“Đầu tư cho an ninh thông tin phải đồng bộ, cũng như nếu ta chỉ khoá cửa tầng 1 nhưng bỏ ngỏ tầng thượng thì việc đảm bảo an ninh cho toà nhà cũng vô nghĩa. Trên thực tế, nếu nguồn kinh phí không đủ lớn thì phải ưu tiên cho bảo mật dữ liệu, còn đầu tư chung cho an ninh thông tin (tính sẵn sang, tính toàn vẹn) cũng cần nhưng chỉ đảm bảo ở mức độ chấp nhận được, sau đó sẽ nâng cấp dần qua từng năm”, ông Trần Nguyên Vũ - Phó Cục trưởng, Cục Tin học thống kê tài chính, Bộ Tài chính chia sẻ.
Theo các chuyên gia, khủng hoảng kinh tế ảnh hưởng nghiêm trọng đến tình hình an ninh bảo mật năm 2008 và cả năm 2009 trên toàn thế giới. Ông nhận định mức độ ảnh hưởng của nó tại VN như thế nào?
Khủng hoảng kinh tế thế giới đã ảnh hưởng nghiêm trọng đến tình hình an ninh bảo mật năm 2008 và cả năm 2009 trên phạm vi toàn thế giới. Nhận định này, theo các chuyên gia, bắt nguồn từ các nguyên nhân sau:
- Khủng hoảng kinh tế ảnh hưởng sâu rộng đến tất cả các lĩnh vực, ngành kinh tế, không loại trừ lĩnh vực hoạt động của các hacker. Mặt khác giới này có thể cho rằng khủng hoảng kinh tế sẽ làm cho các tổ chức, doanh nghiệp phải vật lộn với các vấn đề lớn liên quan đến kế hoạch tài chính mà sao nhãng vấn đề an ninh thông tin, do vậy, đây sẽ là động lực và cơ hội để các hacker càng tăng cường hoạt động bằng các thủ đoạn tinh xảo hơn.
- Khủng hoảng kinh tế dẫn đến rất nhiều tổ chức, doanh nghiệp phải thu nhỏ quy mô. Việc ra đi của nhân viên đã nhiều năm làm việc trong tổ chức kéo theo việc thất thoát các thông tin lien quan đến các tài sản thông tin có giá trị cao của tổ chức, cách thức lưu trữ bảo quản, các điểm yếu trong công tác quản lý an ninh thông tin…Tháng giêng năm 2009, trên trang web của Lumension có một bài với tiêu đề “New Insider Threat Emerges in the New Economy” phân tích rất kỹ hiểm hoạ từ nội bộ tổ chức trong nền kinh tế khủng hoảng.
- Đối mặt với khủng hoảng kinh tế, lãnh đạo tổ chức, doanh nghiệp có 2 xu hướng phản ứng liên quan đến an ninh thông tin: xu hướng tích cực, sử dụng hệ thống thông tin hiện có, đầu tư thêm để chuyển một số dịch vụ sang hoạt động trên môi trường mạng để mở rộng khách hàng, thu gọn bộ máy theo lối truyền thống và từ đó tiết giảm chi phí; xu hướng bị động, tập trung vào giải quyết các vấn đề về tài chính mà sao nhãng việc tuân thủ các quy định về an toàn thông tin, cắt giảm chi phí chung bao gồm cả chi phí cho an ninh thông tin. Cả hai xu hướng này đều cho thấy cần quan tâm và duy trì thích đáng cho an ninh thông tin.
Hiện nay về kinh tế, Việt Nam đã gia nhập WTO, nền kinh tế ngày càng hội nhập sâu vào kinh tế thế giới, hệ thống thông tin của các tổ chức, doang nghiệp hầu như hoạt động gắn liền với Internet. Do vậy, các mối hiểm hoạ như đã kể trên không loại trừ Việt Nam.
An toàn thông tin được xem là ưu tiên hàng đầu trong chiến lược an toàn bảo mật đối với các tổ chức, doanh nghiệp trong thời kỳ khủng hoảng, đặc biệt đối với ngành tài chính. Ông có thể chia sẻ những kinh nghiệm của Bộ Tài chính trong vấn đề này?
Ngành tài chính triển khai đề án An toàn bảo mật hệ thống thông tin tài chính từ năm 2004. Giai đoạn đầu, chúng tôi chú trọng vào thiết lập hệ thống an ninh mức mạng. Hiện nay, chúng tôi triển khai theo cả 3 hướng: kiện toàn tổ chức chuyên trách về an ninh thông tin, đặt tại phòng Quản trị mạng, nay có tên mới là Phòng quản lý mạng và an ninh thông tin; xây dựng các quy chế sử dụng khai thác mạng LAN cơ quan và mạng WAN toàn ngành, xây dựng các quy trình nội bộ về quản trị, quản lý dữ liệu; tiếp tục đàu tư cho các công cụ an toàn bảo mật mức mạng, ứng dụng, tổ chức hệ thống lưu trữ thông tin có độ an toàn, tính sẵn sàng cao (SAN), thử nghiệm và mua sắm các phần mềm hỗ trợ giám sát mạng, ứng dụng. Chúng tôi cũng đang tìm kiếm chuyên gia tư vấn để giúp xây dựng chính sách về an ninh thông tin và xây dựng hệ thống quản lý an ninh thông tin (ISMS) theo chuẩn ISO 27001/27002.
Ông đánh giá thế nào về mức độ đầu tư cho an ninh bảo mật của các tổ chức, doanh nghiệp Việt Nam hiện nay? Theo ông, các tổ chức doanh nghiệp nên chú trọng đầu tư vào lĩnh vực nào là chủ yếu (An ninh thông tin hay bảo mật dữ liệu …)?
Những năm gần đây cùng với sự phát triển của Internet, sự hoàn chỉnh của các văn bản thể chế, sự hội nhập sâu về kinh tế, hoạt động của cac tổ chức, doanh nghiệp đã cơ bản dựa trên nền tảng CNTT và truyền thông, các mô hình giao dịch điện tử dần dần trở nên phổ biến, nhất là trong lĩnh vự tài chính, ngân hàng. Các doanh nghiệp đều nhận thức được an ninh thông tin là điều kiện sống còn cho hoạt động của doanh nghiệp. Các doanh nghiệp đã mạnh dạn đầu tư vào các hệ thống rất chuyên nghiệp. Tuy nhiên cũng như cách chúng tôi đã triển khai giai đoạn đầu ở Bộ Tài chính, đó là các doanh nghiệp mới đầu tư mạnh cho an ninh mức mạng. Số doanh nghiệp triển khai an ninh thông tin theo cách tiếp cận của ISO 27001/27002 chưa nhiều.
Câu hỏi các doanh nghiệp đầu tư chủ yếu vào an ninh thông tin hay bảo mật dữ liệu thì như chúng ta đều biết, theo ISO 27001, duy trì an ninh thông tin, dữ liệu nghĩa là duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin, dữ liệu. Như vậy bảo mật dữ liệu là một phần của an ninh thông tin, an ninh dữ liệu. Nếu chỉ tập trung vào bảo mật dữ liệu mà bỏ qua tính sẵn sàng của dữ liệu cũng không được. Ví dụ một công ty chứng khoán cho phép các nhà đầu tư giao dịch trực tuyến, dữ liệu, tài khoản của nhà đầu tư được bảo vệ tốt, nhưng hạ tầng kỹ thuật của hệ thống không mạnh, vào những thời điểm quan trọng, nhà đầu tư không thể đặt lệnh được do nghẽn mạch thì như vậy tính sẵn sàng của hệ thống, của dữ liệu đã không được đảm bảo, thiệt hại của nhà đầu tư có thể là rất lớn. Từ đó đầu tư cho an ninh thông tin phải đồng bộ, cũng như nếu ta chỉ khoá cửa tầng 1 nhưng bỏ ngỏ tầng thượng thì việc đảm bảo an ninh cho toà nhà cũng vô nghĩa. Trên thực tế, nếu nguồn kinh phí không đủ lớn thì phải ưu tiên cho bảo mật dữ liệu, còn đầu tư chung cho an ninh thông tin (tính sẵn sang, tính toàn vẹn) cũng cần nhưng chỉ đảm bảo ở mức độ chấp nhận được, sau đó sẽ nâng cấp dần qua từng năm.
Xin ông cho biết Bộ Tài chính đã có những biện pháp gì để đảm bảo an ninh bảo mật thông tin, dữ liệu khi tội phạm công nghệ cao tại Việt Nam (bao gồm cả hacker VN và hacker nước ngoài) ngày càng tinh vi hơn?
Từ 2 năm nay Bộ Tài chính muốn tiếp cận 1 cách đồng bộ từ mức chính sách, kiểm soát tính tuân thủ cho đến các giải pháp an toàn bảo mật ở mức vật lý và mức mạng. Ở mức vật lý, chúng tôi đã đưa vào sự dụng Data Center tại cơ quan Bộ Tài chính, với hệ thống kiểm soát truy cập hiện đại, có quy định về việc khai thác, vận hành Datacenter và có bộ phận chuyên trách giám sát việc thực hiện quy định này. Ở mức mạng, hệ thống mạng tại Bộ Tài chính được phân chia theo các vùng khác nhau, mỗi vùng mạng chứa máy chủ ứng dụng phục vụ đối tượng khai thác khác nhau như khai thác mức ngành, khai thác nội bộ,…. chúng tôi triển khai những giải pháp/sản phẩm của các hãng uy tín để kiểm soát truy nhập đến các vùng mạng này.
Năm 2009 chúng tôi tiếp tục nâng cấp hệ thống bằng cách kiến trúc lại phần kiểm soát truy nhập qua hình thức VPN, bổ sung thêm các FireWall mức mạng và mức ứng dụng để tăng độ an toàn cho cácvùng mạng, ứng dụng quan trọng, chuẩn bị đầu tư cho giải pháp End-point Security và tìm kiếm công cụ hỗ trợ giám sát an ninh mức mạng, ứng dụng một cách toàn diện, hiệu quả.
Xin cảm ơn ông!
H.P
Theo các chuyên gia, khủng hoảng kinh tế ảnh hưởng nghiêm trọng đến tình hình an ninh bảo mật năm 2008 và cả năm 2009 trên toàn thế giới. Ông nhận định mức độ ảnh hưởng của nó tại VN như thế nào?
Khủng hoảng kinh tế thế giới đã ảnh hưởng nghiêm trọng đến tình hình an ninh bảo mật năm 2008 và cả năm 2009 trên phạm vi toàn thế giới. Nhận định này, theo các chuyên gia, bắt nguồn từ các nguyên nhân sau:
- Khủng hoảng kinh tế ảnh hưởng sâu rộng đến tất cả các lĩnh vực, ngành kinh tế, không loại trừ lĩnh vực hoạt động của các hacker. Mặt khác giới này có thể cho rằng khủng hoảng kinh tế sẽ làm cho các tổ chức, doanh nghiệp phải vật lộn với các vấn đề lớn liên quan đến kế hoạch tài chính mà sao nhãng vấn đề an ninh thông tin, do vậy, đây sẽ là động lực và cơ hội để các hacker càng tăng cường hoạt động bằng các thủ đoạn tinh xảo hơn.
- Khủng hoảng kinh tế dẫn đến rất nhiều tổ chức, doanh nghiệp phải thu nhỏ quy mô. Việc ra đi của nhân viên đã nhiều năm làm việc trong tổ chức kéo theo việc thất thoát các thông tin lien quan đến các tài sản thông tin có giá trị cao của tổ chức, cách thức lưu trữ bảo quản, các điểm yếu trong công tác quản lý an ninh thông tin…Tháng giêng năm 2009, trên trang web của Lumension có một bài với tiêu đề “New Insider Threat Emerges in the New Economy” phân tích rất kỹ hiểm hoạ từ nội bộ tổ chức trong nền kinh tế khủng hoảng.
- Đối mặt với khủng hoảng kinh tế, lãnh đạo tổ chức, doanh nghiệp có 2 xu hướng phản ứng liên quan đến an ninh thông tin: xu hướng tích cực, sử dụng hệ thống thông tin hiện có, đầu tư thêm để chuyển một số dịch vụ sang hoạt động trên môi trường mạng để mở rộng khách hàng, thu gọn bộ máy theo lối truyền thống và từ đó tiết giảm chi phí; xu hướng bị động, tập trung vào giải quyết các vấn đề về tài chính mà sao nhãng việc tuân thủ các quy định về an toàn thông tin, cắt giảm chi phí chung bao gồm cả chi phí cho an ninh thông tin. Cả hai xu hướng này đều cho thấy cần quan tâm và duy trì thích đáng cho an ninh thông tin.
Hiện nay về kinh tế, Việt Nam đã gia nhập WTO, nền kinh tế ngày càng hội nhập sâu vào kinh tế thế giới, hệ thống thông tin của các tổ chức, doang nghiệp hầu như hoạt động gắn liền với Internet. Do vậy, các mối hiểm hoạ như đã kể trên không loại trừ Việt Nam.
An toàn thông tin được xem là ưu tiên hàng đầu trong chiến lược an toàn bảo mật đối với các tổ chức, doanh nghiệp trong thời kỳ khủng hoảng, đặc biệt đối với ngành tài chính. Ông có thể chia sẻ những kinh nghiệm của Bộ Tài chính trong vấn đề này?
Ngành tài chính triển khai đề án An toàn bảo mật hệ thống thông tin tài chính từ năm 2004. Giai đoạn đầu, chúng tôi chú trọng vào thiết lập hệ thống an ninh mức mạng. Hiện nay, chúng tôi triển khai theo cả 3 hướng: kiện toàn tổ chức chuyên trách về an ninh thông tin, đặt tại phòng Quản trị mạng, nay có tên mới là Phòng quản lý mạng và an ninh thông tin; xây dựng các quy chế sử dụng khai thác mạng LAN cơ quan và mạng WAN toàn ngành, xây dựng các quy trình nội bộ về quản trị, quản lý dữ liệu; tiếp tục đàu tư cho các công cụ an toàn bảo mật mức mạng, ứng dụng, tổ chức hệ thống lưu trữ thông tin có độ an toàn, tính sẵn sàng cao (SAN), thử nghiệm và mua sắm các phần mềm hỗ trợ giám sát mạng, ứng dụng. Chúng tôi cũng đang tìm kiếm chuyên gia tư vấn để giúp xây dựng chính sách về an ninh thông tin và xây dựng hệ thống quản lý an ninh thông tin (ISMS) theo chuẩn ISO 27001/27002.
Ông đánh giá thế nào về mức độ đầu tư cho an ninh bảo mật của các tổ chức, doanh nghiệp Việt Nam hiện nay? Theo ông, các tổ chức doanh nghiệp nên chú trọng đầu tư vào lĩnh vực nào là chủ yếu (An ninh thông tin hay bảo mật dữ liệu …)?
Những năm gần đây cùng với sự phát triển của Internet, sự hoàn chỉnh của các văn bản thể chế, sự hội nhập sâu về kinh tế, hoạt động của cac tổ chức, doanh nghiệp đã cơ bản dựa trên nền tảng CNTT và truyền thông, các mô hình giao dịch điện tử dần dần trở nên phổ biến, nhất là trong lĩnh vự tài chính, ngân hàng. Các doanh nghiệp đều nhận thức được an ninh thông tin là điều kiện sống còn cho hoạt động của doanh nghiệp. Các doanh nghiệp đã mạnh dạn đầu tư vào các hệ thống rất chuyên nghiệp. Tuy nhiên cũng như cách chúng tôi đã triển khai giai đoạn đầu ở Bộ Tài chính, đó là các doanh nghiệp mới đầu tư mạnh cho an ninh mức mạng. Số doanh nghiệp triển khai an ninh thông tin theo cách tiếp cận của ISO 27001/27002 chưa nhiều.
Câu hỏi các doanh nghiệp đầu tư chủ yếu vào an ninh thông tin hay bảo mật dữ liệu thì như chúng ta đều biết, theo ISO 27001, duy trì an ninh thông tin, dữ liệu nghĩa là duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin, dữ liệu. Như vậy bảo mật dữ liệu là một phần của an ninh thông tin, an ninh dữ liệu. Nếu chỉ tập trung vào bảo mật dữ liệu mà bỏ qua tính sẵn sàng của dữ liệu cũng không được. Ví dụ một công ty chứng khoán cho phép các nhà đầu tư giao dịch trực tuyến, dữ liệu, tài khoản của nhà đầu tư được bảo vệ tốt, nhưng hạ tầng kỹ thuật của hệ thống không mạnh, vào những thời điểm quan trọng, nhà đầu tư không thể đặt lệnh được do nghẽn mạch thì như vậy tính sẵn sàng của hệ thống, của dữ liệu đã không được đảm bảo, thiệt hại của nhà đầu tư có thể là rất lớn. Từ đó đầu tư cho an ninh thông tin phải đồng bộ, cũng như nếu ta chỉ khoá cửa tầng 1 nhưng bỏ ngỏ tầng thượng thì việc đảm bảo an ninh cho toà nhà cũng vô nghĩa. Trên thực tế, nếu nguồn kinh phí không đủ lớn thì phải ưu tiên cho bảo mật dữ liệu, còn đầu tư chung cho an ninh thông tin (tính sẵn sang, tính toàn vẹn) cũng cần nhưng chỉ đảm bảo ở mức độ chấp nhận được, sau đó sẽ nâng cấp dần qua từng năm.
Xin ông cho biết Bộ Tài chính đã có những biện pháp gì để đảm bảo an ninh bảo mật thông tin, dữ liệu khi tội phạm công nghệ cao tại Việt Nam (bao gồm cả hacker VN và hacker nước ngoài) ngày càng tinh vi hơn?
Từ 2 năm nay Bộ Tài chính muốn tiếp cận 1 cách đồng bộ từ mức chính sách, kiểm soát tính tuân thủ cho đến các giải pháp an toàn bảo mật ở mức vật lý và mức mạng. Ở mức vật lý, chúng tôi đã đưa vào sự dụng Data Center tại cơ quan Bộ Tài chính, với hệ thống kiểm soát truy cập hiện đại, có quy định về việc khai thác, vận hành Datacenter và có bộ phận chuyên trách giám sát việc thực hiện quy định này. Ở mức mạng, hệ thống mạng tại Bộ Tài chính được phân chia theo các vùng khác nhau, mỗi vùng mạng chứa máy chủ ứng dụng phục vụ đối tượng khai thác khác nhau như khai thác mức ngành, khai thác nội bộ,…. chúng tôi triển khai những giải pháp/sản phẩm của các hãng uy tín để kiểm soát truy nhập đến các vùng mạng này.
Năm 2009 chúng tôi tiếp tục nâng cấp hệ thống bằng cách kiến trúc lại phần kiểm soát truy nhập qua hình thức VPN, bổ sung thêm các FireWall mức mạng và mức ứng dụng để tăng độ an toàn cho cácvùng mạng, ứng dụng quan trọng, chuẩn bị đầu tư cho giải pháp End-point Security và tìm kiếm công cụ hỗ trợ giám sát an ninh mức mạng, ứng dụng một cách toàn diện, hiệu quả.
Xin cảm ơn ông!
H.P
0 Bình Luận:
Đăng nhận xét