• Thứ Bảy, 22/09/2012 09:21 (GMT+7)

    ATTT trong cơ quan nhà nước: 'rào cản' lớn nhất là lãnh đạo

    Vũ Nga
    Đầu tư cho hệ thống an toàn thông tin (ATTT) còn hạn chế, quy chế về ATTT sơ sài, không có nhân sự chuyên trách về ATTT... là những vấn đề nổi cộm về đảm bảo ATTT trong các cơ quan nhà nước tại Hà Nội.

    Khảo sát về thực trạng xây dựng hệ thống ATTT do Sở Thông tin và Truyền thông Hà Nội công bố cho thấy, hệ thống CNTT của nhiều cơ quan nhà nước, doanh nghiệp đặc biệt là các cổng, trang thông tin điện tử thành phố có nhiều điểm yếu về ATTT, chưa áp dụng các giải pháp đảm bảo ATTT và bảo mật thông tin phù hợp.

    Theo ông Nguyễn Quang Huy, VNCERT, chủ yếu các cơ quan mới được trang bị máy chủ, tường lửa, hệ thống cảnh báo truy nhập trái phép (IPS) và phần mềm diệt virus. "Còn rất nhiều trang thiết bị chuyên nghiệp khác mà các đơn vị cần trang bị như hệ thống chống DDOS chuyên dụng, hệ thống giám sát an toàn mạng, thiết bị chống thất thoát dữ liệu (DLP)...", ông Huy cho biết.

    Khảo sát của VNCERT cũng cho thấy nhiều điểm bất cập về triển khai giải pháp ATTT trong các cơ quan nhà nước như sử dụng phần mềm diệt virus không đúng cách (mặc dù đã kết nối mạng WAN nhưng lại chỉ cài phần mềm trên một số máy trạm); người dùng sử dụng mật khẩu đơn giản; sử dụng phần mềm tràn lan (thậm chí trên máy tính của quản trị mạng cũng sử dụng phần mềm chơi game miễn phí)...

    Thiết bị ATTTTỉ lệ đơn vị đã trang bị
    Máy chủ22/28 sở, ban, ngành; 20/29 quận huyện
    Tường lửa15/28; 13/29
    Hệ thống chống xâm nhập (IPS)4/28; 1/29
    Phần mềm diệt virus21/28; 19/29 (trung bình chỉ 35% máy trạm được cài đặt)

                                              (Thống kê về thực trạng xây dựng hệ thống ATTT trên địa bàn Hà Nội, tháng 7/2012)

    Bên cạnh sự thiếu thốn về thiết bị, nhân sự chuyên trách về ATTT trong bộ phận CNTT ở mỗi đơn vị cũng chưa có. Các quy chế về ATTT trong cơ quan nhà nước tuy đã có một số đơn vị xây dựng (17/57 đơn vị) nhưng nhìn chung còn rất sơ sài. 

    Cổng Thông tin điện tử Thành phố Hà Nội liên tục bị tấn công DDOS, theo đại diện VNCERT.

    Thực tế thời gian qua, nhiều cơ quan nhà nước nói chung và của TP Hà Nội nói riêng đều là nạn nhân của những sự cố về ATTT như bị tấn công DDOS, nhiều máy tính bị nhiễm virus và phần mềm độc hại, phá hoại dữ liệu hay hệ thống, thay đổi diện mạo, nội dung website,...

    Vấn đề nhận thức có lẽ là rào cản lớn nhất trong việc thúc đẩy ứng dụng ATTT tại các cơ quan nhà nước.

    Việc xin kinh phí rà soát, đánh giá thường xuyên các điểm yếu an ninh trong các hê thống CNTT và website của các cơ quan nhà nước để lên kế hoạch bảo vệ khá khó khăn, bởi vì cơ quan cấp trên cho rằng thông tin bị lộ hay bị thay đổi thì phải tìm ra cho bằng được người đã để lộ, đã thay đổi để "trị" chứ việc rà soát lỗ hổng không liên quan. Điều này có nghĩa là chính các cấp quản lý chưa có được nhận thức đầy đủ về việc đảm bảo ATTT bao gồm cả khía cạnh kỹ thuật", một đại diện cấp Sở lý giải.

    Trước thực trạng đáng ngại về ATTT trong các cơ quan nhà nước, bà Kim Lan Hương, Phòng CNTT, Sở TTTT Hà Nội cho biết Sở sẽ sớm đưa ra "Quy định giải pháp ATTT" chung để các đơn vị có định hướng, trong đó sẽ bổ sung các nội dung về Quy chế ATTT trong cơ quan nhà nước theo hướng chi tiết hơn. Sở cũng sẽ phối hợp cùng VNCERT tiến hành rà soát lỗ hổng và đưa ra các hướng dẫn để khắc phục. "Việc rà soát nên được thực hiện tối thiểu 2 lần/năm", bà Hương cho biết.

    Với các khó khăn về kinh phí mua sắm trang thiết bị, nhân sự chuyên trách, giải pháp thuê ngoài được cho là rất phù hợp với hoàn cảnh hiện nay khi các đơn vị đều thiếu cán bộ chuyên trách hay có đủ năng lực để xây dựng giải pháp ATTT tổng thể. Hiện nay, Nghị định 64 đã cho phép các đơn vị có thể thuê ngoài các dịch vụ về CNTT. 

    Ông Huy cho biết, tùy yêu cầu dịch vụ cần khả năng đáp ứng ở mức độ nào cũng như khả năng mở ở mức nào, các cơ quan nhà nước có thể lựa chọn doanh nghiệp cung cấp dịch vụ đáp ứng nhu cầu của mình. Như vậy, rào cản lớn nhất cho triển khai giải pháp ATTT chỉ nằm ở vấn đề "nhận thức".