Tọa đàm trực tuyến: “Giải pháp nào nâng cao chỉ số an toàn, an ninh mạng của Việt Nam?”
CyStack Editor
Chiều ngày 30/10, đại diện CyStack đã tham gia trao đổi tại tọa đàm trực tuyến “Giải pháp nào nâng cao chỉ số an toàn, an ninh mạng của Việt Nam?” do ICTnews – chuyên trang của báo Vietnamnet phối hợp với Cục An toàn thông tin (ATTT), Bộ TT&TT tổ chức.
Tham dự buổi tọa đàm có ông Nguyễn Khắc Lịch, Phó Cục trưởng Cục ATTT; ông Tô Hồng Nam, Phó Cục Trưởng Cục CNTT (Bộ GD&ĐT); ông Phan Hoàng Giáp, Trưởng phòng Giải pháp tích hợp, Công ty An ninh mạng Viettel; ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách an ninh mạng, Tập đoàn BKAV; ông Trần Nhật Minh, đại diện Tập đoàn Công nghệ CMC; ông Nguyễn Thành Đạt, Phó Tổng Giám đốc Công ty cổ phần công nghệ an ninh không gian mạng Việt Nam (VNCS), Giám đốc điều hành VNCS Global và ông Nguyễn Hữu Trung, CEO Công ty Cổ phần an ninh mạng CyStack.
Buổi tọa đàm trực tuyến được ICTnews và Cục ATTT thực hiện trong bối cảnh an toàn thông tin mạng đang là vấn đề được các cơ quan, tổ chức và doanh nghiệp quan tâm khi xu thế chuyển đổi số diễn ra mạnh mẽ và Việt Nam đặt mục tiêu nâng cao chỉ số về an toàn, an ninh mạng trong thời gian tới.
Phát biểu tại buổi tọa đàm, ông Võ Đăng Thiên, Phó Tổng Biên tập Báo VietNamNet cho biết: “Trong Chỉ thị 01 về định hướng phát triển ngành TT&TT năm 2020, Bộ trưởng Bộ TT&TT đã một lần nữa nhấn mạnh, an toàn, an ninh mạng là điều kiện tiên quyết để phát triển Chính phủ điện tử và chuyển đổi số, do đó phải đi trước một bước. Cũng trong chỉ thị này, Bộ TT&TT đặt mục tiêu đến hết năm 2020 Việt Nam sẽ vào nhóm 45 – 50 quốc gia dẫn đầu về chỉ số an toàn, an ninh mạng toàn cầu (GCI) của Liên minh viễn thông quốc tế (ITU). Bộ TT&TT cũng đưa ra chiến lược cơ chế, chính sách để thúc đẩy an toàn, an ninh mạng của Việt Nam. Việc các tổ chức uy tín trên thế giới có đánh giá tích cực về an toàn, an ninh mạng của Việt Nam đã được nhận định là một điểm nhấn nổi bật trong năm 2019. Cụ thể, theo Báo cáo GCI 2019 của ITU, năm 2018 Việt Nam xếp thứ 50 trên tổng số 175 hạng của 194 quốc gia và vùng lãnh thổ, tăng 50 bậc so với năm 2017 và là lần đầu tiên lọt vào nhóm các quốc gia, vùng lãnh thổ có độ cam kết cao về an toàn, an ninh mạng. Tôi hy vọng qua buổi hội thảo này, với sự đóng góp ý kiến của các chuyên gia, chúng ta sẽ đưa ra được nhiều giải pháp, sáng kiến để góp phần thúc đẩy mục tiêu Việt Nam lọt vào nhóm 45 – 50 quốc gia dẫn đầu về chỉ số an toàn, an ninh mạng toàn cầu”.
Cũng tại buổi tọa đàm, ông Nguyễn Khắc Lịch, Phó Cục trưởng Cục ATTT – Bộ TT&TT cho biết: Bộ trưởng Bộ TT&TT Nguyễn Mạnh Hùng đã chỉ đạo Việt Nam phải phát triển triển thành cường quốc về an ninh mạng. Để trở thành cường quốc thì xếp hạng an ninh mạng không thể thấp được. Hiện chúng ta xếp hạng 50/194 quốc gia. Đây là xếp hạng khá nhưng nếu để trở thành cường quốc thì chưa đủ. Bộ TT&TT vừa rồi đã ban hành kế hoạch đưa Việt Nam xếp hạng 40 vào năm 2025 và 30 vào năm 2030. Muốn thực hiện mục tiêu này thì cần kêu gọi tất cả cộng đồng tham gia đóng góp ý kiến vào kế hoạch để giúp Việt Nam nâng hạng về chỉ số ATTT và trở thành cường quốc về an ninh mạng.
Cũng theo chia sẻ của ông Nguyễn Khắc Lịch, Bộ trưởng Bộ TT&TT đã đưa ra chương trình “Make in VietNam”, xây dựng hệ sinh thái sản phẩm an toàn, an ninh mạng. Đến tháng 12, phải đạt 90% sản phẩm an toàn an ninh mạng Việt Nam do doanh nghiệp Việt Nam phát triển. Hiện chúng ta đã đạt được con số trên 80%.
Thông qua hình thức trực tuyến, nhiều độc giả của ICTnews đã gửi câu hỏi đến cho các diễn giả xung quanh những vấn đề về tầm quan trọng của việc đảm bảo an toàn, an ninh mạng tại Việt Nam; kinh nghiệm về phòng ngừa và ứng phó khi có sự cố về an toàn thông tin. Các chuyên gia trong lĩnh vực an ninh mạng cũng chia sẻ nhiều giải pháp hiệu quả để nâng cao chỉ số an toàn, an ninh mạng của Việt Nam, hướng tới mục tiêu đưa Việt Nam trở thành cường quốc về an toàn, an ninh mạng.
Dưới đây là tóm tắt một số thảo luận đáng chú ý tại buổi tọa đàm:
Theo đánh giá của các ông, hiện nay, những ngành, lĩnh vực và nhóm đối tượng nào đang phải đối mặt với nguy cơ mất an toàn thông tin hơn cả? Tại sao?
Ông Nguyễn Hữu Trung, CEO Công ty Cổ phần an ninh mạng CyStack: Nhóm ngành có nguy cơ nhất hiện nay ở Việt Nam theo chúng tôi ghi nhận là tài chính ngân hàng, ví dụ như các dịch vụ ví điện tử. Nhóm nguy cơ thứ hai là các công ty cung cấp dịch vụ trên nền tảng Internet cho khách hàng (software as a service), ví dụ như các sản phẩm CRM, logistics. Nhóm tiếp theo là cơ quan quản lý nhà nước. Và nhóm ngành thương mại điện tử cũng có nguy cơ mất an toàn thông tin rất cao. Nguyên nhân không quá khó hiểu vì các nhóm này nắm giữ nhiều tài sản rất giá trị, trong đó có tài sản dữ liệu và tài sản kinh tế.
Ông Phan Hoàng Giáp: Hacker thường nhắm đến các lĩnh vực mang đến lợi ích lớn như chính trị hoặc tài chính ngân hàng. Các hệ thống lớn và có các ứng dụng đa dạng, nhiều người dùng cũng thường có bề mặt tấn công lớn. Từ đó, chúng ta có thể thấy các nhóm ngành thường đối diện với nguy cơ mất ATTT cao hơn cả chính là các cơ quan nhà nước quản lý Chính phủ điện tử, Bộ ngành, địa phương hay ngân hàng và người dùng của ngân hàng.
Có ý kiến cho rằng, Việt Nam đang có một số chuyên gia bảo mật Việt Nam ở trong và ngoài nước được đánh giá thuộc top đầu thế giới về bảo mật. Theo thông tin của ông thì nhận định này thế nào? Ông đánh giá như thế nào về nguồn nhân lực về lĩnh vực bảo mật của Việt Nam hiện nay?
Ông Nguyễn Thành Đạt: Nhận định này không sai! Hiện tại trong cộng đồng An ninh mạng có rất nhiều anh em có trình độ an toàn thông tin rất tốt đang làm việc khắp nơi trên thế giới. Nhìn chung, trình độ nhân lực an ninh mạng ở Việt Nam không thua kém các nước, chúng ta có hàng ngàn chuyên gia an toàn thông tin đã được cấp chứng chỉ quốc tế. Tuy nhiên, đây chỉ là số ít so với nhu cầu rất lớn về nhân sự ATTT như hiện nay. Tôi được nhiều bạn bè hiện phụ trách bảo mật ở các ngân hàng và công ty trong nước nhờ giới thiệu nhân sự bảo mật. Bản thân công ty của VNCS cũng ở trạng thái “luôn đăng tuyển” nhưng chưa tuyển dụng đủ số nhân lực “đủ chất lượng” cần thiết.
Ông Nguyễn Hữu Trung: Thứ nhất là khái niệm bảo mật khá rộng nên đánh giá về top đầu thì chúng ta cần làm rõ trong lĩnh vực nào, khía cạnh nào. Thực sự Việt Nam có những cá nhân tên tuổi trên thế giới về phát hiện lỗ hổng bảo mật trong các sản phẩm số đang được sử dụng rộng rãi, quy mô toàn cầu. Nhiều người Việt Nam đã có những bài nghiên cứu, tham luận tại các hội thảo bảo mật lớn nhất thế giới. Và Việt Nam cũng có những cá nhân tạo ra được các công cụ bảo mật, thư viện lập trình được cả thế giới sử dụng rộng rãi. Ở CyStack, chúng tôi có chuyên gia từng phát hiện ra lỗ hổng bảo mật nghiêm trọng trong các sản phẩm của Microsoft, HP, D-Link. Gần đây nhất hồi tháng 8/2020, CyStack có bài tham luận ở hội thảo Black Hat USA. Nhìn chung, Việt Nam có các tài năng về bảo mật, nhưng số lượng chưa nhiều. Để đặt mục tiêu trở thành cường quốc về an toàn, bảo mật thông tin, chúng ta cần nhiều hơn nữa các tài năng trong chuyên ngành này.
Ông Tô Hồng Nam: Cá nhân tôi cho rằng nhiều chuyên gia bảo mật Việt Nam hoạt động cả ở trong và ngoài nước có trình độ cao, tầm cỡ thế giới. Điều này cũng phản ánh nỗ lực của Việt Nam thời gian qua, ngay từ năm 2014, Bộ TT&TT đã trình Thủ tướng Chính phủ phê duyệt Đề án Đào tạo và phát triển nguồn nhân lực an toàn an ninh thông tin đến năm 2020 theo Quyết định số 99/QĐ-TTg ngày 14/01/2014. Kết quả thực hiện Đề án đã góp phần quan trọng cải thiện nguồn nhân lực ATTT Việt Nam cả về số lượng và chất lượng. Bên cạnh đó, Cuộc thi sinh viên với ATTT được tổ chức thường niên suốt 13 năm nay là một sân chơi khơi dậy đam mê, trao đổi học tập, tìm kiếm, tôn vinh các tài năng ATTT ngay từ trên ghế nhà trường. Tất cả đã hợp lực rèn luyện đội ngũ chuyên gia bảo mật nước ta có trình độ tầm khu vực và thế giới.
Thực hiện cuộc cách mạng công nghiệp 4.0, Việt Nam quyết không bỏ lỡ cơ hội mà nó mang lại, không để ai bị bỏ lại phía sau. Trong bối cảnh Chính phủ đang quyết liệt triển khai chuyển đổi số, xây dựng Chính phủ điện tử, chính phủ số, công dân điện tử, công dân số, nguồn nhân lực ATTT thời gian tới bên cạnh chất lượng cần tăng cường về số lượng, trong đó chú trọng bồi dưỡng đạo đức nghề nghiệp.
Ông Trần Nhật Minh: Việt Nam có rất nhiều chuyên gia về bảo mật được đánh giá cao bởi cộng đồng thế giới. Tuy nhiên, chúng ta đang bị chảy máu chất xám. Rất nhiều chuyên gia làm việc tại nước ngoài và không có ý định quay về nước. Điều này nếu không sớm được chú trọng sẽ dẫn đến việc thiếu hụt hoặc mất đi chuyên gia có chất lượng cao. Các sinh viên mới ra trường còn thiếu nhiều kiến thức cũng như kỹ năng trong công việc, dẫn tới khó khăn khi tuyển dụng nguồn nhân lực chất lượng cao về lĩnh vực bảo mật.
CyStack có báo cáo bảo mật định kỳ. Vậy ông đánh giá về mức độ bảo mật hiện nay tại các doanh nghiệp?
Ông Nguyễn Hữu Trung: Sở hữu hệ thống giám sát an ninh mạng website và nền tảng “Bug bounty – săn lỗi bảo mật nhận tiền thưởng”, CyStack có góc nhìn khách quan về tình trạng bảo mật của một bộ phận doanh nghiệp tại Việt Nam. Theo chúng tôi, tình trạng bảo mật của nhiều doanh nghiệp hiện nay chưa thực sự tốt, vẫn là mục tiêu hấp dẫn của tin tặc. Chúng tập trung khai thác điểm yếu trên các nền tảng lập trình (framework) mà doanh nghiệp sử dụng. Lý do thứ hai là nhiều doanh nghiệp chưa làm tốt công đoạn kiểm soát truy cập, dẫn tới thực trạng bị truy cập trái phép và đánh cắp dữ liệu. Các lập trình viên cũng chưa có kiến thức về lập trình an toàn, chưa đặt đúng vai trò của bảo mật trong quá trình phát triển ứng dụng, dẫn tới tin tặc có thể tấn công máy chủ, truy cập sâu hơn vào hệ thống.
Ông đánh giá như thế nào về sự thay đổi về thị trường, doanh nghiệp, chính sách sau khi Bộ TT&TT đẩy mạnh vấn đề đảm bảo an toàn thông tin mạng trong khoảng 2 năm gần đây? (Độc giả Tuấn Minh – Thái Bình)
Ông Nguyễn Thành Đạt: Qua thực tế triển khai an toàn thông tin cho các đơn vị, tôi đánh giá đã có sự thay đổi rất lớn về nhận thức của các tổ chức và doanh nghiệp tại Việt Nam, đặc biệt là cơ quan nhà nước. Thời gian qua, các chính sách của Bộ TT&TT cũng tạo điều kiện và thúc đẩy doanh nghiệp an toàn thông tin nghiên cứu và cung cấp sản phẩm ra thị trường. Chúng tôi mong muốn Chính phủ và Bộ TT&TT tiếp tục hỗ trợ về mặt chính sách vĩ mô để thúc đẩy thị trường trong thời gian tới.
Thời gian qua, tôi thấy khá nhiều vụ lộ hình ảnh qua camera an ninh, vụ của ca sĩ Văn Mai Hương là một ví dụ. Vậy chuyên gia có khuyến cáo gì cho các cơ quan đơn vị và người dùng camera an ninh? (Độc giả Đức Anh – Hải Phòng)
Ông Nguyễn Hữu Trung: Về cơ bản, việc hack camera an ninh là có thể xảy ra và xảy ra thường xuyên không chỉ ở Việt Nam. Các phương thức tấn công camera an ninh thường dựa vào mật khẩu yếu và sự nhẹ dạ của người dùng. Người dùng và tổ chức, doanh nghiệp hoàn toàn có thể phòng tránh sự cố này bằng các biện pháp như sau:
+ Lựa chọn thương hiệu camera uy tín.
+ Ngay khi cài đặt camera, phải hỏi nhân viên kỹ thuật về tài khoản đăng nhập và cách thay đổi mật khẩu.
+ Sử dụng một mật khẩu an toàn. Mật khẩu phải chứa thêm các ký tự in hoa, số và ký tự đặc biệt để hacker không dò ra. Tránh sử dụng mật khẩu mặc định cũng như mật khẩu quá đơn giản, dễ đoán như 123456, admin,…
+ Không chia sẻ tài khoản đăng nhập camera cho người lạ. Chỉ chia sẻ thông tin này với những thành viên gia đình và những người thân bạn tin tưởng.
+ Cẩn trọng với các email đòi hỏi thông tin đăng nhập bởi đó rất có thể là email lừa đảo.
+ Luôn cập nhật firmware của thiết bị camera lên phiên bản mới nhất. Yêu cầu nhà sản xuất cam kết hỗ trợ cập nhật bảo mật nếu cần thiết.
Xu hướng hiện nay các ứng dụng đều được đưa lên Cloud, tuy nhiên các doanh nghiệp vẫn lo ngại vẫn đề bảo mật. Vậy theo ông khi đưa tất cả lên cloud thì vấn đề bảo mật có thực sự đáng lo ngại hay không? (Độc giả Trần Hùng – Hà Nội)
Ông Trần Nhật Minh: Việc đưa dữ liệu của chúng ta lên Cloud cũng tiềm ẩn những vấn đề về bảo mật. Các hệ thống này thường được giữ bởi bên thứ ba. Chính vì vậy, các thông tin này dễ dàng bị lộ ra nếu như đơn vị cung cấp Cloud bị tấn công. Tuy nhiên, chúng tôi khuyên người dùng nên chọn những nhà cung cấp dịch vụ lưu trữ đám mây lớn vì họ sử dụng công nghệ bảo mật tiên tiến. Chúng ta lấy ví dụ như dịch vụ của Amazone cho doanh nghiệp, họ đảm bảo an toàn dữ liệu. Tuy nhiên, chúng ta không thể giao tất cả dữ liệu quan trọng lên Cloud. Việc chọn lựa dữ liệu dựa trên yếu tố thông tin đó thuộc vào lĩnh vực nào. Các thông tin về giao dịch, số tài khoản là những thông tin bạn không nên đưa lên và lưu trữ trên cloud. Một số người dùng có xu hướng lưu trữ thông tin dưới dạng bản ghi nhớ sử dụng các trình ghi chú có trên cloud. Thói quen này tiềm ẩn nhiều nguy cơ gây lộ dữ liệu nhạy cảm. Trong trường hợp dữ liệu được lưu trữ trên đám mây, người dùng cần tuân thủ quy trình về bảo mật. Bên cạnh đó, việc trang bị kiến thức để bảo vệ tài khoản của mình sẽ giúp việc lưu trữ dữ liệu trên cloud an toàn hơn.
Nhiều năm qua, tâm lý sinh ngoại của người dùng Việt đã là rào cản với các sản phẩm CNTT, an toàn thông tin. Chính phủ đã có chủ trương phải ưu tiên sử dụng sản phẩm của doanh nghiệp trong nước. Theo ông hiện giờ khó khăn trong phát triển thị trường nội địa kể đã được giải quyết hay chưa? (Độc giả Vũ Bình – Bắc Ninh)
Ông Nguyễn Thành Đạt: Chúng tôi nhận thấy rằng hiện nay nhìn chung các cơ quan nhà nước đã “mở” hơn rất nhiều cho sản phẩm CNTT, an toàn thông tin của Việt Nam. Đó là nhờ nỗ lực và chính sách của Chính phủ, Bộ TT&TT trong việc thúc đẩy phát triển và sử dụng sản phẩm nội địa. Tuy nhiên, các tổ chức tài chính và doanh nghiệp rất ưu tiên các sản phẩm có thứ hạng trong bảng xếp hạng quốc tế. Để thuyết phục các đơn vị sử dụng sản phẩm tự phát triển, chúng tôi thường tạo điều kiện để họ dùng thử sản phẩm và đánh giá. Từ đó khách hàng sẽ hiểu và tin sản phẩm của chúng tôi sẽ giải quyết được những vấn đề an toàn thông tin cho họ.
Ông đánh giá thế nào về nhu cầu sản phẩm an ninh mạng, và xu hướng tương lai? (Độc giả Tú Hân – TPHCM)
Ông Nguyễn Hữu Trung: Nhu cầu chuyển đổi số của doanh nghiệp tăng cao, các tổ chức dần triển khai dịch vụ, cung cấp sản phẩm qua Internet, vì thế nhu cầu bảo mật ngày càng tăng. Do thiếu hụt nhân sự an ninh mạng và doanh nghiệp cần tập trung cho chuyên môn kinh doanh nên nhu cầu sử dụng các dịch vụ trọn gói (managed services) và thuê ngoài (outsourcing) tăng. Thị trường đang rất cần các giải pháp Giám sát an ninh hệ thống, phân tích và phản ứng sự cố, dịch vụ SOC, vận hành an toàn thông tin…
Sẽ có những sản phẩm mới ra đời và giải quyết được các hạn chế của sản phẩm cũ. Ví dụ, Bug bounty giải quyết được giới hạn chi phí so với Kiểm thử bảo mật truyền thống. Ngoài ra, các sản phẩm Threat Detection thế hệ mới (EDR) có thể thay thế giải pháp Antivirus truyền thống. EDR không chỉ giúp phát hiện virus, malware, mà còn có thể phát hiện tấn công có chủ đích (APT), phát hiện các bất thường trong mạng doanh nghiệp, thiết lập chính sách an toàn thông tin cho hệ thống… Xu hướng tiếp theo có thể sẽ phổ biến là giải pháp “Zero trust”, dựa trên ý tưởng rằng doanh nghiệp không mặc định tin tưởng bất kỳ đối tượng nào mà nhân viên hay thành phần hệ thống đang cố gắng kết nối. Thay vào đó, tất cả các truy cập đều phải được kiểm soát bởi một hệ thống xác thực bảo mật gọi là “Zero trust”.
Xu hướng chuyển đổi số diễn ra mạnh mẽ và các doanh nghiệp đang mò mẫm trong lĩnh vực này, nhưng không ít doanh nghiệp lo ngại vấn đề bảo mật, ông có khuyến cáo gì với các doanh nghiệp, làm sao đảm bảo an toàn thông tin khi chuyển đổi số, thưa ông? (Độc giả Xuân Lâm – Đà Nẵng)
Ông Ngô Tuấn Anh: Quá trình chuyển đổi số tạo ra các tiện ích, giá trị cho người sử dụng cũng như lãnh đạo của đơn vị. Tuy nhiên, chuyển đổi số là quá trình tích hợp dữ liệu tập trung cũng như cung cấp tối đa các dịch vụ trực tuyến, đây sẽ là đích ngắm của hacker. Do vậy, để đảm bảo quá trình chuyển đổi số được diễn ra an toàn bảo mật, các doanh nghiệp cần lưu ý triển khai đồng bộ ba nhóm giải pháp, bao gồm: trang bị các giải pháp công nghệ, xây dựng các quy trình vận hành đảm bảo an ninh và đào tạo nâng cao nhận thức an ninh cho cán bộ, nhân viên. Bên cạnh đó, doanh nghiệp cần đầu tư tương xứng từ 5-10% chi phí trong toàn bộ dự án CNTT cho các sản phẩm, dịch vụ ATTT.
