Nhận thức được tầm quan trọng của thông tin về hiện trạng của vấn đề An tòan thông tin đối với tất cả chúng ta, Chi hội ATTT đã tiến hành khảo sát thực trạng ứng dụng triển khai ATTT tại
Trang 1BÁO CÁO TỔNG QUAN HIỆN TRẠNG AN TOÀN THÔNG TIN KHU VỰC PHÍA NAM
(Báo cáo do Chi hội VNISA Phía Nam trình bày tại ngày ATTT phía Nam,
Thành phố Hồ CHí Minh ngày 18/11/2010)
Tiếp nối các sự kiện ngày An toàn thông tin (ATTT) được tổ chức thành công qua 2 năm 2008 và
2009, Chi hội ATTT khu vực phía Nam tổ chức ngày ATTT phía Nam lần thứ 3 vào các ngày 16, 17,
18/11/2010 với chủ đề: “Quy hoạch an toàn thông tin số quốc gia – Con đường phía trước”
Nhận thức được tầm quan trọng của thông tin về hiện trạng của vấn đề An tòan thông tin đối với tất cả chúng ta, Chi hội ATTT đã tiến hành khảo sát thực trạng ứng dụng triển khai ATTT tại các cơ quan doanh nghiệp trên địa bàn TP HCM và các tỉnh thành thuộc khu vực phía Nam Nội dung của Bản báo cáo này dựa trên các thông tin từ các nguồn khác nhau trên thế giới (các thông tin này được công
bố trong năm 2010 nhưng có thể bao gồm cả tình hình của năm 2009) và kết quả đợt khảo sát hiện trạng ATTT vừa qua Đồng thời, chúng tôi xin đề xuất một số kiến nghị về ATTT đối với các doanh nghiệp và cơ quan quản lý nhà nước
1 Xu hướng về ATTT trên thế giới và ở Việt nam năm 2010
Năm 2010 gần đi qua với rất nhiều những biến động về kinh tế ở Việt nam và trên toàn thế giới Trong phần báo cáo này, chúng tôi muốn đưa ra một số những con số minh họa cho bức tranh về ATTT từ cuối 2009 đến nay Các thông tin chủ yếu dựa trên các khảo sát đã công bố của các công ty chuyên
về ATTT
Trước tiên là xếp hạng các nước về mức độ rủi ro mà ở đó người sử dụng mạng tin học có thể bị tấn công Trong danh sách này, Việt nam ta đứng hàng thứ 5 với xu hướng tăng lên so với 2009 (đứng thứ 6)
2 Russian Federation 13.18% 2 Russian Federation 9.82%
4 United States 5.25% 4 United States 4.60%
Trang 2(xem
http://www.securelist.com/en/analysis/204792120/Information_Security_Threats_in_the_First_Quarter_of_20
10 )
Theo nghiên cứu của 7Safe - UK (xem www.7safe.com/breach_report), công bố đầu năm 2010 chuyên về các sự cố ATTT, chúng ta có thể thấy khá rõ xu hướng về các tấn công xâm nhập, lấy cắp
dữ liệu trong thời gian qua
- Lấy cắp thông tin thẻ tín dụng để trục lợi vẫn là tấn công phổ biến nhất với tỷ lệ “áp đảo” 85% trong các loại tấn công/xâm nhập/lấy cắp dữ liệu
- Nguồn gốc của các tấn công này chủ yếu từ phía người ngoài (chiếm 80%)
- Môi trường dịch vụ hosting tỏ ra không an toàn với gần 90% sự cố xảy ra với các hệ thống được hosting
- Ứng dụng, đặc biệt ứng dụng Web, là mục tiêu tấn công với tỷ lệ 86%, so với 14% là tấn công vào
hệ thống hạ tầng mạng và máy chủ
- SQL Injection vẫn đứng đầu là phương thức tấn công được khai thác nhiều nhất.Tiếp theo là 30%
do cấu hình server không tốt và 20% tấn công SQL Injecton kết hợp với mã độc hại
- Một số nghiên cứu cho thấy nhiều tấn công có nguồn gốc từ các máy tính ở Việt nam Rất có thể các máy chủ của Việt nam có sơ hở và bị hacker khai thác biến thành thành viên của botnet Theo SecureList thì số lượng mã độc khai thác sơ hở của các phần mềm đọc văn bản dạng pdf của Adobe Acrobat chiếm đa số với 47,5% lượng mã độc Nguyên nhân có thể là do tính phổ biến của văn bản dạng pdf
(xem
http://www.securelist.com/en/analysis/204792120/Information_Security_Threats_in_the_First_Quarter_of_2010 )
Web là một ứng dụng quan trọng và thường là mục tiêu tiếp cận đầu tiên của các tin tặc Theo điều tra của Ponemon Institute vào tháng 4 năm 2010 thì
• 70% người trả lời nghĩ rằng kinh phí để bảo vệ ứng dụng Web quan trọng của tổ chức là không
đủ
• 34% sơ hở cấp thiết chưa được sửa chữa kịp thời
• 38% nghĩ rằng cần trên 20h để sửa một sơ hở
• 55% nghĩ rằng người lập trình quá bận bịu để có thể quan tâm sửa chữa lỗi an toàn thông tin
Về xu hướng công nghệ, theo công ty Check Point, hiện nay ưu tiên đầu tiên đối với các nhà quản lý
IT là ảo hóa Tiếp theo là điện toán đám mây, rồi mới tới web 2.0 Check Point cho rằng tới 2012, một nửa năng lực tính toán của doanh nghiệp sẽ chạy trên môi trường ảo Nhưng quá nửa (60%) nhà quản lý IT cho rằng an ninh cho máy ảo là một vấn đề khó khăn
Infosecurity Europe and PricewaterhouseCoopers thực hiện vào tháng 4 năm 2010 một nghiên cứu khá toàn diện về ATTT tại Anh quốc Một số thông tin nổi bật rút ra từ báo cáo là:
- 34% doanh nghiệp sử dụng phần mềm quan trọng bằng hình thức thuê dịch vụ (SaaS) qua mạng Internet
- 32% doanh nghiệp cho rằng sử dụng mạng xã hội có vai trò quan trọng với kinh doanh của họ
Trang 3- 92% doanh nghiệp lớn, 83% doanh nghiệp vừa và nhỏ có sự cố ATTT trong năm qua
- Trung vị (median) số sự cố ATTT của các công ty lớn trong năm qua là 45 lần
- 46% doanh nghiệp có nhân viên bị mất/rò rỉ dữ liệu nhạy cảm Trong số đó, 45% sự cố mất dự liệu được đánh giá là nghiêm trọng hoặc cực kỳ nghiêm trọng
- Khách hàng quan tâm nhiều tới mức độ ATTT của đối tác khi 68% trong số họ yêu cầu đối tác phải minh chứng sự tuân thủ theo các chuẩn về ATTT
Có thể nói bức tranh của ATTT trên thế giới trong năm qua vẫn nổi lên nhiều vấn đề nóng hổi, nhất là khi mà các tấn công với mục đích trục lợi gia tăng, công nghệ ảo hóa với khả năng bảo đảm ATTT phức tạp hơn đang là xu hướng công nghệ trong một vài năm tới Xây dựng một môi trường mạng an toàn, phục vụ đắc lực cho kinh doanh và quản lý nhà nước là một mục tiêu mà chúng ta phải cộng tác chặt chẽ với nhau để cùng xây dựng
2 ATTT tại Việt Nam, những cuộc tấn công và thiệt hại trong năm 2010
Theo một số nguồn tin, xu hướng tội phạm tin học Việt nam trong năm qua nổi lên một số đặc điểm sau:
- Tấn công vào hệ thống thẻ tín dụng để trục lợi vẫn là hình thức tấn công phổ biến
- Xuất hiện người nước ngoài phối hợp với người Việt nam thực hiện các hành vi lừa đảo qua mạng
- Sử dụng hệ thống mạng internet để lừa đảo, tống tiền, khủng bố, xâm phạm danh dự nhân phẩm,
uy tín của doanh nghiệp và cá nhân
- Tấn công vào các hệ thống dịch vụ với mục đích chiếm đoạt tài sản: như hệ thống viễn thông, hệ thống máy chủ game…
- Đích tấn công đang ngày càng trở nên đa dạng hơn Bên cạnh các máy chủ là các tấn công qua trò chơi điện tử, qua tin nhắn SMS, tấn công vào các smart phone
- Ngoài ra, các tội phạm truyền thống nhưng sử dụng công nghệ mạng như đánh bạc, cá độ bóng
đá đang có xu hướng gia tăng
Chỉ tính riêng 3 tháng đầu năm 2010 đã có trên 300 website của các cá nhân và tổ chức có tên miền vn bị hacker nước ngoài tấn công và thăm dò Các website bị tấn công chủ yếu là các website thanh toán trực tuyến, ngân hàng, các tổ chức cung cấp dịch vụ Đồng thời, ước tính đã có 150 nghìn máy tính bị nhiễm virus và Trojan
Hình thức tấn công với mục tiêu trục lợi tài chính vẫn tiếp tục xảy ra ở Việt nam Có thể đơn cử trường hợp Mạch Hữu Tài, 23 tuổi, trú tại phường Nguyễn Thái Bình, quận 1, TP HCM đã bị Cơ quan CSĐT Bộ Công an khởi tố bị can và ra lệnh tạm giam 3 tháng đối với về hành vi trộm cắp tài sản (trộm tiền trong thẻ tín dụng của người nước ngoài) Từ tháng 6/2008 đến khi bị bắt, Tài đánh cắp mật khẩu thẻ tín dụng của người nước ngoài trộm cắp được 1,4 tỉ đồng
Theo báo cáo bảo mật của McAfee, Việt Nam nằm trong nhóm dẫn đầu về tấn công “SQL Injection” chỉ sau Mỹ và Trung Quốc Cũng theo báo cáo của McAfee, số lượng phần mềm độc hại được phát hiện hoạt động nhiều hơn bao giờ hết trong sáu tháng đầu năm 2010 Trong khi đó, tốc độ tăng trưởng của thư rác là 2,5% so với quý I/2010 Đáng chú ý trong báo cáo này, Việt Nam nằm trong TOP 15 quốc gia phát tán mã độc nhiều nhất, chỉ đứng sau Mỹ và Trung Quốc về tấn công “SQL Injection”
Trang 43 Kết quả khảo sát tình trạng ATTT và một số nhận định đánh giá
Phương pháp khảo sát
Theo thông lệ hàng năm, trước ngày ATTT, Hiệp hội An toàn thông tin VNISA tiến hành khảo sát tình
trạng ATTT dựa trên một bản câu hỏi thăm dò về ATTT gửi cho các doanh nghiệp, cơ quan có triển
khai ứng dụng CNTT Bản câu hỏi được xây dựng trên những yêu cầu về chuẩn hóa về ATTT, có
tham khảo cách thức điều tra thăm dò của các tổ chức chuyên nghiệp về ATTT quốc tế Đây là một
khảo sát mang tính chất toàn quốc Tuy nhiên, trong báo cáo này, chúng tôi chỉ đề cập tới kết quả
khảo sát trên phạm vi khu vực thành phố Hồ chí Minh và các vùng lân cận
Mục đích của khảo sát là xác định hiện trạng về nhận thức của các doanh nghiệp đối với vấn đề ATTT,
cũng như những những sự cố mà các doanh nghiệp gặp phải trong năm qua Do một số hạn chế về
thời gian, kinh phí và qui mô nên kết quả của khảo sát của chúng tôi có thể chưa phản ánh hoàn toàn
đầy đủ hiện trạng về ATTT hiện nay ở khu vực phía Nam
Sau đây là kết quả điều tra từ gần 300 doanh nghiệp
Đối tượng khảo sát:
Đối tượng khảo sát chủ yếu là các doanh nghiệp tại khu vực thành phố Hồ Chí Minh, đang ứng dụng
CNTT vào các hoạt động sản xuất kinh doanh Đối tượng được phỏng vấn là các Giám Đốc CNTT
(CIO), cán bộ quản lý hệ thống ATTT, chuyên gia quản trị mạng
Phân loại các tổ chức doanh nghiệp được khảo sát:
Loại doanh nghiệp Tỉ lệ
Tổ chức Hành chính sự nghiệp trực thuộc Trung ương 5.4 %
Tổ chức Hành chính sự nghiệp trực thuộc địa phương 2.9%
Doanh nghiệp nhà nước 7.2%
Doanh nghiệp nước ngoài, liên doanh, có vốn nước ngoài 26.4%
Tổ chức phi chính phủ 2.5%
Khác 16.3%
Nhìn chung cấu trúc thành phần các loại tổ chức trong khảo sát khá tương đồng giữa 2 năm 2009 và
2010 Vì vậy, sự chênh lệch về kết quả giữa 2 năm có thể nói lên phần nào xu hướng của năm 2010
so với 2009
Hiện trạng kết nối mạng:
- 47% doanh nghiệp được khảo sát đã có hệ thống mạng hoàn thiện, bao gồm kết nối LAN, WAN,
và đường truyền Internet Con số này tương đương với kết quả khảo sát năm 2009
Trang 5- 85% doanh nghiệp có mạng không dây (so với 72% của 2009 và 57% năm 2008), trong đó có 60% doanh nghiệp chỉ sử dụng mạng không dây cho nhân viên nội bộ và có 25% doanh nghiệp dùng chung mạng không dây cho nhân viên và khách Tỉ lệ này năm 2009 là 48% - 24%
- 82% doanh nghiệp sử dụng máy chủ Windows Server so với con số thống kê năm 2009 là 86% Mức độ sẵn sàng:
- 58% doanh nghiệp đã gán trách nhiệm ATTT đến nhân viên chuyên trách/bán chuyên trách (47% - 2009)
- 84% doanh nghiệp đã có sử dụng phần mềm Anti-Virus (78% - 2009)
- 58% doanh nghiệp được khảo sát sử dụng bộ lọc spam (48% - 2009)
- 40% doanh nghiệp hiện không có quy trình xử lý sự cố ATTT (50% - 2009)
- 67% doanh nghiệp được hỏi hiện không có chính sách ATTT (74% - 2009)
- 57% doanh nghiệp dự tính sẽ tăng ngân sách đầu tư ATTT (59% - 2009)
- 34% doanh nghiệp đưa ra mức tỉ lệ đầu tư an ninh mạng trong tổng ngân sách CNTT là 5%, 25% doanh nghiệp đưa ra mức 5-10% (35% - 26% năm 2009)
- 42% doanh nghiệp hiện không có quỹ dự phòng cho các rủi ro an ninh mạng (50% - 2009)
Phát hiện và xử lý tấn công an ninh mạng
Tính từ tháng 1/2010:
- 33% doanh nghiệp thừa nhận đã phát hiện sự cố tấn công an ninh mạng (34% năm 2009)
- 29% doanh nghiệp không hề biết rõ hệ thống mạng của mình có bị tấn công hay không (38% năm 2009)
- Trong các tấn công an ninh mạng phát hiện được: 27,5 % các tấn công do Trojan hay rootkit, 42% là do virus hay worm (42%, 53% năm 2009)
- 22% doanh nghiệp được hỏi phản hồi là không hiểu rõ được động cơ đằng sau các cuộc tấn công an ninh mạng (25% - 2009)
- 63% doanh ngiệp không thể ước lượng được mức độ thiệt hại của các tấn công an ninh mạng (67% - 2009)
- 40% doanh nghiệp ước tính mức độ thiệt hại lớn nhất của các sự cố an ninh mạng là do Virus (53%-2009)
Xử lý và tường thuật sự cố
- Chỉ có 26% doanh nghiệp sẵn sàng báo cho cơ quan pháp luật khi có sự cố an ninh mạng (10% -2009)
Nhận xét
Qua kết quả thu được từ cuộc khảo sát, chúng tôi nhận thấy:
Kết nối mạng phát triển mạnh mẽ trong năm 2010 Kết nối LAN, WAN, Internet, sử dụng mạng không dây đều tăng đáng kể so với 2009
Trang 6 Số lượng các tổ chức có các chuyên viên đặc trách về an toàn thông tin khá cao (57,6%)
và tăng lên so với năm 2009 (47%) chứng tỏ sự quan tâm thực sự của các doanh nghiệp đến an toàn thông tin có nhiều tiến bộ
Đối với những cuộc tấn công đã biết, các cuộc tấn công có chủ đích như thay đổi trang web, cơ sở dữ liệu tăng lên so với năm 2009 Nhưng các cuộc tấn công dạng quấy nhiễu (DOS) lại giảm xuống
Theo nhận định của các doanh nghiệp, động cơ tấn công để thu lợi bất chính tăng gấp 3 lần so với năm ngoái
Tỷ lệ các doanh nghiệp có hệ thông ghi nhận được hành vi thử tấn công khá tương đồng với năm ngoái Tuy nhiên, việc xác định được địa chỉ nơi xuất phát điểm của tấn công giảm nhiều (trên 3 lần)
Số lượng các tấn công thực hiện bởi người ngoài nhưng nắm rõ thông tin nội bộ tăng cao gấp 2 lần so với năm 2009 Điều này trở nên nghiêm trọng hơn với xu thế chuyển đổi công ty khá thường xuyên của nhân sự CNTT hiện nay, cũng như ràng buộc luật pháp đối với những người nghỉ việc còn khá lỏng lẻo ở Việt nam
Gian lận tài chính, đọc các tài liệu nhạy cảm của tổ chức và cá nhân cũng đều tăng gấp 2 lần so với năm ngoái
Quá 2/3 số tổ chức không có hoặc không biết có hay không về quy trình để phản ứng lại các cuộc tấn công máy tính Điều đó cho thấy sự chủ quan cũng như thiệt hại sẽ nặng nề hơn nếu các cuộc tấn công máy tính thực xảy ra Nguy hiểm hơn là đa số (trên 50%) số tổ chức không hoặc không biết sẽ xây dựng hay không qui trình phản ứng, và số lượng tổ chức thuộc loại này có chiều hướng tăng so với năm 2009 (38%)
Các biện pháp kỹ thuật phục vụ an toàn thông tin như firewall, IDS/IPS, VPN, các phương thức xác thực hiện đại, các phần mềm chống virus, ghi nhật ký (logfile)…nhìn chung khá tương đồng giữa 2 năm 2009 và 2010
Chi phí đầu tư cho ATTT của các doanh nghiệp có chiều hướng tăng trong năm 2010 với 47% đơn vị khẳng định (so với 39% của 2009)
Việc hiểu biết và có kế họach tuân theo các chuẩn ATTT quốc tế có xu hướng đáng lo
ngại khi mà 65% doanh nghiệp trả lời không tuân theo chuẩn (so với 47% của 2009)
Chúng tôi cho rằng con số này chứng tỏ sự hiểu biết về chuẩn, hiểu biết về ích lợi khi áp dụng chuẩn còn yếu; hoặc yếu tố ngại khó, ngại tốn kém khi triển khai là nguyên nhân của kết quả thống kê này
Các ý kiến về đào tạo nguồn nhân lực nói chung vẫn không có thay đổi lớn so với 2009 Nổi bật vẫn là phần đông các tổ chức cần ngay việc triển khai đào tạo nhân lực phục vụ ATTT với các hình thức đào tạo nhanh (2-3 ngày) hoặc kéo dài với nhịp độ 2-3 lần/tuần
Về lãnh đạo, một nhân tố rất quan trọng, thậm trí quyết định của ATTT, số lượng các câu trả lời gặp khó khăn vì lãnh đạo chưa hỗ trợ đúng mức khá cao (45%) và có xu hướng tăng so với 30% của 2009
4 Các giải pháp, công nghệ và ứng dụng ATTT hiện có tại Việt Nam
Hiện nay trên thị trường Việt Nam đã ứng dụng nhiều giải pháp ATTT từ nhiều hãng bảo mật quốc tế
có tên tuổi lẫn các nhà cung cấp nội địa Dưới đây là một số giải pháp và công nghệ nổi bật:
Phân Loại Chức Năng Nhà sản xuất và công ty phân phối tại Việt Nam
End Point Security Phòng chống Virus Trend Micro(Misoft) Kaspersky (NTS),
Trang 7(anti-virus) Mcafee (Mi2), Symantec (FPT, Ingram
Micro), BKAV, Bitdefender (VIAMI), Kingsoft Anti-Virus (Quang Minh DEC), Sophos (MTech)
End Point Security
multi-vector: anti-virus,
malware,
anti-spam, url-filtering)
Phòng chống các tấn công do mã độc
Trend Micro(Misoft) Kaspersky (NTS), Mcafee (Mi2), Symantec (FPT, Ingram Micro)
End Point Security: Mã
hóa dữ liệu Mã hóa dữ liệu ổ cứng
Check Point (Misoft) Entrust (Misoft) PGP (MTech)
End Point Security:
Chống thất thoát dữ
liệu
Phòng ngừa các nguy
cơ thất thoát dữ liệu ở máy trạm
Check Point (Misoft) Mcafee (Mi2) Trend Micro (Misoft) Patchlink Lumension (MTech) End Point Security:
Kiểm soát mạng NAC
Kiểm soát truy cập mạng bằng xác thực lớp 2
Cisco (Cisco Vietnam) Symantec (Symantec Vietnam) Juniper (J-Protect)
Phòng chống thất thoát
dữ liệu (DLP)
Chống thất thoát dữ liệu qua các giao thức mạng
Websense (Misoft) Symantec (Symantec Vietnam)
Tường lửa/ mạng riêng
ảo Enterprise
Phòng chống các tấn công mạng và hệ thống cho môi trường
Enterprise
Check Point (Misoft) Cisco (Cisco Vietnam) Juniper (J-Protect)
Tường lửa mạng UTM Phòng chống các rủi ro dành cho doanh nghiệp
SMB
Check Point (Misoft) Cisco (Cisco Vietnam) Juniper (J-Protect) Fortinet (M-Tech) Cyberoam (InNet) Astaro (NTS)
Hệ thống phòng chống
Virus ở Gateway
(Network Virus Wall)
Lọc virus, mã độc và ngăn ngừa lây lan giữa các vùng mạng
Trend Micro (Misoft) Mcafee (Mi2) Tường lửa chuyên
dụng Web
Phòng chống các tấn công tầng Web
Barracuda (Misoft) Imperva (Misoft) Tường lửa chuyên
dụng database Phòng chống các tấn công cơ sở dữ liệu Imperva (Misoft)
Hệ thống phát hiện và
phòng chống xâm nhập
IDS/IPS
Phát hiện và phòng chống các nguy cơ xâm nhập hệ thống
IBM ISS (Misoft) Tipping Point (MTech) SourceFire (NTS) Mcafee (Mi2)
Hệ thống phát hiện và
phòng chống xâm
nhậm IPS mạng không
dây
Phát hiện và phòng chống các tấn công trên môi trường không dây
AirDefense (Misoft) AirTight (Misoft)
Trang 8Lọc Web Phòng chống truy cập vào các trang Web độc
hại
Websense (Misoft) Trend Micro (Misoft) BlueCoat (MTech) Chống thư rác và các
hiểm họa ATTT do
Lọc thư rác và các mã độc trên môi trường email
Barracuda (Đông Quân) Trend Micro (Misoft) PineApp (Misoft)
Hệ thống xác thực
mạnh đa thành phần Xác thực mạnh dùng token
Entrust (Misoft) Vasco (Misoft) Verisign (Blitz) RSA (MTech) Todos (MK Technology) Chứng chỉ số
Cung cấp chứng chỉ xác thực SSL cho máy chủ Web
Verisign (Blitz) Entrust (Misoft)
Hệ thống quản lý mật
khẩu nhạy cảm
Enterprise
Quản lý các tài khoản xác thực nhạy cảm trong ứng dụng và hệ thống
Cyber-Ark (Misoft)
Đánh giá và quản lý lỗ
hổng bảo mật Dò tìm lỗ hổng bảo mật
Mcafee Foundstone (Mi2) IBM ISS (Misoft)
Quản lý log hệ thống
ATTT Theo dõi và phân tích log từ các thiết bị ATTT ARCSight (Misoft)
Công cụ điều tra bảo
mật
Thu thập bằng chứng, giám sát hoạt động mạng phục vụ cho công việc điều tra bảo mật
Encase (Misoft) AccessData (Misoft)
Công cụ làm chính
sách ATTT Giúp doanh nghiệp xây dựng chính sách ATTT Neupart (Misoft)
Đào tạo ATTT Cung cấp các khóa học ATTT
Misoft SaigonCTT Athena ISeLAB
5 Nguồn nhân lực và đào tạo ATTT tại khu vực phía Nam
- Nguồn nhân lực bảo mật thông tin có trình độ cao vẫn trong tình trạng cung không đủ cầu Đa số các nhận sự chịu trách nhiệm đảm bảo ATTT trong doanh nghiệp là quản trị hệ thống kiêm nhiệm, phần lớn tự đào tạo, tích lũy kinh nghiệm và không được đào tạo chính quy về ATTT Hiện vẫn có rất ít các
tổ chức, doanh nghiệp tại Việt Nam có vị trí Giám đốc ATTT (CSO)
- Về đào tạo an toàn thông tin, các khóa học chưa đủ để thành một chương trình đào tạo chuyên gia hoàn thiện Các cơ sở đào tạo chủ yếu sử dụng các chương trình sẵn có của nước ngoài để giảng dạy, thiếu tính chuyên sâu và chủ yếu dạy về kỹ năng, sử dụng công nghệ “Hacking” Tại Việt Nam vẫn chưa có một bộ giáo trình chuẩn về ATTT
- Một số cơ sở đào tạo đã có chương trình dạy về ATTT song còn ít và giáo trình cũng chưa được chuẩn hóa Những năm gần đây đã có nhiều chuyển biến rõ rệt: số lượng người học và số lượng các môn học đều tăng, các khóa học nền tảng đã được triển khai: CCSP, SCNP, Security+, ISO 17799,
Trang 9CEH… Tuy nhiên đây mới chỉ là các khóa học theo chứng chỉ do các tổ chức nước ngoài cấp Mặt khác, một bộ phận lớn học viên đăng ký các khoá học bảo mật nhằm mục đích bổ sung những chứng chỉ, bằng cấp quốc tế có tính phổ dụng chứ chưa có thái độ học tập, nghiên cứu một cách nghiêm túc
để nâng cao kiến thức
- Hệ thống đào tạo còn thiếu chương trình cho chuyên gia CISSP, CCIE security; các khóa học của InfoSec Institute về xâm nhập thử nghiệm, lập trình an toàn
- Vấn đề đào tạo nguồn nhân lực về ATTT còn chưa được các Doanh nghiệp quan tâm đúng mức Kiến thức về an toàn thông tin trong giới chủ doanh nghiệp còn yếu
- Xã hội vẫn chưa đánh giá nghiêm túc sự hi sinh thầm lặng của các “chiến sĩ” quản trị và an ninh mạng Chính đội ngũ này mới đảm bảo được hệ thống thông tin ổn định, góp phần đảm bảo hoạt động kinh doanh của doanh nghiệp
6 Công tác truyền thông, tuyên truyền về ATTT
Các vấn đề về ATTT được đề cập đến hầu hết trong các ấn phẩm liên quan đến CNTT-TT như tạp chí Thế Giới Vi Tính – PC World VN, Tin Học và Đời Sống, Echip, Xã hội thông tin, đặc biệt là tạp chí An Toàn Thông Tin và chuyên mục ATTT trên Thế Giới Vi Tính Series B Thêm vào đó, các chương trình truyền hình như “Cuộc sống số” của VTV, “1001” của HTV cũng cung cấp nhiều thông tin về ATTT Tuy nhiên ở mức chuyên sâu hơn phải kể đến các website, diễn đàn của giới tin học hay giới ATTT, nhất là những website có uy tín của các công ty, tổ chức chuyên về ATTT Chẳng hạn như:
• Báo điện tử VietnamNet
• Báo điện tử VnExpress
• Chuyên mục “Bảo mật” của ICT News
• Website bảo mật thông tin
• Diễn đàn tin học, mục Bảo mật trong Tutorial room
• Tiểu mục Bảo mật trong mục Công nghệ trên VnMedia
• Website VnSecurity
• Mạng An toàn thông tin VSEC
• Diễn đàn HVAOnline
• Website Athena
7 Các quy định, luật lệ về ATTT
Trong những năm qua nhà nước rất quan tâm về vấn đề ATTT Nhiều quy định về luật pháp đã được ban hành Các cơ quản quản lý nhà nước đã được thành lập để tập trung quản lý trong lĩnh vực ATTT
và bước đầu đã phát huy được hiệu quả Chúng ta có thể liệt kê một số điều khoản trong các bộ luật quy định những chế tài đối với các hành vi vi phạm ATTT như sau:
• Pháp lệnh Số 30/2000/PL-UBTVQH10 ngày 28/12/2000 v/v Bảo vệ bí mật Nhà nước
• Nghị định của Chính Phủ số : 33/2002/NĐ-CP Quy định chi tiết thi hành Pháp lệnh Bảo vệ bí mật nhà nước
• Bộ luật hình sự nước CHXHCNVN: điều 125, 131, 224, 225 và 226
• Bộ luật dân sự nước CHXHCNVN: Điều 31,38
• Bộ luật lao động nước CHXHCNVN: Điều 85, về hình thức xử lý kỷ luật, sa thải
• Luật sở hữu trí tuệ Việt Nam: Điều 131
• Luật Bảo vệ riêng tư và thông tin cá nhân
• Danh mục tài liệu bảo mật theo nghị định 123 -2002/QĐ TTg của Thủ tướng Chính phủ
Trang 10• Quyết định 55/2008/BLĐTBXH để ban hành chương trình khung trình độ trung cấp nghề và cao đẳng nghề lập trình máy tính…
Đặc biệt trong năm qua chúng ta chứng kiến sự ra đời của Quyết định 63/QĐ-TTG ngày 13/01/2010
Phê duyệt Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020 Đây là một văn bản pháp qui quan trọng, có tính chất định hướng chiến lược cho phát triển CNTT nói chung và ATTT nói riêng của Việt nam
8 Chi hội ATTT phía Nam và các doanh nghiệp cung cấp giải pháp, dịch vụ ATTT
Năm 2010 đánh dấu sự ra đời chính thức của Chi hội VNISA phía Nam với đại hội toàn thể các hội viên được tổ chức vào ngày 19/8/2010 Chi hội đã thông qua qui chế họat động cùng phương hướng,
kế họach hành động cho năm 2010 Ban chấp hành chi hội VNISA phía Nam với 15 thành viên được đại hội bầu chọn và đã đi vào họat động
Với mục tiêu luôn duy trì các họat động chuyên môn phục vụ cộng đồng, trong năm 2010, Chi hội đã
tổ chức thường xuyên các hội thảo chuyên đề và luôn thu hút được đông đảo người tham gia Có thể đơn cử một số hội thảo về
- Phòng chống tội phạm công nghệ cao (tháng 4)
- An ninh ứng dụng web (tháng 6)
- ATTT trên môi trường di động 3G (tháng 6)
- Bộ chuẩn ISO về an ninh thông tin (tháng 10)
- ATTT số hệ thống mạng doanh nghiệp và thiết bị di động (tháng 11)
Xác định tầm trọng quan trọng của đội ngũ nhân lực kỹ thuật, Chi hội đã xây dựng đội Elite Team từ những thành viên tích cực và có trình độ kỹ thuật cao Nhiều thành viên của Elite Team đã có các chứng chỉ cao cấp nhất về an ninh thông tin như CCIE của Cisco, CISSP của (ISC)2 Hiện Elite Team
đã đi vào họat động và là chỗ dựa vững chắc về công nghệ của Chi hội VNISA phía Nam Trong ngày ATTT, Elite Team chủ trì công tác chuyên môn và tham gia trực tiếp nhiều báo cáo công nghệ Chúng
ta có quyền hy vọng về những kết quả quan trọng hơn mà Elite Team sẽ mang lại cho Chi hội, cho cộng đồng trong thời gian tới
9 Kết luận, kiến nghị
Trên cơ sở những thông tin về tình hình ATTT trong năm qua, chúng tôi đề xuất một số kiến nghị sau: Đối với các cơ quan nhà nước:
1 Thành lập đầu mối thống nhất có thể dưới dạng một Trung tâm ứng cứu sự cố máy tính cho phép các cơ quan, doanh nghiệp và công dân trên địa bàn Tp.HCM, khu vực phía Nam liên
hệ một cách tiện dụng Đây là vấn đề đã được đặt ra từ các hội thảo ATTT năm 2008, 2009
2 Nghiêm khắc xử lý và thi hành pháp luật đối với các tội phạm công nghệ cao nhằm răn đe và phòng ngừa tội phạm
3 Nhà nước cần có đầu tư thích đáng cho công tác ATTT như: đầu tư cho công tác nghiên cứu
về ATTT, đầu tư cho đào tạo nguồn nhân lực ATTT, đầu tư xây dựng hạ tầng đảm bảo ATTT
4 Khuyến khích sử dụng các sản phẩm, công nghệ nội địa vì tính chất đặc thù của lĩnh vực an ninh thông tin
Đối với doanh nghiệp:
1 Tiếp tục đẩy mạnh ứng dụng CNTT nhằm tạo sức cạnh tranh cho doanh nghiệp, đồng thời nâng cao nhận thức ATTT là tài sản của doanh nghiệp cho tất cả cán bộ nhân viên