Bảo đảm an toàn thông tin luôn gặp phải thách thức bất ngờ, phức tạp

Chia sẻ về việc áp dụng các công nghệ, nền tảng số mới cũng như những lợi ích, thách thức vào lĩnh vực chứng khoán mới đây tại Vietnam Digital Finance 2024, ông Nguyễn Quang Thương, Phó Tổng Giám đốc Sở Giao dịch chứng khoán (GDCK) Việt Nam và ông Nguyễn Công Quang, Phó Tổng giám đốc Tổng công ty Lưu ký và Bù trừ Chứng khoán Việt Nam (VSDC) đã đưa ra những phân tích, góc nhìn, giải pháp.

Ông Nguyễn Quang Thương cho biết, Sở GDCK Việt Nam hoạt động trên môi trường số đòi hỏi nhanh, liên thông, ổn định về các dữ liệu, thông tin nghiệp vụ. Hơn nữa, đơn vị cần phải đảm bảo hiệu quả việc kết nối CNTT với cơ quan quản lý, với Tổng công ty VSDC, các thành viên giao dịch, các doanh nghiệp phát hành, các nhà đầu tư, cộng đồng qua Internet…

“Do đó, Sở GDCK Việt Nam khi hoạt động, điều hành phải đảm bảo đáp ứng tốt các yêu cầu cao, an toàn hệ thống cũng như đảm bảo an toàn thông tin các giao dịch…”, ông Nguyễn Quang Thương nhấn mạnh.

Và thực tế để làm được điều này, đơn vị luôn xác định những thách thức về mặt đảm bảo an toàn thông tin (ATTT) là điều luôn diễn ra có tính chất bất ngờ, phức tạp, đó là: Thách thức về việc xuất hiện nhiều công nghệ mới; nhân lực ATTT hạn hẹp; tấn công mạng ngày càng tinh vi; các phần mềm độc hại chứa sức mạnh tấn công làm tê liệt hệ thống CNTT, mất dữ liệu…

Trước những khó khăn, thách thức đó, Sở GDCK Việt Nam xác định muốn an toàn, hiệu quả hoạt động, đơn vị đã chủ động thực hiện việc: Tuân thủ quy định pháp lý trong việc đảm bảo ATTT; tuân thủ chính sách về đảm bảo ATTT; triển khai giải pháp kỹ thuật; nâng cao nhận thức; chuẩn bị nguồn lực…

Đặc biệt, Sở GDCK Việt Nam đã thực hiện việc: Tuân thủ các quy định pháp lý về CNTT (Luật An toàn thông tin mạng 2015; Luật An ninh mạng 2018; Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 quy định hoạt động giám sát an toàn hệ thống thông tin; Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 quy định về điều phối, ứng cứu sự cố ATTT mạng trên toàn quốc; Xây dựng hồ sơ cấp độ và lộ trình phương án đảm bảo ATTT cho các hệ thống CNTT theo cấp độ tương ứng …).

Và ngoài việc nhận thức đúng đắn để thực hiện các nội dung quan trọng nêu trên, Sở GDCK luôn xác định muốn nâng cao hiệu quả công việc của lĩnh vực chứng khoán trong thời gian tới cần phải tập trung hơn cho những nhiệm vụ như: Phân chia hệ thống CNTT thành các phân vùng mạng khác nhau theo mục đích công việc; tách biệt hệ thống kiểm thử và hệ thống sản xuất; quản lý truy cập từ xa; quản lý truy cập từ hệ thống mạng nội bộ; quản lý mạng không dây; trang bị hệ thống phòng chống mã độc, phần mềm gián điệp tập trung.

Cùng với đó, Sở GDCK Việt Nam thường xuyên rà soát, quét lỗ hổng bảo mật phần mềm ứng dụng trước khi vận hành. “Đảm bảo đẩy mạnh quy trình định kỳ thực hiện đánh giá rủi ro ATTT mạng, hiệu quả các biện pháp điều phối, xử lý, ứng cứu sự cố ATTT, từ đó đảm bảo ATTT nhiều lớp…”, ông Nguyễn Quang Thương nhấn mạnh.

Chưa dừng lại, ông Nguyễn Quang Thương còn cho rằng giải pháp đảm bảo ATTT còn cần tập trung vào việc định kỳ cập nhật các bản vá lỗi, đồng thời, đẩy mạnh việc đào tạo nguồn nhân lực CNTT thường xuyên và đầu tư các phần mềm bảo vệ hệ thống từ các đơn vị công nghệ uy tín…

Không thể thiếu 3 yếu tố

Cũng nêu các quan điểm đảm bảo an toàn, hiệu quả cho các hệ thống CNTT, ông Nguyễn Công Quang cho rằng, việc thực hiện theo các yêu cầu của các văn bản được ban hành đối với công tác đảm bảo ATTT luôn phải được thực hiện thường xuyên, nghiêm túc, có đánh giá, tổng kết.

“Đặc biệt, chú trọng tập trung đẩy mạnh việc thực hiện nhiệm vụ theo các văn bản quy định, hướng dẫn của Chính phủ, trong đó có các văn bản do Bộ TT&TT đã ban hành về các nội dung công tác chuyển đổi số nói chung, công tác an toàn an ninh mạng nói riêng”, ông Nguyễn Công Quang nhấn mạnh.

Cũng theo ông Nguyễn Công Quang, giải pháp đảm bảo ATTT hiện nay cần dựa trên 3 yếu tố: Nhân lực, chính sách và trang thiết bị CNTT.

Phân tích sâu về các yếu tố này, ông Nguyễn Công Quang cho rằng, đối với vấn đề nguồn nhân lực cần: Có tuyển dụng cán bộ làm công tác đảm bảo ATTT phải có trình độ, chuyên ngành phù hợp với vị trí tuyển dụng; đảm bảo duy trì số lượng nhân lực CNTT chuyên trách về bảo mật, ATTT; liên tục tập huấn, đào tạo các cán bộ về bảo đảm an toàn hệ thống.

Về chính sách, cần đảm bảo thực hiện, áp dụng theo quy chế về quản lý và sử dụng hệ thống CNTT; quy trình theo dõi, sao lưu và cập nhật hệ thống CNTT; quy trình vận hành và xử lý sự cố hệ thống CNTT; quy trình bảo hành, sửa chữa và bảo trì hệ thống CNTT; quy trình lưu trữ, chuyển đổi; quy định kiểm soát truy cập cơ sở dữ liệu nghiệp vụ và giám sát hạ tầng CNTT; quy chế bảo mật an ton an ninh mạng…

Cuối cùng đối với trang thiết bị CNTT cần sử dụng, áp dụng: Các thiết bị tường lửa lớp mạng; thiết bị tường lửa cơ sở dữ liệu (CSDL) (database firewall); hệ thống giám sát hạ tầng tập trung HP OpenView; hệ thống lưu và phân tích LOG tập trung sử dụng giải pháp phần mềm giám sát an ninh mạng Splunk; hệ thống quản lý quyền truy cập đặc quyền PAM (một giải pháp bảo mật danh tính giúp bảo vệ các tổ chức trước các mối đe dọa trên mạng bằng cách giám sát, phát hiện và ngăn chặn quyền truy nhập đặc quyền trái phép vào các tài nguyên quan trọng - NV); tích hợp chữ ký số trong các giao dịch với các thành viên.

Cũng theo Nguyễn Công Quang, việc áp dụng các công nghệ mới chính là một xu hướng, xu thế số cần áp dụng và VSDC đã là đơn vị tiên phong ứng dụng, thực hiện. Trong hiện tại và tương lai, để đảm bảo các thành quả số, hướng đến phát triển, VSDC sẽ triển khai, đẩy mạnh phương án bảo đảm ATTT theo cấp độ 4 đã được Bộ Tài chính phê duyệt; định kỳ kiểm tra, đánh giá ATTT hệ thống mạng; xây dựng phương án ứng cứu sự cố ATTT mạng; phòng, chống phần mềm độc hại.

Như vậy, có thể nói với các quan điểm chia sẻ cùng các giải pháp được nhấn mạnh từ đại diện Sở GDCK Việt Nam và VSDC một lần nữa cho thấy công tác ATTT luôn quan trọng, không thể thiếu trong mỗi nhóm ngành, nhất là ngành tài chính.

Và quan trọng hơn chúng ta thấy rõ những tích cực, sự chủ động của công tác ATTT đã được triển khai và đây sẽ là nhân tố quan trọng để tạo ra các giá trị số, nâng cao năng lực số đối với các dịch vụ tài chính chất lượng, ổn định, bền vững./.