DIỄN ĐÀN PHÂN LOẠI DỮ LIỆU THÚC ĐẨY HIỆU QUẢ SỬ DỤNG ĐIỆN TỐN ĐÁM MÂY TRONG KHU VỰC CƠNG TRẦN ĐĂNG QUANG, NGUYỄN QUANG ĐỒNG Viện Nghiên cứu Chính sách Phát triển Truyền thơng (IPS) Điện tốn đám mây nhìn nhận giải pháp công nghệ đem lại nhiều giá trị việc quản trị khai thác liệu không khu vực tư nhân mà với quan nhà nước Để tận dụng tối đa giá trị sức mạnh đám mây, yêu cầu đặt việc phân loại liệu cho sử dụng tài nguyên công nghệ thông tin vừa đảm bảo an toàn, phù hợp với mức độ quan trọng liệu, vừa tiết kiệm chi phí Bởi vậy, số phủ giới ban hành sách, chiến lược chiến lược ưu tiên điện toán đám mây, số quy định sử dụng sở hạ tầng khu vực cơng luật phủ số; đó, đặc biệt phải kể đến sách phân loại liệu Số - Tháng 2/2022 10 11 Số - Tháng 2/2022 DIỄN ĐÀN Điện toán đám mây q trình xây dựng phủ số Cách tiếp cận số quốc gia giới định hướng chiến lược sách cho phủ số nhấn mạnh vai trò sở hạ tầng liệu khu vực công việc quản trị, khai thác, bảo vệ liệu phủ đảm bảo quyền riêng tư chủ thể liệu mà khu vực công nắm giữ Hai số sáu cấu phần để xây dựng phủ số theo cách tiếp cận tổ chức World Bank cho liệu chia sẻ khu vực công cần thống nhất, phủ số cần có sở hạ tầng phủ chia sẻ Trong số giải pháp công nghệ phục vụ cho việc quản trị lưu trữ liệu, điện toán đám mây trở thành giải pháp nhiều quốc gia ưu tiên áp dụng Theo đó, số quốc gia Hoa Kỳ, Vương quốc Anh, Úc ban hành Chính sách Ưu tiên điện toán đám mây yêu cầu quan, tổ chức đánh giá độ an toàn hiệu sử dụng dịch vụ cơng nghệ điện tốn đám mây thực khoản đầu tư phải chứng minh giải pháp thay tối ưu chi phí an ninh Bên cạnh đó, đạo luật phủ số hướng tới quy định việc sử dụng sở hạ tầng, hệ thống cơng nghệ thơng tin an tồn quan phủ, đảm bảo tảng phù hợp để cung cấp dịch vụ công trực tuyến đến người dân Bởi vậy, trình xây dựng luật phủ số Việt Nam, quan có liên quan nghiên cứu, tìm hiểu đưa quy định điều chỉnh phù hợp liên quan đến việc sử dụng sở hạ tầng, đặc biệt hạ tầng điện toán đám mây Lợi ích điện tốn đám mây khu vực cơng Trong năm gần đây, nhận thấy vai trò điện tốn đám mây q trình hoạt động, tăng cường tính ổn định, thúc đẩy lực cơng nghệ thơng tin, phủ quốc gia phân bổ quỹ nguồn lực để thúc đẩy việc áp dụng đám mây quan phủ Ví dụ: Hoa Kỳ, Quốc hội thông qua Đạo luật đại hóa cơng nghệ Chính phủ năm 2017, thành lập Quỹ đại hóa cơng nghệ trị giá 500 triệu đô la để cải thiện CNTT tăng cường an ninh mạng tồn phủ liên bang, bao gồm để “… chuyển đổi hệ thống công nghệ thông tin kế thừa sang điện toán đám mây…” Tương tự, Liên minh châu Âu tạo Euro Cloud trung tâm đổi đám mây toàn châu Âu Nhật Bản xây dựng Đám mây Số - Tháng 2/2022 Kasumigaseki để tích hợp tốt nguồn thơng tin quan phủ.1 THỊ TRƯỜNG ĐIỆN TỐN ĐÁM MÂY: Trên tất lĩnh vực, công ty trung bình chi 20,4% ngân sách CNTT vào điện tốn đám mây, đó, phủ quốc gia chi 22% quyền địa 20,6% Thị trường điện tốn đám mây phủ tồn giới định giá khoảng 21 tỷ USD vào năm 2017 dự kiến tăng trưởng khoảng 15,4% giai đoạn 2018-2023 Đám mây cơng cộng mơ hình triển khai lớn nhất, chiếm khoảng 7,7 tỷ USD năm 2017 dự kiến vượt 17,8 tỷ USD vào năm 2023.2 Nhờ vào việc sử dụng điện toán đám mây, Chính phủ nước giới thu lợi ích đáng kể giá trị kinh tế nâng cao chất lượng hoạt động cung ứng dịch vụ cơng, đảm bảo an ninh, an tồn thơng tin Về chi phí, điện tốn đám mây hoạt động theo mơ hình th bao, nghĩa người sử dụng trả cho dịch vụ sử dụng; đó, cơng nghệ giúp cắt giảm đáng kể chi phí vận hành, bảo trì sở hạ tầng nội chi phí hoạt động khác nhờ vào việc tận dụng tài nguyên nhà cung cấp dịch vụ đám mây Như vậy, thay phải sở hữu bảo trì trung tâm liệu máy chủ vật lý, quan phủ tiếp cận dịch vụ cơng nghệ lượng điện tốn, lưu trữ sở liệu cần thiết Ví dụ tại Hoa Kỳ, việc sử dụng điện toán đám mây đã được đặt yêu cầu bắt buộc quan nhà nước khu vực cơng Theo đó, Quận King, quận tiểu bang Washington, cần giải pháp hiệu tiết kiệm chi phí để thay hệ thống lưu dựa băng sử dụng để lưu trữ thông tin 17 quan khác quận tạo Bởi vậy, quyền quận sử dụng điện toán đám mây AWS để đáp ứng tiêu chuẩn bảo mật liên bang quy định Dịch vụ Thơng tin Tư pháp Hình Từ đó, quận tiết kiệm khoảng triệu USD năm thay máy chủ lỗi thời dự kiến tiết kiệm khoảng 200.000 USD hàng năm cách giảm chi phí hoạt động liên quan đến lưu trữ liệu.3 Todd Bernhard, How the Public Sector Benefits from the Cloud, CloudCheckr, https:// cloudcheckr.com/cloud-security/public-sector-benefits/ Todd Bernhard, How the Public Sector Benefits from the Cloud, CloudCheckr, https:// cloudcheckr.com/cloud-security/public-sector-benefits/ https://aws.amazon.com/vi/solutions/case-studies/king-county/ 12 Khơng giống mơ hình lưu trữ thơng thường, điện toán đám mây cung cấp cho người dùng linh hoạt để tăng giảm dung lượng lưu trữ liệu tùy thuộc nhu cầu sử dụng Ngoài ra, quan phủ dễ dàng triển khai ứng dụng, dịch vụ công tảng cơng nghệ thơng tin sẵn có, từ đáp ứng mục tiêu lấy người dân làm trung tâm Ví dụ, tiểu bang California Hoa Kỳ dự kiến hoàn thiện Hệ thống phúc lợi tự động toàn tiểu bang California (CalSAWS)4, hệ thống xây dựng dựa đám mây, để để hỗ trợ hệ thống tích hợp toàn tiểu bang vào năm 2023, tiết kiệm cho tiểu bang tới 30 triệu USD năm 58 quận bang California dựa vào CalSAWS xác định công dân đủ điều kiện nhận hỗ trợ hình thức tiền mặt, tem thực phẩm, bảo hiểm y tế lợi ích cơng cộng khác Một khó khăn q trình dịch chuyển lên mây lo lắng tính an tồn, bảo mật; đặc biệt khu vực công – quan nắm giữ nhiều thông tin cá nhân Tuy nhiên, điện tốn đám mây đảm bảo an tồn có cơng cụ bảo mật cụ thể thông báo cho người dùng hành vi đáng ngờ Các nhà cung cấp dịch vụ sử dụng chế bảo vệ khác cầu lửa mạng, mã hóa khách hàng kiểm soát, v.v Đặc biệt, so với giải pháp lưu trữ chỗ nay, thiết bị bị lỗi, sở y tế tồn liệu ứng dụng mình, đó, điện tốn đám mây tự động hóa tạo lưu tùy chọn khôi phục Bài toán việc sử dụng hiệu điện toán đám mây q trình xây dựng phủ số Việt Nam Để tận dụng lợi ích điện toán đám mây giải vấn đề an tồn thơng tin, bên cạnh việc ban hành Chính sách Ưu tiên Đám mây để có phương hướng sử dụng công nghệ cách hiệu quả, nhiều quốc gia giới ban hành nguyên tắc phân loại liệu theo mức độ nhạy cảm kết hợp với yêu cầu bảo mật tương ứng nhằm chống lại đe dọa hành tiềm ẩn an ninh quốc gia liệu bị xâm phạm Mặc dù Việt Nam bước thừa nhận vai trị quan trọng điện tốn đám mây chiến lược chuyển đổi số quốc gia đưa việc sử dụng điện toán đám mây trở thành ưu tiên khu vực công; nhiên, Việt Nam chưa có quy định tiêu chuẩn, điều kiện để phân loại liệu nhằm nâng cao giá trị sử dụng khối liệu công, phân quyền tiếp cận liệu biện pháp sử dụng tài nguyên công nghệ thông tin cách hợp lý Phân loại liệu sử dụng nhiều thập kỷ để giúp tổ chức bảo vệ liệu nhạy cảm quan trọng với mức độ bảo vệ thích hợp Bất kể liệu xử lý lưu trữ hệ thống chỗ truyền thống hay đám mây, việc phân loại liệu điểm khởi đầu để trì tính bảo mật (và có khả tính tồn vẹn tính khả dụng) liệu dựa mức độ ảnh hưởng rủi ro liệu Nói cách khác, phân loại liệu coi vấn đề xuyên suốt có ảnh hưởng đối vấn đề khác bảo vệ liệu cá nhân, liệu mở, sử dụng sở hạ tầng số, mà điển hình cơng nghệ điện tốn đám mây: - Đối với vấn đề bảo vệ liệu cá nhân, việc phân loại giúp phủ đưa biện pháp phù hợp nhằm tránh gây “tắc nghẽn” dòng chảy liệu xuyên biên giới - Đối với liệu mở, việc phân loại liệu mở theo tính chất nhạy cảm liệu cở sở để phủ mở liệu cấp độ khác - Đối với việc sử dụng sở hạ tầng số, việc phân loại liệu giúp phủ đưa định sử dụng công nghệ phù hợp cho việc lưu trữ liệu, lựa chọn lưu trữ liệu chỗ sử dụng điện tốn đám mây cơng cộng hay đám mây riêng tư Mỗi cấp độ phân loại liệu phải liên kết với tập hợp biện pháp kiểm soát bảo mật để cung cấp bảo vệ thích hợp chống lại lỗ hổng, mối đe dọa rủi ro tương ứng với cấp độ bảo vệ định Theo nghiên cứu Hiệp hội Điện toán đám mây châu Á (ACCA), quốc gia thường phân loại mức độ nhạy cảm liệu theo 03 04 mức độ Ở cấp độ thấp liệu nhạy cảm; nhiên, liệu có dung lượng lớn chiếm từ 80-85% lượng thông tin, liệu phủ Các cấp độ tăng dần tương ứng với tính nhạy cảm liệu cao dung lượng thấp dần Dựa cách phân loại này, phủ quan Accenture, CalSAWS takes first step in cloud journey, https://www.accenture.com/us-en/ case-studies/public-service/calsaws-cloud-journey?src=SOMS 13 Phân loại mức độ nhạy cảm dung lượng liệu – Nguồn: ACCA Số - Tháng 2/2022 DIỄN ĐÀN Kinh nghiệm phân loại liệu Philippines khu vực cơng đưa đáng giá lựa chọn mơ hình đám mây phù hợp Việc phân loại liệu cấp độ xác quan trọng an ninh quốc gia, tiết kiệm chi phí hoạt động hiệu quan phủ Ngược lại, việc phân loại liệu mức độ không phù hợp với mục đích “chỉ để an tồn” khơng hợp lý dẫn đến tác động nghiêm trọng, làm tăng độ phức tạp việc lưu trữ, xử lý truyền liệu dẫn đến suy yếu tổng thể bảo mật cách dàn trải hệ thống phịng thủ tổ chức nhóm hệ thống liệu rộng nhiều so với mức cần thiết Việc phân loại mức gia tăng thêm chi phí thực biện pháp kiểm sốt, trì sở hạ tầng, hạn chế tính sẵn có quyền tiếp cận liệu chủ thể, quan quyền Trên giới, số quốc gia ban hành sách để phân loại liệu theo mức độ nhạy cảm kết hợp với yêu cầu bảo mật tương ứng, ví dụ Úc, Vương quốc Anh, Philippines Đây ví dụ mà Việt Nam tham khảo học hỏi để xây dựng khung sách phân loại liệu phù hợp Kinh nghiệm phân loại liệu Úc Từ năm 2018, Úc ban hành sách phân loại thơng tin theo mức độ nhạy cảm với mục tiêu đưa sở Số - Tháng 2/2022 đánh giá xác mức độ nhạy cảm phân loại bảo mật thông tin áp dụng quy tắc đánh dấu, xử lý, lưu trữ hủy bỏ thông tin nhằm chống lại xâm phạm bất hợp pháp Theo đó, thơng tin phủ nắm giữ phân theo cấp độ sau5: (1) Thông tin không thức (Unofficial): thơng tin khơng có ảnh hưởng kinh doanh không gây thiệt hại bị xâm phạm (2) Thơng tin thức (Official): có mức độ ảnh hưởng kinh doanh thấp, không gây thiệt hại không đáng kể bị xâm phạm (3) Thông tin thức nhạy cảm (Official Sensitive): có mức độ ảnh hưởng kinh doanh thấp tới trung bình, gây thiệt hại định đến lợi ích quốc gia, tổ chức cá nhân (4) Thông tin cần bảo vệ (Protected): có mức độ ảnh hưởng kinh doanh cao, gây thiệt hại đến lợi ích quốc gia, tổ chức cá nhân (5) Thơng tin bí mật (Secret): có mức độ ảnh hưởng kinh doanh cao, gây thiệt hại nghiêm trọng đến lợi ích quốc gia, tổ chức cá nhân (6) Thơng tin tuyệt mật (Top Secret): có mức độ ảnh hưởng kinh doanh nghiêm trọng, gây thiệt hại đặc biệt nghiêm trọng đến lợi ích quốc gia, tổ chức cá nhân Attorney-General’s  Department  (2018 – 20219),  PSPF  policy  8:  Sensitive and classified information.  14 Năm 2020, theo tuyên bố Bộ Công nghệ Thông tin Truyền thơng (DICT), Chính phủ Philippines nhận thấy tầm quan trọng công nghệ thông tin trạng thái “bình thường mới” đại dịch COVID-19, họ sửa đổi Chính sách Ưu tiên Đám mây năm 20176 để cung cấp hướng dẫn rõ ràng phạm vi sách, phân loại liệu bảo mật liệu đảm bảo quan Chính phủ triển khai dịch vụ điện tốn đám mây với tiêu chuẩn tồn cầu từ nâng cao lực cạnh tranh Chính phủ Về phân loại liệu, sửa đổi quy định 04 cấp độ nhạy cảm liệu yêu cầu quan thuộc Chính phủ phải lựa chọn mơ hình dịch vụ đám mây phù hợp đám mây riêng, đám mây công cộng, đám mây lai mà lưu nước hay nước dựa phân loại liệu với việc xem xét nhu cầu cụ thể tổ chức, chi phí sử dụng đặc tính khả cho phép kiểm sốt, bảo mật, khả mở rộng đám mây Bốn cấp độ nhạy cảm liệu bao gồm: (1) Dữ liệu Chính phủ nhạy cảm cao (Highly Sensitive Government Data): lưu xử lý đám mây cần thiết trường hợp quan sử dụng đám mây riêng lưu “tại chỗ” liền với yêu cầu mã hóa theo tiêu chuẩn bảo vệ cao liệu nhạy cảm tương đối nhạy cảm (2) Dữ liệu Chính phủ tương đối nhạy cảm (Above Sensitive Government Data): lưu xử lý đám mây công cộng nhà cung cấp dịch vụ uy tín lưu “tại chỗ” dùng Philippines GovCloud Theo đó, Philippines GovCloud đám mây riêng Chính phủ Philippines Bộ Công nghệ Thông tin Truyền thơng xây dựng vận hành (3) Dữ liệu Chính phủ nhạy cảm (Sensitive Government Data): lưu đám mây cơng cộng “tại chỗ” nước ngồi lưu Philippines GovCloud (4) Dữ liệu Chính phủ không nhạy cảm (Non-Sensitive Government Data): bao gồm liệu mở, liệu truy cập cơng khai, liệu chưa phân loại liệu tương tự lưu xử lý đám mây nhà cung cấp dịch vụ đám mây uy tín nước nước sử dụng Philippines GovCloud Như vậy, học hỏi từ kinh nghiệm quốc gia giới Úc hay Philippines, liệu Chính phủ nên phân chia theo mức độ nhạy cảm quan trọng từ thấp, trung bình đến cao (như mơ hình kim tự tháp), tránh phân chia nhỏ, vụn liệu dẫn đến khó quản trị Trong đó, Philippines, DICT Department Circular No 010, s 2020: Amendments to Department Circular No.2017-002 liệu có mức độ nhạy cảm thấp thuộc loại cho phép chia sẻ công khai để thực sách liệu mở nên lưu trữ đám mây cơng cộng, liệu có mức độ nhạy cảm trung bình cao cần cân nhắc để lưu đám mây riêng Đề xuất, khuyến nghị tiếp cận sách cho Luật Chính phủ số Việt Nam Trên sở đánh giá kinh nghiệm giới thực tiễn chuyển đổi số khu vực công Việt Nam, mặt định hướng, Luật Chính phủ số cần có chế định riêng cho phần liệu khu vực công, định hướng lựa chọn công nghệ cho hạ tầng số Thứ nhất, mặt tiếp cận công nghệ, cần dứt khoát xác định, điện toán đám mây hạ tầng ưu tiên cao cho vấn đề liên quan đến liệu Điều đồng nghĩa, sở liệu quốc gia, sở liệu ngành, sở liệu địa phương cần định hướng xây dựng, vận hành tảng đám mây Nguyên tắc này, xác định luật, giúp định hướng đầu tư hạ tầng hạ tầng công nghệ thơng tin liệu, theo đó, chấm dứt yêu cầu mua sắm, thuê trung tâm liệu vật lý để "chuyển dịch" (migrate) lên đám mây Thứ hai, mặt thực thi, để tiết kiệm chi phí, cần có hướng dẫn cụ thể phân loại liệu làm tảng cho việc “dịch chuyển” liệu tác vụ lên hệ thống đám mây Như kinh nghiệm từ quốc gia khác, phân loại liệu đặc biệt quan trọng, làm sở cho việc bảo vệ tốt liệu; đồng thời làm cho lựa chọn "hạ tầng" phù hợp Không thiết liệu tác vụ nên triển khai đám mây riêng Chính phủ, điều gây tốn chi phí khơng cần thiết Chỉ liệu cần thiết, nhạy cảm cần ưu tiên vận hành đám mây riêng Phân loại liệu, cần thiết đưa vào luật, hình thức nguyên tắc định hướng, kèm với phân cấp liệu theo mức độ quan trọng nhạy cảm Trên sở điều khoản Luật, Chính phủ ban hành hướng dẫn chi tiết riêng nghiệp vụ phân loại liệu Thứ ba, cần bổ sung thiết chế “cán liệu” (data chief officer) chuyên trách quan đầu mối quản lý chuyển đổi số quan trọng Trên sở tạo vị trí cơng việc - “Cán liệu” – đóng vai trị “kiến trúc sư trưởng” cho việc hoạch định, điều phối sách kế hoạch cụ thể bộ, ngành địa phương tiến trình “chuyển dịch” lên “đám mây” nói riêng tồn tác nghiệp liên quan đến quản lý, khai thác, bảo vệ, lưu trữ liệu số khu vực nhà nước nói chung.n 15 C Số - Tháng 2/2022 ... điều kiện để phân loại liệu nhằm nâng cao giá trị sử dụng khối liệu công, phân quyền tiếp cận liệu biện pháp sử dụng tài nguyên công nghệ thông tin cách hợp lý Phân loại liệu sử dụng nhiều thập... sử dụng sở hạ tầng, đặc biệt hạ tầng điện tốn đám mây Lợi ích điện tốn đám mây khu vực cơng Trong năm gần đây, nhận thấy vai trị điện tốn đám mây q trình hoạt động, tăng cường tính ổn định, thúc. .. quốc gia liệu bị xâm phạm Mặc dù Việt Nam bước thừa nhận vai trò quan trọng điện toán đám mây chiến lược chuyển đổi số quốc gia đưa việc sử dụng điện toán đám mây trở thành ưu tiên khu vực cơng;