Thứ năm, 02 Tháng 4 2020
TIN MỚI

An toàn bảo mật dữ liệu cho khu vực công - Kinh nghiệm của Singapore

Hinh anh bao mat thong tinTheo Thông báo ngày 27/11/2019, Văn phòng Thủ tướng Singapore đã tuyên bố chấp nhận những khuyến nghị của Ủy ban đánh giá bảo mật dữ liệu khu vực công Singapore (Public Sector Data Security Review Committee - PSDSRC) về việc phòng ngừa và ngăn chặn việc lộ, lọt dữ liệu của khu vực công ở Singapore.

Trong Thư chấp nhận các khuyến nghị của Ủy ban, Thủ tướng Singapore Lý Hiển Long đã khẳng định: “Dữ liệu là mạch máu của nền kinh kế số và của Chính phủ số. Các cơ quan nhà nước cần sử dụng và chia sẻ dữ liệu một cách đầy đủ để cung cấp tốt hơn các dịch vụ công cho người dân. Đồng thời, chúng ta cũng phải bảo vệ an toàn dữ liệu, đảm bảo quyền riêng tư cá nhân và không kìm hãm sự đổi mới sáng tạo”.

Khuyến nghị chính sách của PSDSRC

PSDSRC là tổ chức được Thủ tướng Singapore thành lập vào 31/3/2019 sau khi tại Singapore xảy ra một số vụ lộ, lọt dữ liệu thông tin trên mạng như vụ thông tin cá nhân của hơn 800.000 người hiến máu được đăng tải trên một server không chính thức hoặc vụ tin tặc đã đánh cắp thông tin cá nhân của 1,5 triệu bệnh nhân Trung tâm y tế SingHealth. Do khối lượng thông tin mà các cơ quan nhà nước nắm giữ rất lớn nên khi có những sự cố về lộ, lọt dữ liệu xảy ra, cần thiết phải có những quy định chung để các cơ quan nhà nước hành động một cách kịp thời và giảm thiểu tối đa những rủi ro có thể xảy ra.

Nhận thức được tầm quan trọng trong việc bảo vệ dữ liệu cũng như cần thiết phải có biện pháp cụ thể để ngăn ngừa các sự cố về lộ, lọt dữ liệu trong khu vực công, PSDSRC đã rà soát, thanh tra toàn diện 336 hệ thống công nghệ thông tin thuộc 94 cơ quan nhà nước Singapore và tổng hợp thành 5 khuyến nghị chính sách chính. Những khuyến nghị này đã được Chính phủ Singapore chấp nhận triển khai với lộ trình cụ thể như sau: 80% hệ thống của tổ chức khu vực công sẽ hoàn thành áp dụng vào cuối năm 2021 và 100% hệ thống sẽ hoàn thành áp dụng vào cuối năm 2023. Các khuyến nghị của PSDSRC như sau:

Một là, bảo vệ dữ liệu và phòng ngừa dữ liệu bị xâm hại: PSDSRC khuyến cáo các cơ quan Chính phủ chỉ thu thập dữ liệu khi cần thiết và thời gian lưu trữ dữ liệu cần được giới hạn; Hạn chế rủi ro cho các thiết bị lưu trữ dữ liệu bằng cách chỉ cho phép truy cập các tệp thông tin trên nền tảng dữ liệu được bảo mật an toàn và chỉ sử dụng dữ liệu cho mục đích tác nghiệp trên cơ sở cấp quyền truy cập có chọn lọc; Theo dõi thông tin và kiểm tra cách dữ liệu được truyền qua mạng; Phát hiện các hoạt động đáng ngờ thông qua các công cụ bảo vệ dữ liệu email và các công cụ ngăn ngừa việc mất dữ liệu; Bảo vệ dữ liệu lưu trữ bằng các phương pháp bảo mật, không thể sử dụng và đọc được trong trường hợp thông tin bị đánh cắp; và Dữ liệu được chia sẻ thông qua mật khẩu và mã hóa (encryption), đồng thời phải thông qua các kênh an toàn.

Hai là, phát hiện và phản ứng với những sự cố dữ liệu một cách kịp thời. Cần thiết thành lập một đầu mối liên lạc (central contact) cho khu vực công để báo cáo Chính phủ về các sự cố dữ liệu; Thành lập Văn phòng dữ liệu thuộc Chính phủ để theo dõi và phân tích các sự cố an ninh, an toàn; Chỉ định bộ phận/cơ quan IT thuộc Chính phủ để ứng phó, xử lý đối với những sự cố thông tin quy mô lớn liên quan đến nhiều tổ chức; Thiết lập khung khổ thực hiện cho tất cả các cơ quan khu vực công để kịp thời thông báo cho các tổ chức, cá nhân bị ảnh hưởng bởi sự cố dữ liệu; và Xây dựng một quy trình chuẩn để xử lý sự cố dữ liệu cũng như chia sẻ thông tin cho các bên liên quan.

Ba là, nâng cao năng lực cạnh tranh và xây dựng văn hóa về an ninh dữ liệu. Cơ quan nhà nước công cần làm rõ vai trò, trách nhiệm của từng người, bộ phận xuất hiện trong chuỗi dữ liệu; Đảm bảo tất cả các cán bộ làm việc trong khu vực công được thường xuyên cập nhật về những thông tin liên quan đến an ninh dữ liệu thông qua chương trình đào tạo, huấn luyện hàng năm; nâng cao nhận thức trong việc chia sẻ và khai thác số liệu cũng như kiến tạo một môi trường thuận lợi để các bên có thể báo cáo về các sự cố dữ liệu.

Bốn là, nâng cao vai trò, trách nhiệm trong công tác bảo vệ dữ liệu, trong đó; Tổ chức khu vực công có trách nhiệm xây dựng bộ tiêu chí về đảm bảo an ninh, an toàn dữ liệu và đi đầu trong việc triển khai áp dụng các quy tắc mạnh nhất về an toàn bảo mật thông tin; Bên thứ ba tham gia vào chuỗi thông tin khu vực công có trách nhiệm đảm bảo an toàn bảo mật dữ liệu và có thể bị xử lý hình sự nếu vi phạm quy định; Ban hành các chính sách và tiêu chuẩn của Chính phủ liên quan đến bảo vệ dữ liệu và cập nhật thông tin hàng năm.

Năm là, duy trì sự đồng bộ trong hoạt động bảo vệ dữ liệu. Để đảm bảo dữ liệu được bảo vệ một cách an toàn, Chính phủ cần chỉ định một Ủy ban điều hành Chính phủ số (Digital Government Executive Committee) phụ trách giám sát an ninh, an toàn thông tin khu vực công, thành lập một bộ phận chuyên trách về an ninh thông tin thuộc Chính phủ để xử lý các vấn đề về an ninh, an toàn dữ liệu trong khu vực công; Ngoài ra, cần chú trọng đến công tác đào tạo về công nghệ bảo mật dữ liệu cho các chuyên gia trong cơ quan nhà nước.

Theo Văn phòng Thủ tướng, những khuyến nghị trên đã được áp dụng tại một số đơn vị giữ khối lượng lớn thông tin và ghi nhận những kết quả tích cực, như một số vụ lộ, lọt thông tin mặc dù đã xảy ra nhưng hạn chế được rủi ro hoặc một số vụ lộ, lọt dữ liệu đã được phát hiện, ngăn chặn kịp thời. Bên cạnh đó, một đơn vị về an ninh dữ liệu cũng đã được thành lập trực thuộc Văn phòng Dữ liệu Chính phủ để xử lý các vấn đề về an ninh, an toàn dữ liệu công. Các khuyến nghị này được đánh giá là phù hợp với thông lệ quốc tế được áp dụng tại một số nước phát triển như Canada hay Anh, và tương xứng với các quy tắc đảm bảo an ninh, an toàn dữ liệu khắt khe nhất hiện đang áp dụng cho khu vực tài chính. Những khuyến nghị này được kỳ vọng giúp khu vực công Singapore triển khai các hành động và giải pháp kịp thời trong việc đảm bảo an ninh dữ liệu cũng như duy trì và tiếp tục phát triển để giải quyết các thách thức trong tương lai.

Hiệu quả khuyến nghị của PSDSRC - Một số trường hợp áp dụng thành công tại Singapore

(i) Vụ rò rỉ dữ liệu của hơn 1.900 học sinh Trường tiểu học Henry Park năm 2015

Một bảng tính Microsoft Excel chứa đựng thông tin chi tiết của các học sinh đã bị gửi nhầm tới 1.200 phụ huynh học sinh do nhân viên nhà trường đã không kiểm tra danh sách người nhận email. Tài liệu này chứa tên và số giấy khai sinh của tất cả 1.900 học sinh nhà trường, kèm theo tên, số điện thoại và địa chỉ e-mail của các phụ huynh học sinh. Vậy giải pháp nào được sử dụng để ngăn ngừa những sự việc tương tự như thế này? Theo khuyến nghị của PSDSRC, cần sử dụng một công cụ bảo vệ dữ liệu email để cảnh báo cho Văn phòng nhà trường rằng dữ liệu nhạy cảm có thể bị gửi ra bên ngoài.

(ii) Vụ tấn công mạng vào Trung tâm y tế SingHeath năm 2018

Đây được xem là cuộc tấn công mạng tồi tệ nhất xảy ra ở Singapore khi dữ liệu cá nhân của 1,5 triệu bệnh nhân và thông tin đơn thuốc ngoại trú của 160.000 người bị tin tặc đánh cắp vào tháng 6/2018. Thủ đoạn của tin tặc là xâm nhập vào hệ thống của SingHealth, vượt qua tường lửa và truy cập vào hệ thống mà không bị phát hiện. Để ngăn chặn những sự cố tương tự xảy ra, SingHealth đã bổ sung công cụ giám sát quyền truy cập về thông tin và đánh dấu nếu có sự truy cập trái phép. SingHealth cũng tập trung đào tạo nhân viên an ninh CNTT trong việc nhận biết các dấu hiệu bị tấn công và biện pháp xử lý; đồng thời, bổ sung thêm quy định về quản lý sự cố dữ liệu để đảm bảo rằng tất cả các sự cố nghi ngờ được báo cáo và có phản ứng kịp thời.

Đảm bảo an ninh, an toàn bảo mật - Một số hành động trong thanh toán điện tử tại Việt Nam

Nhận thức được tầm quan trọng của an ninh, an toàn mạng trong bối cảnh phát triển như vũ bão của CNTT và tình hình gia tăng hoạt động tội phạm sử dụng công nghệ cao trong hoạt động ngân hàng với nhiều thủ đoạn tinh vi, phức tạp, thời gian qua, Ngân hàng Nhà nước (NHNN) luôn quan tâm, chỉ đạo sát sao công tác đảm bảo an ninh, an toàn các hệ thống thông tin trong ngành nói chung và trong lĩnh vực thanh toán nói riêng.

NHNN đã trình cấp có thẩm quyền ban hành hoặc ban hành các văn bản quy phạm pháp luật và các cơ chế, chính sách về hoạt động thanh toán đáp ứng yêu cầu quản lý nhà nước trong lĩnh vực thanh toán và đảm bảo an ninh, an toàn trong hoạt động thanh toán, bám sát với các chuẩn mực quốc tế về an toàn thông tin. NHNN đã ban hành Bộ tiêu chuẩn cơ sở về thẻ chip nội địa và mã QRCode trong lĩnh vực thanh toán tại Việt Nam nhằm đảm bảo an ninh, an toàn, bảo mật trong hoạt động thẻ ngân hàng và thanh toán qua mã QR Code, đồng thời tạo thuận lợi cho việc gia tăng tính năng, tiện ích cho chủ thẻ. Bên cạnh đó, NHNN cũng thường xuyên có những chỉ đạo đối với các tổ chức tín dụng (TCTD) trong việc nâng cao an toàn, bảo mật trong thanh toán, giám sát chặt chẽ các hệ thống thanh toán, triển khai các biện pháp đảm bảo an ninh, an toàn trong thanh toán điện tử, thanh toán thẻ. Nhiều ngân hàng Việt Nam đã đưa các công nghệ mới, hiện đại vào hoạt động thanh toán, đẩy mạnh các hình thức thanh toán hiện đại, an toàn, tiện lợi, được người tiêu dùng đón nhận tích cực.

Trong thời gian tới, NHNN tập trung nghiên cứu, áp dụng các tiêu chuẩn, thông lệ quốc tế về an ninh, an toàn thanh toán vào các văn bản quy phạm pháp luật điều chỉnh hoạt động ứng dụng CNTT của TCTD, tổ chức trung gian thanh toán; Tiếp tục hoàn thiện hành lang pháp lý đối với các sản phẩm, dịch vụ mới, thiết lập môi trường pháp lý thúc đẩy đổi mới sáng tạo của các tổ chức công nghệ tài chính (Fintech), khuyến khích các giải pháp an toàn, hiệu quả, nhất là các giải pháp xử lý các vấn đề liên quan đến an ninh mạng, bảo mật dữ liệu; Giám sát, đôn đốc các TCTD hoàn thành triển khai kế hoạch áp dụng các giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng, đẩy mạnh triển khai kế hoạch chuyển đổi từ thẻ từ sang thẻ chip…., Cùng với đó, NHNN phối hợp chặt chẽ với các Bộ, ngành liên quan liên quan để chia sẻ thông tin và hỗ trợ hoạt động đảm bảo an toàn, an ninh mạng. Đồng thời, tiếp tục đẩy mạnh công tác truyền thông để nâng cao nhận thức cho cán bộ, công chức trong Ngành và người dân trong việc nhận diện và giảm thiểu các rủi ro của hoạt động ngân hàng trên môi trường mạng.

Theo VA-MĐ

Xem 1134 lần
Đánh giá bài này
(0 bình chọn)
Xem theo ngày tháng