Thực hiện Chỉ thị số 14/CT-TTg ngày 07/6/2019 của Thủ tướng Chính phủ về việc tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam, Bộ Thông tin và Truyền thông đã có công văn số 1552/BTTTT-CATTT ngày 28/4/2020 hướng dẫn các bộ, ngành, địa phương triển khai bảo đảm an toàn thông tin cho hệ thống thông tin theo mô hình 4 lớp gồm: Lực lượng tại chỗ. Tổ chức hoặc thuê doanh nghiệp giám sát, bảo vệ chuyên nghiệp. Tổ chức hoặc thuê doanh nghiệp độc lập kiểm tra, đánh giá định kỳ. Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia.

Theo thống kê của Bộ Thông tin và Truyền thông đến tháng 6/2023, công tác triển khai đảm bảo an toàn thông tin theo mô hình 4 lớp của Bộ, ngành, địa phương trên cả nước hiện còn yếu:

Lớp 1: Nhân sự chuyên trách về an toàn thông tin còn mỏng. Mỗi Bộ, ngành, địa phương trung bình có 2 đến 4 nhân sự chuyên trách an toàn thông tin. Số lượng và trình độ của nhân sự chưa đáp ứng theo chuẩn kỹ năng về an toàn thông tin do Bộ Thông tin và Truyền thông quy định theo Chỉ thị số 18/CT-TTg ngày 13/10/2022 của Thủ tướng Chính phủ.

Lớp 2: Phạm vi giám sát còn hẹp, chỉ có 28,7% hệ thống thông tin được giám sát an toàn thông tin mạng. Quy mô giám sát kỹ thuật ở mức cơ bản, chủ yếu giám sát lớp mạng. Có 36,4% Bộ, ngành và 19% địa phương tự thực hiện giám sát, trong khi năng lực của đội ngũ giám sát, bảo vệ còn thiếu và yếu.

Lớp 3: Phạm vi kiểm tra, đánh giá an toàn thông tin định kỳ chưa thực hiện cho tất cả các hệ thống thông tin thuộc phạm vi quản lý. Chỉ có 35,3% hệ thống thông tin được kiểm tra, đánh giá an toàn thông tin định kỳ. Nội dung kiểm tra, đánh giá chủ yếu tập trung vào đánh giá lỗ hổng, bảo mật, chưa đánh giá mã nguồn ứng dụng.

Lớp 4: Hoạt động kết nối, chia sẻ dữ liệu giám sát với hệ thống giám sát quốc gia tại một số cơ quan, đơn vị còn chưa đầy đủ, dữ liệu chia sẻ chưa nhiều, còn xảy ra hiện tượng mất kết nối. Hiện chỉ có khoảng 28% cơ quan duy trì kết nối thường xuyên, ổn định.

Ngay sau khi có hướng dẫn của Bộ Thông tin và Truyền thông, Bộ Tài chính đã có văn bản số 5870/BTC-THTK ngày 18/5/2020 chỉ đạo các đơn vị thuộc Bộ triển khai bảo đảm an toàn thông tin cho hệ thống thông tin theo mô hình “4 lớp”. Đến nay, Bộ Tài chính đã đáp ứng phần lớn yêu cầu đảm bảo an toàn thông tin theo mô hình 4 lớp.

Theo đó, Bộ Tài chính đã phân công trách nhiệm cho Cục Tin học và Thống kê tài chính đảm nhiệm vai trò đơn vị chuyên trách an toàn an ninh mạng của Bộ Tài chính. Đơn vị chuyên trách công nghệ thông tin trực thuộc Tổng cục đảm nhiệm vai trò đơn vị chuyên trách an toàn an ninh mạng của Tổng cục.

Các đơn vị thuộc Bộ đã thuê dịch vụ giám sát an toàn thông tin an toàn an ninh mạng chuyên nghiệp 24/7 hoặc tự thực hiện giám sát nhằm phát hiện sớm và xử lý kịp thời các hiện tượng bất thường, mã độc, tấn công có chủ đích và các mối đe dọa, tấn công mạng khác trên hệ thống mạng diện rộng, mạng nội bộ, máy chủ, máy trạm, ứng dụng, cơ sở dữ liệu.

Các đơn vị thuộc Bộ đều đã thuê dịch vụ kiểm tra, đánh giá an toàn thông tin mạng định kỳ đối với các hệ thống thông tin thuộc phạm vi quản lý, bao gồm: Đánh giá bảo mật ứng dụng; Đánh giá lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống; Đánh giá phát hiện mã độc; Đánh giá lỗ hổng bảo mật các ứng dụng Mobile App; Đánh giá lổ hổng, điểm yếu liên quan đến chữ ký số.

Bộ Tài chính đã hoàn thành thiết lập kết nối, chia sẻ thông tin giữa hệ thống giám sát an toàn an ninh mạng Bộ Tài chính với Trung tâm giám sát an toàn không gian mạng quốc gia từ năm 2021. Thông tin chia sẻ bao gồm thông tin tiếp nhận từ các hệ thống giám sát của các đơn vị thuộc Bộ Tài chính.

Tuy nhiên, theo đánh giá chung của Bộ Thông tin và Truyền thông, nhân sự chuyên trách an toàn thông tin của Bộ Tài chính vẫn còn rất thiếu so với yêu cầu của công việc. Do đó, Bộ Tài chính cũng gặp nhiều khó khăn trong việc duy trì liên tục đảm bảo an toàn hệ thống thông tin theo mô hình 4 lớp.

N.T.Lam – Phòng ATTT