GCI 2017 thực hiện đánh giá, xếp hạng như thế nào?
Như ICTnews đã thông tin, Liên minh Viễn thông Quốc tế (ITU) mới đây đã công bố báo cáo về Chỉ số an toàn thông tin mạng toàn cầu (Global Cybersecurity Index - GCI) 2017.
Theo báo cáo này, Việt Nam xếp hạng 100 trong số 193 quốc gia, vùng lãnh thổ được đánh giá; xếp thứ 23/39 trong khu vực châu Á - Thái Bình Dương; và xếp thứ 9/11 trong khu vực Đông Nam Á, sau các nước Singapore, Malaysia, Thái Lan, Philippines, Brunei, Indonesia, Lào và Myanmar.
Kết quả đánh giá của ITU tại GCI 2017 cho thấy, Việt Nam chỉ có 4 tiêu chí đạt mức màu Xanh (có cơ quan, tổ chức có trách nhiệm ứng cứu sự cố an toàn mạng quốc gia; có cơ quan, tổ chức có trách nhiệm ứng cứu sự cố an toàn mạng trong khối chính phủ; có cơ quan, tổ chức chịu trách nhiệm về an toàn thông tin; và có hợp tác quốc tế về an toàn thông tin); có 2 tiêu chí đạt mức màu Vàng (có pháp lý về an toàn thông tin; có cơ quan, tổ chức chịu trách nhiệm tiêu chuẩn hóa về an toàn thông tin); các tiêu chí còn lại đều ở mức màu Đỏ.
10 quốc gia đứng đầu GCI 2017 theo thứ tự lần lượt là Singapore, Hoa Kỳ, Malaysia, Oman, Estonia, Mauritius, Úc, Georgia, Pháp và Canada. Trong đó, Singapore có tất cả các tiêu chí đánh giá đạt mức màu Xanh; Malaysia chỉ có 2 tiêu chí đánh giá đạt mức màu Vàng, còn lại đều đạt mức màu Xanh.
Trước đó, trong báo cáo GCI 2014, Việt Nam đứng tại vị trí thứ 76 trong 196 quốc gia, vùng lãnh thổ được đánh giá (được xếp hạng thứ 18 cùng 3 quốc gia khác là: Burkina Faso, Mexico và Peru - có mức độ sẵn sàng an toàn thông tin mạng tương đương nhau).
Với kết quả GCI 2017 mà ITU mới công bố, Việt Nam đã bị tụt 24 bậc về Chỉ số an toàn thông tin mạng.
Đề cập đến bản báo cáo này, Cục An toàn thông tin (ATTT) - cơ quan có chức năng tham mưu, giúp Bộ trưởng Bộ TT&TT quản lý nhà nước và tổ chức thực thi pháp luật về ATTT cho biết, cách thức thu thập thông tin xây dựng GCI 2017 gồm 3 bước. Trong đó, bước đầu tiên là tháng 11/2015, Ban Thư ký ITU gửi Thư mời đến tất cả các thành viên, đề nghị cử một đầu mối thực hiện việc cung cấp thông tin phục vụ quá trình khảo sát thông qua việc hoàn thành một danh sách các câu hỏi trực tuyến.
Tiếp đó, với bước 2, trong trường hợp thành viên có phản hồi, cung cấp thông tin đối với danh sách các câu hỏi trực tuyến (primary data collection, từ tháng 1 - 3/2016), ITU sẽ kiểm tra các câu trả lời để hướng dẫn, hỗ trợ các thành viên hoàn thiện thêm. Với trường hợp thành viên không phản hồi (secondary data collection), ITU chủ động dự thảo các câu trả lời dựa trên dữ liệu công khai và nghiên cứu trực tuyến. Dự thảo này được gửi tới quốc gia thành viên để có ý kiến và tiếp tục hoàn thiện. Ở bước 3, kết quả trả lời sẽ được gửi cho quốc gia thành viên có ý kiến cuối cùng trước khi được coi là chính thức và sử dụng cho việc phân tích, đánh giá, xếp hạng.
GCI 2017 được thực hiện đối với 193 quốc gia, vùng lãnh thổ; trong đó có 134 thành viên có phản hồi và 59 thành viên không phản hồi. Tại khu vực châu Á - Thái Bình Dương, có 25 thành viên có phản hồi và 13 thành viên không phản hồi. GCI 2017 không liệt kê cụ thể thành viên nào phản hồi/không phản hồi trong công bố kết quả xếp hạng cuối cùng. Trước đó, tại GCI 2014, Việt Nam đã không nằm trong danh sách các nước cung cấp, phản hồi thông tin theo đề nghị của ITU.
Cũng theo nghiên cứu của Cục ATTT, về phương pháp đánh giá, GCI 2017 gồm 25 chỉ số phân thành các nhóm gắn với 5 trụ cột (pháp lý, kỹ thuật, tổ chức, xây dựng năng lực, hợp tác) và 157 câu hỏi. Phương pháp đánh giá của GCI 2017 dựa trên việc yêu cầu trả lời mỗi câu hỏi là có hoặc không (binary answer concept) để loại bỏ việc đánh giá dựa trên thành kiến hay các yếu tố chủ quan khác.
Cục ATTT nhận định, phương pháp này khác so với phương pháp của GCI 2014 (dựa trên nguyên tắc đánh giá sử dụng hệ thống 3 định mức, cho phép các câu trả lời có thể không đầy đủ, rõ ràng) và không thể so sánh được với nhau. Thêm vào đó, phương pháp đánh giá của GCI 2017 còn sử dụng trọng số đối với mỗi câu trả lời, quyết định bởi một nhóm 10-15 chuyên gia trong lĩnh vực an toàn thông tin mạng.
Cụ thể, trụ cột về pháp lý có 3 chỉ số; trụ cột về kỹ thuật có 6 chỉ số, trụ cột về tổ chức có 3 chỉ số, trụ cột về xây dựng năng lực có 8 chỉ số và số lượng chỉ số của trụ cột về hợp tác là 5. Mỗi chỉ số được đánh giá, chia thành ba mức màu: màu Đỏ – kết quả trong nhóm 33% điểm thấp nhất; màu Vàng - kết quả trong nhóm điểm từ 33% đến 65%; và màu Xanh - kết quả trong nhóm điểm từ 65% trở lên.
GCI 2017 chưa phản ánh đúng tình hình ATTT mạng Việt Nam
Nhận xét về kết quả xếp hạng tại GCI 2017, trên cơ sở nghiên cứu cách thức thu thập thông tin, phương pháp đánh giá của báo cáo mới công bố, đại diện Cục ATTT cho hay, GCI 2017 tuy được bổ sung chi tiết hơn về phương pháp đánh giá nhưng thông tin chưa đầy đủ bằng GCI 2014. Cụ thể, GCI 2014 có phần đánh giá riêng đối với mỗi quốc gia và công khai thông tin các quốc gia đã trả lời danh sách câu hỏi trực tuyến.
Bên cạnh đó, tại phiên bản hiện tại của GCI 2017, vị trí xếp hạng của Việt Nam cũng được điều chỉnh xuống thứ hạng 100 từ thứ hạng 101 tại phiên bản trước đó. Trong 10 quốc gia đứng đầu GCI 2017 có các nước Oman, Mauritius và Georgia; trong khi đó, các quốc gia này có xếp hạng phát triển Chính phủ điện tử (EGDI) theo đánh giá của Liên Hợp quốc công bố năm 2016 tương ứng là: 66, 58 và 61.
Đại diện Cục ATTT nhấn mạnh, qua nghiên cứu, đối chiếu cụ thể, Cục thấy rằng GCI 2017 chưa phản ánh đúng tình hình thực tế của Việt Nam. Đơn cử như, với trụ cột về pháp lý, Việt Nam đã có hơn 40 văn bản về ATTT mạng với văn bản cấp cao nhất là Luật ATTT mạng; các nội dung liên quan tới tội phạm mạng đã được đưa vào Bộ luật Hình sự năm 2015; có riêng một Đề án về tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về ATTT mạng (phê duyệt tại Quyết định 893 ngày 19/6/2015 của Thủ tướng Chính phủ). Tuy nhiên, tại GCI 2017, 3 chỉ tiêu trong trụ cột pháp lý của Việt Nam được đánh giá 2 mức màu Đỏ và 1 mức màu Vàng.
Cũng theo Cục ATTT, Bộ TT&TT không tiếp nhận được yêu cầu của ITU liên quan tới việc tham gia trả lời câu hỏi phục vụ GCI 2017. Vì vậy, sau khi GCI 2017 được công bố, Cục đã chủ động thực hiện việc trả lời danh sách các câu hỏi trực tuyến được gửi tới các thành viên ITU trong quá trình thu thập thông tin cho GCI 2017.
Đại diện Cục ATTT cho hay, thời gian tới, Cục sẽ phối hợp chặt chẽ hơn với ITU về việc Việt Nam không nhận được thông tin đề nghị cung cấp thông tin phục vụ GCI 2017; hoàn thiện các câu trả lời để khẩn trương gửi lại ITU. “Cục ATTT sẽ tiếp tục nghiên cứu ý nghĩa, cách thức đánh giá của GCI, có phương án, giải pháp nâng cao chỉ số xếp hạng an toàn thông tin mạng của Việt Nam theo phương pháp đánh giá của ITU”, đại diện Cục ATTT chia sẻ.
Theo Cục An toàn thông tin, GCI được đưa vào Nghị quyết 130 (Rev. Busan, 2014) Hội nghị toàn quyền của ITU về tăng cường vai trò của ITU trong các hoạt động thuộc lĩnh vực TT&TT và an toàn thông tin mạng. Mục đích của việc công bố GCI là để đánh giá hiện trạng, đồng thời thúc đẩy các quốc gia, vùng lãnh thổ trong việc tăng cường các biện pháp bảo đảm an toàn thông tin mạng; thúc đẩy hợp tác quốc tế và thúc đẩy việc trao đổi kinh nghiệm trong lĩnh vực an toàn thông tin.