Trong thời gian gần đây, An toàn thông tin (ATTT) đã trở thành một vấn đề rất nóng bỏng. Nguy cơ các cuộc tấn công hiện hữu ở khắp mọi nơi, đối tượng tấn công đa dạng, nạn nhân cũng không chừa tổ chức hay cá nhân nào. Trên thế giới, gần đây một loạt các mã độc như Wannacry hay Petya đã được xây dựng từ chính những công cụ bị lộ lọt của Cơ quan An ninh Quốc gia Mỹ (NSA) và gây ra rất nhiều cuộc tấn công mạng khắp nơi trên thế giới. Tại Việt Nam, các cơ quan chức năng của Bộ Thông tin và Truyền thông, Bộ Công an và Bộ Quốc Phòng đã phát hiện và ghi nhận nhiều cuộc tấn công mạng tới nhiều hệ thống thông tin của nhiều Bộ, ngành trong đó có Bộ GTVT. Thực tế, sự cố tin tặc tấn công vào hệ thống thông tin của các đơn vị hàng không ngày 29/7/2016 và ngày 8-9/3/2017 vừa qua làm ảnh hưởng nghiêm trọng đến uy tín và các hoạt động hàng không Việt Nam là ví dụ điển hình. Bên cạnh đó, ngành giao thông và năng lượng (EVN) cũng đã được các cơ quan chức năng cảnh báo về nguy cơ sẽ bị tấn công quy mô lớn trong thời gian sắp tới. Như vậy, có thể thấy rằng, song hành với các bước đột phá về CNTT, vấn đề ATTT đã cũng có sự thay đổi căn bản so với thời kỳ trước.
Các cuộc tấn công mạng giờ đây có chủ đích, được hậu thuẫn, có quy mô, bài bản và tính phá hoại cao hơn. Công tác bảo đảm ATTT trở nên hết sức phức tạp, liên quan mật thiết tới tất cả các cá nhân cũng như quá trình vận hành của một hệ thống sử dụng CNTT. Đến nay, Chính phủ đã ban hành Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ; Bộ Khoa học và Công nghệ cũng đã công bố Tiêu chuẩn quốc gia TCVN 11930:2017 Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về ATTT theo cấp độ (xuất bản lần 1). Tuy nhiên, các văn bản, tài liệu trên chưa có các tiêu chí đánh giá năng lực bảo đảm ATTT đối với cơ quan, tổ chức. Bộ GTVT cũng đã ban hành Bộ tiêu chí kỹ thuật tối thiểu về kiểm tra, đánh giá ATTT các hệ thống thông tin của Bộ GTVT (Quyết định số 991/QĐBGTVT ngày 14/4/207) nhưng Bộ tiêu chí này là chưa đầy đủ và chỉ hoàn toàn về mặt kỹ thuật phục vụ công tác kiểm tra, đánh giá ATTT của Bộ GTVT. Hiện tại trong ngành GTVT chưa có một nghiên cứu nào về các khía cạnh cần giải quyết trong công tác ATTT. Một phương pháp tiếp cận tổng thể nhằm đánh giá năng lực về ATTT đối với các cơ quan, đơn vị là xây dựng một Bộ chỉ số ATTT cho ngành GTVT là phù hợp với diễn biến, tình hình án ATTT đang rất nóng và phức tạp như hiện nay.
Với những vấn đề nêu trên, việc xây dựng Bộ chỉ số an toàn thông tin cho các hệ thống CNTT của Bộ GTVT là rất cấp bách và cần thiết trong bối cảnh ngành GTVT luôn là mục tiêu tấn công mạng hàng đầu của các hacker hiện nay do đó nhóm nghiên cứu Trung tâm Công nghệ thông tin Bộ Giao thông Vận tải do ThS. Phùng Văn Trọng đứng đầu đã thực hiện đề tài: “Nghiên cứu xây dựng Bộ chỉ số an toàn thông tin cho các hệ thống công nghệ thông tin của Bộ Giao thông vận tải”.
Sau một thời gian triển khai, Đề tài đã đạt được các kết quả chính sau:
- Đã nghiên cứu, đánh giá và dự báo được xu thế tình hình ATTT trong nước và trên thế giới;
- Đã tổ chức khảo sát, phân tích, đánh giá hiện trạng ATTT tại các cơ quan, đơn vị thuộc Bô (các Cục/Tổng cục, Trường, Ban QLDA và doanh nghiệp);
- Đã nghiên cứu một số mô hình, tiêu chuẩn ATTT quốc tế và Việt Nam;
- Xây dựng được Bộ chỉ số ATTT ngành GTVT;
- Xây dựng được phần mềm quản lý Bộ chỉ số ATTT ngành GTVT.
Hướng nghiên cứu về việc xây dựng Bộ chỉ số an toàn thông tin cho các hệ thống CNTT của Bộ GTVT được xây dựng dựa trên mô hình đánh giá ATTT của Khung an toàn thông tin CFS của NIST, có tham khảo các bộ tiêu chuẩn về ATTT trong nước và quốc tế khác nhưng được điều chỉnh để phù hợp với đặc thù các hệ thống thông tin ngành GTVT. Thông qua hệ thống phần mềm quản lý Bộ chỉ số ATTT ngành GTVT đã đã giúp cho việc quản lý ATTT trở nên khoa học, chính xác, khách quan và đơn giản hơn. Bộ chỉ số ATTT ngành GTVT có ý nghĩa thực tiễn và áp dụng được cho tất cả các cơ quan, đơn vị thuộc Bộ GTVT đo đó nhóm thực hiện đề tài kiến nghị Bộ GTVT ban hành Bộ chỉ số ATTT ngành GTVT làm cơ sở cho việc đánh giá, xác định mức độ bảo đảm ATTT của các cơ quan, đơn vị thuộc Bộ.
Có thể tìm đọc toàn văn Báo cáo kết quả nghiên cứu của Đề tài (Mã số 15786/2019) tại Cục Thông tin Khoa học và Công nghệ Quốc gia.
P.T.T (NASATI)
Ý kiến bạn đọc