Ông Võ Gia Nghĩa - Phó Giám đốc Sở Thông tin và Truyền Thông

*Thưa ông Võ Gia Nghĩa! Tình hình triển khai công tác đảm bảo ATTT trong thời gian vừa qua ở Bình Định được ông đánh giá như thế nào?

Trong thời gian vừa qua, bên cạnh nhiều văn bản chỉ đạo đã ban hành kịp thời, quy định cụ thể, rõ ràng, UBND tỉnh cũng đã giao cho Sở TT&TT chủ trì xây dựng phương án đầu tư hạ tầng kỹ thuật CNTT, trang bị cơ sở vật chất tại Data Center của tỉnh đảm bảo các hệ thống thông tin dùng chung hoạt động ổn định, thông suốt và đảm bảo an toàn thông tin. Qua đó, hàng năm, Hệ thống thông tin (HTTT) của tỉnh được chú trọng đầu tư nâng cấp các thiết bị bảo mật cũng như những bản quyền phần mềm cho các thiết bị này nhằm tăng cường cho công tác đảm bảo ATTT cho toàn hệ thống. 

Trong năm 2016, Sở TT&TT đã tham mưu đẩy mạnh triển khai sử dụng chữ ký số (đến nay đã có 68 chứng thư số được cấp), từng bước thay thế văn bản giấy trong quản lý, chỉ đạo, điều hành của các cơ quan nhà nước nhằm đảm bảo an toàn thông tin trong quá trình giao dịch điện tử. Đồng thời, triển khai xây dựng hệ thống mạng truyền số liệu dùng riêng để kết nối từ Trung tâm Hạ tầng thông tin thuộc Sở TT&TT đến tất cả các sở, ban, ngành, UBND cấp huyện và cấp xã; nâng cấp hệ thống Email công vụ theo hướng tích chung toàn hệ thống và tăng cường tính năng bảo mật trong hoạt động chuyên môn nghiệp vụ, trao đổi thông tin giữa các cơ quan nhà nước.  

Bên cạnh đó, Sở TT&TT đã thực hiện đề tài “Nghiên cứu và đề xuất các giải pháp đảm bảo ATTT trong các cơ quan nhà nước” và được nghiệm thu với kết quả khá trong 2015. Đề tài đã thực hiện triển khai 2 nhóm giải pháp chính về đảm bảo ATTT đó là giải pháp đối với các ứng dụng CNTT trong hệ thống thông tin của tỉnh và giải pháp hạn chế lỗ hổng trên Cổng thông tin Bình định và các websites được Hosting tại Trung tâm Hạ tầng thông tin. Nhóm nghiên cứu của đề tài cũng đã xây dựng phần mềm phân tích truy xuất và cảnh báo sớm website có khả năng bị tấn công và phần mềm quản lý nội dung website trợ giúp cho các quản trị mạng thuận tiện hơn trong công tác quản lý ATTT tại các HTTT của tỉnh.

Tuy nhiên hiện nay công tác ATTT của tỉnh đang phải đối mặt với rất nhiều khó khăn, thách thức, tình hình các vụ tấn công vào HTTT diễn biến ngày càng phức tạp cả về quy mô lẫn mức độ ảnh hưởng. Trong khi các phần mềm và trang thông tin điện tử của các CQNN tại một số địa phương vẫn đang tồn tại những lỗ hổng, thường xuyên bị tấn công. Đội ngũ nhân lực còn thiếu và yếu, nhất là đội ngũ nhân lực về ATTT. Đơn cử, trong năm 2016, theo ghi nhận của các chuyên viên làm công tác ATTT của tỉnh ghi nhận có 03 Websites của CQNN bị tấn công, thay đổi giao diện; 08 trường hợp bị lỗi Shell, và backdoor; giả mạo tài khoản email để lừa đảo hay tài khoản email công vụ của một số cá nhân bị chiếm quyền điều khiển và phát tán mã độc; đặc biệt, trong thời gian diễn ra cuộc bầu cử HĐND các cấp nhiệm kỳ 2016-2021, HTTT của tỉnh bị rà quét nhiều lần với tầng suất cao. Sở TTTT đã theo dõi, ngăn chặn, xử lý kịp thời nên không ảnh hưởng nhiều đến hoạt động của hệ thống; đồng thời thực hiện cập nhật các bản vá lỗi, xây dựng hệ thống backup dữ liệu, hệ thống quản lý log tập trung ... góp phần hạn chế tối đa các lỗi phát sinh.

Mặc dù công tác ATTT luôn được chú trọng, tuy nhiên nguồn kinh phí đầu tư để triển khai công tác này vẫn còn nhiều hạn chế. Thiết bị có đầu tư, tuy nhiên vẫn còn nhỏ lẻ, chưa đủ và chưa đáp ứng được yêu cầu của thực tế đặt ra cũng như việc thực hiện các giải pháp phát hiện tấn công thế hệ mới.

Một nhân tố then chốt rất quan trọng trong công tác ATTT, đó là yếu tố con người. Dù hệ thống có được đầu tư tốt đến đâu chăn nữa mà người dùng không quan tâm, không tuân thủ những quy tắc sử dụng hệ thống an toàn thì cũng không phát huy được gì cả. Qua công tác triển khai ứng dụng CNTT trong các CQNN cho thấy, một số CBCC tại tỉnh vẫn chưa nhận thức được vai trò của ATTT. Đặt biệt là vẫn còn một số các cán bộ lãnh đạo chưa thật sự quan tâm chỉ đạo, gương mẫu triển khai thực hiện ứng dụng CNTT cũng như công tác đãm bảo ATTT trong công tác chỉ đạo, quản lý và điều hành tại đơn vị.     

*Theo ông, những vấn đề cần quan tâm trong việc bảo đảm an toàn thông tin mạng cho các CQNN và cho các CBCC trên địa bàn tỉnh là gì ? 

Đây vấn đề hết sức nhạy cảm được quan tâm bởi nhiều cấp nhiều ngành cũng như các CBCC trong thời gian vừa qua ở tại tỉnh. Trong đó nổi lên ở hai khía cạnh: an toàn thông tin cho cá nhân và cho tổ chức.

Theo Luật ATTT mạng vừa mới ban hành và có hiệu lực từ ngày 1/7/2016 trong đó có quy định về bảo vệ thông tin cá nhân. Theo đó cá nhân có trách nhiệm tự bảo vệ thông tin cá nhân của mình và có ý thức tuân thủ quy định của pháp luật về cung cấp thông tin cá nhân khi sử dụng dịch vụ trên mạng. Luật này còn quy định trách nhiệm của cá nhân trong việc xử lý thông tin của mình và trách nhiệm của CQNN trong việc bảo mật, lưu trữ thông tin cá nhân do mình thu thập. Vì thế đối với CBCCVC trên địa bàn tỉnh cần phải có ý thức tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật về cung cấp  thông tin cá nhân khi sử dụng dịch vụ trên mạng nhất là các trang mạng xã hội ví dụ như facebook; tổ chức, cá nhân xử lý thông  tin cá nhân cần có trách nhiệm bảo vệ ATTT đối với thông tin cá nhân do mình xử lý. Cụ thể cho vấn đề bảo vệ thông tin cá nhân sẽ áp dụng và thực hiện theo quy định của Luật ATTT này và quy định của pháp luật khác liên quan. 

Đối với bảo vệ HTTT của các CQNN trên địa bàn tỉnh, để có thể đảm bảo ATTT hiệu quả thì trước hết các cơ quan, tổ chức cần phải xác định rõ cấp độ của hệ thống thông tin của mình. Theo Nghị định 85/2016/NĐ-CP quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ, có hiệu lực thi hành từ ngày 1/7/2016, nghị định nêu rõ 5 cấp độ bảo đảm an toàn hệ thống thông tin. Trong đó, cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và chỉ xử lý thông tin công cộng; cấp độ nhẹ nhất. Cấp độ này khi bị ảnh hưởng chỉ có tác động chính tới lợi ích hợp pháp của tổ chức, cá nhân. Cấp độ tăng dần và cấp độ cao nhất là cấp độ 5. Khi bị ảnh hưởng sẽ tác động đặc biệt nghiêm trọng an toàn xã hội, quốc phòng, an ninh quốc gia. Tiếp theo, các cơ quan, tổ chức cần bám sát các hướng dẫn của Bộ TT&TT hoặt Sở TT&TT; thực hiện nghiêm Quyết định số 22/2012/QĐ-UBND ngày 12/7/2012 ban hành quy chế về đảm bảo an toàn thông tin trong hoạt động ứng dụng CNTT của các cơ quan quản lý hành chính nhà nước tỉnh Bình Định; tăng cường chỉ đạo, đôn đốc các bộ phận vận hành HTTT của mình khẩn trương triển khai thực hiện các giải pháp kỹ thuật nhằm đảm bảo ATTT một cách hiệu quả nhất. Bên cạnh đó, cần phải cử cán bộ tham gia các lớp đào tạo, tập huấn do sở TT&TT tổ chức hàng năm nhằm nâng cao trình độ về công tác ATTT.

*Trong thời gian tới, Sở TT&TT sẽ có những kế hoạch nào để tăng cường công tác ATTT? Thưa ông!

Trước hết công tác tuyên truyền nâng cao nhận thức về ATTT sẽ được Sở quan tâm hàng đầu để giúp tăng cường nhận thức và ý thức chấp hành về ATTT tại tỉnh. Giảm thiểu số sự cố mất ATTT xảy ra vì lí do bắt nguồn từ nhận thức yếu kém về các nguy cơ mất ATTT của con người. Đồng thời tuyên truyền, phổ biến kiến thức cơ bản cho người sử dụng trong việc phòng tránh mất ATTT. Qua đó, tổ chức biên soạn tài liệu để phổ biến kiến thức về ATTT nhất là tổ chức các hội nghị phổ biến và tập huấn các nội dung cơ bản của Luật ATTT cho các đối tượng có liên quan trên phạm vi toàn tỉnh.

Để kịp thời xử lý các sự cố, lỗ hổng, đồng thời ngăn chặn, bóc tách mã độc tấn công vào hệ thống mạng; trong đó đặc biệt chú trọng phát hiện và xử lý các mã độc tấn công có chủ đích (APT) có tính chất nguy hiểm và có khả năng gây rủi ro cao. Cụ thể, Sở sẽ tham mưu cho UBND tỉnh yêu cầu các đơn vị phải triển khai việc kiểm tra, rà soát và đánh giá tình hình ATTT mạng ở đơn vị mình bao gồm hệ thống máy chủ, máy trạm, các thiết bị mạng, phần mềm hệ thống, phần mềm ứng dụng … nhằm tiến đến đánh giá tổng thể mức độ ATTT mạng tại Bình Định.

Bên cạnh đó,  Sở TT&TT sẽ chủ động xây dựng phương án, giải pháp kỹ thuật đảm bảo ATTT cho Data Center của tỉnh tại Trung tâm Hạ tầng thông tin. Thường xuyên tổ chức các lớp tập huấn và các buổi diễn tập về ứng cứu sự cố, đảm bảo ATTT mạng cho các hệ thống thông tin mà đặc biệt là HTTT các ngành, lĩnh vực hạ tầng trọng yếu như: Tài nguyên môi trường, tài chính, nội vụ, văn phòng UBND, hay thông tin truyền thông ...

Tiếp tục xây dựng kế hoạch đào tạo và phát triển nguồn nhân lực ATTT. Theo đó, triển khai các hoạt động nhằm thúc đẩy và phát triển nguồn nhân lực về ATTT cho các CQNN thông qua các hoạt động đã được đề ra như cử cán bộ đi đào tạo, tập huấn nhằm nâng cao trình độ tại những trung tâm đào tạo về ATTT có uy tín hay tham gia các lớp về ATTT do Cục ATTT của Bộ TTTT tổ chức;

Tham mưu cho UBND tỉnh thành lập tổ ứng cứu sự cố ATTT mạng cho các CQNN của tỉnh trong năm 2017;

Tiếp tục triển khai kế hoạch về phát triển về ATTT đến năm 2020, với mục tiêu là đến năm 2020 các ứng dụng về chính quyền điện tử đều được đảm bảo an toàn thông tin ở mức cao nhất.

* Cảm ơn ông!

L.K.Y