ATBM ngành Tài chính: Một ngôi nhà thì cần nhiều khóa!

2010-05-10 00:00:00.0

“Gót chân Asin” ATBM ngành Tài chính

Mặc dù đã được xác định là một trong những ưu tiên hàng đầu trong phát triển ứng dụng CNTT của ngành Tài chính, song công tác ATBM thông tin ngành tài chính được ông Vũ thừa nhận là “vẫn đang bị chậm bước tiến” do vấp phải khá nhiều “lực cản”.

Hạ tầng CNTT ngành Tài chính 2009

- Hình thành hạ tầng truyền thông thống nhất cho các đơn vị trong ngành tài chính với 2 Trung tâm miền (TTM) và 62 Trung tâm tỉnh (TTT). Kết nối mạng diện rộng WAN đến 64 tỉnh (tốc độ 2Mbps) và đến 100% cấp huyện của các tỉnh, thành phố (trừ hệ thống phòng tài chính). Tại các TTM và TTT đều có hệ thống thiết bị, đường truyền dự phòng mức cao. Đến nay, 100% các ứng dụng lớn trong ngành đều chạy trên hạ tầng truyền thông; 100% các đơn vị ngành tài chính đã được kết nối internet.

- Hệ thống trang thiết bị và mạng cục bộ được thiết lập có cấu trúc đảm bảo tốt các dịch vụ nền tảng như hệ thống người dùng, hệ thống thư mục chuẩn đảm bảo hoạt động thường xuyên tại các đơn vị và trao đổi chung toàn ngành.

- Toàn ngành đã có 3.894 Máy chủ; 1.778 mạng LAN đáp ứng yêu cầu 100% đơn vị cấp tỉnh, huyện (Kho bạc, Hải quan, Thuế); Trang bị 54.975 máy PC đạt tỷ lệ trang bị máy PC/cán bộ trung bình là 0,86;

- 100% hệ thống mạng đều có hệ thống kiểm soát, giám sát an ninh (firewall- bằng thiết bị phần cứng và phần mềm), hệ thống virus đảm bảo hoạt động ổn định cho hệ thống mạng tại các đơn vị trong toàn ngành.

ATBM liên quan tới nhiều khía cạnh hoạt động của Bộ Tài chính, từ chính sách, quy trình nghiệp vụ, tổ chức, nhân sự, các hoạt động xây dựng, triển khai và vận hành hệ thống CNTT (phần cứng, phần mềm và dịch vụ triển khai). Nhưng thời gian qua, các đơn vị, hệ thống thuộc Bộ mới chỉ triển khai một số giải pháp kỹ thuật cơ bản như: an toàn hệ thống (điện, điều hoà), an toàn bảo mật mạng (tường lửa, phòng diệt virus), một số biện pháp áp dụng cho ứng dụng, dữ liệu (mã hoá dữ liệu, sao lưu dự phòng) và các biện pháp này bước đầu đã được triển khai tương đối tốt tại cấp Trung ương, trong đó, một số đơn vị đã triển khai cho cấp tỉnh (như Thuế, Hải quan, Kho bạc) và cấp huyện (Thuế, Kho bạc).

Mặc dù đã lường trước những nguy cơ rủi ro hệ thống, có sự quan tâm mạnh tới ATBM (thành lập phòng Mạng và An ninh thông tin), xây dựng đề án ATBM... nhưng theo ông Vũ vẫn có 3 “yếu điểm” được coi là “gót chân Asin” của ngành, đó là: Ngành tài chính có quá nhiều nghiệp vụ và khối lượng dữ liệu dùng chung do vậy mà việc kiểm soát các thiết bị đầu cuối truy nhập, kê xuất dữ liệu (USB, tài khoản cá nhân, tài khoản dịch vụ trực tuyến)… của người dùng hết sức khó khăn và khó kiểm soát được hành vi của người dùng cuối, nếu họ có chủ đích tấn công.

Hai là, mặc dù quy trình nghiệp vụ đối với các phòng, ban khi sử dụng hệ thống CNTT đã có đẩy đủ, nhưng việc kiểm soát vẫn hết sức khó khăn. Ông Vũ đưa ra ví dụ: một cán bộ nếu thôi việc tại Bộ tài chính sẽ phải báo cho ban CNTT để bàn giao lại những tài khoản dịch vụ được cấp (địa chỉ email; edocman…), nhưng trên thực tế nhiều đơn vị đã không tuân thủ quy định này.

Ba là, hệ thống máy chủ đã được đầu tư đồng bộ, công tác quản trị mạng đã được Cục Tin học và Thống kê tài chính thiết lập và triển khai tốt, nhưng do thiếu nhân lực trực 3 ca hệ thống máy chủ, nên sẽ rủi ro cao nếu xảy ra sự cố. Đơn cử như sự cố mất điện, nếu máy phát không kịp thời khởi động cấp điện ngay cho máy chủ, thì máy chủ bị sập là điều khó tránh khỏi.

Tuy nhiên, lường trước được những khả năng có thể xảy ra cộng với khả năng ứng phó tốt của cán bộ Cục, hệ thống máy chủ, hệ thống mạng Bộ Tài chính năm 2009 đã không để xảy ra bất cứ sự cố nào và vẫn vững vàng trước những “cuộc tấn công từ bên ngoài”.

Kịch bản những sự cố tương tự cũng đang được Cục Tin học và Thống kê tài chính xây dựng, diễn tập để năm 2010 có thể phối hợp cùng các hệ thống CNTT toàn ngành nâng cao tính sẵn sàng trước bất cứ cuộc tấn công hay rủi ro cả từ bên ngoài lẫn bên trong…

2010 - năm bản lề thực hiện nhiều dự án ATBM

Bộ tiêu chuẩn ISO 27001 cung cấp một mô hình để thiết lập, thực hiện, điều hành, theo dõi, xem xét, duy trì và cải tiến Hệ thống Quản lý An toàn Bảo mật Thông tin (ISMS: Information Security Management System). Tiêu chuẩn quy định về quản lý ATBM trong tổ chức; Hướng dẫn về thiết lập chính sách, các mục tiêu an toàn thông tin; Cách thức nhận biết và phương pháp kiểm soát các nguy cơ về ATBM của tổ chức... Lĩnh vực áp dụng ISMS nhiều nhất là viễn thông, tiếp đến là tài chính, ngân hàng, CNTT.

Nguyên tắc của ISO 27001 là liệt kê, chỉ ra tất cả các rủi ro về an ninh thông tin có thể xảy ra trong tổ chức, từ đó đánh giá và đưa ra các biện pháp khắc phục, hạn chế đến mức tối thiểu các rủi ro.

Ông Vũ cho biết, năm 2010 Cục Tin học và Thống kê tài chính sẽ tiếp tục hoàn thiện khung pháp lý (chính sách, cơ chế và kế hoạch triển khai các dự án CNTT, ATBM) để đẩy nhanh tiến độ triển khai các hệ thống ứng dụng; Đầu tư đồng bộ, kiểm soát chặt chẽ, hiệu quả các dự án CNTT; Tập trung nâng cao năng lực, chất lượng đội ngũ cán bộ triển khai. Ngoài ra, Cục Tin học và thống kê tài chính sẽ áp dụng các kỹ năng quản lý dự án trong việc phối hợp đồng bộ các nguồn lực trong triển khai; đề cao sự chỉ đạo sâu sát của lãnh đạo các cấp, phân cấp trách nhiệm trong tổ chức chỉ đạo và giám sát chặt quá trình thực hiện.

Hiện nay 12 hệ thống cơ sở dữ liệu (CSDL) đã cơ bản hoàn thiện gồm: CSDL Quản lý giá, CSDL về đầu tư xây dựng cơ bản, CSDL về hàng hoá xuất nhập khẩu, CSDL Quản lý nợ công và CSDL chuyên ngành về dự trữ quốc gia, CSDL về công ty đại chúng và CSDL về giao dịch trên thị trường Chứng khoán. Chính vì vậy hệ thống ATBM ngành Tài chính cũng đang có sự đầu tư thích đáng với các nhiệm vụ trọng tâm mới như cũng cấp thêm nhiều dịch vụ công, công tác ATBM của Bộ Tài chính được triển khai đồng bộ tới tất cả các ứng dụng CNTT từ nghiệp vụ thu ngân sách (Thuế, Hải quan); kiểm soát chi ngân sách (Kho bạc nhà nước); Quản lý công sản cho tới thanh tra, văn phòng… Trong 2 năm vừa qua, Bộ Tài chính cũng đẩy mạnh triển khai các dịch vụ công trực tuyến; liên kết các hệ thống CSDL và thông tin của ngành; xây dựng các đề án nghiệp vụ trong đó công tác ATBM luôn được coi trọng.

Trong khi đề án ATBM cũ (từ năm 2003) mới chỉ tập trung vào bảo mật mạng, chương trình phòng chống vius (tường lửa), thì trong năm 2010 một đề án ATBM tổng thể hơn sẽ được thay mới, tập trung vào bảo mật lớp chương trình ứng dụng, lớp CSDL và cao nhất là các nghiệp vụ liên qua tới con người (nên yêu cầu phức tạp hơn nhiều).

Ông Vũ phân tích: Bản thân các ứng dụng đã phải tuân thủ kiến trúc các biện pháp ATBM, tuy nhiên nguy cơ mất an toàn nghiệp vụ được các chuyên gia đánh giá nguy hiểm hơn rủi ro công nghệ đem lại. Hiện nay các chuyên gia ATBM hệ thống còn hay nhắc tới 2 nguy cơ: giao dịch nội gián và phá hoại nội bộ. ATBM không chỉ là an toàn mạng mà là ở mọi mức và cao nhất là chính sách về an toàn thông tin, bởi vậy, ATBM là công việc thường xuyên, liên tục.

Hiện nay, lãnh đạo Bộ Tài chính đã cho phép thành lập Ban Quản lý dự án ATBM, nhằm giúp rà soát nội dung triển khai ATBM thông tin của các đơn vị, đảm bảo việc triển khai các nội dung này không bị lãng phí, chệch hướng với định hướng về ATBM đề ra.

Năm 2010 với rất nhiều dự án ATBM được triển khai, Cục Tin học và Thống kê tài chính cũng sẽ nâng cao vai trò điều phối cùng các hệ thống CNTT toàn ngành xây dựng các cảnh báo, diễn tập tình huống xử lý sự cố khi máy chủ bị tấn công, quản lý hạ tầng, nguy cơ mất ATBM; xây dựng quy chế sử dụng tài nguyên mạng, sử dụng email và tài nguyên CNTT tài chính… đảm bảo tính chủ động trước những rủi ro có thể xảy ra.

Một ngôi nhà thì cần rất nhiều khóa

Ông Vũ ví công tác ATBM không khác gì ngôi nhà, một ngôi nhà thì cần rất nhiều khóa bởi có nhiều cửa khác nhau. Cửa chính thì ưu tiên bảo vệ nhiều hơn, cửa sổ thì bảo vệ dễ hơn nhưng có khi tội phạm mạng lại tấn công vào từ… cửa tum. Điều đó nói lên một thực tế, ngành Tài chính cũng như một ngôi nhà – mà lại là “ngôi nhà” liên quan đến tiền, dự trữ, ngân khố nên hay bị nhòm ngó nhất.

Có nhiều độc giả từng đặt câu hỏi vì sao ngành Tài chính không “tăng tốc” phát triển nhiều dịch vụ công cho doanh nghiệp và người dân trong khi đây là Bộ có nhiều dịch vụ liên quan tới doanh nghiệp và người dân? Thực tế, ngành Tài chính đã cung cấp một số lượng lớn dịch vụ công từ Thuế (kê khai, nộp thuế qua mạng), Hải quan (hải quan điện tử), Kho bạc (thu ngân sách qua ngân hàng)… Tuy nhiên, chính vì liên quan sát sườn đến người dân và doanh nghiệp nên độ rủi ro cũng cao hơn và lộ trình triển khai phải đảm bảo an toàn và dịch vụ tốt nhất, không thể vì thành tích mà chạy theo số lượng.

Bảo mật thông tin tài chính luôn gắn tới tiền, tới từng cá nhân người nộp thuế, tới doanh nghiệp, bởi không ai, không doanh nghiệp nào muốn thông tin tài khoản bị đánh cắp, bị tiết lộ số tiền nộp thuế, danh tính (nhất là thuế thu nhập cá nhân)… Khó là thế nên ngành tài chính quyết tâm đầu tư công nghệ, xây dựng cơ chế chính sách, quy chế ATBM hệ thống, đẩy nhanh việc đào tạo con người và hạ tầng để có thể đưa ra những dịch vụ công tốt nhất.

Mục tiêu coi người dân và doanh nghiệp là người bạn chứ không đơn thuần là khách hàng, các ứng dụng CNTT ngành Tài chính đang hướng tới những dịch vụ công tốt nhất, an toàn nhất, đồng thời đảm bảo tính thuận lợi cho người dùng.

Các chuyên gia nói về bảo mật thông tin: Bảo mật thông tin đang và sẽ tiếp tục là một điểm nóng trong ngành tài chính - ngân hàng

- Ông Nguyễn Viết Thế, Cục trưởng Cục Tin học nghiệp vụ, Tổng cục Kỹ thuật, Bộ Công an:

Theo dõi vấn đề an ninh mạng năm 2009, chúng tôi thấy, hầu hết các website của các cơ quan doanh nghiệp, tổ chức liên quan đến tiền đều bị hackers dòm ngó tấn công (Theo thống kê của BKIS, trên 60% website đã bị hacker tấn công).

Thủ thuật được sử dụng nhiều là website bị thay đổi nội dung thông tin, chiếm quyền điều khiển, thậm chí bị thay đổi tên miền, bị chiếm quyền sử dụng. Trong hướng của lây lan virus và các mã độc thì đã lây lan sang các thiết bị di động. Trên sách báo công khai cũng đã nói đến hệ thống di động bị xâm nhập. Một số thiết bị nhúng cũng đã xuất hiện lây lan virus.

Những vấn đề nóng an ninh, an toàn thông tin hệ thống chứng khoán, những rủi ro trong đầu tư ngân hàng, sàn vàng, bất động sản…là những điểm nóng. Năm 2010 được dự báo các cuộc tấn công nội gián, gián điệp kinh tế sẽ bùng phát bởi khi kinh tế phục hồi, tội phạm mạng cũng không bỏ qua cơ hội kiếm tiền khi các doanh nghiệp, tổ chức sẽ đầu tư nhiều khôi phục sản xuất kinh doanh mà lơ là đầu tư bảo mật.

- Ông Nguyễn Tử Quảng, Giám đốc BKIS:

Các đơn vị ngành tài chính đã lường được những nguy cơ mất an toàn thông tin của mình và có những sự đầu tư khác nhau. Tuy nhiên, vai trò gắn kết và điều phối công tác an toàn bảo mật thông tin cần được phối hợp chặt chẽ hơn nữa bởi nguy cơ về ATBM thông tin rất đa dạng, không chỉ là vius đơn thuần nữa mà là những phần mềm tấn công chuyên nghiệp, tổ chức tội phạm mạng đã trưởng thành hơn.

Ông Quảng cảnh báo, nếu trên các website của các cơ quan, doanh nghiệp nhất là ngành Tài chính, ngân hàng xuất hiện lỗ hổng mà không kịp thời có những bản vá, khả năng khắc phục sự cố kịp thời và khoang vùng nguy hiểm tấn công diện rộng thì từ xa, trên mạng Internet bất kỳ ở đâu người ta cũng có thể xâm nhập và kiểm soát được hệ thống website đó, tiến tới xâm nhập và kiểm soát toàn bộ hệ thống bên trong tổ chức.

Quản lý rủi ro, khái quát nguy cơ, xây dựng những kịch bản tấn công phá hoại, thường xuyên diễn tập tình huống, sử dụng các dịch vụ hỗ trợ bảo mật chuyên nghiệp và quan trọng nhất vẫn là có những quy chế quản lý, giám sát chặt chẽ con người trong tổ chức. Trước đây chúng ta hay nói tới giao dịch nội gián chứng khoán thì nay chúng ta cũng nên quen dần thuật ngữ tấn công nội gián, những giao dịch liên ngân hàng, liên ngành tài chính (Thuế - Kho bạc – Hải quan – Dự trữ) dễ dàng bị đánh sập bất cứ lúc nào nếu chúng ta mất cảnh giác.

“Phải làm gì đó tốt hơn là không làm”, nhưng nhiều đơn vị tài chính, ngân hàng phải tránh cái bẫy là dù họ sẵn sàng chi tiền nhưng nếu không biết tìm đúng đơn vị tư vấn chuyên về an ninh mạng thì kết quả là thiết bị mua về thì rất nhiều, tiền thì mất mà…vẫn bị tấn công. Hãy đặt chiến lược ATBM trong mối tương quan hệ thống tổng thể!