, mặc dù chủ trương thuê ngoài dịch vụ CNTT đã được Chính phủ đồng ý áp dụng cho cơ quan và doanh nghiệp nhà nước. Chỉ có 24,6% các đơn vị được khảo sát cho biết có thuê dịch vụ ngoài, trong đó thuê ngoài nhiều nhất là “Dịch vụ phát hiện rà soát Virus” - 17%. Các dịch vụ thuê tư vấn, hay giám sát ATTT mạng vẫn chiếm tỷ lệ rất thấp, từ 6-7%. Riêng dịch vụ thuê đánh giá điểm yếu chiếm 7,1% - giảm nhiều so với 25% năm 2014. Các TC/DN cũng đầu tư chưa đến 5% trong tổng ngân sách đầu tư cho CNTT.

Về đào tạo và nâng cao nhận thức ATTT

Chỉ có 25,6% các đơn vị được khảo sát cho biết, có kế hoạch đào tạo các kỹ năng cơ bản về ATTT cho nhân lực của đơn vị mình, trong đó đa phần là các kế hoạch đào tạo dài hạn. Đặc biệt, số đơn vị có cán bộ được cấp chứng chỉ ATTT quốc tế là rất ít - 1,4%.

Về vấn đề đào tạo, tuyên truyền nâng cao nhận thức về ATTT cho cán bộ, nhân viên, các TC/DN cũng chưa chú trọng nhiều. Khoảng 30,8% các đơn vị được khảo sát cho biết có đào tạo, tuyên truyền, trong đó chủ yếu là hình thức đào tạo tập trung (35,5%), đào tạo từ xa (qua website - 19,9%), tập huấn thông qua giải quyết sự cố ATTT (16,6%). 

Cũng theo báo cáo khảo sát, trong các nguy cơ tiềm ẩn có khả năng ảnh hưởng đến ATTT của các TC/DN, thì chính nhân viên đang làm việc tại đơn vị là “nguy cơ” lớn nhất, chiếm 55,4%; xếp thứ hai là các loại tin tặc, tội phạm máy tính (28,9%); thứ ba là nhân viên đã nghỉ việc (33,2%). Mối đe dọa đến từ đối tượng “Đối thủ cạnh tranh” chỉ xếp thứ tư, với 31,7%.

Biện pháp quản lý, ngăn chặn nguy cơ ATTT

10% TC/DN được khảo sát cho biết đã triển khai hệ thống quản lý ATTT cho đơn vị mình – giảm gần một nửa so với năm 2014 (20%). Các tổ chức không có kế hoạch triển khai hệ thống quản lý ATTT cũng giảm nhẹ, xuống 53,1% so với 56,7% năm 2014. Số lượng các TC/DN có kế hoạch triển khai ISMS và tuân thủ tiêu chuẩn về ATTT ISO 27.00x là 18,5%, giảm nhiều so với 26,6% năm 2014.

Việc phân loại thông tin, xác định trách nhiệm, sở hữu tuy là biện pháp đơn giản để quản lý ATTT trong đơn vị, nhưng cũng chỉ có 29,9% TC/DN đã áp dụng biện pháp này; chỉ có 33,2% TC/DN quản lý cán bộ vận hành khai thác, sử dùng hệ thống tuân thủ theo đúng các chính sách về ATTT.

Khi xảy ra sự cố, phần lớn thông tin về sự cố được thông báo trong nội bộ (43,1%), thông báo cho lãnh đạo tổ chức (41,2%) và cơ quan cấp trên (18%), tương ứng với năm 2014 là 38,3%, 51,3% và 22,7%. Đặc biệt, các TC/DN vẫn còn tâm lý e ngại, hoặc vẫn nghĩ rằng, khi xảy ra sự cố mất ATTT, nếu có báo báo cáo cho các cơ quan quản lý nhà nước (như Cục ATTT, VNCert, Công an…) thì họ cũng không giúp được gì nhiều. Do vậy, số các TC/DN có báo cáo khi xảy ra sự cố mất ATTT cũng rất ít, 12,8% báo cho Cục ATTT và VNCert, 15,6% báo cho công an – giảm nhiều so với năm 2014 là 28,9% và 21,3%.

Về sử dụng biện pháp kỹ thuật để đảm bảo ATTT: Con số ấn tượng nhất của đợt khảo sát năm nay là việc các doanh nghiệp tăng cường sử dụng hệ thống kiểm soát truy cập khi đi vào/ra các khu vực quan trọng bằng thẻ từ, bảo vệ… là 15% so với 7,3% năm 2014. Ngoài ra, việc sử dụng chữ ký số trong giao dịch điện tử lên tới 43,1%. Các con số này chứng tỏ, các biện pháp bảo vệ đơn giản, dễ dùng sẽ được các tổ chức ưu tiên áp dụng.

Mặc dù vậy, các TC/DN vẫn chưa quan tâm đúng mức tới việc đảm bảo an toàn dữ liệu. Việc mã hóa và sao lưu dữ liệu được thực hiện ở mức thấp, chỉ có 12,3% tổ chức được hỏi có sử dụng mã hóa và 28,4% tổ chức thực hiện sao lưu dữ liệu.

Một số đánh giá, khuyến nghị

Qua những con số khảo sát, thống kê, so sánh ở phần trên cho thấy, hiện trạng ATTT khu vực phía Nam năm 2015 có chiều hướng xấu đi so với năm 2014, khi các chỉ số liên quan đến đảm bảo ATTT có chiều hướng thuyên giảm. Sự thay đổi này một phần do đối tượng khảo sát năm nay tập trung nhiều hơn đến các doanh nghiệp nhỏ và vừa – đối tượng ít quan tâm đầu tư, hoặc do thiếu kinh phí đầu tư cho bảo đảm ATTT.

Những vấn đề đáng lo ngại là, nhân sự chuyên trách về ATTT, quy trình quản lý ATTT, đặc biệt là xử lý sự cố ATTT vẫn còn bị bỏ ngỏ trong nhiều TC/DN. Rất ít TC/DN (dưới 10) trong số hơn 200 đơn vị được khảo sát có nhân sự chuyên ngành về ATTT, hoặc tối thiểu có một trong những chứng chỉ ATTT quốc tế thông dụng. Sự liên kết giữa các doanh nghiệp vừa và nhỏ với các Cơ quan quản lý nhà nước và bảo vệ pháp luật còn chưa tốt. Vai trò của các doanh nghiệp hoạt động về ATTT, các đơn vị tư vấn chưa được thể hiện rõ đối với khối doanh nghiệp vừa và nhỏ…. Đây chính là điểm yếu trong mắt xích xây dựng hệ thống phòng thủ và bảo vệ chủ quyền số quốc gia, khi các thông tin không được cập nhật và thông báo kịp thời, chậm trễ trong việc phản ứng với sự cố, các mối đe dọa mới.

Trên cơ sở kết quả khảo sát và đánh giá, Chi hội ATTT phía Nam đưa ra một số đề xuất, kiến nghị:

Đối với các cơ quan quản lý Nhà nước: cần xây dựng các kế hoạch và phương án bảo vệ hạ tầng CNTT Quốc gia, xây dựng và đề xuất các chính sách hỗ trợ nghiên cứu khoa học ứng dụng, thực hành và đào tạo nhân lực chất lượng cao cho ATTT; Tăng cường công tác tuyên truyền về ATTT đến các đối tượng doanh nghiệp vừa và nhỏ; Tiếp tục liên kết và chủ trì các hoạt động diễn tập các quy mô, các cấp, nhằm sẵn sàng đối phó với các mối đe dọa về an toàn mạng. Triển khai các thao trường thực hành, để huấn luyện và đào tạo đội ngũ kỹ thuật trình độ cao phục vụ công tác đảm bảo ATTT dài hạn. 

Đối với doanh nghiệp: Cần có kế hoạch nâng cao ý thức của lãnh đạo và nhân viên về ATTT, nhằm giảm thiểu các nguy cơ mất ATTT, chủ động tổ chức bộ máy chuyên trách và đào tạo nhân lực về ATTT, để đối phó với các thách thức ngày càng lớn về ATTT trong điều kiện ứng dụng CNTT là điều kiện tiên quyết nhằm nâng cao tính cạnh tranh và năng lực lao động sản xuất; Tiếp tục hoàn thiện hạ tầng và trang bị kỹ thuật, chú trọng vấn đề đánh giá và xử lý rủi ro ATTT trong doanh nghiệp. Phê chuẩn và thực thi các quy trình, chuẩn về ATTT vào thực tiễn hoạt động của doanh nghiệp; Doanh nghiệp cần phối hợp chặt chẽ hơn với cơ quan Nhà nước, Hiệp hội để tăng tính cộng đồng, chia sẻ thông tin để kịp thời phản ứng với các mối đe dọa mới.

 Kết quả khảo sát các biện pháp kỹ thuật bảo vệ hệ thống mạng trong các tổ chức, cơ quan, doanh nghiệp 

Biện pháp kỹ thuật bảo vệ hệ thống mạng

2015

2014

Hệ thống phòng chống tấn công Dos/DdoS

6,6%

16,06%

Hệ thống phát hiện xâm nhập (IDS/IPS) trong mạng

10,4%

20,18%

Tường lửa (Network Firewall)

39,8%

55,21%

Phần mềm chống virus mức mạng (Anti-Virus)

48,8%

66,51%

Lọc nội dung Web

17,1%

19,72%

Bộ lọc chống thư rác (Anti-Spam)

19,4%

23,31%

Kiểm soát truy cập

13,7%

28,90%

Bảo mật mạng không dây

26,1%

32,11%

Hệ thống quản lý sự kiện an toàn thông tin

7,1%

17,89%