Trong những năm gần đây, chuyển đổi số văn phòng tại các cơ quan, tổ chức đã có những chuyển biến rất tích cực và rõ nét. Vấn đề cấp bách cần đặt ra là an toàn an ninh thông tin như thế nào để không ảnh hưởng trong quá trình chuyển đổi số.
Tại sao cần quan tâm đến an toàn thông tin trong chuyển đổi số?
Việc ứng dụng công nghệ thông tin, đặc biệt là các ứng dụng trí tuệ nhân tạo (AI), xử lý dữ liệu lớn (Big Data), kết nối vạn vật (IoT), điện toán đám mây (Cloud)… là trong số những nền tảng tạo nên hệ sinh thái số. Trong bối cảnh đó, ngoài thay đổi tư duy, nhận thức trong quan điểm và hành động của cá nhân và tổ chức, nội dung quan trọng cần phải thực hiện đó là số hóa thông tin (dữ liệu, quy trình) để chuyển đổi số một cách toàn diện, đồng bộ. Khi thực hiện số hóa thông tin từ trạng thái vật lý thành thông tin số, mọi dữ liệu quan trọng sẽ được quản lý, khai thác trên nền tảng kỹ thuật số. Điều đó khiến cho vấn đề an toàn an ninh thông tin của cơ quan, tổ chức trở nên thật sự quan trọng, đặc biệt là các dữ liệu nhạy cảm.
Những rủi ro, thách thức đối với an toàn thông tin trong chuyển đổi số văn phòng
Chuyển đổi số văn phòng là một xu hướng tất yếu, mang lại nhiều lợi ích cho công tác quản lý, điều hành và phục vụ người dân. Tuy nhiên, quá trình chuyển đổi này cũng đặt ra nhiều rủi ro và thách thức đối với an toàn thông tin khi mọi dữ liệu của cơ quan tổ chức được số hóa và đưa lên quản lý, khai thác trên môi trường số.
Dưới đây là một số rủi ro, thách thức với an toàn thông tin trong chuyển đổi số văn phòng:
+ Rò rỉ thông tin quan trọng, thông tin nhạy cảm: Việc số hóa thông tin có thể tạo ra nguy cơ lớn về rò rỉ thông tin quan trọng, thông tin nhạy cảm nếu không có các biện pháp bảo mật đủ mạnh. Dữ liệu văn bản, hồ sơ cán bộ viên chức chức và các tài liệu quan trọng có thể bị tiết lộ hoặc bị đánh cắp.
+ Nguy cơ từ người dùng (lãnh đạo, cán bộ viên chức): Chuyển đổi số công tác văn phòng đòi hỏi sự thay đổi về thói quen và hành vi của người dùng. Cán bộ viên chức chủ yếu tập trung vào các hoạt động chuyên môn, không có nhiều cơ hội được đào tạo đầy đủ về kiến thức và kỹ năng an toàn thông tin. Điều này có thể dẫn đến những sai sót, thiếu an toàn trong sử dụng hệ thống công nghệ thông tin. Ví dụ: Sử dụng mật khẩu dễ đoán, chia sẻ tài khoản, sử dụng các phần mềm độc hại, truy cập vào các liên kết thiếu an toàn… Từ đó sẽ gây ra các lỗ hổng tạo cơ hội cho các đối tượng tấn công và khai thác thông tin của cơ quan tổ chức và cán bộ viên chức, người lao động. Ngoài ra, nguy cơ mất an toàn thông tin đến từ việc phân cấp phân quyền sử dụng hệ thống. Nếu phân cấp phân quyền sai, người dùng có thể khai thác những thông tin không được phép, dẫn đến rò rỉ và mất mát thông tin, đặc biệt là thông tin quan trọng và bí mật nhà nước.
+ Nguy cơ từ các phần mềm độc hại: Các hệ thống và ứng dụng liên quan đến chuyển đổi số có thể trở thành mục tiêu xâm nhập của các phần mềm độc hại như virus, malware, ransomware, gây thiệt hại và tiềm ẩn nguy cơ mất dữ liệu. Nguy cơ này đến từ lỗ hổng bảo mật của các ứng dụng, hoặc có thể đến từ sự kém hiểu biết an toàn thông tin của người sử dụng.
+ Kỹ thuật xâm nhập và tấn công mạng: Với sự thay đổi nhanh chóng của các nền tảng công nghệ khiến cho một số hệ thống thông tin của cơ quan tổ chức có thể lộ ra những lỗ hổng bảo mật. Kẻ tấn công có chủ đích có thể sử dụng các kỹ thuật xâm nhập để tìm cách xâm nhập vào hệ thống và thu thập thông tin quan trọng. Các hệ thống thông tin có thể gặp phải các cuộc tấn công mạng như tấn công từ chối dịch vụ (DDoS), tấn công phần mềm độc hại và tấn công mạng mục tiêu (APT).
+ Sự phụ thuộc vào các nền tảng công nghệ: Các nền tảng công nghệ mới thường có nhiều lỗ hổng bảo mật chưa được phát hiện. Điều này có thể tạo cơ hội cho các đối tượng tấn công mạng khai thác, xâm nhập và đánh cắp dữ liệu. Các hệ thống công nghệ thông tin mới thường không tương thích với các hệ thống công nghệ thông tin hiện có của các cơ quan, tổ chức. Yếu tố này có thể dẫn đến những lỗ hổng bảo mật, khó khăn trong quản lý và vận hành hệ thống. Các cơ quan nhà nước thường thiếu kinh nghiệm trong quản lý và vận hành các nền tảng công nghệ mới, có thể dẫn đến những sai sót, sơ hở trong vận hành hệ thống, tạo cơ hội cho các đối tượng tấn công mạng khai thác thông tin. Nền tảng IoT (Internet of Things) là một trong số cốt lõi của chuyển đổi số, nó mang lại nhiều lợi ích vượt trội trong việc tối ưu hóa quản lý, giám sát và kiểm soát các thiết bị, nhưng nó cũng đem lại nhiều lỗ hổng bảo mật đáng lo ngại.
+ Rủi ro từ quy trình vận hành, quản lý: Các quy trình làm việc mới trên môi trường số thường chưa được xây dựng một cách chặt chẽ và hoàn chỉnh. Nói một cách cụ thể, các cơ quan tổ chức chưa xây dựng chính sách an toàn an ninh thông tin trên môi trường số một cách đầy đủ, nhất quán và chặt chẽ. Điều này có thể dẫn đến những lỗ hổng bảo mật, khó khăn trong kiểm soát và quản lý. Mặt khác, các quy trình làm việc mới thường không được thống nhất giữa các cơ quan nhà nước, có thể dẫn đến những khó khăn trong chia sẻ, trao đổi thông tin, dữ liệu, lãng phí thời gian, tài nguyên,…
Tốc độ chuyển đổi số càng thay đổi, công nghệ càng phát triển thì những đe dọa đến an toàn thông tin càng tăng lên. Với những rủi ro và thách thức đã nêu, vấn đề mất an toàn thông tin trong chuyển đổi số công tác văn phòng là điều đáng lo ngại. Vậy cần phải có những biện pháp để giảm nguy cơ mất an toàn thông tin trong chuyển đổi số, đặc biệt là trong công tác văn phòng là vấn đề cần nghiêm túc nghiên cứu và thực hiện.
Giải pháp giảm nguy cơ mất an toàn thông tin trong chuyển đổi số
Thứ nhất: Xây dựng chính sách an ninh thông tin (ANTT) của cơ quan tổ chức
Chính sách ANTT là một bộ tài liệu quy định các nguyên tắc, quy định, quy trình, biện pháp và trách nhiệm trong việc bảo vệ tài nguyên thông tin của cơ quan tổ chức. Xây dựng chính sách ANTT trong cơ quan tổ chức trong bối cảnh chuyển đổi số đòi hỏi sự cân nhắc kỹ lưỡng và tích hợp giữa quản lý, nhân sự và công nghệ.
Trước tiên, cần xác định rõ các tài nguyên thông tin cần bảo vệ của cơ quan tổ chức, bao gồm: dữ liệu, hệ thống thông tin, ứng dụng, hạ tầng CNTT, tài sản trí tuệ,… Tiếp theo, cần phân tích các rủi ro ANTT tiềm ẩn có thể xảy ra đối với các tài nguyên thông tin của cơ quan tổ chức, ví dụ: tấn công mạng, mất mát dữ liệu, lộ lọt thông tin,… Dựa trên việc xác định các tài nguyên thông tin cần bảo vệ và các rủi ro ANTT tiềm ẩn, cần xác định các biện pháp bảo vệ phù hợp. Bên cạnh đó, cần xác định rõ trách nhiệm của các bộ phận, cá nhân trong việc triển khai chính sách ANTT trong cơ quan, đơn vị, tổ chức. Và cuối cùng, xây dựng kế hoạch kiểm tra, đánh giá định kỳ để đảm bảo chính sách ANTT được triển khai hiệu quả.
Thứ hai: Đào tạo, bồi dưỡng kỹ năng an toàn thông tin cho cán bộ, viên chức
Song song với các hoạt động chuyển đổi số là kế hoạch tổ chức các lớp đào tạo, bồi dưỡng kỹ năng về an toàn thông tin. Cán bộ, viên chức trong cơ quan, tổ chức tham gia chuyển đổi số công tác văn phòng cần được đào tạo, bồi dưỡng về kỹ năng an toàn thông tin. Tuy nhiên, cần phân chia đối tượng đào tạo theo chức năng, nhiệm vụ và vị trí công tác để đảm bảo phù hợp với nhu cầu và trình độ của từng đối tượng.
Theo đó, cán bộ viên chức cần được trang bị các nội dung kiến thức: Nhận thức về an toàn thông tin; Các mối đe dọa và nguy cơ an toàn thông tin; Các biện pháp phòng ngừa và ứng phó với các mối đe dọa an toàn thông tin; Các kỹ năng thực hành an toàn thông tin. Một nội dung rất cần thiết đó là tập huấn sử dụng các nền tảng ứng dụng chuyển đổi số. Sử dụng thuần thục, hiệu quả các nền tảng là cách để hạn chế các nguy cơ mất an toàn thông tin đối với hệ thống.
Thứ ba: Đầu tư cơ sở hạ tầng và các giải pháp công nghệ
Cơ sở hạ tầng và các giải pháp công nghệ là những biện pháp kỹ thuật giúp bảo vệ thông tin của cơ quan, tổ chức tránh khỏi các mối đe dọa an ninh mạng. Một số giải pháp công nghệ phổ biến bao gồm:
- Tường lửa (Firewall): Thiết lập tường lửa (là một thiết bị phần cứng hoặc phần mềm) giúp lọc các truy cập trái phép vào hệ thống thông tin.
- Phần mềm diệt virus: Trang bị các phần mềm diệt virus giúp phát hiện và loại bỏ các phần mềm độc hại khỏi hệ thống thông tin.
- Mã hóa dữ liệu: Mã hóa dữ liệu giúp bảo vệ tính bảo mật của dữ liệu bằng cách chuyển đổi dữ liệu thành một dạng không thể đọc được trừ khi có khóa giải mã.
- Giám sát an ninh mạng: Giám sát an ninh mạng giúp phát hiện và ngăn chặn các cuộc tấn công mạng.
- Quản lý truy cập: Quản lý truy cập giúp kiểm soát truy cập vào hệ thống thông tin bằng hình thức phân quyền truy cập dữ liệu; thiết lập mật khẩu hoặc mã xác thực người dùng.
Thứ tư: Tăng cường quản lý và giám sát an toàn thông tin
Quản lý và giám sát an toàn thông tin là hoạt động quan trọng để đảm bảo việc thực thi các biện pháp an toàn thông tin. Cụ thể:
- Thường xuyên theo dõi hoạt động của các nền tảng ứng dụng nhằm phát hiện các mối đe dọa tiềm ẩn đến ATTT để đưa ra cách ứng phó kịp thời khi có sự cố xảy ra.
- Thường xuyên cập nhật phiên bản mới nhất cho các hệ thống thông tin, các phần mềm, hệ điều hành để đảm bảo vá lỗi và bịt các lỗ hổng bảo mật.
- Khi xảy ra sự cố mất an toàn thông tin, cần có các biện pháp xử lý kịp thời để giảm thiểu thiệt hại.
Tổng kết
Chuyển đổi số là xu hướng tất yếu trong bối cảnh hiện nay. Vấn đề về an toàn thông tin đối với dữ liệu của các hệ thống thông tin trong cơ quan tổ chức do văn phòng quản lý và tác nghiệp là rất quan trọng. Cần phải nâng cao nhận thức, trang bị kỹ năng và xây dựng chính sách an toàn an ninh thông tin cũng như các giải pháp về hạ tầng công nghệ là những vấn đề then chốt đảm bảo chuyển đổi số an toàn và hiệu quả.
Tác giả: ThS. Mai Ngọc Tuấn – Phân viện Học viện Hành chính Quốc gia tại TP. HCM