Bảo mật và an toàn thông tin ở Việt Nam - hiện trạng và những vấn đề tổng thể
Cuộc cách mạng tin học vào những thập kỷ cuối của thế kỷ XX đã dẫn đến sự ra đời môi trường trao đổi thông tin mới - hệ thống thông tin điện tử. Hệ thống thông tin điện tử chính là hạ tầng cơ sở kỹ thuật của công cuộc toàn cầu hóa, nó đụng chạm đến tất cả mọi quốc gia và mọi mặt của đời sống chính trị, quốc phòng, an ninh, kinh tế - xã hội. Ngày nay, thật khó hình dung hoạt động của một tổ chức, nhất là các tổ chức thuộc lĩnh vực tài chính, ngân hàng hay các cơ quan nhà nước mà không sử dụng cơ sở dữ liệu điện tử và kỹ thuật tin học bậc cao.
Thế nhưng, bên cạnh sự thuận lợi mà hệ thống thông tin điện tử mang lại là những nguy cơ tiềm ẩn về mặt an toàn. Chỉ xét về góc độ kỹ thuật, các nguy cơ mất an toàn đã hết sức đa dạng. Người ta có thể tiếp cận trực tiếp đối tượng thông qua chương trình do người dùng để đọc hoặc ghi lại tệp thông tin, cài đặt các chương trình gián điệp, xây dựng đường ngầm trong quá trình thiết kế, đưa vào những thay đổi trong các thiết bị bảo vệ thông tin cho phép tiếp cận trái phép hệ thống thông tin kiểu con ngựa thành Tơroa... Sự phát triển nhanh chóng về qui mô, tính phức tạp của các thiết bị truyền, nhận, lưu trữ và xử lý thông tin càng làm tăng mức độ của các mối đe dọa nói trên; vì vậy vấn đề an toàn thông tin càng trở nên cấp bách, và là điều kiện tiên quyết để triển khai các hệ thống thông tin hiện đại.
Ở nhiều nước trên thế giới, nhất là các nước phát triển, vấn đề bảo vệ thông tin, chống lại nguy cơ bị mất cắp theo kênh kỹ thuật đã được đặt ra từ vài thập kỷ nay. Thuật ngữ “An toàn thông tin” đã đi vào vốn từ vựng của xã hội và có chỗ đứng vững chắc bên cạnh những thuật ngữ thông dụng khác. Hệ thống luật pháp ở các nước này đã được xây dựng đồng bộ, được đầu tư nghiên cứu và đã đạt những thành tưụ to lớn trong khoa học công nghệ bảo vệ thông tin, đặc biệt là khoa học công nghệ mật mã. Việc phát minh ra mật mã khóa công khai có thể coi là sự kiện khoa học lớn của thế kỷ XX. “Trên thế giới chưa có sự kiện chính trị, kinh tế nào có ảnh hưởng sâu rộng như mật mã khóa công khai” - John Makhoff đã tuyên bố như vậy trong lễ kỷ niệm 30 năm ngày mật mã khóa công khai ra đời được tổ chức tại Thung lũng Silicon.
Trong những năm qua, Việt Nam đã thực hiện nhiều chương trình trọng điểm về phát triển và ứng dụng công nghệ thông tin (CNTT), nhờ đó mà ngày nay đã xây dựng được hạ tầng công nghệ thông tin và truyền thông (CNTT&TT) có trình độ trung bình tiên tiến trong khu vực, có tốc độ phát triển nhanh và có tên trên bản đồ CNTT thế giới. Gần đây, Quốc hội Việt Nam đã thông qua Luật Giao dịch điện tử, Luật Công nghệ thông tin; Thủ tướng Chính phủ đã phê duyệt các Nghị định về Chứng thực điện tử và chữ kí số, Nghị định về ứng dụng và phát triển CNTT trong các cơ quan nhà nước, Nghị định về nghiên cứu, sản xuất, kinh doanh và sử dụng mật mã bảo vệ thông tin không thuộc phạm vi bí mật Nhà nước; góp phần hình thành môi trường pháp lý cho hoạt động giao dịch điện tử ở Việt Nam.
Công tác bảo mật thông tin đã góp phần quan trọng vào thắng lợi của hai cuộc kháng chiến bảo vệ tổ quốc và giữ gìn an ninh chính trị xã hội. Vì vậy, song song với việc xây dựng hạ tầng thông tin, Việt Nam cũng rất quan tâm đến vấn đề bảo mật. Trong sự nghiệp đổi mới, Bộ Chính trị đã kịp thời ban hành Chỉ thị về đẩy mạnh công tác Cơ yếu trong thời kỳ CNH, HĐH; trong đó không chỉ coi trọng công tác bảo mật trong lĩnh vực an ninh, quốc phòng mà cả trong lĩnh vực kinh tế - xã hội nhằm đảm bảo an toàn cho các tổ chức, doanh nghiệp Việt Nam tham gia vào quá trình hội nhập quốc tế.
Tuy nhiên, thực tiễn an toàn thông tin ở nước ta trong giai đoạn hiện nay, nhất là trong khu vực kinh tế xã hội còn nhiều bất cập. Thống kê gần đây cho thấy các vụ xâm phạm an ninh, bảo mật mạng tin học ngày càng gia tăng; đặc biệt là các vụ tấn công ứng dụng web. Nhiều trang web có tiếng ở Việt Nam rất dễ bị xâm nhập. Theo số liệu điều tra năm 2006, nhiều website của các cơ quan, tổ chức của nhà nước đã bị các harker đột nhập. Một điều cần quan tâm là các website bị tấn công vẫn hoạt động cập nhật dữ liệu bình thường, thậm chí người quản trị không hay biết trong khi nguồn tài nguyên thông tin quan trọng đã bị sao chép. Không những thế, dữ liệu tại các website có thể bị sửa đổi vì mục đích xấu, khiến người truy cập website hiểu sai nội dung thông tin dẫn đến những hậu quả không tốt.
Không chỉ dừng ở việc đột nhập các website, nhiều kẻ tấn công còn chuyển sang những hoạt động trục lợi như tấn công vào hệ thống lưu trữ cước phí Internet của các ISP để xóa cước phí, đánh cắp thông tin của các doanh nghiệp để bán cho đối thủ của họ, ăn cắp mật khẩu của các tài khoản nhằm mục đích biển thủ tiền...
Để có bức tranh đầy đủ hơn, đầu năm 2006, Trung tâm Bảo mật thông tin kinh tế - xã hội của Ban Cơ yếu Chính phủ đã tiến hành khảo sát tại các cơ quan nhà nước và hơn 50 doanh nghiệp lớn. Từ kết quả khảo sát có thể rút ra một số kết luận về hiện trạng công tác bảo mật và an toàn thông tin ở nước ta:
1. Bảo mật và an toàn thông tin đang thật sự cần thiết đối với nhiều cơ quan, tổ chức và doanh nghiệp, đặc biệt trong giai đoạn nước ta ngày càng hòa nhập sâu vào kinh tế thị trường và gia nhập WTO. Tuy nhiên, hoạt động triển khai thực tế không tương xứng với yêu cầu đặt ra, nhiều cơ quan, doanh nghiệp chưa thật sự coi trọng đến vấn đề này. Nguyên nhân là: Thứ nhất, hệ thống CNTT&TT của một số cơ quan, tổ chức chưa thật sự đi vào hoạt động do đó chưa thấy rõ tác hại của việc thiếu biện pháp an toàn và bảo mật; Thứ hai, các cấp lãnh đạo và quản lý do chưa nhận thức được đầy đủ các nguy cơ mất an toàn trên các kênh kỹ thuật trong các hệ thống thông tin hiện đại nên chưa thật sự quan tâm đến vai trò của bảo mật và an toàn thông tin (ATTT).
2. Một số tổ chức, doanh nghiệp đã triển khai giải pháp an toàn và bảo mật song lại thiếu đồng bộ, chắp vá, có nơi chỉ dùng Bức tường lửa hoặc một số chương trình kiểm soát truy nhập đơn giản mà không sử dụng các giải pháp mật mã. Những tổ chức, doanh nghiệp này thường thiếu đội ngũ chuyên gia về ATTT để có thể tư vấn cho các nhà lãnh đạo, quản lý.
3. Những năm gần đây, trong nước đã xuất hiện các tổ chức nghiên cứu áp dụng công nghệ an toàn thông tin. Song nói chung quy mô còn nhỏ, thiếu cơ bản, sản phẩm ATTT phần lớn đều được chuyển giao từ nước ngoài và trong nhiều trường hợp chưa làm chủ được công nghệ, đặc biệt là các giải pháp bảo mật. Hoạt động kinh doanh, xuất nhập khẩu sản phẩm bảo mật còn thiếu kiểm soát từ các cơ quan có thẩm quyền.
4. Nhà nước bước đầu đã xây dựng được cơ sở luật pháp cho hoạt động ATTT, song nhìn chung hệ thống cơ sở pháp lý còn thiếu, nhất là các hướng dẫn và quy định cụ thể cho nhiều lĩnh vực khác nhau. Đặc biệt còn thiếu hệ thống các tiêu chuẩn và quy chuẩn kỹ thuật dẫn đến nhiều khó khăn cho việc quản lý chất lượng sản phẩm, hoạt động xuất nhập khẩu và định hướng cho các nhà cung cấp sản phẩm dịch vụ.
5. Việc tuyên truyền phổ biến về luật pháp và vai trò, vị trí của ATTT, hoạt động nghiên cứu, đào tạo trong lĩnh vực này chưa thật sự được chú trọng.
Để công tác bảo mật và an toàn thông tin ở Việt Nam được đảm bảo, chúng ta cần thực hiện những vấn đề sau:
1. Xây dựng chiến lược và chính sách đảm bảo an toàn thông tin.
Để đẩy mạnh các hoạt động trong lĩnh vực an toàn, an ninh thông tin Nhà nước trước hết cần có chiến lược và chính sách trong lĩnh vực này. Chiến lược ATTT là cơ sở để hình thành chính sách quốc gia trong lĩnh vực đảm bảo ATTT và đưa ra các kiến nghị về xây dựng, hoàn thiện các chương trình luật pháp, khoa học công nghệ, các chương trình mục tiêu về đảm bảo ATTT.
An toàn thông tin được hiểu là trạng thái được bảo vệ của nội dung thông tin và hạ tầng kỹ thuật truyền, nhận, lưu trữ, xử lý thông tin. Trong thời đại ngày nay, thông tin đã trở thành tài sản của quốc gia, của xã hội và cá nhân; đảm bảo ATTT cũng chính là đảm bảo quyền lợi của cá nhân, xã hội và quốc gia trong lĩnh vực thông tin, bởi vậy chiến lược đảm bảo an toàn thông tin cần hướng tới những mục tiêu sau: Đảm bảo lợi ích quốc gia trong lĩnh vực an toàn thông tin ở các khu vực trọng yếu như an ninh, quốc phòng, đối ngoại, các cơ quan chính phủ, các nguồn tài nguyên thông tin quốc gia của Đảng và Nhà nước; đảm bảo quá trình trao đổi thông tin giữa các cơ quan nhà nước và công dân được thông suốt, an toàn; đảm bảo lợi ích của công dân trong lĩnh vực ATTT theo quy định của pháp luật; đảm bảo lợi ích xã hội trong lĩnh vực an toàn thông tin; đảm bảo an toàn hạ tầng thông tin quốc gia, khả năng đáp ứng của Nhà nước đối với các sự cố của hạ tầng thông tin.
Bên cạnh đó, chính sách của nhà nước về an toàn thông tin cần hướng tới: Xây dựng được chính sách quốc gia nhất quán về công nghệ ATTT, đảm bảo hài hòa lợi ích của công dân, xã hội và quốc gia, khuyến khích, hỗ trợ phát triển công nghiệp ATTT trong nước và hỗ trợ các doanh nghiệp hoạt động trong lĩnh vực an toàn thông tin; khuyến khích các hoạt động nghiên cứu khoa học và phát triển công nghệ trong lĩnh vực đảm bảo ATTT; khuyến khích và hỗ trợ đào tạo nguồn nhân lực, phát triển hệ thống đào tạo để đáp ứng nhu cầu đào tạo nhân lực trong khu vực nhà nước cũng như xã hội; xây dựng các chính sách kiểm soát nhà nước về an toàn thông tin, hỗ trợ việc xây dựng, phát triển hệ thống kiểm định sản phẩm bảo mật và an toàn thông tin; Xây dựng chính sách hợp tác quốc tế, chuyển giao công nghệ.
2. Hoàn thiện hệ thống pháp luật.
Nhờ những nỗ lực của các cơ quan chính phủ, các bộ, ngành liên quan, trong ba năm trở lại đây các vấn đề pháp lý về an toàn thông tin đã được giải quyết cơ bản ở cấp độ Luật và cấp Nghị định, trong đó đã đề cập các vấn đề cơ bản sau:
- Quy định về giá trị pháp lý của chữ ký số, trong đó có chữ ký số nước ngoài. Đây là điều có ý nghĩa hết sức quan trọng bởi chữ ký số là nền tảng để lưu hành văn bản điện tử mang tính pháp lý, là cơ sở đầu tiên để thực hiện an toàn giao dịch điện tử.
- Quy định về dịch vụ và quản lý dịch vụ chứng thực chữ ký số, theo đó Bộ Thông tin và Truyền thông là cơ quan chịu trách nhiệm quản lý hoạt động chứng thực chữ ký số trong khu vực công cộng, Ban Cơ yếu Chính phủ chịu trách nhiệm quản lý và dịch vụ chứng thực chữ ký số chuyên dùng phục vụ các cơ quan thuộc hệ thống chính trị.
- Quy định về đảm bảo an toàn thông tin thuộc phạm vi bí mật nhà nước: Việc đảm bảo an toàn thông tin thuộc bí mật nhà nước là yêu cầu bắt buộc trong quá trình thiết kế xây dựng, vận hành và nâng cấp hạ tầng kỹ thuật.
- Quy định về quyền của tổ chức, cá nhân được bảo vệ bí mật thông tin: Các cá nhân, tổ chức khi tham gia giao dịch điện tử (GDĐT) có quyền lựa chọn các biện pháp bảo đảm an ninh, an toàn phù hợp với quy định của pháp luật và không được thực hiện bất kỳ hành vi nào nhằm cản trở hoặc gây phương hại đến việc bảo đảm an ninh, an toàn trong GDĐT; không được thực hiện bất kỳ hành vi nào gây phương hại đến sự toàn vẹn của thông điệp dữ liệu của cơ quan, tổ chức, cá nhân khác; cơ quan, tổ chức, cá nhân không được sử dụng, cung cấp hoặc tiết lộ thông tin về bí mật đời tư hoặc thông tin của cơ quan, tổ chức, cá nhân khác mà mình tiếp cận hoặc kiểm soát được trong GDĐT nếu không được sự đồng ý của họ.
- Quy định về Tội phạm máy tính gồm: Tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín của người khác; tội tạo ra và lan truyền, phát tán các chương trình virus tin học; tội vi phạm các quy định về vận hành, khai thác và sử dụng mạng máy tính điện tử; tội sử dụng trái phép thông tin trên mạng và trong máy tính.
- Quy định về các nhóm hành vi phạm pháp liên quan đến an toàn, an ninh thông tin trên môi trường mạng, bao gồm: Nhóm hành vi vi phạm pháp luật có tính chất chống lại con người; nhóm hành vi xâm phạm tài sản của tổ chức, cá nhân; nhóm hành vi vi phạm pháp luật có tính chất chống lại Chính phủ.
- Xác định hệ thống các cơ quan, tổ chức chuyên trách trong hoạt động đảm bảo và quản lý ATTT, theo đó Bộ Thông tin và Truyền thông, Bộ Công an, Ban Cơ yếu Chính phủ là những chủ thể cơ bản; xác định trách nhiệm của các Bộ, ngành và các Ủy ban nhân dân tỉnh, thành.
- Quy định về nghiên cứu, sản xuất, kinh doanh và sử dụng mật mã trong khu vực không thuộc phạm vi bí mật nhà nước: Mật mã là một trong những phương tiện cơ bản và quan trọng nhất để bảo mật và an toàn thông tin, Ban Cơ yếu Chính phủ là cơ quan được giao nhiệm vụ sử dụng mật mã bảo vệ thông tin thuộc phạm vi bí mật nhà nước và quản lý mật mã trong lĩnh vực kinh tế - xã hội.
Bước tiếp theo trong việc xây dựng hệ thống luật pháp về an toàn thông tin là xây dựng các văn bản nhằm cụ thể hóa các Luật và Nghị định nêu trên, liên quan đến hoạt động xuất nhập khẩu các thiết bị an toàn thông tin, các sản phẩm mật mã; hoạt động đánh giá và cấp chứng nhận chất lượng cho sản phẩm bảo mật và ATTT; hệ thống các Tiêu chuẩn và Quy chuẩn kỹ thuật trong lĩnh vực mật mã và an toàn thông tin làm cơ sở cho các hoạt động quản lý chất lượng.
Đối với các tổ chức, doanh nghiệp, song song với việc triển khai thực hiện các quy định của luật pháp, cần xây dựng các chính sách, quy định đảm bảo an toàn thông tin, áp dụng quy trình an toàn dữ liệu, quy trình quản lý an toàn hạ tầng kỹ thuật, tổ chức hướng dẫn và kiểm tra định kỳ việc thực thi các quy định, các tiêu chuẩn, quy chuẩn kỹ thuật đã được ban hành.
3. Các biện pháp về nghiệp vụ, khoa học và công nghệ
Để đảm bảo an toàn thông tin, chúng ta cần triển khai cùng một lúc nhiều biện pháp về: Nghiệp vụ sử dụng (được quy định bởi hệ thống pháp luật, nghị định, quy chế…); an toàn hệ thống về cấu trúc (về mặt thiết kế, mối liên quan, quan hệ giữa các bộ phận, công nghệ áp dụng đảm bảo hệ thống hoạt động liên tục, không bị ngừng trệ khi có sự cố xảy ra hoặc các sự cố xảy ra chỉ mang tính cục bộ); an toàn hệ thống dựa trên các kỹ thuật nghiệp vụ (ổn định, chống rò rỉ thông tin, chống bức xạ, chống virus, nhiễu…); đảm bảo an ninh thông tin của hệ thống, phòng chống mất mát dữ liệu bằng các biện pháp khoa học, công nghệ kỹ thuật nghiệp vụ mật mã...
Việc đảm bảo an toàn hệ thống thông tin bằng các biện pháp khoa học - công nghệ mật mã cần tập trung giải quyết các vấn đề chính sau: An toàn truy cập hệ thống thông tin; bảo mật dữ liệu trên đường truyền (dữ liệu được trao đổi); bảo mật dữ liệu tại chỗ (dữ liệu lưu trữ).
Giải quyết vấn đề này cần phải thực hiện đồng bộ các giải pháp: đảm bảo xác thực người sử dụng; xây dựng, thiết lập giao thức an toàn trong thiết lập kết nối, quản lý, phân phối khóa; xây dựng các thuật toán mật mã an toàn (mã hóa, bảo mật dữ liệu); đảm bảo tính toàn vẹn dữ liệu, chống chối bỏ; quản lý thống nhất về cấp phép, phân quyền, phân cấp sử dụng mật mã trong toàn bộ hệ thống....
Để triển khai rộng rãi các ứng dụng ATTT bằng mật mã cần xây dựng Cơ sở hạ tầng khóa công khai. Mỗi một mạng liên lạc cần xây dựng một hoặc một số cơ sở hạ tầng khóa công khai tùy vào quy mô của mạng. Cơ sở hạ tầng khóa công khai là tổ hợp các giải pháp tổ chức - công nghệ và các phương tiện dưới dạng phần mềm, phần cứng cần thiết để trển khai sử dụng công nghệ khóa công khai.
Cơ sở hạ tầng khóa công khai ở quy mô quốc gia được gọi là Hạ tầng khóa công khai quốc gia. Đó là nền tảng tổ chức – công nghệ nhằm tạo ra các phương tiện và cơ sở luật pháp cho hoạt động trao đổi thông tin của các cơ quan nhà nước, các tổ chức và doanh nghiệp. Hạ tầng khóa công khai quốc gia có ý nghĩa hết sức quan trọng đối với an ninh quốc gia nên vấn đề an toàn của chúng cần được coi trọng. Ngoài việc triển khai các giải pháp an toàn logic chống lại các cuộc xâm nhập phá hoại dữ liệu, đánh cắp thông tin, cơ sở hạ tầng khóa công khai cần được bảo vệ vững chắc về mặt vật lý, môi trường. Ở Việt Nam, cơ sở hạ tầng khóa công khai quốc gia dự kiến được xây dựng bao gồm hai thành phần độc lập tương đối: Cơ sở hạ tầng khóa công khai chuyên dùng phục vụ các cơ quan thuộc hệ thống chính trị do Ban Cơ yếu Chính phủ đảm nhiệm và Cơ sở hạ tầng khóa công khai phục vụ khu vực công cộng do Bộ Thông tin và Truyền thông chủ trì quản lý.