Hướng đi nào để đảm bảo an ninh dữ liệu trong kỷ nguyên mới của Việt Nam
Chuyển đổi số gắn bó mật thiết với nhiều lĩnh vực trong đó dữ liệu là yếu tố quan trọng được ví như tài sản quốc gia; bảo mật dữ liệu có ý nghĩa tương tự với bảo vệ chủ quyền lãnh thổ.
Tại buổi Tọa đàm với chủ đề “Bảo mật dữ liệu và an ninh mạng trong kỷ nguyên vươn mình của dân tộc” diễn ra ngày 25/9 tại Báo Nhân Dân, các chuyên gia đã đưa ra những rủi ro cùng các khuyến nghị trong công tác bảo vệ dữ liệu, bảo vệ an ninh mạng tại Việt Nam.
Bảo mật dữ liệu có ý nghĩa tương tự như bảo vệ chủ quyền lãnh thổ
Tại Tọa đàm, ông Phạm Đại Dương - Ủy viên Trung ương Đảng, Phó Trưởng Ban Chính sách, Chiến lược Trung ương, cho biết ngày nay chuyển đổi số đã hiện diện ở mọi nơi, trở thành xu thế tất yếu của thời đại. Chuyển đổi số gắn bó mật thiết với nhiều lĩnh vực như chính phủ số, kinh tế số,… Trong đó, dữ liệu là yếu tố rất quan trọng, được ví như tài sản quốc gia.
Ông Phạm Đại Dương nhấn mạnh bảo mật dữ liệu có ý nghĩa tương tự với bảo vệ chủ quyền lãnh thổ trên biển và đất liền. Trung ương luôn coi trọng bảo vệ chủ quyền trên không gian mạng, coi đây là nhiệm vụ xuyên suốt, không thể tách rời trong bảo đảm an ninh quốc gia.
Ông Phạm Đại Dương - Ủy viên Trung ương Đảng, Phó Trưởng Ban Chính sách, Chiến lược Trung ương. (Ảnh: PV/Vietnam+)
"Dữ liệu được xem là tài sản chiến lược quốc gia, do vậy, chúng ta cần có những chiến lược để bảo đảm an ninh dữ liệu, an ninh mạng. Quan điểm của Đảng, Nhà nước trong bảo đảm an ninh mạng, an ninh dữ liệu là trong hoạch định chính sách, cần chuyển từ tư duy phòng thủ bị động sang chủ động và tích cực nhận diện sớm những rủi ro và chủ động các biện pháp."
Ông Dương cho biết đây là yếu tố rất quan trọng trong bảo vệ an ninh dữ liệu, đồng thời là trách nhiệm không chỉ của các cơ quan nhà nước, mà còn của doanh nghiệp và người dân - những chủ thể trực tiếp sử dụng, khai thác dữ liệu. "Nếu trước đây pháp luật mới dừng ở mức phòng ngừa, thì với sự phát triển nhanh chóng của công nghệ hiện nay, cần nhấn mạnh vai trò dẫn dắt, chủ động định hướng."
Ông Ngô Tuấn Anh - Trưởng Ban An ninh dữ liệu, Hiệp hội Dữ liệu Quốc gia (Bộ Công an), chia sẻ dữ liệu là thành phần quan trọng nhất trong hệ thống. Nhiều sự cố lộ lọt xuất phát từ những lỗ hổng rất cơ bản, chủ yếu từ cấu hình, lỗ hổng liên quan lưu trữ và liên quan đến back up.
Ông Ngô Tuấn Anh - Trưởng Ban An ninh dữ liệu, Hiệp hội Dữ liệu Quốc gia. (Ảnh: PV/Vietnam+)
"Trước hết là vấn đề cấu hình. Chúng ta hình dung dữ liệu nằm trong một "ngôi nhà" nhưng lại không khóa cẩn thận. Có hệ thống chứa thông tin rất quan trọng nhưng lại dùng mật khẩu yếu, cấu hình mặc định hoặc để tiếp xúc trực tiếp với Internet. Khi một dịch vụ được đưa lên Internet, sau vài phút sẽ có các công cụ quét và khai thác tự động trên toàn cầu. Đó là lý do nhiều hệ thống, chỉ cần sơ hở nhỏ là bị truy cập trái phép," ông Tuấn Anh cho biết.
Một rủi ro nữa theo ông Ngô Tuấn Anh là tình trạng lưu trữ tràn lan. Nhiều đơn vị lưu giữ quá nhiều biểu mẫu, dữ liệu không cần thiết, dẫn tới chi phí lưu trữ tăng và mở rộng bề mặt rủi ro. Khi hệ thống lưu trữ bị xâm phạm, toàn bộ khối dữ liệu có thể bị lộ. Trong bối cảnh pháp luật về bảo vệ dữ liệu cá nhân vừa được hoàn thiện, đơn vị lưu trữ sẽ phải chịu trách nhiệm pháp lý khi xảy ra rủi ro.
Thực tế, theo ông Tuấn Anh không có hệ thống nào bảo đảm an toàn 100%. Các khảo sát cho thấy, nếu kẻ xấu có động cơ tấn công, tỷ lệ thành công là rất cao khi hệ thống có điểm yếu. Vì vậy, biện pháp phòng thủ đa lớp là cần thiết, trong đó sao lưu (backup) được coi là một trong những yếu tố sống còn.
Tại tọa đàm, ông Nguyễn Lê Thành - Nhà sáng lập, Chủ tịch điều hành Công ty bảo mật Verichains, chia sẻ thông thường, các hệ thống thường bị tấn công bằng những điểm yếu, có thể do hệ thống đã cũ quá hoặc sơ suất trong cấu hình, sai sót trong việc bảo vệ. Đôi khi, điểm yếu này xuất phát từ việc phân quyền sai, sai sót từ người dùng hoặc sai sót quản trị hệ thống.
Các đối tượng khai thác lỗ hổng của hệ thống quản lý dữ liệu sẽ tìm kiếm những lỗi sai, điểm yếu này để tấn công trước. Nếu các yếu tố của hệ thống này đã được xây dựng và kiểm soát tốt, họ sẽ tiếp tục tìm kiếm ở những điểm yếu khó bảo vệ hơn.
Lúc này, người dùng và quản trị viên sẽ trở thành mục tiêu của các đối tượng tấn công. Tùy vào năng lực, nhận thức về bảo mật cá nhân mà mỗi người có khả năng quản lý bảo vệ, bảo mật thông tin riêng.
Một vấn đề nữa đến từ hiện tượng có những đối tượng, công ty lừa đảo dưới hình thức tuyển dụng nhân sự bán thời gian, tuyển cộng tác viên. Sau một quãng thời gian gia nhập, các đối tượng này sẽ xâm nhập vào hệ thống thông tin của người dùng và người dùng sẽ bị nhiễm mã độc mà không hề hay biết. "Đã từng có trường hợp không ít người nộp đơn xin làm việc tại một tổ chức, sau một thời gian công tác thì dữ liệu cá nhân của họ đã bị tấn công," ông Thành tiết lộ.
Cuối cùng theo ông Thành, các đối tượng, tổ chức xâm nhập hệ thống dữ liệu có thể tấn công từ bên thứ ba. Đây là các bên đối tác thường cung cấp những sản phẩm dịch vụ, giải pháp liên quan tới hệ thống. Để xây dựng một hệ thống thông tin, chúng ta cần sử dụng công nghệ do nhiều bên cung cấp và đôi khi không thể làm chủ, kiểm soát toàn bộ. Bất kỳ bên thứ ba nào cũng có thể sơ suất và đây là cơ hội cho các đối tượng trên tấn công.
Ông Nguyễn Lê Thành - Nhà sáng lập, Chủ tịch điều hành Công ty bảo mật Verichains. (Ảnh: PV/Vietnam+)
Thực tế theo chuyên gia này, tình trạng tấn công từ bên thứ ba khá nhiều và hiệu quả hơn là tấn công từ người dùng cũng như tấn công trực tiếp lỗ hổng của hệ thống.
Điều này cho thấy việc tự chủ công nghệ để giảm lệ thuộc vào các bên thứ ba vô cùng quan trọng. Thế nhưng, làm được điều đó thì không dễ. Bởi xây dựng một hệ thống đòi nhiều công đoạn, cũng như sự tham gia của nhiều thành phần khác nhau và rất khó để chúng ta tự mình xây dựng toàn bộ.
Ông Thành cho rằng cần xác định không có một hệ thống nào an toàn tuyệt đối. "Hiện tại, đa số các đơn vị tấn công an ninh mạng hiện đại được tổ chức và hoạt động rất bài bản. Họ có động lực, mục tiêu và nguồn tài chính dồi dào. Do đó, chúng ta cần tư duy khác đi, phải xác định trong cả hệ thống thông tin thì đâu là "tài sản" quan trọng, cần thiết nhất. Từ đây, sử dụng thêm các biện pháp khác xoay quanh việc bảo vệ để trong trường hợp có sự cố xảy ra thì dữ liệu thất thoát không nhiều, lượng thông tin mất đi không quá giá trị và không gây ra những thiệt hại nghiêm trọng," ông Thành cho biết.
Cần một tổng công trình sư về quản trị dữ liệu và an ninh mạng
Ông Phạm Đại Dương - Ủy viên Trung ương Đảng, Phó Trưởng Ban Chính sách, Chiến lược Trung ương, cho biết để bảo vệ dữ liệu, cần kết hợp hai thành tố: Thứ nhất là bảo vệ bằng công nghệ, hạ tầng, quy trình - tức giải pháp kỹ thuật; thứ hai là bảo vệ bằng hệ thống pháp luật. Chúng ta đã có nhiều luật như Luật An ninh mạng, Luật Bảo vệ dữ liệu cá nhân,... và trong thời gian tới Quốc hội sẽ tiếp tục rà soát, hoàn thiện các luật liên quan.
Bên cạnh đó, Nghị quyết 57/NQ-TW cũng đề ra kế hoạch triển khai, trong đó có Kế hoạch số 01 về các công nghệ chiến lược, nhằm tăng cường tính tự chủ, làm chủ công nghệ lõi để bảo mật dữ liệu. Quan điểm xuyên suốt là phải chuyển từ thế phòng thủ bị động sang chủ động nhận diện sớm rủi ro, chủ động phòng ngừa và ứng phó.
Còn theo Tiến sỹ Phan Văn Hùng - Phó Tổng Biên tập Báo Nhân Dân, chúng ta đang thiếu những "tổng công trình sư" về quản trị dữ liệu và an ninh mạng để có sự kết hợp hài hòa, đồng bộ.
Tiến sĩ Phan Văn Hùng - Phó Tổng Biên tập Báo Nhân Dân. (Ảnh: PV/Vietnam+)
Với khả năng sao chép không giới hạn, dữ liệu đang trở thành tư liệu sản xuất chủ chốt, cực kỳ quan trọng trong nền kinh tế số. Về mặt quản lý, cần xây dựng, thể chế hóa đồng bộ hệ thống pháp luật theo hướng pháp luật dẫn dắt, tạo công bằng, bảo vệ nhóm yếu thế và điều tiết được theo mục tiêu của Nhà nước.
Theo Tiến sĩ Phan Văn Hùng, pháp luật cần cụ thể hóa những quyền sở hữu của cá nhân, quyền của nhà nước, xây dựng được khung chia sẻ dữ liệu có điều kiện, kết hợp dữ liệu công và dữ liệu tư. Sẽ có những tranh chấp mà luật pháp không quy định được, vì vậy các cơ quan tố tụng, tư pháp cần phải xây dựng những án lệ để đồng bộ hệ thống pháp luật và quản trị một cách hiệu quả.
Từ góc nhìn chuyên gia an ninh mạng, ông Ngô Tuấn Anh cho biết: "Từ các bài học thực tiễn, cần tập trung vào ba nhóm giải pháp: siết chặt cấu hình an toàn trước khi đưa dịch vụ lên Internet; quản lý, phân loại và hạn chế lưu trữ dữ liệu không cần thiết; xây dựng quy trình phát hiện sớm, cách ly, khôi phục và phối hợp pháp lý khi xảy ra sự cố. Đây là các bước thiết yếu để bảo vệ tài sản quan trọng nhất của tổ chức: dữ liệu."
Ông Tuấn Anh cũng cho hay Hiệp hội Dữ liệu quốc gia đang triển khai xây dựng bộ tiêu chuẩn cơ sở liên quan đến an ninh dữ liệu. Dự kiến trong thời gian tới, bộ tiêu chuẩn sẽ được đưa ra lấy ý kiến các ban, ngành nhằm hỗ trợ các đơn vị, trước mắt là thành viên, công bố và áp dụng, qua đó nâng cao việc tuân thủ.
Một nội dung quan trọng khác là việc chủ động xây dựng giải pháp về an ninh mạng. Các đơn vị, doanh nghiệp trong nước cùng với Hiệp hội An ninh mạng quốc gia đang phối hợp phát triển hệ sinh thái sản phẩm an ninh mạng nội địa. Thực tế đã có nhiều bằng chứng cho thấy, sản phẩm công nghệ nước ngoài tiềm ẩn rủi ro, bởi trên đó có thể tồn tại lỗ hổng, dù vô tình hay cố ý, khiến dữ liệu bị trích xuất và truyền ra ngoài.
"Có trường hợp một số hệ thống bảo mật triển khai tại Việt Nam lại vô tình để dữ liệu đi qua hạ tầng nước ngoài trước khi lưu trữ. Điều này làm gia tăng nguy cơ rò rỉ dữ liệu. Vì vậy, để bảo đảm an toàn dữ liệu, chúng ta cần tập trung vào chuẩn hóa, triển khai tuân thủ và đẩy mạnh phát triển các giải pháp an ninh, an toàn do Việt Nam làm chủ," đại diện Hiệp hội Dữ liệu quốc gia nhấn mạnh./.
