Năm nay, VNISA tiến hành khảo sát với 600 tổ chức, doanh nghiệp (TC/DN) trong cả nước (trong đó có 40% tổ chức là trong khu vực nhà nước) với 36 tiêu chí đánh giá ở các cấp độ khác nhau. Trong số các TC/DN được khảo sát, có 51% là các TC/DN có quy mô nhỏ (sử dụng từ 1-50 máy tính), 27% (sử dụng từ 50-300 máy tính). Số còn lại có quy mô trên 300 máy tính.
Môi trường an toàn thông tin
Môi trường ATTT là một trong hai tiêu chí chính để VNISA đánh giá chỉ số VNISA Index. Các yếu tố chính trong tiêu chí này gồm: chính sách, nhận thức, đào tạo, tổ chức, nhân sự, kinh phí.
Về tổ chức, nhân sự chuyên trách ATTT, trong số gần 600 đơn vị được khảo sát, 260 TC/DN có lãnh đạo phụ trách về ATTT, còn 258 không có. Chỉ có 233 TC/DN có bộ phận chuyên trách về ATTT, còn 180 TC/DN cho biết là không có.
Theo các chuyên gia, với quy mô doanh nghiệp ở Việt Nam hiện nay, chủ yếu là doanh nghiệp nhỏ và vừa, tiềm lực tài chính hạn hẹp… việc bố trí lãnh đạo và có bộ phận chuyên trách về ATTT là hết sức khó khăn. Tuy nhiên, trong điều kiện CNTT bùng nổ như hiện nay, doanh nghiệp vẫn có những lựa chọn khác để đảm bảo ATTT cho mình, như việc thuê ngoài các dịch vụ đảm bảo ATTT. Tuy nhiên, số liệu khảo sát của VNISA lại cho thấy 71% TC/DN chưa có ý định thuê ngoài các dịch vụ này, chỉ có 29% TC/DN có dự định hoặc đã thuê.
Hình 1: Số lượng các TC/DN áp dụng tiêu chuẩn ATTT trong hệ thống
Hình 1: Số lượng các TC/DN áp dụng tiêu chuẩn ATTT trong hệ thống
Về chính sách, quy chế, quy định để đảm bảo ATTT trong nội bộ đơn vị, có 257 TC/DN cho biết đã ban hành các quy chế, quy định để bảo đảm ATTT và 267 TC/DN chưa ban hành. Hầu hết các TC/DN khi ban hành các quy chế, quy định đều dựa trên các Tiêu chuẩn Việt Nam (TCVN) hoặc tiêu chuẩn ISO/IEC 2700x, một số TC/DN lựa chọn theo tiêu chuẩn khác như: PCI, HiPAA, Common Criteria.... Việc bảo vệ thông tin cá nhân trong các TC/DN cũng chưa được chú trọng đúng mức, khi phần lớn các TC/DN đều chưa ban hành các quy chế, quy định bảo vệ thông tin cá nhân.
Đối với vấn đề đầu tư cho ATTT, 63% các TC/DN cho biết sẽ chi từ 0 - 5% tổng số ngân sách đầu tư cho công nghệ thông tin; 18% các TC/DN sẽ đầu tư từ 5 - 9%, đối với mức đầu tư từ 10 - 15% là 10% và mức đầu tư trên 15% chiếm 9%.
Do kinh phí đầu tư cho ATTT của các TC/DN còn hạn chế, nên ảnh hưởng đến công tác đào tạo, tập huấn, tuyên truyền và phổ biến nâng cao nhận thức của người dùng trong TC/DN. Vì vậy, 53% TC/DN khi được hỏi cho biết họ không có kế hoạch đào tạo, tập huấn cho cán bộ, nhân viên của mình và 47% (239) TC/DN cho biết đã có kế hoạch đào tạo, tập huấn. Trong số các TC/DN đã có kế hoạch thì hình thức đào tạo chủ yếu là thông qua website nội bộ của công ty, bằng cách đăng các tin, bài liên quan đến lĩnh vực ATTT - chiếm 28%, khoảng 27% TC/DN đào tạo tập trung, 25% TC/DN sẽ đưa việc bảo đảm ATTT vào các quy định chung của TC/DN, còn lại hình thức tập huấn xử lý sự cố chiếm 14% và các hình thức khác chiếm 6%.
Hinfh 2: Tỷ lệ phí đầu tư cho ATTT trong tổng kinh phí đầu tư cho CNTT của các TC/DN
Hinfh 2: Tỷ lệ phí đầu tư cho ATTT trong tổng kinh phí đầu tư cho CNTT của các TC/DN
Biện pháp đảm bảo ATTT
Đảm bảo ATTT bao gồm các biện pháp quản lý và các biện pháp kỹ thuật mà các TC/DN áp dụng trong quá trình làm việc.
Với câu hỏi Hệ thống của tổ chức đã từng bị tấn công mạng hay chưa? (tính từ tháng 1/2015). Câu trả lời của các TC/DN như sau: khoảng 32% các TC/DN không biết có bị tấn công hay không - cao hơn so với năm 2014 (27%), 36% cho rằng website không bị tấn công (năm 2014 là 38%, năm 2013 là 44%), 14% cho biết website của họ có bị tấn công nhưng không xác định được tần suất - thấp hơn so với năm 2014 (22%); chỉ 18% TC/DN phát hiện và theo dõi đầy đủ các cuộc tấn công website, tăng 5% so với năm 2014 (13%).
Tương tự năm 2014, hình thức tấn công chủ yếu mà các TC/DN phải đối phó trong năm 2015 là hệ thống bị nhiễm virus hay worm (mã độc hại tự lây lan) chiếm tỷ lệ 20% (năm 2014 là 33%, năm 2013 là 36%), hệ thống bị nhiễm trojan hay rootkit (mã độc hại không tự lây lan) chiếm 16% (tỷ lệ này năm 2014 là 27% và năm 2013 là 26%). Các hình thức tấn công khác như tấn công do chính người dùng bên trong hệ thống hay từ bên ngoài (nhưng nắm rõ hệ thống), thực hiện tấn công DDoS, tấn công thay đổi giao diện website và phá hoại giữ liệu… đều giảm đáng kể so với năm 2014.
Kết quả từ cuộc khảo sát cũng ghi nhận 26% các TC/DN không rõ động cơ tấn công của hacker. Đáng chú ý là các hình thức tấn công phá hoại có chủ đích của hacker vào hệ thống cơ sở dữ liệu của TC/DN đã giảm so với năm 2014 (12% so với 16%). Các cuộc tấn công do mâu thuẫn cá nhân hay để khuếch trương thanh thế của hacker vẫn diễn ra, nhưng ở mức thấp.
Một điều đáng ghi nhận đối với các TC/DN trong đợt khảo sát năm nay là, tuy tình hình kinh tế còn gặp nhiều khó khăn, đầu tư cho ATTT không nhiều, nhưng các TC/DN đã nhận thức sâu sắc hơn về ATTT và tập trung đầu tư có chiều sâu. Do vậy, hệ thống của các TC/DN có khả năng ghi nhận các hành vi tấn công đã tăng lên so với các năm trước (năm 2015 là 46%, năm 2014 là 39% và năm 2013 là 34%).
Hình 3: Tỷ lệ phần trăm hình thức đào tọa mà cấc TC/DN lựa chọn
Hình 3: Tỷ lệ phần trăm hình thức đào tọa mà cấc TC/DN lựa chọn
Các TC/DN đã nhận định được các nguy cơ gây mất ATTT trong thời gian tới có thể đến từ nhiều đối tượng như: nhân viên đang làm việc hay đã nghỉ việc của công ty, tội phạm máy tính (hacker bất hợp pháp), đối thủ cạnh tranh (gián điệp công nghiệp), băng nhóm tội phạm máy tính có tổ chức (khủng bố mạng...), doanh nghiệp gia công bên ngoài (các nhân viên thuê của công ty bên ngoài). Nhưng khi được hỏi: Tổ chức của quý vị có triển khai hệ thống quản lý ATTT (Information Security Management System - ISMS) theo các tiêu chuẩn trong nước hoặc quốc tế hay không? Có 77% TC/DN trả lời là không và 23% còn lại trả lời là có. Trong thời gian tới, 56% TC/DN chưa có ý định triển khai ISMS (giảm 1,9% so với 57,9% năm 2014), chỉ có khoảng 28% cho biết sẽ triển khai ISMS và tuân thủ ISO/IEC 27001, 16% còn lại chưa quyết định.
Về các biện pháp phân loại, xác định trách nhiệm, sở hữu… tài sản thông tin, 49% tổ chức đã phân loại, 51% chưa phân loại. Việc đánh giá xem cán bộ vận hành, khai thác, sử dụng hệ thống của tổ chức đã tuân thủ các chính sách về ATTT hay không? Có 61% cho rằng có tuân thủ và 39% không tuân thủ. Quy trình đánh giá, quản lý và xử lý nguy cơ về ATTT trong các TC/DN vẫn còn nhiều hạn chế, 62% được đánh giá không theo quy trình, chỉ có 28% là tuân thủ theo đúng quy trình.
Về việc thông báo khi hệ thống của TC/DN gặp sự cố mất ATTT: 22% thông báo trong nội bộ đơn vị, bộ phận, 24% thông báo lên lãnh đạo cấp cao trong tổ chức của mình (năm 2014 là 46%), 13% đã thông báo đến cơ quan cấp trên của tổ chức (nếu có) (năm 2014 là 57%), 14% thông báo đến các tổ chức hỗ trợ xử lý sự cố mất ATTT (Cục ATTT, VNCERT), 12% thông báo cho cơ quan pháp luật, 4% thông báo đến doanh nghiệp cung cấp dịch vụ ATTT, 9% thông báo cho doanh nghiệp cung cấp dịch vụ Internet và 3% không thông báo.
Khi được hỏi: Hệ thống của tổ chức có được kiểm tra, đánh giá ATTT hay không? 53% trả lời là có và 47% trả lời là không. Còn khi được hỏi: Tổ chức của quý vị có các biện pháp kỹ thuật để bảo đảm an toàn về mặt vật lý hay không? thì 33% nói là chưa có và 67% cho biết là đã có. Đối với việc xác thực trực tuyến, 50% các TC/DN đã sử dụng chữ ký số để bảo đảm an toàn cho các giao dịch điện tử, 50% chưa sử dụng.
Về việc sử dụng các công nghệ, biện pháp kỹ thuật để bảo đảm ATTT, các TC/DN thường sử dụng một trong những biện pháp sau đây: hệ thống phòng chống tấn công DoS/DDoS; hệ thống phát hiện xâm nhập (IDS/IPS) trong mạng; tường lửa (Network Firewall), phần mềm chống virus, lọc nội dung Web; bộ lọc chống thư rác (Anti-Spam), kiểm soát truy cập; bảo mật mạng không dây, hệ thống quản lý sự kiện ATTT (Security Incident & Event Management - SIEM). Trong các biện pháp trên, việc sử dụng phần mềm chống virus (Anti-Virus) được các TC/DN sử dụng nhiều nhất, với 22% các TC/DN.
Hình 4: Khả năng ghi nhận các hành vi tấn công vào hệ thống của các TC/DN
Hình 4: Khả năng ghi nhận các hành vi tấn công vào hệ thống của các TC/DN
Để đảm bảo ATTT cho hệ thống máy chủ, ứng dụng, các TC/DN sử dụng các công nghệ, biện pháp kỹ thuật chủ yếu như: hệ thống phát hiện xâm nhập trên máy chủ (IDS/IPS); tường lửa (Firewall), phần mềm chống virus mã độc, tường lửa cho ứng dụng web, hệ thống quản lý chống thất thoát dữ liệu (Data Loss protection), tường lửa cho Cơ sở dữ liệu, quản lý truy cập, bảo mật thiết bị di động.
Về mã hóa dữ liệu, 52% TC/DN chưa mã hóa dữ liệu, 48% đã mã hóa. Về cơ chế sao lưu phục hồi, đảm bảo tính khả dụng của dữ liệu, 64% đã có cơ chế này, 36% còn lại chưa có. Trong số đã có, 35% có hệ thống sao lưu (backup) dữ liệu tập trung, 19% sử dụng các giải pháp giải pháp cluster, load-balancing, 13% sử dụng cơ chế cân bằng tải (HA) cho các thiết bị quan trọng, 9% có các hệ thống dự phòng và phục hồi sau thảm họa (DR site), 24% có hệ thống UPS.
Chỉ số VNISA Index 2015
Các vấn đề khó khăn nhất mà TC/DN gặp phải trong việc bảo đảm ATTT cho thông tin và hệ thống thông tin bao gồm: Lãnh đạo tổ chức chưa hỗ trợ đúng mức cần thiết về ATTT, nhân viên chưa nhận thức đầy đủ về ATTT, việc nâng cao nhận thức cho người sử dụng về bảo mật máy tính, việc xác định chính xác mức độ ưu tiên của ATTT trong tương quan chung với các vấn đề khác của tổ chức, sự cần thiết của việc áp dụng nguyên tắc quản lý nguy cơ (Risk Management principles), việc cập nhật kịp thời những cách thức tấn công hay những những điểm yếu mới xuất hiện; Việc phản ứng nhanh và chính xác khi xảy ra những vụ tấn công máy tính, việc quản lý chặt chẽ cấu hình hệ thống mạng (Configuration Management)....
Kết quả khảo sát trên đã phần nào đưa ra bức tranh về ATTT tại các TC/DN ở Việt Nam trong năm 2015. Trong hoàn cảnh kinh tế khó khăn, các TC/DN phải cắt giảm chi tiêu, nhưng việc đầu tư cho ATTT vẫn được các TC/DN chú trọng, thể hiện ở chỉ số VNISA Index 2015 đạt 46,5% (tăng 7,4% so với năm 2014).
Hiện nay, việc bảo vệ chủ quyền quốc gia thường liên quan đến việc bảo vệ không gian mạng. Các cuộc chiến tranh trên thế giới đều bắt đầu, hoặc đi kèm với các cuộc tấn công mạng. Nếu như trước đây, các quốc gia âm thầm đầu tư nhân lực, vật lực để phòng bị khi chiến tranh mạng xảy ra, thì hiện nay, cuộc chạy đua này đang được công khai hóa ở tầm quốc gia. Các cuộc tấn công mạng sẽ tác động tới tất cả các tổ chức hoạt động trên môi trường mạng. Do vậy, các TC/DN cần có sự đầu tư thích đáng về cả nhân lực và vật lực cho ATTT, để chủ động đối phó với các tình huống mất ATTT có thể xảy ra.