9. Kết cấu của Luận văn
3.2.1Chính sách KH&CN làm thay đổi nhận thức về vấn đề AT&BM
Trong thời gian chiến tranh, việc đảm bảo AT&BM luôn được Đảng và Nhà nước coi trọng và là một nhân tố quan trọng giúp chúng ta đánh thắng
63
trong các cuộc chiến tranh dành độc lập dân tộc và bảo vệ tổ quốc. Trong thời kỳ sau chiến tranh, vấn đề phát triển kinh tế trở thành một mục tiêu chủ chốt, vấn đề AT&BM trong một thời gian đã bị sao lãng, đặc biệt trong các hoạt động kinh tế - xã hội. Tuy chưa có những con số thống kê chính xác những thiệt hại do lộ lọt thông tin nhưng chúng ta có thể khẳng định lượng thông tin bị lộ lọt là tương đối và những tổn thất không phải là nhỏ.
Trước năm 2004 có rất nhiều những Dự án về HTTT đã không quan tâm đến vấn đề AT&BM trong quá trình thiết kế. Nhiều Dự án chỉ đưa vấn đề AT&BM vào sau khi Hệ thống đã được thiết kế, thi công xong, thậm chí có những Dự án sau khi đưa vào vận hành mới đặt ra vấn đề này. Với những Dự án đó thì dù có được bổ sung thêm, độ AT&BM vẫn khó được đảm bảo trong khi chi phí lại tốn kém hơn nhiều so với lượng đầu tư nếu được đưa vào ngay từ đầu. Những vấn đề này xuất phát chính từ nhận thức, kiến thức của người quản lý trong Hệ thống. Nhận thức không đúng nên đầu tư trang thiết bị, nhân lực, chính sách AT&BM cũng chưa đúng.
Nhằm khắc phục những thiếu sót trong vấn đề AT&BM, nhiều văn bản của Nhà nước đã được ban hành. Điều đó đã tác động đến nhận thức về vai trò của công tác AT&BM trong các HTTT. Có thể thấy những năm trở lại đây đầu tư cho AT&BM đã tăng bình quân hàng năm khoảng 30%, khoảng thời gian từ 2004 trở về trước thì con số này là không đáng kể.
Một số tổ chức đã được thành lập nhằm chia sẻ kinh nghiệm trong lĩnh vực AT&BM và tổ chức thực hiện các chính sách trong lĩnh vực này như Hiệp hội An toàn thông tin (VNISA) vào tháng 11/2007, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) vào tháng 12/2005,... trong đó VNCERT có chức năng điều phối các hoạt động ứng cứu sự cố máy tính trên toàn quốc, cảnh báo kịp thời các vấn đề về an toàn mạng máy tính, xây dựng,
64
phối hợp xây dựng các tiêu chuẩn kỹ thuật về an toàn mạng máy tính, đồng thời còn có nhiệm vụ thúc đẩy hình thành hệ thống các trung tâm ứng cứu khẩn cấp máy tính CERT trong các cơ quan, tổ chức, doanh nghiệp; là đầu mối thực hiện hợp tác với các tổ chức CERT nước ngoài. Đây là một cột mốc hết sức đáng ghi nhớ của giới bảo mật Việt Nam. Lần đầu tiên, Việt Nam có một trung tâm ở tầm quốc gia chuyên trách xử lý sự cố, điều phối các vấn đề an ninh mạng của quốc gia và có khả năng hợp tác quốc tế trong lĩnh vực này.
Nhiều Dự án hạ tầng phục vụ cho AT&BM ở tầm quốc gia đã được triển khai như: Dự án Phòng Thí nghiệm trọng điểm An toàn thông tin, VNCERT, các hệ thống Hạ tầng cơ sở khoá công khai (PKI) phục vụ cho khu vực kinh tế - xã hội (khu vực không thuộc phạm vi bí mật quốc gia) và khu vực Đảng, Nhà nước (khu vực thuộc phạm vi bí mật quốc gia) đã được triển khai... Các Dự án này tạo thành nền tảng quan trọng cho việc tạo nên và triển khai các sản phẩm AT&BM tại nước ta hiện nay. Trên nền tảng các Dự án này, nhiều dự án đảm bảo AT&BM cho các HTTT lớn đã được triển khai và đưa vào vận hành một cách đồng bộ và hiệu quả.
Công tác đào tạo nguồn nhân lực AT&BM tại các trường Đại học cũng đã được chú trọng để ngày càng được nâng cao cả về chất lượng và số lượng. Nhiều Hội thảo quốc tế về vấn đề AT&BM thường niên được tổ chức liên tục ở nước ta trong những năm vừa qua thu hút sự quan tâm của Chính phủ, các nhà quản lý của Ban Chỉ đạo quốc gia về CNTT, một số Bộ, ngành, các thành viên của VNISA cùng các cán bộ CNTT của các cơ quan, doanh nghiệp trong nước cũng như các chuyên gia của nhiều Hãng cung cấp sản phẩm AT&BM hàng đầu trên thế giới. Mới đây, Banking Vietnam lần thứ 10 đã được tổ chức tại Hà Nội vào tháng 05/2009, trong đó, một trong bốn chủ đề là “AT&BM trong hoạt động Ngân hàng 24/7/365” nhưng vấn đề AT&BM trong lĩnh vực ngân hàng xuất hiện trong gần hết các báo cáo của các diễn giả; Ngày An toàn
65
thông tin do Hiệp hội An toàn thông tin và VNCERT sẽ phối hợp tổ chức hàng năm,…
Xây dựng chính sách AT&BM trong các cơ quan tổ chức cũng dần được quan tâm đúng mức. Nhận thức được tầm quan trọng trong việc áp dụng ISO 2001, cuối năm 2008 tại Hà Nội, Tổng cục Tiêu chuẩn Đo lường Chất lượng đã phối hợp với tổ chức ISO tổ chức diễn ra Hội thảo về “Hệ thống quản lý an ninh thông tin theo chuẩn ISO” với sự tham gia của hơn 70 đại biểu là các nhà quản lý, các chuyên gia đến từ một số quốc gia phát triển và từ các cơ quan, tổ chức, doanh nghiệp của Việt Nam.
Tháng 02/2006 Tổng cục Tiêu chuẩn Đo lường Chất lượng đã ban hành tiêu chuẩn TCVN 7562:2005 (tương đương ISO/IEC 27001:2005). Ngay sau đó, một số đơn vị cung cấp dịch vụ tư vấn cấp chứng nhận ISO 27001 đã có mặt tại Việt Nam như: BVC, TUD NORD...
Những hoạt động này góp phần cùng các văn bản quy phạm pháp luật đề cập đến lĩnh vực AT&BM đã ban hành đã tác động lên nhận thức của các tổ chức, cá nhân trong xã hội về vai trò quan trọng của AT&BM trong các HTTT, đảm bảo để AT&BM trở thành một thuộc tính của Hệ thống và các sản phẩm AT&BM là thành phần không thể thiếu được trong Hệ thống này. Điều này đã được thể hiện là gần đây hầu hết các Dự án xây dựng các HTTT trong các tổ chức đều đã chú ý đến khía cạnh AT&BM và tỷ trọng đầu tư cho AT&BM cũng ngày càng được tăng lên.
Bên cạnh tác động dương tính mà các chính sách mang lại như đã kể trên thì còn một số điểm sau cần quan tâm:
- Nguồn chi phí về nguồn nhân lực và vật chất đầu tư cho các tổ chức chuyên nghiệp ở tầm quốc gia như: hệ thống VNCert, hạ tầng PKI quốc gia,... để phục vụ cho các vấn đề AT&BM rất lớn và ngày càng tăng.
66
Thực tế, trong xã hội vẫn còn nhiều vấn đề cần bàn về nhận thức đối với AT&BM. Khi nói đến AT&BM cho một HTTT, chúng ta không thể chỉ quan tâm đến một khâu, một mắt xích nào đó trong HTTT mà phải quan tâm một cách tổng thể. Một HTTT có n mắt xích, trong đó có (n-1) mắt xích được đảm bảo AT&BM nhưng chỉ có một mắt xích yếu thì cả HTTT có độ AT&BM yếu. Với quan điểm như vậy thì vấn đề nhận thức về AT&BM cũng cần phải mang tính tổng thể, không thể chỉ giới hạn trong một phận. Nhận thức về AT&BM hiện nay mới chỉ thực sự chuyển biến ở khâu kỹ thuật còn khâu sử dụng, quản lý thì hầu như vẫn còn bỏ ngỏ và sự hiểu biết còn rất hạn chế. Nhiều nhà lãnh đạo các tổ chức chỉ nghĩ đến việc đầu tư phần cứng mà xem nhẹ việc quản trị Hệ thống đó như thế nào để Hệ thống đó có thể vận hành an toàn. Vì vậy, xuất hiện tình trạng lỏng lẻo về AT&BM dễ bị hacker lợi dụng. Bên cạnh đó, còn có nguyên nhân từ phía ý thức của người dùng không nghiêm túc thực hiện các quy định về AT&BM. Chẳng hạn, hiện vẫn còn nhiều người đăng ký sử dụng Internet mà vẫn giữ nguyên mật khẩu do nhà cung cấp dịch vụ khởi tạo. Chính vì những điều tưởng như nhó bé đó lại có ảnh hưởng rất tiêu cực đối với AT&BM của HTTT.
- Tính chuyên nghiệp về AT&BM trong các tổ chức ở nước ta hiện nay còn yếu. Nhiều khi vấn đề AT&BM được hiểu biết rất hời hợt, mang tính hình thức, có khi mang tính phong trào chứ không xuất phát từ thực trạng của tổ chức. Việc ứng dụng không liên tục, chỉ triển khai khi có dự án, hết dự án thì cũng dừng. Triển khai thường phiến diện, không tổng thể, chỉ giới hạn ở một bộ phận. Rất ít các tổ chức đạt một chứng chỉ nào đó về AT&BM chẳng hạn như chứng chỉ ISO 17799 hay ISO 27001, còn đối với các tổ chức nhà nước thì mới chỉ có một tổ chức công bố đạt một chuẩn AT&BM cho HTTT. Điều này ở các nước phát triển hay ngay tại một số nước Asean thì cũng khác với nước ta. Họ đã nhận thức rõ ràng việc tuân theo chuẩn và đạt được chứng
67
nhận đạt chuẩn đồng nghĩa với việc tổ chức của họ được tin cậy hơn, công việc kinh doanh cũng thuận lợi hơn, sức cạnh tranh của doanh nghiệp cũng tốt hơn. Đây chính là một khoảng trống mà chính sách KH&CN về lĩnh vực AT&BM còn chưa để ý tới trong thời gian qua.
Như vậy, có thể thấy chính sách KH&CN đã tác động lên nhận thức về AT&BM của nhiều tổ chức hoạt động ở nhiều lĩnh vực khác nhau. Bên cạnh những tổ chức thấy được tầm quan trọng của vấn đề này đã đầu tư thích đáng và biết cách phòng ngừa rủi ro thì còn nhiều đơn vị chưa có nhận thức đúng mức nên đã chưa phân bổ tài nguyên phù hợp (chi phí cho thiết bị cũng như con người). Việc ứng dụng mang tính phong trào hay ứng dụng không liên tục như đã phân tích ở trên không những không mang lại hiệu quả cho Hệ thống mà đã dẫn đến lãng phí trong đầu tư của Nhà nước cũng như của chính các tổ chức, doanh nghiệp...