Hacker liên tục đánh cắp dữ liệu, có cần một 'tổng công trình sư' an ninh mạng?
Việc hacker tấn công vào Trung tâm Thông tin tín dụng quốc gia (CIC) và rao bán dữ liệu khách hàng trên "chợ đen" đã gây ra không ít lo ngại, nhất là trong bối cảnh trước đó, nhiều vụ tấn công mạng vào các doanh nghiệp, tổ chức lớn của Việt Nam. Đây không chỉ là hồi chuông cảnh báo về những thách thức từ không gian mạng mà còn là một bài toán về đấu tranh với tội phạm mạng.
Ở bài viết Gần 50% doanh nghiệp Việt Nam bị tấn công mạng: Lỗ hổng nằm ở đâu?, các chuyên gia an ninh mạng đã có những lý giải cũng như trình bày cách ứng phó với tội phạm mạng. Tuy nhiên, các tổ chức, doanh nghiệp phải chăng vẫn đang thiếu một ràng buộc chặt chẽ về mặt pháp lý, một tiêu chuẩn bảo mật chung để họ phải tuân thủ? Và Việt Nam có cần một "tổng công trình sư" - một đầu mối để hướng dẫn, hỗ trợ các tổ chức, doanh nghiệp thực thi các biện pháp bảo vệ hệ thống trước các mối nguy cơ trên không gian mạng?
Cần một tiêu chuẩn chung
Tại Việt Nam, các doanh nghiệp đang sử dụng các giải pháp bảo mật khác nhau. Thiết bị sử dụng trong hệ thống, như khối các cơ quan nhà nước ở các tỉnh, thành phố cũng không giống nhau khiến việc liên thông dữ liệu để giám sát, phòng chống rủi ro trở nên khó khăn hơn.
Bên cạnh đó, hệ thống hạ tầng công nghệ thông tin vẫn còn phân tán, manh mún và thiếu đồng bộ giữa các địa phương và đơn vị. Chẳng hạn, các dự án lắp đặt camera an ninh ở quận, huyện thường được thực hiện một cách riêng lẻ, không có sự liên thông hay đồng bộ tiêu chuẩn kỹ thuật giữa các hệ thống.
Trong một sự kiện gần đây, Đại tướng, Bộ trưởng Bộ Công an Lương Tam Quang cũng nhấn mạnh rằng không gian mạng là mặt trận quan trọng để tổ chức và doanh nghiệp nâng cao năng lực phòng vệ, tự chủ công nghệ an ninh mạng.
Trong lĩnh vực tài chính ngân hàng, nhiều ứng dụng được các ngân hàng đặt mua, hoặc sử dụng dịch vụ từ các đối tác bên ngoài. Điều này kéo theo rủi ro khi chất lượng bảo mật, tiêu chuẩn bảo vệ không thống nhất.
Vậy tiêu chuẩn nào để các tổ chức, doanh nghiệp làm theo khi đầu tư thiết bị bảo mật hệ thống?
Trên bình diện quốc tế, nhiều bộ tiêu chuẩn đã được xây dựng và trở thành thước đo vàng cho bảo mật như ISO/IEC 27001 về hệ thống quản lý an toàn thông tin; ISO/IEC 27017 về bảo mật trong điện toán đám mây; tiêu chuẩn PCI DSS dành cho các giao dịch thanh toán thẻ quốc tế...
Theo thượng tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng, Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (A05), trước đây Việt Nam đã có tiêu chuẩn TCVN 11930:2017 để hướng dẫn bảo đảm an toàn hệ thống thông tin. Tuy nhiên, mặc dù đã có khung tiêu chuẩn, nhiều hệ thống thông tin, đặc biệt là các hệ thống trọng yếu, vẫn bộc lộ những lỗ hổng nghiêm trọng. Nguyên nhân là các tiêu chuẩn vẫn còn mang tính lý thuyết, thiếu tính thực tiễn và chưa sát với yêu cầu vận hành thực tế trong môi trường không gian mạng ngày càng phức tạp, chưa kể có tình trạng một số doanh nghiệp chỉ làm đối phó để đáp ứng các quy định về tiêu chuẩn này.
Bộ Công an đã soạn thảo một số văn bản hướng dẫn bảo vệ dữ liệu và hệ thống CNTT trước sự nhòm ngó của hacker
Để đáp ứng yêu cầu an ninh mạng trong giai đoạn mới, Cục A05 mới đây đã soạn thảo Bộ tiêu chuẩn quốc gia TCVN 14423:2025. Bộ tiêu chuẩn này đã được Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia thẩm định và Bộ Khoa học và Công nghệ công bố. Việc ban hành TCVN 14423:2025 được kỳ vọng sẽ tạo điều kiện thuận lợi để các cơ quan, tổ chức thiết lập bảo vệ các hạ tầng thông tin trọng yếu.
Sự khác biệt của TCVN 14423:2025 so với các tiêu chuẩn trước nằm ở khả năng áp dụng và tính thực hành cao. Các yêu cầu kỹ thuật và yêu cầu quản lý được gắn kết chặt chẽ trong từng nội dung, giúp cơ quan, tổ chức triển khai giải pháp bảo đảm an ninh mạng một cách có hệ thống.
"Tổng công trình sư" sẽ làm gì?
Khi đã có một tiêu chuẩn chung để các cơ quan, tổ chức và doanh nghiệp áp dụng, vẫn cần một "Tổng công trình sư" để điều phối. Khái niệm "Tổng công trình sư" trong lĩnh vực công nghệ thông tin, đặc biệt là an toàn thông tin, không đơn thuần là người trực tiếp thực hiện các công việc kỹ thuật, mà còn là người định hướng chiến lược, kiến tạo khuôn khổ, quản lý toàn diện các dự án về bảo mật, đồng thời thúc đẩy sự phối hợp liên ngành, liên vùng hiệu quả.
Ở nhiều quốc gia phát triển, mô hình này đã được triển khai thành công nhằm đảm bảo mỗi sản phẩm, dịch vụ, hệ thống số đều tuân thủ các tiêu chuẩn bảo mật chặt chẽ, tránh sự phân mảnh và mâu thuẫn trong quản lý an ninh mạng.
Tại Việt Nam, theo thông tin từ Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ), trong 10 năm qua đã có những bước tiến lớn trong việc xây dựng các cơ sở pháp lý và nâng cao nhận thức bảo mật ở các cấp. Tuy nhiên, để hướng tới một cuộc cách mạng bảo mật thông tin, mục tiêu cần thiết là tăng cường sự phát triển đồng bộ về mặt tổ chức và con người, trong đó có vai trò vai trò chỉ đạo thống nhất, chiến lược của một tổng công trình sư.
Sự hiện diện của tổng công trình sư giúp kiến tạo những tiêu chuẩn bắt buộc cho tất cả các hệ thống, ứng dụng, dịch vụ từ cốt lõi đến biên của hạ tầng công nghệ thông tin. Đồng thời, vị trí này còn chịu trách nhiệm đánh giá, giám sát liên tục quá trình triển khai bảo mật nhằm phát hiện sớm lỗ hổng và hướng dẫn các đơn vị sửa chữa, nâng cấp.
Video chuyên gia Vũ Ngọc Sơn chia sẻ ý kiến về vị trí "Tổng công trình sư" an ninh mạng
Theo ông Nguyễn Minh Đức, kỹ sư hệ thống, hãng Veeam Software, việc có một tổng công trình sư trong lĩnh vực an ninh mạng là điều cần thiết. Cùng với việc ban hành nhiều bộ tiêu chuẩn về an ninh mạng cụ thể, các lĩnh vực thiết yếu như hàng không, điện… bắt buộc phải tuân thủ để bảo đảm an toàn hệ thống. Và ngay cả những doanh nghiệp không thuộc nhóm thiết yếu cũng có thể áp dụng để nâng cao mức độ an toàn, tạo niềm tin cho khách hàng.
Chuyên gia Vũ Ngọc Sơn, Trưởng Ban Công nghệ và Hợp tác quốc tế, Hiệp hội An ninh mạng quốc gia, cho biết hiện nay theo phân công của Chính phủ, chức năng quản lý an ninh mạng đã tập trung về Bộ Công an, trở thành đầu mối duy nhất triển khai hoạt động trong khối dân sự. Luật An ninh mạng 2025 cũng sẽ hợp nhất Luật An ninh mạng 2018 và Luật An toàn thông tin 2015, tạo ra khung pháp lý đồng bộ, phù hợp hơn với tình hình thực tế.
"Đây là một bước tiến quan trọng, bởi từ nay, các quy định, tiêu chuẩn, chính sách sẽ được quản lý thống nhất. Sự thống nhất này không chỉ giúp tăng tính hiệu quả trong quản lý, mà còn góp phần nâng cao khả năng ứng phó trước những thách thức ngày càng phức tạp trong lĩnh vực an ninh mạng", chuyên gia Vũ Ngọc Sơn nói
Như vậy, Bộ Công an trên thực tế đã đảm nhiệm chức năng của một tổng công trình sư trong lĩnh vực an ninh mạng, chịu trách nhiệm xây dựng, điều phối và giám sát toàn diện các chiến lược, giải pháp nhằm bảo vệ an toàn thông tin quốc gia. Với vai trò trung tâm kết nối các lực lượng, Bộ Công an không chỉ đảm bảo an ninh mạng trong các hệ thống chính phủ mà còn phối hợp chặt chẽ với các bộ ngành, doanh nghiệp để phát hiện, ngăn chặn và xử lý kịp thời các mối đe dọa mạng, góp phần giữ vững trật tự xã hội và bảo vệ lợi ích quốc gia trong kỷ nguyên số.
Đăng Khoa
Nguồn VietTimes : https://viettimes.vn/hacker-lien-tuc-danh-cap-du-lieu-co-can-mot-tong-cong-trinh-su-an-ninh-mang-post189798.html
Tin khác
Trụ cột của chuyển đổi số
4 giờ trước
Không chỉ là trách nhiệm cá nhân
3 giờ trước
Apple Glasses được kỳ vọng sẽ lặp lại chiến lược ra mắt hiếm hoi từng dùng cho Vision Pro
3 giờ trước
Samsung và SK hynix tham gia dự án AI 500 tỷ USD kỳ vọng bứt phá ngành bán dẫn
4 giờ trước
Các mô hình AI của Trung Quốc bị chính phủ Mỹ coi là mối đe dọa an ninh
4 giờ trước
Cục Điện ảnh yêu cầu báo cáo, giải trình về phim 'Hãy để tôi tỏa sáng'
4 giờ trước