An toàn thông tin: Thách thức và giải pháp đối với Kiểm toán nhà nước

Quang cảnh buổi nghiệm thu. Ảnh: N.Ly

Sáng 04/6, Hội đồng khoa học KTNN đã tổ chức nghiệm thu Đề tài nghiên cứu khoa học cấp cơ sở “Giải pháp nâng cao an toàn thông tin 4 lớp tại Kiểm toán nhà nước” do CN. Trần Hoàng Minh - Cục Công nghệ thông tin làm Chủ nhiệm.

ThS. Vương Nguyên Lượng - Giám đốc Trường Đào tạo và Bồi dưỡng nghiệp vụ kiểm toán làm Chủ tịch Hội đồng nghiệm thu; cùng tham dự có các thành viên Hội đồng và Ban Đề tài.

Theo CN. Trần Hoàng Minh, mô hình ATTT theo phương thức 4 lớp là cách tiếp cận bảo đảm an toàn hệ thống thông tin mang tính tổng thể, được Việt Nam chính thức áp dụng trong quản lý nhà nước nhằm nâng cao năng lực phòng ngừa, phát hiện và ứng phó với các nguy cơ mất an toàn thông tin mạng.

Trong đó, Lớp thứ nhất là lực lượng bảo đảm an toàn thông tin tại chỗ, giữ vai trò nền tảng trong toàn bộ cấu trúc bảo vệ hệ thống; Lớp thứ hai là tổ chức, thuê dịch vụ giám sát, bảo vệ an toàn thông tin chuyên nghiệp, có chức năng hỗ trợ hoặc thay thế một phần năng lực giám sát, ứng cứu sự cố của lực lượng tại chỗ; Lớp thứ ba là tổ chức thuê dịch vụ của doanh nghiệp độc lập thực hiện công tác kiểm tra, đánh giá an toàn thông tin mạng một cách định kỳ hoặc đột xuất; Lớp thứ tư là kết nối, chia sẻ thông tin với hệ thống giám sát an toàn không gian mạng ở cấp quốc gia.

Giám đốc Trường Đào tạo và Bồi dưỡng nghiệp vụ kiểm toán Vương Nguyên Lượng - Chủ tịch Hội đồng nghiệm thu - đánh giá, Đề tài có ý nghĩa thực tiễn, phù hợp với bối cảnh toàn Ngành đang đẩy mạnh ứng dụng công nghệ thông tin. Ảnh: N.Ly

Nhìn chung, mô hình ATTT 4 lớp là một cấu trúc bảo vệ mang tính hệ thống, kết hợp chặt chẽ giữa lực lượng tại chỗ, dịch vụ chuyên nghiệp, cơ chế đánh giá độc lập và sự điều phối ở cấp quốc gia. Việc triển khai mô hình này không chỉ giúp nâng cao năng lực bảo vệ hệ thống thông tin của từng cơ quan, tổ chức, mà còn tạo nền tảng cho việc bảo đảm an toàn, an ninh không gian mạng một cách đồng bộ, hiệu quả và bền vững trong quá trình chuyển đổi số.

Theo định hướng Chiến lược phát triển Công nghệ thông tin (CNTT) của KTNN, dữ liệu số là trung tâm và là tài sản quan trọng, phải được phân ra nhiều mức theo yêu cầu khai thác của các nhóm đối tượng khác nhau, kéo theo các mức độ an toàn, bảo mật dữ liệu khác nhau. Vì vậy, các giải pháp đảm bảo an ninh, ATTT của KTNN cũng xây dựng theo hướng trọng tâm là bảo vệ dữ liệu. Đồng thời, đảm bảo tuân thủ quy định của Luật An toàn thông tin mạng, Luật An ninh mạng, Nghị định số 85/2016/NĐ-CP và các văn bản hướng dẫn đi kèm.

CN. Trần Hoàng Minh - Cục Công nghệ thông tin - trình bày kết quả nghiên cứu. Ảnh: N.Ly

Tuy nhiên, dù đã được chú trọng, quan tâm, giải pháp ATTT 4 lớp tại KTNN vẫn tồn tại một số những khó khăn, thách thức, như: Thiếu nguồn nhân lực được đào tạo chuyên sâu trong lĩnh vực ATTT; việc đánh giá định kỳ vẫn chưa đầy đủ và chuyên sâu cho các ứng dụng phục vụ công tác điều hành, quản lý và hỗ trợ hoạt động kiểm toán; thiếu độ phủ rộng để đảm bảo toàn bộ cho hệ thống thông tin, người dùng đầu cuối của Ngành.

Những hạn chế này có thể dẫn đến nguy cơ tin tặc tấn công vào hệ thống thông tin, đánh cắp hoặc mã hóa những dữ liệu quan trọng của hệ thống thông tin, người dùng, gây ảnh hưởng trực tiếp đến hình ảnh, dữ liệu của KTNN nói riêng và Việt Nam nói chung.

Nhận diện những điểm còn hạn chế, bất cập, Nhóm nghiêm cứu cho rằng, việc triển khai giải pháp ATTT theo mô hình 4 lớp tại KTNN chịu sự tác động tổng hợp của nhiều nhóm nhân tố khác nhau, bao gồm: Nguồn lực con người, công nghệ và hạ tầng thông tin, quy trình và quy chế quản lý, điều kiện tài chính và thị trường dịch vụ ATTT, khung pháp lý và yêu cầu tuân thủ. Các nhân tố này có mối quan hệ chặt chẽ, tác động qua lại lẫn nhau và cùng quyết định hiệu quả thực chất của mô hình ATTT 4 lớp.

Đặc biệt, nguồn lực con người giữ vai trò trung tâm, công nghệ và hạ tầng thông tin đóng vai trò nền tảng, quy trình và tổ chức thực hiện là yếu tố bảo đảm vận hành, tài chính là điều kiện duy trì, còn pháp lý và tiêu chuẩn là khung định hướng và ràng buộc. Đối với KTNN, việc nhận diện đầy đủ và đánh giá đúng mức các nhân tố ảnh hưởng này là cơ sở quan trọng để đề xuất các giải pháp nâng cao hiệu quả triển khai trong thời gian tới.

Phó Cục trưởng Cục Công nghệ thông tin Nguyễn Văn Quang - Phản biện 1 - đề nghị Ban Đề tài tăng lượng hóa, phân tích sâu hơn dựa trên các minh chứng sát thực tiễn của KTNN. Ảnh: N.Ly

Tại buổi nghiệm thu, các thành viên Hội đồng đánh giá, Đề tài có ý nghĩa lý luận và thực tiễn rõ nét trong bối cảnh KTNN đang đẩy mạnh chuyển đổi số và tăng cường ATTT cho các hệ thống thông tin phục vụ hoạt động kiểm toán. Nội dung nghiên cứu đã hệ thống hóa được các vấn đề lý luận liên quan đến mô hình ATTT 4 lớp, phân tích tương đối đầy đủ thực trạng triển khai tại KTNN và chỉ ra những hạn chế về nhân lực, hạ tầng kỹ thuật, công tác giám sát, kiểm tra đánh giá và cơ chế phối hợp. Từ đó, đề xuất các nhóm giải pháp nhằm nâng cao hiệu quả triển khai mô hình ATTT 4 lớp phù hợp với điều kiện thực tế của KTNN trong giai đoạn hiện nay.

Để hoàn thiện, tăng tính khả thi khi áp dụng trong thực tiễn, Hội đồng nghiệm thu khuyến nghị Ban Đề tài bổ sung bảng chỉ tiêu đo lường cụ thể (KPI) cho từng lớp trong mô hình ATTT 4 lớp tại KTNN, cụ thể: tỷ lệ hệ thống được giám sát 24/7, thời gian phát hiện - ứng cứu sự cố (MTTD/MTTR), mức độ đáp ứng tiêu chí của Nghị định số 85/2016/NĐ-CP, mức độ kết nối và chia sẻ log với VNCERT… làm cơ sở đánh giá hiệu quả trước và sau triển khai giải pháp.

TS. Lê Anh Vũ - Cục CNTT khuyến nghị Ban Đề tài bổ sung bảng chỉ tiêu đo lường cụ thể cho từng lớp trong mô hình ATTT 4 lớp tại KTNN. Ảnh: N.Ly

Bên cạnh đó, làm rõ hơn phương án tài chính - kinh tế cho các giải pháp công nghệ ưu tiên (mở rộng EDR, nâng cấp SIEM/Splunk, triển khai SOAR, Threat Intelligence), phân tầng theo lộ trình ngắn hạn - trung hạn - dài hạn đã nêu, kèm ví dụ minh họa triển khai tại Trung tâm dữ liệu hoặc hệ thống nghiệp vụ trọng yếu của KTNN.

Phát biểu kết luận, ThS. Vương Nguyên Lượng - Chủ tịch Hội đồng nghiệm thu - đánh giá, Đề tài có ý nghĩa thực tiễn, phù hợp với bối cảnh toàn Ngành đang đẩy mạnh ứng dụng công nghệ thông tin, kết nối, liên thông dữ liệu quốc gia và tăng cường an ninh mạng, ATTT.

Chủ tịch Hội đồng nghiệm thu đề nghị Ban Đề tài tiếp thu tối đa các ý kiến của Hội đồng nghiệm thu, trong đó lưu ý: Điều chỉnh lại kết cấu, cân đối nội dung từng chương; các định nghĩa cần rõ ràng; tăng lượng hóa, phân tích sâu hơn dựa trên các mô hình, dẫn chứng; minh chứng sát vào thực tiễn của KTNN.

Đối với chương 2, phần kiến nghị và giải pháp là trọng tâm của Đề tài, vì vậy, cần tập trung vào ATTT, đảm bảo mang tính khả thi. Các giải pháp, kiến nghị có thể mở rộng, vượt qua các quy định hiện hành của KTNN, lường trước các rủi ro có thể phát sinh trong tương lại, bởi công nghệ thông tin luôn phát triển vượt xa cơ chế sẵn có - ThS. Vương Nguyên Lượng nhấn mạnh.

Hội đồng nghiệm thu đánh giá Đề tài xếp loại Khá./.