Chính phủ đã chủ động trong các hoạt động như: thẩm định ANM; đánh giá điều kiện ANM; kiểm tra ANM; giám sát ANM; ứng phó, khắc phục sự cố ANM; đấu tranh bảo vệ ANM. Để bảo vệ thông tin mạng, các cơ quan, tổ chức, cá nhân tăng cường sử dụng các biện pháp kỹ thuật theo dõi, giám sát ANM như sử dụng hệ thống tường lửa, kiểm soát truy nhập, kiểm soát lưu lượng mạng. Trong quá trình thực thi trách nhiệm, các chủ thể này đã xác định các mối đe dọa gây sự cố ảnh hưởng đến ANM để ngăn chặn, yêu cầu tạm ngừng, ngừng cung cấp thông tin mạng; đình chỉ, tạm đình chỉ các hoạt động thiết lập, cung cấp và sử dụng mạng viễn thông, mạng internet, sản xuất và sử dụng thiết bị phát, thu phát sóng vô tuyến theo quy định của pháp luật; yêu cầu xóa bỏ thông tin trái pháp luật hoặc thông tin sai sự thật trên KGM xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
Pháp luật về an ninh mạng chỉ có thể được bảo đảm thi hành khi các cơ quan, tổ chức, cá nhân tích cực thực hiện trách nhiệm, nghĩa vụ pháp lý theo quy định. Các nguyên tắc bảo vệ ANM được các cơ quan, tổ chức, cá nhân thực hiện nghiêm túc.
Bộ Công an đã chủ động phối hợp với Bộ Quốc phòng, Bộ Thông tin và Truyền thông trong phòng ngừa, phát hiện, ngăn chặn, đấu tranh, làm thất bại hoạt động sử dụng KGM tuyên truyền phá hoại tư tưởng, kích động biểu tình, âm mưu lật đổ chính quyền nhân dân của các thế lực thù địch, phản động, chống đối. Bộ Tư lệnh tác chiến KGM (Bộ Tư lệnh 86) đã phối hợp với Bộ Công an, Bộ Thông tin và Truyền thông triển khai thực hiện bảo vệ an toàn, an ninh các hệ thống thông tin quan trọng quốc gia; phối hợp với các đơn vị chức năng thuộc Bộ Quốc phòng, Bộ Công an trong đấu tranh phòng chống tội phạm mạng; nghiên cứu hoàn thiện Công ước Liên Hợp Quốc về đấu tranh với tội phạm mạng.
chủ động thực hiện những hoạt động tích cực mà pháp luật về ANM quy định như phối hợp với Bộ Công an, Bộ Quốc phòng, các bộ và cơ quan ngang bộ trong điều phối ứng cứu các sự cố mạng, tấn công mạng; chủ động rà quét KGM, giám sát, phát hiện, cảnh báo về sự cố, lỗ hổng, mã độc, botnet, APT và các tấn công mạng khác; kiểm tra, rà quét lỗ hổng, mã độc và đánh giá mức độ ATTT cho các hệ thống thông tin; phân tích, điều tra mã độc và hướng dẫn phòng chống, xử lý; tổ chức đào tạo, huấn luyện, diễn tập về ATTT mạng. Ngoài ra, Bộ còn tư vấn tổ chức hoạt động các đội ứng cứu sự cố mạng, tư vấn về giải pháp, chiến lược, kế hoạch, dự án bảo đảm ATTT mạng; hỗ trợ ngăn chặn, hạn chế thư rác, tin nhắn rác; cung cấp các dịch vụ về ATTT mạng.
Bộ Thông tin và Truyền thông đẩy mạnh công tác đánh giá, thống kê đồng thời đẩy mạnh tuyên truyền, cảnh báo để người dùng nhận biết, phòng tránh khi tham gia hoạt động trên KGM bằng việc phát hành cuốn “Cẩm nang bảo đảm an toàn thông tin trong đại dịch Covid-19” hướng dẫn người dùng mạng các kỹ năng an toàn về làm việc từ xa, học trực tuyến, giải trí khi kết nối trực tuyến và Bộ Quy tắc ứng xử trên mạng xã hội năm 2021 áp dụng cho cơ quan nhà nước, cán bộ, viên chức, người lao động trong các cơ quan nhà nước sử dụng mạng xã hội; tổ chức, cá nhân khác sử dụng mạng xã hội; nhà cung cấp dịch vụ mạng xã hội tại Việt Nam.
Bộ Thông tin và Truyền thông đã xây dựng được mạng lưới giám sát ATTT mạng. Trong đó, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) triển khai khoảng 30 điểm giám sát tập trung để giám sát các hệ thống, dịch vụ công nghệ thông tin như cổng thông tin điện tử, hệ thống thư điện tử, hệ thống mạng người dùng,... hỗ trợ đảm bảo ATTT cho Văn phòng Chính phủ, Báo điện tử Đảng Cộng sản, Trung tâm dữ liệu của Hà Nội, Vĩnh Phúc,... VNCERT hiện là mắt xích quan trọng trong mạng lưới ứng cứu sự cố toàn cầu, có kết nối với tất cả các tổ chức an toàn mạng khu vực, hỗ trợ nhiều
nước như Hoa Kỳ, Nhật Bản,... ngăn chặn các cuộc tấn công mạng có nguồn gốc xuất phát từ Việt Nam.
Năm 2018, Bộ Thông tin và Truyền thông tiến hành thẩm định và xếp hạng ATTT mạng của các cơ quan, tổ chức nhà nước đối với 27 Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ (trừ Bộ Thông tin và Truyền thông, Bộ Công an, Bộ Quốc phòng) và 63 tỉnh, thành phố trực thuộc Trung ương.
Kết quả đánh giá xếp hạng ATTT mạng của các cơ quan, tổ chức nhà nước được chia làm 5 mức như sau:
- Mức A: Đã quan tâm triển khai ATTT ở mức tốt - Mức B: Đã quan tâm triển khai ATTT ở mức khá
- Mức C: Đã quan tâm triển khai ATTT ở mức trung bình - Mức D: Mới bắt đầu quan tâm đến ATTT
- Mức E: Chưa quan tâm đến ATTT [106].
Nhiều cơ quan nhà nước triển khai các biện pháp ATTT mạng chỉ dừng ở mức trung bình, xếp hạng ở mức C. Không có cơ quan nào đạt mức tốt (mức A).
Khảo sát của Bộ Thông tin và Truyền thông về đào tạo nguồn nhân lực ANM cho thấy, đến hết năm 2018, tỉ lệ cơ quan, tổ chức có kế hoạch đào tạo, tập huấn kỹ năng về ATTT mạng là 41,2%, tỉ lệ cơ quan, tổ chức có tổ chức hoặc cử cán bộ tham gia các khóa đào tạo về ATTT mạng là 60,1%, trong đó 57% cơ quan, tổ chức định kỳ tuyên truyền, phổ biến nâng cao nhận thức của người sử dụng về an ninh, ATTT [13, tr.34]. Những con số này nói lên kỹ năng của nhiều bộ phận trọng yếu, nắm quyền kiểm soát nhiều hệ thống thông
tin quan trọng còn hạn chế.
Các chủ thể là các cơ quan có thẩm quyền thi hành pháp luật về ANM đã ban hành một số văn bản hướng dẫn thi hành pháp luật về ANM như: Năm 2016, Chính phủ đã ban hành Nghị định 108/2016/NĐ-CP quy định chi tiết điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng. Năm 2020, Chính phủ ban hành Nghị định 15/2020/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử. Bộ Thông tin và Truyền thông đã ban hành Thông tư 03/2017/TT-BTTTT quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ; Thông tư 12/2019/TT-BTTTT sửa đổi, bổ sung một số điều của Thông tư số 27/2017/TT-BTTTT ngày 20/10/2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước. Bộ Công an ban hành Thông tư 38/2020/TT-BCA ngày 17/4/2020 quy định về công tác bảo vệ bí mật nhà nước, trong đó quy định máy tính dùng để đăng ký tài liệu, vật chứa bí mật nhà nước không được nối mạng internet. Bộ Công an đã chủ trì nghiên cứu, dự thảo một số văn bản hướng dẫn thi hành văn bản quy phạm pháp luật về ANM như Nghị định quy định chi tiết một số điều của Luật An ninh mạng, Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực ANM,... Trên cơ sở xác định thi hành Luật An ninh mạng năm 2018 là một trong những nhiệm vụ tiên quyết trong đảm bảo THPL về ANM, ngày 01/02/2019, Thủ tướng Chính phủ đã ban hành Quyết định số 12/QĐ-TTg ban hành Kế hoạch triển khai thi hành Luật An ninh mạng, tổ chức các Hội nghị quán triệt, phổ biến tới các bộ, ngành chức năng, UBND tỉnh, thành phố trực thuộc Trung ương, các đối tượng tác động của Luật An ninh mạng để người dân nhận thức và thực hiện nghiêm túc.
nhân người dùng đã chuyển biến theo hướng tích cực, thể hiện rõ trong việc bảo đảm các dịch vụ công trực tuyến thực thi quy định pháp luật về ANM trong xây dựng Chính phủ điện tử, tiến tới Chính phủ số. Trên cơ sở nhận thức tầm quan trọng của thi hành pháp luật về ANM đối với dịch vụ trực tuyến; có hệ thống mạng, nhưng thiếu thẩm định, kiểm tra, giám sát thường xuyên dẫn đến xảy ra nhiều trục trặc, sự cố khiến các tổ chức, doanh nghiệp, cá nhân người dùng không mặn mà tương tác sử dụng dịch vụ trực tuyến,... là lực cản quá trình xây dựng Chính phủ điện tử. Thời gian qua, Bộ Công an phối hợp với các bộ, ngành liên quan nhanh chóng xây dựng kế hoạch, biện pháp để triển khai thi hành pháp luật về ANM, nhiều dịch vụ trực tuyến như hải quan, thuế, đăng ký doanh nghiệp,... có chuyển biến tích cực, hạn chế được trục trặc, cải thiện sự tương tác và ANM được bảo đảm. Đến quý I/2017, đã hình thành một hệ thống quản lý văn bản điện tử thống nhất, thông suốt từ trung ương đến địa phương, cho phép tự động nhận biết được trạng thái xử lý văn bản giữa các cơ quan [98].
Biểu đồ 3.1: Chỉ số xếp hạng tăng trƣởng chính phủ điện tử của Việt Nam giai đoạn 2003-2020
Nguồn: Publicadministration.un.org.
Về cung cấp dịch vụ công trực tuyến, 20 bộ, ngành đã triển khai thực hiện 78/83 dịch vụ công trực tuyến. Trong tổng số 44 dịch vụ công trực tuyến giao cho các địa phương, năm 2017 đã có 32/63 địa phương đã triển khai thực
hiện [98]. Đến tháng 3/2020, tỷ lệ sử dụng dịch vụ công trực tuyến tăng 24%, trong khi tỷ lệ này tính từ khi bắt đầu triển khai đến cuối năm 2019 trong gần 20 năm mới đạt 12% [99]. Tuy nhiên, tình hình sử dụng dịch vụ công trực tuyến của các doanh nghiệp còn chưa cao (Phụ lục 03).
Ngoài ra, thi hành pháp luật về ANM còn được tiếp cận dưới góc độ kỹ thuật. Theo nghĩa này, thi hành pháp luật về ANM được hiểu là bắt buộc áp dụng các biện pháp đảm bảo an toàn cho KGM vật lý đã xác định gồm thiết bị, cơ sở dữ liệu, cơ sở hạ tầng. Các tài nguyên vật chất của hệ thống mạng phải được đảm bảo đúng yêu cầu, quy định của pháp luật về ANM. Các chủ thể bảo vệ ANM đã đánh giá, nhận diện các nguy cơ mất ANM có nguyên nhân từ yếu tố kỹ thuật và có biện pháp thi hành các quy định kỹ thuật để bảo vệ ANM, bao gồm:
Lỗ hổng bảo mật: Khi một máy tính trong hệ thống bị khai thác, kẻ tấn công có thể chiếm quyền kiểm soát toàn bộ hệ thống máy tính. Lỗ hổng bảo mật tồn tại ở các sơ hở của hệ thống, trong các ứng dụng và ở ngay bản thân cá nhân người dùng. Đến nay đã xác định các loại lỗ hổng bảo mật có trong hệ điều hành, trong các ứng dụng và trong chính sách bảo mật.
Số thứ tự Tên phần mềm Nhà phát triển Số lỗ hổng
1 Android Google 523
2 Debian Linux Debian 327
3 Ubuntu Linux Ubuntu 278
4 Flash Player Adobe 266
5 Leap Novell 260
6 Opensuse Novell 228
7 Acrobat Reader Dc Adobe 277
8 Acrobat Dc Adobe 277
9 Acrobat Adobe 224
10 Linux Kernel Linux 217
Bảng 3.1: 10 sản phẩm phần mềm phổ biến hàng đầu có nhiều lỗ hổng bảo mật nhất năm 2016 theo tham chiếu của hệ thống CVSS
Nguy cơ xuất hiện từ phần cứng thiết bị mạng: các thiết bị mạng là nơi chuyển tiếp và phân phối các nguồn tin bên trong mạng và bên ngoài mạng. Nguy cơ xuất hiện từ môi trường truyền dẫn có/không dây: môi trường truyền dẫn có dây là môi trường chính tạo nên mạng internet trên thế giới hiện nay. Tín hiệu được truyền từ nơi gửi đến nơi nhận qua hệ thống dây dẫn gồm cáp thẳng, cáp xoắn, cáp quang. Các vụ gián điệp mạng chủ yếu xuất phát từ môi trường cáp xoắn. Đối với cáp quang, cơ quan có thẩm quyền đã phát hiện nhiều vụ phá hoại mang tính vật lý, kỹ thuật do đặc điểm dễ uốn cong, gẫy làm mất đường truyền, làm sai lệch tín hiệu giữa hai điểm kết nối của loại cáp này. Môi trường truyền dẫn không dây: từ các trạm trung chuyển, tín hiệu được phát, được lan truyền bằng cơ chế wifi, bluetooth, di động, vệ tinh. Hiện WAP (Wifi protected Access) đã thay thế WEP (wired equivalent Privacy) nhờ bảo mật mạnh hơn. Hiện nay, phổ biến là công nghệ RFID (Radio Frequency Identification). Tuy nhiên, dữ liệu lưu trữ ở đây dễ bị nghe lén, nghe trộm vì không sử dụng mã hóa dữ liệu truyền hoặc mã hóa yếu.
Cơ quan, tổ chức, doanh nghiệp sử dụng cơ sở hạ tầng vật lý mạng được đáp ứng tốt nhất theo khả năng cho phép với các biện pháp đảm bảo an toàn cho hệ thống truyền dẫn, các thiết bị kết nối. Đối với các trang thông tin điện tử quan trọng có số lượng truy cập lớn áp dụng quản lý ATTT số theo Tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2009 và chính sách về ANM, an ninh thông tin theo Tiêu chuẩn quốc tế ISO 27000 và ISO 9002. Đồng thời, chú trọng kiểm tra, giám sát chéo về ANM nhằm phát hiện sớm các đe dọa, rủi ro và các hành vi vi phạm để kịp thời xử lý.
Trong nỗ lực thi hành Chỉ thị 14 ngày 7/6/2019 của Thủ tướng Chính phủ về tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam, các bộ, ngành, địa phương triển khai đầy đủ mô hình 4 lớp bảo đảm ATTT gồm: lực lượng tại chỗ; tổ chức hoặc doanh nghiệp giám sát, bảo vệ chuyên nghiệp; tổ chức hoặc doanh nghiệp độc lập kiểm tra, đánh
giá định kỳ; kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia của Bộ Thông tin và Truyền thông. Kết quả năm 2020, các chủ thể (Bộ Thông tin và Truyền thông, các bộ, cơ quan ngang Bộ, UBND cấp tỉnh) đã đưa tỷ lệ đảm bảo ATTT của Việt Nam theo mô hình 4 lớp từ 0% trong năm 2019 lên 100% vào cuối năm 2020. Báo cáo xếp hạng an toàn, an ninh mạng toàn cầu (GCI) 2020 được Liên minh viễn thông quốc tế (ITU) công bố Việt Nam đứng vị trí thứ 25/194 quốc gia, vùng lãnh thổ được xếp hạng, thứ 7 trong khu vực châu Á - Thái Bình Dương và thứ 4 khu vực ASEAN.