Áp dụng tiêu chuẩn để hạn chế tấn công mạng tại các công ty viễn thông

Mới đây, để không xảy ra vụ tấn công mạng tương tự như vụ tấn công vào công ty viễn thông lớn thứ hai đất nước là Optus, Australia sẽ đặt ra tiêu chuẩn tối thiểu về an toàn mạng buộc các công ty viễn thông phải tuân thủ.

Bộ trưởng Nội vụ Australia Clare O’Neil cho biết, vì viễn thông là hạ tầng cơ sở thiết yếu của Australia nên các công ty hoạt động trong lĩnh vực này cần phải báo cáo cho Chính phủ chiến lược đảm bảo an ninh mạng, giống như những gì mà các công ty năng lượng, bệnh viện và các cảng ở nước này đang làm.

Vì nằm trong lĩnh vực hạ tầng cơ sở thiết yếu nên các công ty viễn thông tại Australia cũng cần đáp ứng các tiêu chuẩn chặt chẽ về an ninh mạng. Australia sẽ ban hành điều luật để đảm bảo rằng các công ty viễn thông phải đáp ứng các tiêu chuẩn về an ninh mạng và đưa ra nhiều biện pháp nhằm bảo vệ người dân Australia và các dữ liệu của họ. Đồng thời, chính phủ Australia cũng yêu cầu các công ty viễn thông xây dựng kế hoạch kiểm soát rủi ro, xây dựng các phương án dự phòng để có thể duy trì các dịch vụ thiết yếu khi xảy ra sự cố.

Bộ trưởng Clare O’Neil cho biết, phát tán mã độc là loại hình tội phạm phát triển nhất tại Australia hiện nay. Loại hình tội phạm này ảnh hưởng đến mọi doanh nghiệp và rất nhiều người dân Australia. Tuy vậy, vấn đề này sẽ không thể được khắc phục nếu vụ việc được giấu kín. Vì thế, Australia sẽ lần đầu tiên yêu cầu người dân nước này báo cáo với cơ quan chức năng khi thực hiện việc chi trả tiền chuộc liên quan đến các cuộc tấn công bằng mã độc để có thể phối hợp ngăn chặn các vụ việc tương tự xảy ra trong tương lai.

Australia thắt chặt các biện pháp quản lý các công ty viễn thông trong việc đảm bảo an ninh mạng sau khi tin tặc tấn công vào công ty viễn thông lớn thứ 2 nước này là Optus vào năm ngoái và đánh cắp thông tin của khoảng 10 triệu khách hàng, trong đó có nhiều thông tin cá nhân và thông tin nhạy cảm. Trong vụ việc này chính quyền Australia ở thế bị động khi không có thẩm quyền và cơ chế để buộc Optus công bố đầy đủ thông tin về vụ việc. Vì vậy, việc ban hành các quy định mới sẽ buộc các công ty viễn thông tại Australia phải quan tâm hơn đến việc đảm bảo an ninh mạng đồng thời có trách nhiệm giải trình với chính phủ khi trở thành nạn nhân của vụ tấn công mạng.

Liên quan tới vấn đề an toàn thông tin mạng, tại Việt Nam theo Khoản 1 Điều 2 Luật An ninh mạng 2018 quy định điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia:

Căn cứ vào các quy định bảo vệ an ninh mạng, bảo vệ bí mật nhà nước, bí mật công tác, tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng và các tiêu chuẩn kỹ thuật chuyên ngành khác có liên quan, chủ quản hệ thống thông tin quan trọng về an ninh quốc gia xây dựng các quy định, quy trình, phương án bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia do mình quản lý.

Theo đó, nội dung các quy định, quy trình, phương án về bảo vệ an ninh mạng phải quy định rõ hệ thống thông tin và thông tin quan trọng cần ưu tiên bảo vệ; quy trình quản lý, kỹ thuật, nghiệp vụ trong sử dụng, bảo vệ an ninh mạng đối với dữ liệu, hạ tầng kỹ thuật; điều kiện về nhân sự làm công tác quản trị mạng, vận hành hệ thống, bảo đảm an ninh, an toàn thông tin mạng và hoạt động soạn thảo, lưu trữ, truyền đưa bí mật nhà nước qua hệ thống thông tin; trách nhiệm của từng bộ phận, cá nhân trong quản lý, vận hành, sử dụng; chế tài xử lý những hành vi vi phạm.

Điều kiện về nhân sự vận hành, quản trị hệ thống, bảo vệ an ninh mạng: Nhân sự phụ trách về vận hành, quản trị hệ thống và bảo vệ an ninh mạng phải có trình độ chuyên môn về an ninh mạng, an toàn thông tin mạng, công nghệ thông tin; có cam kết bảo mật thông tin liên quan đến hệ thống thông tin quan trọng về an ninh quốc gia trong quá trình làm việc và sau khi nghỉ việc. Có cơ chế hoạt động độc lập về chuyên môn giữa các bộ phận vận hành, quản trị, bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.

Điều kiện bảo đảm an ninh mạng đối với thiết bị, phần cứng, phần mềm là thành phần hệ thống: Các thiết bị phần cứng là thành phần hệ thống phải được kiểm tra an ninh mạng để phát hiện điểm yếu, lỗ hổng bảo mật, mã độc, thiết bị thu phát, phần cứng độc hại bảo đảm sự tương thích với các thành phần khác trong hệ thống thông tin quan trọng về an ninh quốc gia. Các thiết bị quản trị phải được cài đặt hệ điều hành, phần mềm sạch, có các lớp tường lửa bảo vệ. Hệ thống thông tin xử lý bí mật nhà nước không được kết nối với mạng Internet và hàng loạt các quy định chặt chẽ khác...

An Dương (T/h)