Theo báo cáo tổng hợp kết quả điều tra, đánh giá thực trạng an toàn thông tin (ATTT) tại Việt Nam năm 2016 của Hiệp hội An toàn thông tin Việt Nam (VNISA), Chỉ số ATTT Việt Nam (Vietnam Information Security Index) 2016 là 59,9% - tăng 12,5% so với mức 47,4% năm 2015 (chỉ số này các năm 2014 và 2013 lần lượt là 39% và 37,3%) và lần đầu tiên vượt mức trung bình 50% của thế giới. Chỉ số này có xu hướng tăng bền vững qua các năm, thể hiện định hướng kiên định của Nhà nước và cộng đồng trong phát triển ATTTT.
Trên thực tế, tình hình ATTT của Việt Nam trong năm 2016 có nhiều diễn biến phức tạp, vẫn xảy ra nhiều vụ tấn công có chủ đích vào hệ thống thông tin của tổ chức, doanh nghiệp lớn, lượng mã độc phát tán vẫn còn nhiều…. Nhưng nhận thức của các cơ quan, tổ chức, doanh nghiệp (TC/DN) và người dùng về vấn đề ATTT đã tăng lên, môi trường ATTT đã được cải thiện và người dùng đã chủ động hơn trong việc ứng phó với các sự cố ATTT.
Bức tranh về ATTT Việt Nam năm 2016 mà VNISA đưa ra chủ yếu dựa trên kết quả của cuộc khảo sát do VNISA phối hợp với Cục An toàn thông tin (Bộ TT&TT) khảo sát trên cả nước, với 3 vùng trọng tâm Hà Nội, Đà Nẵng và TP. Hồ Chí Minh. Cuộc khảo sát được tiến hành từ tháng 9 đến tháng 11/2016 với gần 700 TC/DN trong nhiều lĩnh vực, dựa trên 36 câu hỏi phức hợp. Chỉ số ATTT năm 2016 được đưa ra dựa trên sự lượng hóa từ 30 chỉ số chính, trong đó có hai vấn đề chính là Môi trường ATTT (gồm Đào tạo, nhận thức; Tổ chức, nhân lực; Chính sách, kinh phí) và Các biện pháp đảm bảo ATTT (gồm Các biện pháp quản lý; các biện pháp kỹ thuật).
Hình 1: Chỉ số ATTT qua các năm
Môi trường An toàn thông tin
Về đào tạo, bồi dưỡng nâng cao nhận thức ATTT
Các số liệu đều cho thấy, các TC/DN rất chú trọng đến vấn đề đào tạo và nâng cao nhận thức về ATTT cho lãnh đạo và nhân viên của họ. Có tới 63,6% có kế hoạch đào tạo, tập huấn về ATTT, chỉ 33,7% là không có kế hoạch (số liệu này của năm 2015 là 40,8% và 45,9%); Số TC/DN có cán bộ được cấp chứng chỉ liên quan đến ATTT là 48%, còn 50,7% không (năm 2015 là 31,1% và 56,3%). Điều này cho thấy, công tác đào tạo, cấp chứng chỉ cho cán bộ chuyên trách ATTT cần phải được đẩy mạnh hơn nữa. Tổ chức có định kỳ phổ biến nâng cao nhận thức của người sử dụng về ATTT là 66,2%, còn 32,2% là không (tỷ lệ này năm 2015 lần lượt là 48,1% và 40,4%).
Về tổ chức, nhân lực
Có thể nói, con người và tổ chức là hai yếu tố quan trọng hàng đầu trong lĩnh vực ATTT. Nếu TC/DN nào có tổ chức chuyên trách ATTT và có đội ngũ nhân lực có chất lượng cao, thì ở đó công tác đảm bảo ATTT sẽ đạt hiệu quả cao. Kết quả điều tra năm 2016 phản ánh là các TC/DN rất chú trọng đến vấn đề này và có sự đầu tư hơn hẳn so với năm 2015 và các năm trước. Tỷ lệ các TC/DN có lãnh đạo phụ trách về ATTT là 62,3% (2015 là 44,4%); có bộ phận chuyên trách về ATTT là 65,6% (2015 là 30,7%); có cán bộ chuyên trách về ATTT là 65,5% (2015 là 46,6%); Bên cạnh đó, số cán bộ bán chuyên trách giảm xuống còn 16,8% (2015 là 39%).
Về chính sách, kinh phí
Ban hành và thực thi chính sách ATTT là một biện pháp quản lý quan trọng đối với hệ thống bảo đảm ATTT. Theo khảo sát năm nay, tỷ lệ các TC/DN xây dựng, ban hành quy chế, quy định về bảo đảm ATTT là 65,8% (2015 là 43,9%), ban hành quy chế, quy định bảo vệ thông tin cá nhân là 57,2% (2015 là 37,9%). Như vậy, năm 2016 các tỷ lệ đều tăng gần 50% so với năm 2015.
Về khả năng nhận biết bị tấn công mạng trong năm 2016, các chỉ số thống kê cũng cho thấy có sự tiến bộ rõ rệt. Khả năng các TC/DN nhận biết đơn vị mình: Có bị tấn công và theo dõi đầy đủ là 18,5%; Có bị tấn công nhưng không rõ số lần là 25,4%; Không bị tấn công 21,8%; Không biết bị tấn công là 39,5% (tỉ lệ năm 2015 lần lượt là 16,7%, 13%, 32,6% và 28,8%).
Hầu hết các kiểu tấn công mạng trong năm 2016 đều tăng so với năm 2015 như: Tấn công phá hoại dữ liệu hay hệ thống 14,6%; Thay đổi diện mạo, nội dung website (trang chủ) 10,1%; Tấn công từ chối dịch vụ (DoS/DDoS) 21,2%; Các kiểu tấn công làm suy giảm hiệu năngmạng (ví dụ dò quét mạng) 16,3%; Xâm nhập hệ thống bởi người trong TC/DN 9%; Sự xâm nhập hệ thống từ những người bên ngoài nhưng nắm rõ bên trong 12,3% (năm 2015 các tỉ lệ tương ứng là 9,2%, 3,4%, 11,3%, 14%, 4,6% và 5,3%).... Chỉ có hình thức tấn công xâm nhập hệ thống từ người bên ngoài vào mạng bên trong là giảm so với năm 2015 ở mức 8,7% so với 17,7%.
Về đối tượng đe dọa tới ATTT đáng lo ngại nhất, thì các TC/DN cho biết: các thông tin về cán bộ đang làm việc tại công ty 9,2%; về cán bộ đã nghỉ việc tại công ty 5,8%. Còn tội phạm máy tính bất hợp pháp 65,3%; Đối thủ cạnh tranh (gián điệp công nghiệp) 13%; Băng nhóm tội phạm máy tính có tổ chức (khủng bố mạng) 8,4%; Doanh nghiệp gia công bên ngoài (cán bộ) 1,2%; Các thế lực đến từ nước ngoài 7,9%.
Hình 2: Những vấn đề khó khăn trong việc đảm bảo ATTT cho hệ thống thông tin
Một vấn đề được nhiều người quan tâm, đó là đầu tư cho ATTT. Năm 2016, tỷ lệ các TC/DN đầu tư từ 0-5% trong tổng chi phí cho đầu tư cho CNTT có 46,5% (2015 là 52,4%); từ 5-9% có 24,7% (2015 là 14,8%); từ 10-15% có 17,8% (2015 là 8,4%)… tỷ lệ khác không chênh lệch nhiều, với 7,2% năm 2016 và 7,8% năm 2015. Các tỷ lệ này cho thấy, TC/DN đã đầu tư nhiều hơn cho vấn đề đảm bảo ATTT.
Các biện pháp đảm bảo ATTT
Về biện pháp quản lý
Xác định rõ trách nhiệm trong quy trình bảo vệ thông tin tới các cá nhân trong tổ chức, đánh giá rủi ro đối với thông tin, đồng thời xây dựng và triển khai các quy trình chuẩn trong bảo vệ thông tin... là những biện pháp quản lý cơ bản trong đảm bảo ATTT. Kết quả khảo sát năm nay cho thấy sự quan tâm nhiều của các TC/DN tới các biện pháp này. Có 60,7% số TC/DN đã có các biện pháp quản lý. Đây là một dấu hiệu quan trọng cho thấy sự chuyển biến từ chỗ chỉ coi trọng các biện pháp kỹ thuật, sang cách tiếp cận một cách tổng thể đối với bài toán đảm bảo ATTT, khi mà quy trình và con người cũng là những yếu tố quan trọng, nhưng trước đây chưa được chú ý thực hiện.
Khi có sự cố ATTT xảy ra, đa số các tổ chức/ doanh nghiệp chỉ xử lý, báo cáo trong nội bộ, mà chưa kịp thời thông báo cho các cơ quan chuyên trách. Vai trò của nhà cung cấp dịch vụ viễn thông ít được chú ý khi xảy ra sự cố. Đó là một vấn đề cần thay đổi vì các nhà cung cấp dịch vụ có lợi thế rất lớn về vị trí kết nối trong mạng, cùng lực lượng nhân sự có thể tham gia xử lý sự cố ATTT. Đây là một vùng trắng mà các nhà cung cấp dịch vụ Internet cần chú ý trong kế hoạch phát triển kinh doanh, đặc biệt là kinh doanh dịch vụ ATTT, bên cạnh các dịch vụ đã khá phổ biến là Trung tâm dữ liệu.
Hình 3: Thống kê tình hình theo dõi các cuộc tấn công mạng
Về các biện pháp kỹ thuật
Về các công nghệ, biện pháp kỹ thuật bảo đảm ATTT cho hệ thống máy chủ, ứng dụng được sử dụng trong các TC/DN tập trung vào các loại hình sau: Bảo mật thiết bị di động 21,4%; Quản lý truy cập 44,1%; Tường lửa cho Cơ sở dữ liệu 32,1%; Hệ thống quản lý chống thất thoát dữ liệu 23,8%; Tường lửa cho ứng dụng web 38%; Phần mềm chống virus 85,1%; Tường lửa 66,5%.
Bên cạnh đó, biện pháp kỹ thuật bảo đảm ATTT cho hệ thống mạng bao gồm: Hệ thống quản lý sự kiện ATTT (Security Incident & Event - SIEM…): 19,1% (2015 là 10,1%); Bảo mật mạng không dây 32,9% (2015 là 31,1%); Kiểm soát truy cập 49,4% (2015 là 28,5%); Bộ lọc chống thư rác (Anti-Spam) 45,4% (2015 là 36,3%); Lọc nội dung Web: 48,7% (2015 là 25,8%); Phần mềm chống virus mức mạng (Anti- Virus) 69,4% (2015 là 66%); Tường lửa (Network Firewall) 63,9% (2015 là 56,8%); Hệ thống phát hiện xâm nhập (IDS/IPS) trong mạng 42,2% (2015 là 26,6%); Hệ thống phòng chống tấn công DoS/DdoS 39,7% (2015 là 19,6%).
Các TC/DN đánh giá về vấn đề khó khăn nhất trong việc bảo đảm ATTT cho hệ thống thông tin như sau: Hệ thống máy tính không được quản lý tốt 34,4%; Quản lý chặt chẽ cấu hình hệ thống mạng 39,3%; Phản ứng nhanh và chính xác khi xảy ra nhữngvụ tấn công máy tính 45,2%; Cập nhật kịp thời những cách thức tấn công hay những những điểm yếu mới xuất hiện 40,2%; Cần thiết áp dụng nguyên tắc quản lý rủi ro (Risk Management principles) 23,3%; Xác định chính xác mức độ ưu tiên của ATTT trong tương quan chung với các vấn đề khác 37,4%; Nâng cao nhận thức cho người sử dụng về bảo mật máy tính 52,3%; Sự thiếu hiểu biết về ATTT trong tổ chức 38,6%; lãnh đạo chưa hỗ trợ đúng mức cần thiết cho ATTT được đánh giá là 32,2%.
Kết luận
Qua các con số phản ánh ở trên, có thể đánh giá tình hình ATTT tại Việt Nam đã được cải thiện nhiều, thể hiện qua Chỉ số ATTT của Việt Nam tăng lên và có xu hướng tăng bền vững. Tuy nhiên, vấn đề ATTT vẫn còn nhiều diễn biến phức tạp, khó lường. Điều này cũng phù hợp với nhận định của các chuyên gia trong Hội thảo Ngày An toàn thông tin Việt Nam năm 2016 về “Kỷ nguyên mới của chiến tranh mạng” và Việt Nam vẫn là một điểm nóng về tấn công mạng.
Để môi trường ATTT tại Việt Nam được phát triển bền vững, lành mạnh hơn nữa, các cơ quan quản lý nhà nước, các tổ chức và cá nhân cần phải nâng cao nhận thức chung và thống nhất hợp tác trong xử lý các tình huống về ATTT. Bên cạnh đó, cần xây dựng cơ chế phối hợp và chia sẻ thông tin giữa các cơ quan, tổ chức và có sự điều phối chung của nhà nước, trong đó, lấy con người làm nguồn lực chính, phát triển công nghệ ATTT phù hợp đặc thù Việt Nam, đẩy mạnh các hoạt động khuyến khích cộng đồng tham gia vào lĩnh vực hoạt động này.