Hiện trạng về ATTT 2015 có chiều hướng xấu đi

• Dự án Luật An toàn thông tin: Cần làm rõ nhiều khái niệm
• Bảo đảm an toàn thông tin tổ chức, cá nhân trên mạng
• An toàn thông tin - nỗi lo cho ngành dịch vụ tài chính
• Ngày An toàn Thông tin Việt Nam: Thêm nhiều bài học bảo mật
• Việt Nam tham gia diễn tập quốc tế về an toàn thông tin mạng

Hiệp hội ATTT, Chi hội phía Nam đã có cuộc khảo sát tình trạng ATTT của các tổ chức cơ quan, doanh nghiêp trên địa bàn khu vực phía Nam dưới 2 hình thức truyền thống lẫn online. Báo cáo này được đưa ra vào ngày An Toàn Thông Tin 2015 nhằm cảnh báo xu hướng phá hoại tàn khốc của tấn công mạng hiện đại

Các chuyên gia thảo luận về hiện trạng ATTT 2015.

Đối tượng được khảo sát là các cán bộ quản lý chịu trách nhiệm chung hoặc cán bộ phụ trách kỹ thuật hệ thống CNTT . Số phiếu khảo sát được xử lý và sử dụng trong thống kê là trên 211 phiếu, giảm so với năm 2014 (400 phiếu), sự sụt giảm về mặt số lượng tham gia được ghi nhận nhiều nhất ở khối các đơn vị hành chính Trung ương và địa phương, nếu năm 2014 khối này tham gia với tỷ lệ gần 17% thì năm nay chỉ tham gia ở mức độ gần 3%. Điều này cho thấy khối đơn vị hành chính chưa thật sự tích cực trong việc công bố các thông tin thống kê về An toàn và bảo mật.

Bản báo cáo cũng chỉ ra một số điểm đáng lưu ý như sau: 

• Sự sụt giảm đáng kể trong phần tỷ lệ các đơn vị có lãnh đạo về ATTT hoặc cán bộ chuyên trách/ bán chuyên trách về ATTT khi chỉ có 34% so với 73% của năm 2014. Sự sụt giảm này do sự thiếu vắng các đơn vị hành chính nhà nước.
• Tương ứng với sự sụt giảm vấn đề về tổ chức nhân sự cho ATTT, tỷ lệ các đơn vị khảo sát có phê duyệt và ban hành chính sách về ATTT cũng sụt giảm chỉ có 23,7% so với 30% của năm 2014. Số lượng các đơn vị có các quy định về bảo mật thông tin cá nhân cũng chiếm tỷ lệ khá khiêm tốn là 22,7%, trong số này chỉ có một số ít các đơn vị tuân theo các chuẩn ATTT quốc tế phổ dụng như 2700x hay PCI… chiếm tổng số chưa đến 13%.
• Mặc dù chủ trương thuê ngoài dịch vụ CNTT đã được Chính phủ đồng ý áp dụng cho cơ quan và doanh nghiệp nhà nước, tuy nhiên xu hướng thuê ngoài đối với dịch vụ ATTT vẫn không có chuyển biến mới. Chỉ có khoảng 24,6% các đơn vị khảo sát có thuê dịch vụ ngoài, đáng kể nhất chính là “dịch vụ phát hiện rà soát Virus” chiếm 17%
• Đa số các đơn vị phân bổ ít hơn 5% ngân sách đầu tư CNTT cho ATTT.
• Chỉ có 25,6% các đơn vị khảo sát có kế hoạch đào tạo các kỹ năng cơ bản về ATTT cho nguồn nhân lực của đơn vị mình.
• Số lượng đơn vị không có khả năng nhận biết bị tấn công hay không tiếp tục trong các năm qua với tỷ lệ 37,9% so với các năm trước lần lượt là (2014:2013:2012 –33%:21%:16%).
• Trong các đối tượng có khả năng đe dọa đến ATTT cho các đơn vị thì đối tượng được cho là có nguy cơ lớn thứ nhất và thứ 2 là “Cán bộ đang làm việc tại đơn vị” tổng cộng chiếm 55,4%, xếp thứ hai là đối tượng “Hackers – tội phạm máy tính” chiếm tổng tỷ lệ là 28,9%, xếp thứ ba trong danh sách này là đối tượng “Cán bộ đã nghỉ việc” chiếm tổng cộng 33,2%. Đe dọa đến từ đối tượng “Đối thủ cạnh tranh” chỉ xếp thứ 4 với tỷ lệ chiếm 31,7%.
• Con số ấn tượng nhất của khảo sát năm nay có lẽ là sự gia tăng trong việc sử dụng hệ thống kiểm soát truy cập vào các khu vực quan trọng bằng thẻ từ, bảo vệ… là 15% so với năm trước là 7,3%
• Chỉ số ấn tượng nhất của khảo sát năm nay có lẽ là sự gia tăng trong việc sử dụng hệ thống kiểm soát truy cập vào các khu vực quan trọng bằng thẻ từ, bảo vệ… là 15% so với năm trước là 7,3%. Ngoài con số này, các chỉ tiêu khác của khảo sát năm nay đều sụt giảm. Việc mã hóa dữ liệu chỉ có 12,3% tổ chức được hỏi có sử dụng. Việc sao lưu dữ liệu cũng chỉ có 28,4% tổ chức có thực hiện. Các con số này cho thấy độ an toàn của dữ liệu đang ở mức thấp.

Một trong những vấn đề lo lắng nhất trong các vấn đề khảo sát năm nay được rút ra chính là nhân sự chuyên trách cho ATTT và quy trình liên quan đến quản lý ATTT đặc biệt là xử lý sự cố ATTT còn bỏ ngỏ rất nhiều trong các đơn vị tham gia khảo sát. Chỉ có rất ít đơn vị (dưới 10) trong số hàng trăm đơn vị khảo sát có nhân sự chuyên ngành về ATTT hoặc tối thiểu có một trong những chứng chỉ ATTT quốc tế thông dụng. Sự liên kết giữa các doanh nghiệp vừa và nhỏ với các Cơ quan quản lý nhà nước và bảo vệ pháp luật còn chưa tốt. Đây chính là điểm yếu trong mắt xích xây dựng hệ thống phòng thủ và bảo vệ chủ quyền số quốc gia, khi các thông tin không được cập nhật và thông báo kịp thời, chậm trễ trong việc phản ứng.

Ngoài ra vai trò của các doanh nghiệp hoạt động về ATTT, các đơn vị tư vấn chưa được thể hiện rõ đối với khối doanh nghiệp vừa và nhỏ. Rất ít các đơn vị có sử dụng tư vấn về ATTT hoặc thuê ngoài các dịch vụ này. Trong thời gian tới VNISA phía Nam sẽ cố gắng phát huy vai trò của mình trong việc làm cầu nối giữa các đơn vị chuyên ngành và các doanh nghiệp có nhu cầu.