UBND Thành phố Hải Phòng vừa có văn bản yêu cầu các cơ quan, đơn vị trực thuộc không được dùng máy tính Lenovo do nước ngoài sản xuất vì lý do an toàn, an ninh mạng sau khi Bộ Công an thông báo về việc nhiều thiết bị có cài sẵn phần mềm với những đặc điểm giống các phần mềm gián điệp. Thông tin này làm dấy lên lo ngại về việc mất an toàn thông tin tại các cơ quan quản lý Nhà nước.
Trao đổi với VnExpress, ông Nguyễn Thanh Hải - Cục trưởng Cục An toàn thông tin (Bộ Thông tin & Truyền thông) cho biết hiện Việt Nam chưa có văn bản chính thức nào đề cập đến những quy chuẩn để đảm bảo an toàn thông tin trong lĩnh vực này.
- Văn bản của Hải Phòng vừa qua khiến dư luận chú ý đến vấn đề bảo mật thông tin tại các cơ quan Nhà nước. Thực thế việc này đang được quy định ra sao thưa ông?
- Việt Nam hiện chưa có văn bản nào nhằm hệ thống chính thức những quy chuẩn để đảm bảo an toàn thông tin trong các cơ quan Nhà nước. Đây cũng chính là lỗ hổng về mặt pháp lý. Do đó tôi cho rằng, chúng ta phải bù đắp lại trong thời gian tới.
Hiện nay, tùy từng cơ quan có những quy định khác nhau, chưa có văn bản thống nhất các biện pháp đảm bảo an toàn thông tin. Trong khi đó, việc nhiều cơ quan vừa kết nối mạng chuyện dùng, vừa kết nối mạng Internet với rất nhiều cổng. Như vậy thì không làm sao đảm bao an toàn được, cũng như một ngôi nhà nhiều cổng thì rất khó kiểm soát.
Cục trưởng Cục An toàn Thông tin (Bộ Thông tin & Truyền Thông) cho biết hiện Việt Nam chưa có quy chuẩn về an toàn thông tin để áp dụng trong các cơ quan nhà nước.
- Còn việc nhập khẩu các thiết bị máy móc, máy tính để phục vụ trong các cơ quan Nhà nước thì hiện được kiểm soát như thế nào?
- Nếu yêu cầu các cơ quan, đơn vị chỉ được nhập sản phẩm của hãng công nghệ nào đó là vi phạm Luật Đấu thầu. Do đó, về cơ bản, hiện các loại máy móc khi nhập về đều áp dụng tiêu chuẩn quốc tế với các thông số kỹ thuật cụ thể. Đối với máy tính, hiện nay chuẩn quản lý về an toàn thông tin trên thế giới đã công bố là ISO 2001, trong đó có 133 yêu cầu từ thiết bị, quản lý vận hành, cách kiểm soát, người sử dụng…
Tuy nhiên, đó là số lượng yêu cầu rất lớn. Nếu áp dụng tất cả các yêu cầu này đối với mọi máy móc nhập về của các cơ quan Nhà nước thì sẽ rất tốn kém, lãng phí. Mỗi quốc gia, đơn vị chỉ lựa chọn một số tiêu chí để áp dụng một cách phù hợp, chế biến, biên tập vào thực tế từng nước. Ví dụ một số cơ quan tại Mỹ chỉ chọn 17 yêu cầu trong chuẩn ISO 2001. Và Việt Nam cũng đang trong giai đoạn xây dựng bộ tiêu chuẩn đó. Tuy nhiên, là tiêu chuẩn nên không bắt buộc các đơn vị phải áp dụng vì không có chế tài. Điều quan trọng là phải có những văn bản mang tính yêu cầu bắt buộc thì mới đảm bảo được sự đồng bộ.
- Ông đánh giá như thế nào mức độ an toàn thông tin tại các cơ quan Nhà nước hiện nay?
- Các thiết bị như máy tính hiện đều không do Việt Nam sản xuất. Từ phần cứng đến phần mềm cơ bản hầu như đều do nước ngoài sản xuất và cài đặt. Những sản phẩm công nghệ này cả thế giới đang dùng, chứ không riêng Việt Nam. Hầu hết tất cả những trang thiết bị đó đều có cửa hậu, gửi dữ liệu về nhà sản xuất, cung cấp dịch vụ, chỉ có điều các dữ liệu đó được sử dụng vào mục đích tốt hay không tốt mà thôi.
Có những đơn vị dùng dữ liệu đó đó để phục vụ việc cập nhật, nâng cấp sản phẩm, dịch vụ. Tuy nhiên cũng sản phẩm đó nếu được dùng vào việc khác, với mục đích cá nhân không tốt thì được coi là xấu. Điều đó phải được đánh giá dựa trên việc nhà sản xuất sử dụng dữ liệu đó vào mục đích gì và có vi phạm pháp luật hay không.
Dẫn chứng điều đó tôi muốn nói rằng, tất cả trang thiết bị, máy móc của các nhà cung cấp trên toàn cầu đều tiềm ẩn những nguy cơ bị mất an toàn thông tin. Và một khi đã hội nhập, chúng ta phải chấp nhận với những chuyện như vậy. Điều quan trọng là làm thế nào để đối phó, hạn chế với tình trạng trên.
- Các nước khác làm như thế nào để đảm bảo an toàn thông tin tại các cơ quan này?
- Tôi lấy ví dụ ở một quốc gia rất phát triển về công nghệ như Nhật Bản, một số cơ quan quản lý còn bịt tất cả cổng USB, việc kết nối internet cũng rất hạn chế để đảm bảo an ninh mạng. Toàn bộ hệ thống của Chính phủ chạy trong một mạng riêng. Sau đó chỉ có vài cổng kết nối internet thôi. Ở những cổng kết nối đó sẽ được chặn lại, kiểm tra thông tin ra và vào. Làm như vậy rõ ràng an toàn hơn rất nhiều, chứ máy tính nào cũng kết nối ra thì làm sao mà kiểm soát được.
Việt Nam phải lường trước những khả năng đó để có biện pháp quản lý, đưa ra các quy định để hạn chế tối đa sự mất an toàn thông tin. Tôi cho rằng cơ quan quản lý cũng như doanh nghiệp trước mắt nên ban hành các quy trình, thủ tục để đảm bảo an toàn thông tin.
- Ông đánh giá như thế nào về khả năng áp dụng các biện pháp phòng ngừa từ xa như kiểm định, đánh giá các sản phẩm khi nhập khẩu tại Việt Nam để bảo đảm an toàn thông tin?
- Quy định đó sau này chắc chắn sẽ phải xây dựng. Tuy nhiên muốn tiến hành kiểm định phải có tiêu chuẩn rõ ràng để không làm nảy sinh tiêu cực trong quá trình kiểm định.
Hiện Cục An toàn Thông tin đang trình Bộ để thành lập ban soạn thảo hai nghị định liên quan đến vấn đề này, hướng dẫn một số nội dung trong Luật An toàn Thông tin vừa được thông qua và sẽ có hiệu lực từ 1-7-2016. Theo yêu cầu của Văn phòng Chính phủ trong năm 2016, Bộ phải trình 2 dự thảo về Nghị định bảo vệ theo cấp độ an toàn thông tin và Nghị định quy định chi tiết về kinh doanh sản phẩm dịch vụ an toàn thông tin.
Theo một báo cáo của Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), tính từ 21-12-2014 tới 21-12-2015, đơn vị này đã ghi nhận được tổng số 31.585 sự cố an ninh thông tin tại Việt Nam, tăng mạnh so với những năm trước đó. Trong đó, có hơn một nửa là sự cố cài mã độc.
Khảo sát của Hiệp hội An toàn thông tin Việt Nam (VNISA) cho thấy, chỉ số an toàn thông tin của Việt Nam đạt 46,4%, tăng 7,4% so với năm 2014 song vẫn ở dưới mức trung bình 50% và còn sự cách biệt với các nước như Hàn Quốc (hơn 60%)…
Bình luận (0)