Những bất cập trong công tác bảo đảm an toàn thông mạng của các cơ quan, tổ chức, doanh nghiệp vừa được người đứng đầu Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thẳng thắn chỉ rõ trong chia sẻ tại hội thảo “An toàn không gian mạng Việt Nam năm 2016” với chủ đề “Phát triển đội ứng cứu sự cố CSIRT và các giải pháp bảo vệ an toàn mạng Việt Nam” vừa diễn ra tại TP.HCM đầu tháng 12/2016.

Cụ thể, theo ông Đường, bất cập đầu tiên là vấn đề nhận thức. Nhiều lãnh đạo tổ chức, doanh nghiệp chưa thực sự quan tâm và quyết liệt trong vấn đề bảo vệ ATTT. Nhiều người dùng cũng chưa có nhận thức đúng, chưa thực sự chú trọng tuân thủ các quy định về an toàn, bảo mật thông tin.

Một bất cập khác là vấn đề kinh phí đầu tư cho ATTT còn khá hạn hẹp, phần lớn được đầu tư mua sắm thiết bị, chưa chú trọng đầu tư cho con người, quy trình, dịch vụ, cho công tác dự phòng rủi ro, phương án ứng cứu.

Việc xây dựng và áp dụng các quy trình, quy định cũng còn nhiều bất cập: nhiều tổ chức, doanh nghiệp chưa chú trọng đến việc xây dựng quy trình và quy định về an toàn bảo mật thông tin; nhiều tổ chức, doanh nghiệp vẫn sử dụng các phần mềm bẻ khóa hoặc có nguồn gốc không rõ ràng, gây ra không ít lỗ hổng và nguy cơ mất ATTT mạng; số tổ chức, doanh nghiệp đầu tư xây dựng quy trình đảm bảo ATTT theo chuẩn ISO 27001 chưa nhiều hoặc có nhưng áp dụng chưa nghiêm túc, đầy đủ.

Ông Nguyễn Trọng Đường nhấn mạnh, thói quen tự cung tự cấp cũng là một bất cập. Nhiều cơ quan, tổ chức, doanh nghiệp chưa có thói quen thuê mua dịch vụ an toàn bảo mật thông tin.

“Nhiều doanh nghiệp sẵn sàng bỏ ra hàng tỷ đồng để mua 1 thiết bị, và mất thêm cả tỷ đồng mỗi năm để cập nhật phần mềm; nhưng lại rất đắn đo khi thuê dịch vụ giám sát, bảo vệ an toàn mạng với giá chỉ vài trăm triệu mỗi năm. Các doanh nghiệp đó không hiểu rằng thiết bị, phần mềm an toàn thông tin sẽ chẳng có ích gì nếu thiếu chuyên gia để khai thác, sử dụng. Mà để đào tạo và giữ được 1 chuyên gia thực sự về an toàn mạng là một việc không hề dễ dàng”, ông Đường chia sẻ.

Người đứng đầu VNCERT cho rằng, trong công tác ứng cứu sự cố cũng có những bất cập như: quy trình hợp tác, phối hợp ứng cứu, xử lý, ngăn chặn khi có sự cố còn lỏng lẻo, chưa thực sự phát huy hiệu quả; các tổ chức, doanh nghiệp cũng chưa quan tâm hoặc chưa biết cách tổ chức lực lượng ứng cứu, bảo vệ an toàn mạng cho mình; chưa có nhiều tổ chức, doanh nghiệp tìm hiểu để đăng ký tham gia mạng lưới ứng cứu sự cố quốc gia, trong đó có cả những đơn vị có hệ thống CNTT lớn như các tập đoàn, tổng công ty lớn, các tổ chức tài chính, ngân hàng;

Đặc biệt, theo đánh giá của đại diện VNCERT, nguồn nhân lực là một bất cập lớn hiện nay. Bởi lẽ, số lượng, trình độ, kỹ năng cán bộ chuyên trách về ATTT còn hạn chế; lực lượng chuyên gia thực sự về ATTT hiện nay của Việt Nam không nhiều. Đội ngũ cán bộ kỹ thuật ứng cứu sự cố còn khá mỏng, thiếu kỹ năng và tính chuyên nghiệp.

Ngoài ra, các tổ chức, doanh nghiệp cũng chưa quan tâm nhiều đến việc tổ chức và nâng cao năng lực cho các đội ứng cứu sự cố cũng như công tác đào tạo cập nhật kiến thức, nâng cao kỹ năng, huấn luyện, diễn tập.