Luật An toàn thông tin (ATTT) được ban hành năm 2015 đã thể chế hóa các chủ trương, đường lối, chính sách của Đảng và Nhà nước về ATTT mạng, đáp ứng yêu cầu phát triển bền vững kinh tế, xã hội, bảo vệ thông tin và hệ thống thông tin, góp phần bảo đảm quốc phòng, an ninh, chủ quyền và lợi ích quốc gia trên không gian mạng. Bài viết trình bày các yếu tố tác động đến ATTT, thực trạng ATTT, đề xuất mô hình và các giải pháp ATTT cho các thư viện đại học hiện nay.
Thư viện điện tử dành cho sinh viên học tập và nghiên cứu tại Đại Học Quốc Tế Hồng Bàng - Ảnh: thuvien.hiu.vn
Đặt vấn đề
Trong Chỉ thị 01 về định hướng phát triển ngành Thông tin và Truyền thông năm 2020, Bộ Thông tin và Truyền thông cũng chỉ rõ, an toàn, an ninh mạng là điều kiện tiên quyết để phát triển Chính phủ điện tử và chuyển đổi số phải đi trước một bước. Bộ cũng xác định một nhiệm vụ trọng tâm là thực thi nghiêm túc Chỉ thị 14 của Thủ tướng Chính phủ, đảm bảo 100% các cơ quan, tổ chức Việt Nam triển khai bảo vệ an toàn, an ninh mạng theo mô hình 4 lớp; 100% bộ, ngành, địa phương triển khai các giải pháp điều hành, giám sát an toàn, an ninh mạng, phòng chống mã độc tập trung, kết nối chia sẻ thông tin với Trung tâm Giám sát an toàn không gian mạng quốc gia. Thế giới bước vào cuộc Cách mạng công nghiệp 4.0 với sự phát triển mạnh mẽ của không gian mạng đã mang lại những lợi ích to lớn trên nhiều lĩnh vực của đời sống xã hội, làm thay đổi diện mạo mới của nhiều quốc gia, đem lại những thành tựu vượt bậc cho nhân loại. Tuy nhiên, với tính toàn cầu và khả năng kết nối vô hạn của không gian mạng, không bị giới hạn bởi không gian, thời gian và bản chất xã hội của không gian mạng cũng đặt ra nhiều thách thức rất lớn đối với an ninh của các quốc gia trên thế giới như: chiến tranh mạng, chiến tranh thông tin, khủng bố mạng, tội phạm mạng… vấn đề phát triển và làm chủ không gian mạng đã trở thành một trong những nhiệm vụ cấp bách được nhiều quốc gia đặc biệt quan tâm. Chính vì vậy, bảo đảm an ninh mạng đang là ưu tiên hàng đầu được thể hiện rõ trong các quan điểm, chiến lược và hành động cụ thể của các quốc gia, trong đó có Việt Nam.
Không gian mạng là một lãnh thổ mới, không gian sinh tồn mở rộng có tầm quan trọng ngang với các lãnh thổ khác trong chiến tranh, như trên đất liền, trên biển, trên không và trong không gian. Như vậy, không gian mạng quốc gia là lãnh thổ đặc biệt của quốc gia, được xác định bằng phạm vi không gian do Nhà nước quản lý, kiểm soát bằng chính sách, pháp luật và năng lực công nghệ.
Để xây dựng được một hệ thống đảm bảo an toàn, bảo mật thông tin toàn diện, hiệu quả không phải là một công việc dễ dàng, đặc biệt đối với các thư viện đại học, vấn đề an toàn bảo mật thông tin còn là một khái niệm khá mới mẻ, cán bộ thư viện còn nhiều hạn chế về công nghệ, vấn đề an toàn bảo mật thông tin thường được mặc định dành cho bộ phận IT… tuy nhiên, ATTT phải thực hiện từ đâu, cái gì làm trước, cái gì làm sau, ai chịu trách nhiệm thực hiện công việc này, ATTT cần có những yếu tố nào… là vấn đề đặt ra cần được giải quyết thấu đáo.
Theo quy định tại Khoản 1, Điều 3, Luật ATTT mạng năm 2015, “An toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép, với mục đích đảm bảo tính nguyên vẹn, bảo mật và khả dụng của thông tin” (1).
Thực trạng ATTT trong các thư viện đại học hiện nay
Mục đích việc áp dụng công nghệ trong các thư viện đại học đã thúc đẩy tội phạm mạng nên các thư viện cần trang bị cho nhân viên thư viện những kiến thức cần thiết để chống lại loại tội phạm này. Do đó, kiểm tra an ninh mạng, ATTT trong các thư viện đại học và ý nghĩa của nó đối với giáo dục khoa học Thông tin - thư viện, cần chú ý các yếu tố sau: Phần mềm độc hại; Phần mềm tống tiền; Lỗ hổng chuỗi cung ứng; Lừa đảo; IoT; Nhân viên nội bộ; Ngộ độc dữ liệu; Công nghệ mới; Bảo mật nhiều lớp và bảo mật đám mây.
Theo khảo sát tại các thư viện đại học hiện nay, 100% các thư viện quan tâm tới vấn đề an toàn bảo mật thông tin, họ đang áp dụng các chính sách quản lý bảo mật thông tin số được triển khai trong thực tiễn. Một số thư viện đã trang bị hệ thống tường lửa, hệ thống phát hiện xâm nhập IDS, hệ thống phòng chống xâm nhập IPS, hệ thống phòng chống virus… Một số thư viện đại học đã phát triển chính sách quản lý bảo mật thông tin số về bảo vệ dữ liệu, sao lưu dữ liệu, hệ thống bảo mật thông tin (IS), phát triển phần cứng và phần mềm, đào tạo nhân viên thư viện, nhân viên IT bảo vệ dữ liệu khỏi phần mềm độc hại và kỹ thuật xã hội cũng như bảo mật và quyền riêng tư dữ liệu. Một số thư viện đã phát triển cơ chế bảo vệ, bảo mật dữ liệu nhạy cảm của người dùng khỏi tin tặc, vi rút, phần mềm độc hại và kỹ thuật lừa đảo xã hội. Các phát hiện chỉ ra rằng, cả tổ chức và người dùng đều tin tưởng các thư viện do các chính sách bảo mật dữ liệu và quyền riêng tư nghiêm ngặt của họ. Quản lý bảo mật thông tin số được coi là công cụ quan trọng để đảm bảo quyền riêng tư và bảo vệ dữ liệu, tài nguyên trong môi trường điện tử. Nó cũng xác định những thách thức mà các thư viện đại học phải đối mặt trong việc áp dụng các thực hành quản lý bảo mật thông tin số liên quan đến chính sách này.
Thực trạng cho thấy, các thư viện hiện nay áp dụng chính sách quản lý thông tin, xây dựng hệ thống thông tin: đăng ký người dùng và mật khẩu, chính sách bảo mật dữ liệu và chia sẻ dữ liệu, chính sách lưu trữ dữ liệu, sao lưu dữ liệu và phần mềm, chính sách về tài liệu thư viện bị đánh cắp và tài sản cá nhân.
Về nhận thức và kiến thức: các thư viện đã có nhận thức và kiến thức về bảo vệ dữ liệu, sao lưu dữ liệu, lưu trữ về dữ liệu và quyền riêng tư của người dùng, về bảo mật dữ liệu, triển khai hệ thống an ninh, quản lý thông tin số.
Về đào tạo: thư viện không được đào tạo về bảo vệ dữ liệu, quyền riêng tư của người dùng, hệ thống thư viện, phần cứng và phần mềm. Thư viện có chính sách đào tạo hạn chế về dữ liệu người dùng, dữ liệu thư viện. Thư viện đào tạo nhân viên thư viện và người sử dụng về quản lý an ninh thông tin số, an ninh mạng, lưu trữ dữ liệu, bảo mật thông tin.
Về sao lưu dữ liệu: một số thư viện có chính sách sao lưu dữ liệu. Số thư viện thực hiện sao lưu dữ liệu 79% và 63% thư viện thực hiện sao lưu hằng ngày. Chính sách sao lưu dữ liệu trong thư viện còn kém.
Về phần mềm độc hại và mạng xã hội chính sách kỹ thuật: một số thủ thư gặp phải vấn đề về hack máy tính, tấn công bởi virus... Một số thư viện có chính sách không vào một số nhóm trang web nhất định, không có quyền truy cập mạng xã hội tại nơi làm việc. Các vấn đề có thể gặp phải trong các thư viện như việc tin tặc lạm dụng dữ liệu, phá hoại tấn công, giả mạo, xâm nhập độc hại, mã độc và phát hiện lỗ hổng phần mềm hoặc phần cứng và tài nguyên điện tử, dữ liệu và tập tin.
Chính sách bảo mật thông tin phải được xác nhận bởi các nhà quản lý thư viện đại học thực hiện. Theo thống kê, để đảm bảo an toàn cho một hệ thống, cần có các yếu tố: con người, quy trình, giải pháp và các tiêu chuẩn quốc tế. Trong đó, yếu tố con người là quan trọng nhất. Nghiên cứu cho thấy vai trò của thủ thư với tư cách là người hòa giải trong việc lập kế hoạch, phát triển và thực hiện chính sách bảo mật thông tin trong các thư viện đại học bằng việc hợp tác với chuyên gia trong lĩnh vực công nghệ thông tin. Các mối đe dọa ảo và một số rủi ro dễ lây nhiễm vào các máy tính trong thư viện. Về vấn đề bảo mật thông tin, thủ thư có vai trò quan trọng trong việc ra quyết định liên quan đến bảo mật thông tin, như lập kế hoạch chính sách bảo mật thông tin nhất quán để có thể nhìn thấy nhu cầu cụ thể của thư viện đại học vì các tổ chức dễ bị tấn công mạng. Sự thành công của bảo mật thông tin trong thư viện phụ thuộc phần lớn vào hành vi hiệu quả của quản trị viên, thủ thư, người dùng và nhân viên.
Quan sát, đánh giá thực trạng có một số thách thức an ninh mạng quan trọng được xác định trong thư viện đại học. Đó là vấn đề bảo mật, truy cập các cuộc tấn công mạng; thiếu kiến thức an ninh mạng phù hợp; thiếu hỗ trợ kỹ thuật… Nhóm nghiên cứu và phân tích toàn cầu (GReAT) của Kaspersky đã dự đoán về sự phát triển của các cuộc tấn công có chủ đích (APT) vào năm 2024. Các hacker APT sẽ khai thác nhiều lỗ hổng mới để thâm nhập thiết bị di động và thiết bị thông minh, đồng thời sử dụng chúng để hình thành mạng lưới botnet, tinh chỉnh các phương thức tấn công chuỗi cung ứng và sử dụng trí tuệ nhân tạo (AI) để cuộc tấn công lừa đảo có hiệu quả hơn. Đó là: sử dụng trí tuệ nhân tạo; thêm các tác nhân được nhà nước bảo trợ; tấn công chuỗi cung ứng; xuất hiện dịch vụ hack; Rootkit nhân hệ điều hành sẽ phổ biến trở lại; lạm dụng hệ thống truyền tệp được quản lý (MFT). Thách thức lớn nhất đối diện với công nghệ AI ngày nay là lừa đảo và tấn công có chủ đích APT, với mức độ ngày càng phức tạp của các kịch bản lừa đảo, đặc biệt khi kết hợp giữa Deepfake và GPT. Khả năng thu thập và phân tích dữ liệu người dùng thông qua AI cho phép tạo ra những chiến lược lừa đảo tinh vi, khiến việc nhận diện lừa đảo khó khăn hơn đối với người dùng.
Đề xuất mô hình và các giải pháp ATTT cho các thư viện đại học
Đề xuất mô hình ATTT cho các thư viện đại học
Mô hình kiến trúc tổng thể của hệ thống cơ sở dữ liệu về ATTT trong thư viện đại học bao gồm các các lớp, chức năng sau:
Lớp hệ điều hành: là các phần mềm hệ điều hành dùng để điều hành, quản lý các thiết bị phần cứng, máy chủ, mạng và các tài nguyên phần mềm trên máy tính. Quản lý hoạt động chung của hệ thống. Hệ điều hành đóng vai trò trung gian trong việc giao tiếp giữa người sử dụng và phần cứng máy tính, cung cấp một môi trường cho phép người sử dụng phát triển và thực hiện các ứng dụng của họ một cách dễ dàng. Các máy chủ ứng dụng cài đặt hệ điều hành Microsoft Windows Server 2016 64 bit, các máy chủ CSDL cài đặt hệ điều hành Unix 64 bit.
Lớp phần mềm trung gian: làm nhiệm vụ cung cấp môi trường nền tảng như Web server, runtime framework, reporting service… phục vụ cho việc cài đặt và vận hành các phần mềm ứng dụng và dịch vụ, làm nền tảng hoạt động cho các phần mềm ứng dụng. Các ứng dụng được cài đặt bao gồm: Jdk 7, Weblogic 12c, IIS, .NET Framework 4.5, Oracle Data Access Component 12c, phần mềm diệt virus McAfee VirusScan và phần mềm backup hệ thống EMC Networker và Oracle Grid Infrastructure 12.1.0.2, Oracle Database 12.1.0.2, OLAP, RAC.
Lớp ứng dụng: là tập hợp các nhóm chức năng của phần mềm mà người sử dụng sẽ thao thao tác, được triển khai dưới dạng Web application. Các nhóm chức năng này được tổ chức thành 2 phân hệ ứng dụng gồm phân hệ Front - end sẽ được triển khai diện rộng trên internet và phân hệ Back - end triển khai trong phạm vi nội bộ thư viện và các đơn vị có liên quan.
Lớp dịch vụ hỗ trợ: cung cấp các services xử lý các yêu cầu như trao đổi, tích hợp dữ liệu giữa các phần mềm, yêu cầu xử lý thông tin, thống kê báo cáo, yêu cầu xác thực tài khoản… có các chức năng, công cụ dành cho quản trị hệ thống cho phép quản lý, điều phối hoạt động của toàn bộ hệ thống, quản trị danh mục, quản lý phân quyền tài khoản sử dụng các phần mềm, quản lý vai trò và đối tượng sử dụng phần mềm…
Các giải pháp ATTT cho thư viện đại học
Để giảm thiểu các nguy cơ về ATTT trong thư viện đại học, cần kiểm soát các rủi ro và đề ra một số giải pháp an toàn phù hợp, với các nội dung chính sau:
Về con người
Thường xuyên đào tạo ngắn hạn, tập huấn về ATTT theo hình thức tập trung, trực tuyến hoặc kết hợp giữa tập trung và trực tuyến về ATTT cho các các cán bộ thư viện đại học. Bao gồm các nội dung đào tạo: Đào tạo về quản lý, nghiệp vụ và kỹ năng ATTT cho đội ngũ cán bộ thư viện, cán bộ tin học; Cập nhật, nâng cao kỹ năng kỹ thuật ATTT cho đội ngũ nhân lực kỹ thuật làm về ATTT và CNTT theo chuẩn, khung chương trình, yêu cầu kỹ năng ATTT do Bộ Thông tin và Truyền thông ban hành, hướng dẫn, các chương trình đào tạo theo các chứng chỉ quốc tế và thi lấy chứng chỉ quốc tế.
Đào tạo về kiến thức, kỹ năng ATTT của người dùng cho các cán bộ thư viện có sử dụng thiết bị CNTT; Về kiến thức, kỹ năng, kỹ thuật ATTT cho đội ngũ nhân lực kỹ thuật ATTT và CNTT của các thư viện đại học. Chú trọng các chương trình đào tạo theo chuẩn kỹ năng, khung chương trình, yêu cầu ATTT do Bộ Thông tin và Truyền thông ban hành, hướng dẫn và các chương trình đào tạo theo các chứng chỉ quốc tế và thi lấy chứng chỉ quốc tế.
Về công nghệ, quản lý kỹ thuật đảm bảo an toàn thông tin
Giải pháp phòng chống mã độc CMDD; Dịch vụ và giải pháp phòng chống mã hóa dữ liệu; Dịch vụ giám sát an ninh mạng; Dịch vụ săn tìm mối đe dọa; Dịch vụ tư vấn và đánh giá cấp chứng chỉ PCI - DSS; Giải pháp tường lửa bảo vệ trang web (WAF); Dịch vụ Giám sát an ninh an toàn thông.
Giải pháp về quản lý kỹ thuật đảm bảo an toàn thông tin: Tổ chức mô hình mạng; Quản lý hệ thống mạng wifi; Quản lý đăng nhập hệ thống; Chống mã độc, virus; Tổ chức quản lý tài nguyên; Các biện pháp kỹ thuật bảo đảm an toàn cho trang web; Thiết lập cơ chế sao lưu và phục hồi hệ thống.
Xây dựng quy chế nội bộ cho các thư viện đại học đảm bảo ATTT
Các thư viện đại học phải ban hành hoặc điều chỉnh, bổ sung quy chế nội bộ, đảm bảo quy định rõ các vấn đề sau:
Mục tiêu và phương hướng thực hiện công tác đảm bảo an toàn, an ninh cho hệ thống thông tin; Nguyên tắc phân loại và quản lý mức độ ưu tiên đối với các tài nguyên của hệ thống thông tin (phần mềm, dữ liệu, trang thiết bị); Quản lý phân quyền và trách nhiệm đối với từng cá nhân khi tham gia sử dụng hệ thống thông tin; Quản lý và điều hành hệ thống máy chủ, thiết bị mạng, thiết bị bảo vệ mạng một cách an toàn; Kiểm tra, khắc phục sự cố an toàn, an ninh của hệ thống thông tin; Nguyên tắc chung về sử dụng an toàn và hiệu quả đối với các cá nhân tham gia sử dụng hệ thống thông tin; Báo cáo tổng hợp tình hình an toàn, an ninh của hệ thống thông tin theo định kỳ tháng, quý, năm. Đơn vị phải có biện pháp cảnh báo: Trí tuệ nhân tạo (AI) và máy học (ML) có thể được các tác nhân độc hại sử dụng để nâng cao khả năng và hiệu quả của các cuộc tấn công mạng. Các cuộc tấn công do AI hỗ trợ có thể bao gồm các nỗ lực lừa đảo thuyết phục hơn, tạo phần mềm độc hại tự động, trốn tránh các biện pháp bảo mật và tấn công kỹ thuật xã hội được cá nhân hóa, khiến các cơ chế phòng thủ truyền thống khó phát hiện và ngăn chặn chúng hơn.
Về quy trình quản lý rủi ro
Vấn đề quan trọng hàng đầu đối với các thư viện đại học khi chuyển sang công nghiệp 4.0 là cần xây dựng một quy trình quản lý rủi ro với một số yếu tố sau: Phân loại rủi ro, xác định các chính sách và các quy trình đánh giá tự động (Khung IT GRC - Quản trị rủi ro và tuân thủ IT), được áp dụng trong toàn bộ môi trường CNTT và OT/ ICS của thư viện đại học.
Thi hành và truyền thông các chính sách ATTT và tuân thủ tự động (Tiêu chuẩn ISO 27005), tự động thực hiện các quy trình, không chỉ để phát hiện các mối đe dọa, mà còn để khắc phục hoặc dự trước khi sự cố mất ATTT xảy ra đối với thư viện đại học.
Trong bối cảnh cuộc Cách mạng công nghiệp 4.0 đang diễn ra, ATTT đang trở thành một lĩnh vực hấp dẫn và đầy thách thức. Việc bảo vệ ATTT, dữ liệu tại các thư viện đại học Việt Nam đang trở thành một vấn đề cấp thiết trong việc tự đánh giá các chương trình đào tạo theo các chuẩn quốc tế và tự chủ đại học. Do vậy, các thư viện đại học cần có những mô hình và các giải pháp đẩy mạnh công tác ATTT để ngăn cản, phòng ngừa sự phát huy thông tin của đối tượng xấu với đơn vị mình.
____________________
1. Quốc hội, Luật An toàn thông tin mạng, 2015.
Tài liệu tham khảo
1. Lê Văn Thắng, An ninh thông tin của Việt Nam trong điều kiện hiện nay: Thực trạng, vấn đề đặt ra và giải pháp, Đề tài khoa học cấp Nhà nước, Học viện An ninh nhân dân, 2019.
2. Bộ Thông tin và Truyền thông, Chỉ thị 01/CTBTTTT về định hướng phát triển ngành Thông tin và Truyền thông năm 2023 và giai đoạn 2024-2025, thuvienphapluat.vn, 20-1-2023.
3. Thủ tướng Chính phủ, Quyết định số 21 Phê duyệt đề án “Đào tạo và phát triển nguồn nhân lực an toàn thông tin giai đoạn 2021-2025, thuvienphapluat.vn.
4. Phạm Bình Dũng, Các mối đe dọa an ninh mạng hàng đầu năm 2023, m.antoanthongtin.vn, 29-12-2022.
5. Nguyễn Văn Hiệp, Xây dựng chính sách an toàn thông tin cho các cơ quan thông tin - thư viện với ISO 17799 - 27001, Tạp chí Thông tin và Tư liệu, số 3, 2022.
6. Karin Hone and J.H.P.Eloff, Information security policy, What do international information security standards Say? Computers & Security (Chính sách bảo mật thông tin, Tiêu chuẩn bảo mật thông tin quốc tế nói gì? Máy tính và bảo mật), tập 21, số 5, sciencedirect.com, 1-10-2002.
7. Cyber security in university libraries and implication for library and information science education in Nigeria (An ninh mạng trong thư viện trường đại học và ý nghĩa đối với giáo dục khoa học thông tin và thư viện ở Nigeria), emerald.com, 26-7-2023.
8. Information security in academic libraries: The role of the librarian in planning and introducing new institutional policies (An ninh thông tin trong thư viện đại học: vai trò của thủ thư trong việc lập kế hoạch và giới thiệu các chính sách mới của tổ chức), researchgate.net, 4-2017.
9. Ghulam farid, nosheen fatima, sadaf iftikhar: digital information security management policy in academic libraries: a systematic review (2010-2022), April 2023 Journal of Information Science (Chính sách quản lý an ninh thông tin số trong thư viện đại học: đánh giá hệ thống (2010–2022)), researchgate.net, 4-2023.
10. Human factors affecting information security in libraries, (Yếu tố con người ảnh hưởng đến an toàn thông tin trong thư viện), emerald.com, 18-2-2021.
TS ĐỖ TIẾN VƯỢNG
Nguồn: Tạp chí VHNT số 563, tháng 3-2024