Ngành Tài chính “khát” chuyên gia cấp cao an toàn thông tin

Bảo vệ những thông tin quan trọng liên quan đến hoạt động tài chính quốc gia, người làm công tác an toàn thông tin (ATTT) của ngành Tài chính đang hàng ngày hàng giờ phải đối phó với các cuộc tấn công diễn ra liên tục trên hệ thống mạng. Tuy nhiên, trong bối cảnh chỉ tiêu biên chế bị hạn chế và mức thu nhập của công chức nhà nước không đủ hấp dẫn chuyên gia cao cấp trong lĩnh vực ATTT, ngành Tài chính đang gặp nhiều khó khăn trong “chiêu mộ” và “giữ chân nhân tài” phục vụ cho công tác đảm bảo ATTT trong toàn hệ thống. Đây là chia sẻ của bà Lê Linh Chi, Trưởng phòng An ninh thông tin, Cục Tin học và Thống kê tài chính, Bộ Tài chính trong cuộc trao đổi với phóng viên tạp chí Tài chính điện tử.

Ảnh minh họa - nguồn internet.Ảnh minh họa - nguồn internet.
Báo cáo mới đây của Ban Cơ yếu Chính phủ cho thấy hệ thống thông tin trọng yếu của các cơ quan nhà nước đang trở thành mục tiêu tấn công hàng đầu của hacker nước ngoài. Điều này đặt ra các nguy cơ cũng như tầm quan trọng như thế nào trong việc đảm bảo ATTT cho các hệ thống CNTT của ngành Tài chính?

Như chúng ta đã biết, hiện nay hầu hết quy trình nghiệp vụ quan trọng trong hệ thống tài chính đều được tin học hóa, chẳng hạn như: Hệ thống thông tin quản lý ngân sách và kho bạc (TABMIS), Hệ thống thông tin quản lý thuế tích hợp (ITAIS), Hệ thống thông quan tự động (VNACCS/VCIS)...Ứng dụng CNTT sẽ còn được đẩy mạnh hơn nữa trong những năm tới để nâng cao hiệu quả công tác thu chi ngân sách và các lĩnh vực quản lý của ngành, đồng thời tạo thuận lợi cho doanh nghiệp, cải thiện môi trường đầu tư, kích thích kinh tế phát triển...

Có thể thấy, tương lai và ngay tại thời điểm này, công tác thu chi ngân sách sẽ bị ảnh hưởng nghiêm trọng nếu các hệ thống công nghệ thông tin phục vụ trực tiếp cho công tác này bị ngừng hoạt động dù chỉ 1 giây, hay hoạt động sai lệch vì bất cứ nguyên nhân nào. Vì vậy, đảm bảo an toàn cho thông tin và các hệ thống thông tin quan trọng đang là một trong những mối quan tâm lớn của ngành Tài chính, từ lãnh đạo Bộ Tài chính, lãnh đạo các đơn vị trực thuộc, cho đến cán bộ trực tiếp tham gia quản lý, vận hành, sử dụng hệ thống. ATTT đã trở thành một phần tất yếu có trong tất cả các kế hoạch xây dựng, triển khai, duy trì các hệ thống thông tin của ngành.

Để phòng chống và đảm bảo an toàn cho hệ thống, yêu cầu đặt ra cho những người làm công tác ATTT ngành Tài chính hiện nay là gì?

ATTT thực sự là một lĩnh vực phức tạp vì nó liên quan đến tất cả các công đoạn của thông tin (tạo lập, xử lý, sử dụng) và hệ thống thông tin (thiết kế, xây dựng, triển khai, vận hành, sử dụng), cũng như các cá nhân, tổ chức liên quan. Để có thể đảm bảo an toàn cho thông tin và hệ thống thông tin một cách lâu dài, cần triển khai đồng thời nhiều biện pháp mang tính toàn diện trong tất cả các khâu này, từ yếu tố con người cho đến quy định, quy trình và các phương tiện kỹ thuật.

Các biện pháp này sau khi thực hiện sẽ phải được rà soát và điều chỉnh thường xuyên để phù hợp với các thay đổi của ngành về chiến lược, mục tiêu, cách thức hoạt động và các tác động khác từ bên ngoài (các yêu cầu của xã hội, thay đổi về công nghệ, cách thức tấn công của tin tặc...). Bộ Tài chính hiện đã và đang nghiên cứu áp dụng các tiêu chuẩn an toàn thông tin đã được thế giới và Việt Nam công nhận (ISO/IEC 27000 và các tiêu chuẩn kỹ thuật đặc thù) để triển khai công tác đảm bảo an toàn thông tin một cách toàn diện, bài bản và hiệu quả. Bộ Tài chính sẽ phải đầu tư nhiều thời gian và công sức để đưa các tiêu chuẩn này đi vào cuộc sống, tạo ra “văn hóa an toàn thông tin” trong nhận thức và hành động của mỗi cán bộ trong toàn ngành.

Riêng về tấn công của tin tặc từ mạng internet, đây là nguy cơ gây mất an toàn thông tin cao nhất, khó đối phó nhất và chiếm tỷ trọng lớn nhất trong mối quan tâm của ngành Tài chính về ATTT, bởi phần lớn các ứng dụng CNTT của ngành hoạt động trên môi trường mạng, có dính líu trực tiếp hoặc gián tiếp tới mạng internet.

Để đối phó với nguồn tấn công loại này, những người làm công tác ATTT của ngành Tài chính và các bộ phận kỹ thuật liên quan (thiết kế, phát triển, vận hành mạng, ứng dụng, cơ sở dữ liệu...) cần nhận diện đầy đủ các điểm tiếp xúc với internet, các điểm yếu có thể bị khai thác bởi nguồn tấn công này và áp dụng các biện pháp kiểm soát hiệu quả, từ việc tái cấu trúc hệ thống mạng, ngắt dừng hoặc hạn chế các kết nối internet không cần thiết. Chúng ta phải kiểm soát và khắc phục liên tục điểm yếu của các ứng dụng, dịch vụ cung cấp ra internet; triển khai các biện pháp giảm rủi ro từ phía người dùng; khai thác tối đa tác dụng của các hệ thống bảo vệ bằng cách giám sát thường xuyên hoạt động của các hệ thống này và có hành động xử lý kịp thời khi phát hiện các vấn đề phát sinh trong hệ thống. Để thực hiện được các hành động này, người làm công tác ATTT của ngành Tài chính và các bộ phận liên quan cần trang bị kiến thức cần thiết về ATTT tin phù hợp với vị trí công việc được phân công, có kỹ năng phân tích và phối hợp xử lý khi xảy ra vấn đề về an toàn thông tin, đồng thời hiểu rõ hệ thống thông tin của đơn vị để có xử lý phù hợp.

Thường xuyên phải đối mặt với các nguy cơ tấn công như vậy, đội ngũ nhân lực ATTT ngành Tài chính hiện nay liệu đã đáp ứng được cả về số lượng và chất lượng hay chưa?

Đảm bảo ATTT là trách nhiệm của mỗi công chức, viên chức ngành Tài chính. Tùy theo vị trí công việc, mức độ tham gia của từng cá nhân vào công tác này sẽ khác nhau. Ngoài bộ phận chuyên trách về ATTT thì các bộ phận kỹ thuật CNTT khác cũng có mức độ tham gia rất lớn.

Ví dụ, bộ phận thiết kế, vận hành hệ thống mạng và các dịch vụ hạ tầng đóng vai trò trong việc đảm bảo thiết lập được cấu trúc mạng và các dịch vụ hạ tầng an toàn. Bộ phận phát triển ứng dụng đảm bảo các ứng dụng khi đưa vào sử dụng có ít điểm yếu bảo mật nhất và khắc phục các điểm yếu này kịp thời khi được phát hiện. Bộ phận quản lý, hỗ trợ người dùng đảm bảo tính tuân thủ của người dùng đối với các quy định, quy trình an toàn áp dụng cho người dùng... Vì vậy, để đánh giá về nguồn nhân lực ATTT thì ngoài bộ phận chuyên trách cần đánh giá cả các bộ phận liên quan này.

Theo cá nhân tôi, số lượng cán bộ làm công tác công nghệ thông tin nói chung và liên quan đến ATTT nói riêng ở cấp trung ương hiện tương đối đủ, có thiếu hụt ở một số đơn vị nhưng không nhiều, ở cấp địa phương thì còn thiếu, đặc biệt là các sở tài chính. Ngành Tài chính cũng còn thiếu các chuyên gia kỹ thuật cao cấp về ATTT, về điểm này thì các hệ thống đang khắc phục bằng cách tận dụng từ các nguồn hỗ trợ bên ngoài.

Tôi cho rằng năng lực của cán bộ các đơn vị thuộc Bộ Tài chính hiện có có thể đáp ứng yêu cầu đối với công tác đảm bảo ATTT. Các cán bộ làm công tác kỹ thuật có liên quan mật thiết đến lĩnh vực này đều tốt nghiệp đại học chuyên ngành và khi làm việc tại Bộ Tài chính thì được đào tạo liên tục về chuyên môn và trau dồi kinh nghiệm thông qua cọ xát với các hệ thống lớn, phức tạp. Tuy nhiên, vấn đề ở chỗ, liệu Bộ Tài chính có khả năng “giữ chân” những người làm việc tốt ở lại hay không? Đã có nhiều người giỏi ở các đơn vị CNTT chuyển công tác ra bên ngoài, trong khi việc tuyển người bổ sung đang gặp rất nhiều khó khăn. Những người thay thế cũng cần có thời gian để bổ sung kiến thức và kinh nghiệm mới đáp ứng được yêu cầu công việc.

Hiện nay, ngành Tài chính mới chỉ có dưới 20 nhân sự chuyên trách công tác ATTT. Tùy theo cách phân công công việc của mỗi đơn vị, số lượng cán bộ chuyên trách đòi hỏi sẽ khác nhau. Tuy con số này còn rất khiêm tốn, nhưng nếu có sự phối hợp tốt giữa các bộ phận trong đơn vị và tận dụng hợp lý nguồn lực hỗ trợ từ bên ngoài thì số lượng cán bộ chuyên trách có thể không cần nhiều. Tuy nhiên, hiện nay vẫn có đơn vị cấp tổng cục thuộc bộ không bố trí được nhân sự chuyên trách cho công tác này do thiếu chỉ tiêu biên chế. Điều này ảnh hưởng lớn đến chất lượng của công tác đảm bảo ATTT.

Đâu là khó khăn lớn nhất mà những người làm công tác ATTT ngành Tài chính hiện nay đang gặp phải?

Để có thể đảm bảo an toàn cho thông tin và hệ thống thông tin, ngành Tài chính cần triển khai đồng thời nhiều biện pháp mang tính toàn diện trong tất cả các khâu liên quan đến thông tin và hệ thống thông tin. Bên cạnh việc triển khai các biện pháp mang tính lâu dài này, những người làm công tác ATTT của ngành Tài chính phải đối phó hàng ngày với các cuộc tấn công diễn ra liên tục trên hệ thống mạng.

Điều này dẫn đến khối lượng công việc phải làm rất lớn, phức tạp và cần có sự phối hợp chặt chẽ của nhiều bộ phận. Trong bối cảnh chỉ tiêu biên chế bị hạn chế, khối lượng các công việc khác của công tác ứng dụng CNTT cũng đã rất lớn, ngành Tài chính rất khó khăn trong việc bố trí đầy đủ nhân lực, công sức, thời gian cho ATTT, không chỉ đối với bộ phận chuyên trách về ATTT mà cả các bộ phận liên quan khác. Ngoài ra, công tác ATTT đòi hỏi phải có chuyên gia kỹ thuật trình độ cao trong khi mức thu nhập của công chức nhà nước hiện nay không đủ để thu hút các chuyên gia cao cấp này. Đây được coi là những khó khăn lớn nhất đối với công tác đảm bảo an toàn thông tin của ngành Tài chính hiện nay.

Theo bà, ngành Tài chính cần có chính sách gì để tháo gỡ khó khăn cũng như thu hút nhân tài, nhằm đảm bảo ATTT trong bối cảnh tội phạm mạng đang ngày một gia tăng?

Để giải quyết những vướng mắc đang gặp phải, theo tôi cần áp dụng những biện pháp tối thiểu như: Các đơn vị cấp tổng cục phải tổ chức được bộ phận hoặc phân công cá nhân chuyên trách công tác ATTT. Các cá nhân, phòng ban, đặc biệt là các bộ phận kỹ thuật có ảnh hưởng lớn tới an toàn của hệ thống thông tin cần thường xuyên nâng cao nhận thức về tầm quan trọng của an toàn thông tin, ý thức tuân thủ các quy định, quy trình an toàn và ý thức phối hợp xử lý các vấn đề ATTT. Các đơn vị cần khai thác, tận dụng một cách hợp lý các nguồn lực hỗ trợ từ bên ngoài bao gồm đối tác tư vấn, đối tác cung cấp giải pháp ATTT, các đơn vị quản lý nhà nước về ATTT... 

Còn để thu hút người tài, tôi cho rằng đây là một vấn đề khó vì bất cập lớn nhất như tôi đã nêu trên chính là cơ chế đãi ngộ, giữ chân người giỏi. Bộ Tài chính có thể tuyển được người giỏi về CNTT, thậm chí đúng chuyên ngành về ATTT. Bên cạnh đó là thực hiện công tác bồi dưỡng, đào tạo thường xuyên kiến thức chuyên sâu về ATTT, tạo điều kiện thuận lợi cho cán bộ trong việc tích lũy kinh nghiệm thông qua cọ xát với các vấn đề lớn, phức tạp...

Tuy nhiên, việc có cơ chế đãi ngộ tốt hơn để giữ chân người giỏi đang rất khó khăn. Theo tôi, bộ vẫn cần phải nghiên cứu cải thiện chế độ đãi ngộ này để giữ chân các lực lượng nòng cốt, cải tiến cách thức tuyển dụng nhân sự công nghệ thông tin để có thể bổ sung nhanh chóng lực lượng thiếu hụt, đồng thời khai thác theo hướng tận dụng hợp hợp lý các nguồn lực hỗ trợ bên ngoài, sử dụng kết hợp, hài hòa với nguồn lực nội bộ.

Xin cảm ơn bà!
 
(Thanh Huyền - thực hiện)