Không có cơ quan nhà nước nào tại Việt Nam triển khai an toàn thông tin ở mức tốt

16:10 | 18/04/2019
M.T

Theo kết quả đánh giá, xếp hạng an toàn thông tin (ATTT) mạng của 90 cơ quan Nhà nước tại Việt Nam trong năm 2018, không có đơn vị nào được xếp loại quan tâm triển khai ATTT ở mức tốt. Chiếm phần lớn bảng xếp loại là các đơn vị quan tâm triển khai ATTT ở trung bình – 70%.

Thông tin này được nêu lên trong Báo cáo đánh giá, xếp hạng mức độ đảm bảo ATTT mạng năm 2018 được Phó Cục trưởng Cục ATTT (Bộ TT&TT) Hoàng Minh Tiến chia sẻ tại Hội thảo - Triển lãm quốc tế về an toàn, an ninh mạng Việt Nam 2019 - Vietnam Security Summit 2019 chủ đề “An toàn, an ninh mạng trong hành trình chuyển đổi số” diễn ra ngày 17/4.

Theo số liệu từ Báo cáo xếp hạng an toàn, an ninh mạng toàn cầu (GCI) của Liên minh Viễn thông quốc tế (ITU), Việt Nam xếp hạng thứ 101 về chỉ số an toàn, an ninh mạng năm 2017. Tuy nhiên, Chỉ số này đã có sự chuyển biến tích cực trong năm 2018, bằng việc Việt Nam vươn lên xếp thứ 50/175 trong 194 quốc gia, vùng lãnh thổ; xếp thứ 11 trong khu vực Châu Á - Thái Bình Dương và đứng thứ 5 toàn khu vực Đông Nam Á.

Bản đồ chỉ số an toàn, an ninh mạng toàn cầu năm 2018 (theo ITU)

Tại Hội thảo – Triển lãm, lần đầu tiên Bộ TT&TT công bố kết quả đánh giá mức độ bảo đảm ATTT mạng trong các cơ quan, tổ chức nhà nước. Công tác này là cơ sở và căn cứ để Bộ TT&TT thực hiện định kỳ hằng năm và tiến tới sẽ đánh giá ATTT cho các doanh nghiệp và tổ chức khác trong xã hội.

Theo kết quả đánh giá, xếp hạng mức độ đảm bảo ATTT mạng năm 2018 của các cơ quan nhà nước vừa được Bộ TT&TT công bố cho thấy, trong 90 bộ, ngành, địa phương được đánh giá, không có cơ quan xếp loại A (Đã quan tâm triển khai ATTT ở mức tốt, CSI trên 80 điểm); 15 cơ quan xếp loại B (Đã quan tâm triển khai ATTT ở mức tốt, CSI trong khoảng trên 65 điểm đến dưới 80 điểm), chiếm 17%; 63 cơ quan xếp loại C (Đã quan tâm triển khai ATTT ở mức trung bình, CSI trong khoảng trên 50 điểm và dưới 65 điểm), chiếm 70%; 12 cơ quan xếp loại D (Mới bắt đầu quan tâm đến ATTT, CSI trong khoảng trên 30 điểm và dưới 50 điểm), chiếm 12% và không có cơ quan xếp loại E (Chưa quan tâm đến ATTT, CSI dưới 30 điểm).

Cụ thể, trong khối cơ quan Trung ương, 4 cơ quan được đánh giá cao nhất về mức độ đảm bảo ATTT trong năm 2018 - xếp loại B gồm có: Bảo hiểm xã hội Việt Nam, Bộ Tài chính, Ngân hàng Nhà nước Việt Nam và Văn phòng Chính phủ.

Với khối cơ quan địa phương, 11 tỉnh, thành phố được đánh giá cao hơn cả về mức độ đảm bảo ATTT năm 2018 gồm có: Bắc Ninh, Cần Thơ, Đà Nẵng, Đồng Nai, Lâm Đồng, Lào Cai, Quảng Ngãi, Quảng Trị, Thái Bình, Thừa Thiên Huế và Vĩnh Phúc.

Trong mức xếp loại C, khối cơ quan nhà nước có 19 đơn vị và khối địa phương có 44 cơ quan.

Các cơ quan khối cơ quan trung ương xếp loại C

Các cơ quan khối địa phương xếp loại C

Đáng lưu ý trong mức xếp loại D, khối cơ quan nhà nước có các đơn vị có mức độ nghiên cứu, ứng dụng CNTT lớn. Tuy nhiên, các cơ quan này chỉ mới bắt đầu quan tâm đến ATTT. Có thể kể đến: Bộ Công Thương, Bộ Khoa học và Công nghệ, Bộ Nội vụ và Ủy ban Dân tộc. 8 cơ quan khối địa phương còn lại phần lớn thuộc khu vực Nam bộ (Cà Mau, Khánh Hòa, Phú Yên, Sóc Trăng, Tiền Giang, Long An, Nam Định và Lai Châu).

Từ kết quả đánh giá, xếp hạng các cơ quan nhà nước, Phó Cục trưởng Cục ATTT Hoàng Minh Tiến nhận xét, các cơ quan xếp hạng cao đều có đơn vị, bộ phận chuyên trách về ATTT; hầu hết các cơ quan chưa có 1 tổ chức, doanh nghiệp giám sát, bảo vệ chuyên nghiệp dẫn đến việc bị tấn công mạng mà không biết và hầu hết các cơ quan còn lúng túng, chậm xử lý khi bị tấn công mạng.

Báo cáo đánh giá, xếp hạng an toàn thông tin mạng của các cơ quan nhà nước tại Việt Nam được Cục ATTT thuộc Bộ TT&TT phối hợp cùng Hiệp hội ATTT Việt Nam (VNISA) thực hiện với mục tiêu làm thước đo (KPI) việc triển khai các giải pháp ATTT của các cơ quan; đồng thời tạo động lực cho các cơ quan, tăng cường công tác bảo đảm ATTT mạng. Phạm vi của báo cáo thực hiện đối với các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, UBND các tỉnh, thành phố trực thuộc Trung ương (trừ 3 Bộ: TT&TT, Công an và Quốc phòng).

Việc đánh giá mức độ đảm bảo ATTT của các bộ, ngành, địa phương trong năm 2018 đã được thực hiện theo phương pháp kết hợp đánh giá qua khảo sát và kết quả đánh giá ghi nhận thực tiễn. Trong đó, kết quả khảo sát dựa trên mẫu phiếu khảo sát do cơ quan tự điền, với bộ câu hỏi theo 9 nhóm tiêu chí đánh giá từng đơn vị trực thuộc cơ quan; kết quả của 1 cơ quan được tổng hợp từ kết quả của các đơn vị trực thuộc với trọng số theo mức độ quan trọng. Còn kết quả đánh giá thực tiễn của các đơn vị được ghi nhận từ những hệ thống kỹ thuật của Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục ATTT) và các đơn vị chức năng của Bộ TT&TT.

Nội dung khảo sát được xây dựng mới dựa trên bộ câu hỏi của Liên minh Viễn thông quốc tế trong cuộc khảo sát đánh giá Chỉ số ATTT mạng toàn cầu và được hoàn thiện, bổ sung để phù hợp với tình hình thực tiễn của Việt Nam, bao gồm 54 câu hỏi tập trung vào 9 nhóm nội dung chính: Chính sách ATTT; Tổ chức và quản lý nhân lực ATTT; Đào tạo, bồi dưỡng và mức độ nhận thức về ATTT; Tổ chức triển khai đảm bảo ATTT; Chính sách và mức độ đầu tư cho ATTT; Biện pháp quản lý ATTT; Biện pháp kỹ thuật ATTT; Kết quả hoạt động thực tiễn về ATTT; và ý thức trách nhiệm của lãnh đạo.

Về tiêu chí đánh giá, thực hiện đánh giá theo thang điểm 100, trong đó điểm tối đa cho tiêu chí “Kết quả tổng hợp từ phiếu khảo sát” là 50 điểm; tiêu chí “Tình hình lây nhiễm mã độc” là 20 điểm. Ba tiêu chí “Tình trạng lộ lọt thông tin tài khoản”, “Tình trạng bảo đảm ATTT của Trang/Cổng thông tin điện tử” và “Số lượng sự cố nghiêm trọng đã ghi nhận” cùng có điểm tối đa là 10 điểm cho mỗi tiêu chí.

Cuối cùng, đại diện Cục ATTT đề xuất, cần bảo đảm ATT theo nguyên tắc "4 tại chỗ": Chỉ huy tại chỗ, lực lượng tại chỗ, thiết bị tại chỗ và hậu cần tại chỗ. Để làm được điều này, các cơ quan/ tổ chức cần có người đứng đầu cơ quan chịu trách nhiệm về ATTT; Chỉ định, kiện toàn đơn vị/bộ phận chịu trách nhiệm về ATTT; Bố trí kinh phí cho ATTT (tối thiểu 10% trong kinh phí chi cho CNTT); Sử dụng sản phẩm, dịch vụ tin cậy của tổ chức/ doanh nghiệp có uy tín; mỗi cơ quan có tối thiểu 1 tổ chức/ doanh nghiệp bảo vệ ATTTM.