BÁO CÁO AN TOÀN THÔNG TIN 2015 - Cổng Thông tin điện …laichau.gov.vn/.../Thang9/14421346_Bao-cao-ATTT-Viet … · · 2016-09-13chỈ sỐ an toÀn thÔng tin viỆt

BÁO CÁO AN TOÀN THÔNG TIN VIỆT NAM 2015

BÁO CÁO

AN TOÀN THÔNG TINVIỆT NAM 2015

BỘ THÔNG TIN VÀ TRUYỀN THÔNGCỤC AN TOÀN THÔNG TIN

Cục An toàn thông tin - Bộ Thông tin và Truyền thôngĐịa chỉ: 18 Nguyễn Du, Hà NộiĐiện thoại: 04 39436684 Fax: 04 39436684Email: [email protected]: ais.gov.vn

BÁO CÁO AN TOÀN THÔNG TIN VIỆT NAM 2015BÁO CÁO AN TOÀN THÔNG TIN VIỆT NAM 2015

3ais.gov.vn

MỤC LỤCLỜI NÓI ĐẦU......................................................................................................5THÔNG ĐIỆP CỦA BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG NHÂN NGÀY AN TOÀN THÔNG TIN VIỆT NAM NĂM 2015.........................................7TỔNG QUAN TÌNH HÌNH AN TOÀN THÔNG TIN THẾ GIỚI NĂM 2015............9TỔNG QUAN TÌNH HÌNH AN TOÀN THÔNG TIN VIỆT NAM NĂM 2015.........15TIÊU ĐIỂM AN TOÀN THÔNG TIN NĂM 2015 - MẠNG XÃ HỘI.......................21TỔNG HỢP SỐ LIỆU........................................................................................27SỰ KIỆN NỔI BẬT............................................................................................33SỰ CỐ ĐÁNG CHÚ Ý.......................................................................................39NGUY CƠ, THÁCH THỨC...............................................................................43 Phần mềm độc hại........................................................................................45 Thiết bị lây nhiễm...................................................................................45 Phương thức lây nhiễm.........................................................................46 Tấn công mạng.............................................................................................48 Tấn công từ chối dịch vụ.......................................................................48 Thư rác..........................................................................................................50DIỄN TẬP, ĐIỀU PHỐI ỨNG CỨU SỰ CỐ.......................................................53SẢN PHẨM, DỊCH VỤ THƯƠNG HIỆU VIỆT TIÊU BIỂU.................................57 Sản phẩm phần mềm diệt virus...................................................................63 Dịch vụ chứng thực chữ ký số công cộng.....................................................64 Sản phẩm an toàn thông tin chất lượng cao năm 2015................................67KẾT QUẢ THỰC HIỆN CÁC ĐỀ ÁN QUAN TRỌNG........................................71 Đề án 99........................................................................................................72 Đề án 893......................................................................................................76 Đề án 1524....................................................................................................78

CHỈ SỐ AN TOÀN THÔNG TIN VIỆT NAM NĂM 2015.....................................81DỰ BÁO XU HƯỚNG NĂM 2016.....................................................................87VĂN BẢN BAN HÀNH NĂM 2015.....................................................................91TỔ CHỨC, BỘ MÁY..........................................................................................97PHỤ LỤC I DANH MỤC VĂN BẢN QUY PHẠM PHÁP LUẬT TRONG LĨNH VỰC AN TOÀN THÔNG TIN....................................................................................101PHỤ LỤC II DANH MỤC VĂN BẢN CHỈ ĐẠO, ĐIỀU HÀNH TRONG LĨNH VỰC AN TOÀN THÔNG TIN....................................................................................105PHỤ LỤC III GIẢI THÍCH THUẬT NGỮ...........................................................107PHỤ LỤC IV GIẢI THÍCH SỐ LIỆU THỐNG KÊ..............................................108


4 ais.gov.vn

Báo cáo An toàn thông tin Việt Nam 2014 được xuất bản và nhận được sự phản hồi tích cực của các cơ quan, tổ chức, doanh nghiệp, chuyên gia và độc giả đã trở thành một nguồn động lực to lớn đối với Cục An toàn thông tin - đơn vị xây dựng và xuất bản Báo cáo. Nhằm tiếp tục cung cấp cho các cơ quan, tổ chức, doanh nghiệp, chuyên gia và độc giả một bức tranh toàn cảnh về tình hình an toàn thông tin của Việt Nam năm vừa qua, Cục An toàn thông tin tiếp tục xây dựng và xuất bản “Báo cáo An toàn thông tin Việt Nam 2015”.

Đây là năm thứ hai Cục An toàn thông tin biên soạn và công bố “Báo cáo An toàn thông tin Việt Nam” - một ấn phẩm thường niên - nhằm cung cấp tài liệu tham khảo để các tổ chức cá nhân tìm hiểu về tình hình và xu thế an toàn thông tin. Số liệu sử dụng trong Báo cáo được tổng hợp từ nguồn số liệu của các đơn vị chức năng thuộc Bộ Thông tin và Truyền thông, Hiệp hội An toàn thông tin Việt Nam, các hãng bảo mật uy tín trong nước và nước ngoài.

“Báo cáo An toàn thông tin Việt Nam 2015” tiếp tục tập trung phác họa một số nội dung chính về: sự kiện nổi bật; sự cố đáng chú ý; nguy cơ, thách thức; tổ chức, bộ máy; văn bản ban hành năm 2015; sản phẩm, dịch vụ thương hiệu Việt tiêu biểu; kết quả triển khai các đề án quan trọng; diễn tập, điều phối ứng cứu sự cố; chỉ số an toàn thông tin Việt Nam năm 2015; dự báo xu hướng năm 2016.

Cục An toàn thông tin chân thành cảm ơn các cơ quan, tổ chức, doanh nghiệp đã cung cấp số liệu, hỗ trợ và hợp tác với Cục trong quá trình xây dựng Báo cáo này.

Chúng tôi rất mong tiếp tục nhận được ý kiến đóng góp của độc giả cho Báo cáo để lần xuất bản tiếp theo có nội dung phong phú và hoàn thiện hơn, đáp ứng tốt nhu cầu tham khảo và phục vụ công tác quản lý, hoạch định chính sách, góp phần thực hiện tốt hơn công tác bảo đảm an toàn thông tin tại Việt Nam.

CỤC AN TOÀN THÔNG TIN

5ais.gov.vn

LỜI NÓI ĐẦU


6 ais.gov.vn

7ais.gov.vn

THÔNG ĐIỆP CỦA BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG

NHÂN NGÀY AN TOÀN THÔNG TIN VIỆT NAM NĂM 2015

Hiện nay, thế giới tiếp tục chuyển dịch sang kỷ nguyên thông minh của toàn cầu hóa và kinh tế tri thức. Công nghệ thông tin đã, đang được ứng dụng rộng rãi vào mọi mặt đời sống xã hội, trở thành một phần không thể thiếu trong hoạt động của mỗi tổ chức, doanh nghiệp. Mạng Internet trở thành hạ tầng thông tin thiết yếu kết nối toàn bộ thế giới lại với nhau.

Cùng với tiến trình ứng dụng và phát triển công nghệ thông tin này, thông tin trên mạng đã trở thành tài sản của mỗi cá nhân, tổ chức và cả quốc gia. Các doanh nghiệp sẽ không thể hoạt động và phát triển nếu thông tin hoặc hệ thống thông tin của doanh nghiệp bị đánh cắp, bị phá hoại. Các cơ quan nhà nước sẽ không thể phục vụ người dân nhanh chóng và thuận tiện nếu các trang, cổng thông tin điện tử bị tấn công làm gián đoạn hoạt động. Cải cách hành chính, chính phủ điện tử, thương mại điện tử và một loạt chương trình lớn của quốc gia sẽ không thể thực hiện được nếu an toàn thông tin không được bảo đảm.

Trong xu hướng phát triển chung của công nghệ, sự tích hợp và hội tụ của mạng xã hội, thiết bị di động, công nghệ lưu trữ, phân tích dữ liệu lớn và điện toán đám mây đang và sẽ định hình nên xã hội thông tin trong tương lai. Bốn xu hướng này thay đổi căn bản cách thức tiếp cận, ứng dụng công nghệ thông tin cũng như cách thức áp dụng các giải pháp bảo đảm an toàn thông tin. Nguy cơ, rủi ro, thách thức đặt ra cho công tác bảo đảm an toàn thông tin ngày càng phức tạp, tinh vi, khó có thể dự báo trước, mức độ thiệt hại khi xảy ra sự cố cũng ngày càng lớn.

Trước tình hình đó, ngày 19/11/2015, Luật an toàn thông tin mạng đã được Quốc hội chính thức thông qua tại kỳ họp thứ 10 Quốc hội khóa XIII. Đây là văn bản pháp lý quan trọng, làm nền tảng cho việc triển khai các hoạt động an toàn thông tin tại Việt Nam. Trong thời gian tới, Bộ Thông tin và Truyền thông sẽ sớm triển khai các hoạt động cụ thể như sau:


8 ais.gov.vn

1. Xây dựng và ban hành văn bản hướng dẫn Luật, tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin, tạo điều kiện phát triển ổn định, thuận lợi, bình đẳng cho mọi tổ chức, cá nhân tham gia hoạt động, sản xuất, kinh doanh sản phẩm và dịch vụ an toàn thông tin tại Việt Nam. Có biện pháp cụ thể nhằm động viên, khuyến khích các sản phẩm, dịch vụ an toàn thông tin Việt Nam có chất lượng cao.

2. Xây dựng và triển khai Kế hoạch bảo đảm an toàn thông tin quốc gia giai đoạn 2016 - 2020, tập trung vào khả năng phát hiện, cảnh báo sớm các nguy cơ mất an toàn thông tin, thích ứng linh hoạt, giảm thiểu rủi ro và giảm nhẹ hậu quả của các cuộc tấn công, nâng cao năng lực mạng lưới điều phối ứng cứu sự cố về an toàn thông tin, nhanh chóng khôi phục trở lại trạng thái bình thường của hệ thống khi xảy ra sự cố.

3. Tăng cường thuê dịch vụ bảo đảm an toàn thông tin của tổ chức, doanh nghiệp, coi đây là giải pháp quan trọng để từng bước nâng cao năng lực bảo đảm an toàn thông tin, thúc đẩy thị trường sản phẩm và dịch vụ an toàn thông tin Việt Nam phát triển.

4. Đẩy mạnh công tác đào tạo, huấn luyện, diễn tập, phát triển nguồn nhân lực an toàn thông tin, trong đó đặc biệt quan tâm tới việc góp phần nâng cao chất lượng đào tạo kỹ sư, cử nhân tại các cơ sở đào tạo thông qua các hoạt động thực tập, hướng nghiệp cho sinh viên chuyên ngành an toàn thông tin. Thí điểm xây dựng, biên dịch một số giáo trình đào tạo an toàn thông tin theo chương trình quốc tế.

5. Triển khai tuyên truyền, phổ biến nâng cao nhận thức và trách nhiệm của các tổ chức, cá nhân trong xã hội về vai trò và tầm quan trọng của việc đảm bảo an toàn thông tin.

Nhân Ngày An toàn thông tin Việt Nam năm 2015, Bộ Thông tin và Truyền thông kêu gọi Hiệp hội An toàn thông tin Việt Nam cùng toàn thể cộng đồng, các tổ chức xã hội, nghề nghiệp và giới truyền thông cùng chung tay, góp sức, phát huy sức mạnh tổng thể của toàn xã hội cho công tác bảo đảm an toàn thông tin. Đây là cơ sở để thúc đẩy ứng dụng và phát triển công nghệ thông tin mạnh mẽ hơn nữa, góp phần vào sự phát triển bền vững của đất nước.


TỔNG QUAN TÌNH HÌNH AN TOÀN THÔNG TIN THẾ GIỚI

NĂM 2015

9ais.gov.vn


10 ais.gov.vn

11ais.gov.vn

Năm 2015, tình hình an toàn thông tin thế giới tiếp tục diễn biến phức tạp với nhiều cuộc tấn công mạng có quy mô lớn và tình trạng lộ, lọt thông tin trở nên nghiêm trọng đối với chính phủ của một số quốc gia.

Trong năm 2015, thông tin cá nhân tiếp tục là điểm nhắm tới của tấn công mạng và trở thành nguy cơ lớn đối với sự ổn định chính trị và phát triển kinh tế của các quốc gia. Các cuộc tấn công mạng thường để lại hậu quả nghiêm trọng khi thông tin của người sử dụng bị lấy trộm và phát tán rộng rãi trên mạng Internet. Điển hình như cuộc tấn công vào dịch vụ trực tuyến Ashley Madison đã làm lộ, lọt hàng chục triệu thông tin tài khoản lên mạng Internet; trong khi đó, cuộc tấn công vào công ty bảo hiểm lớn thứ hai tại Hoa Kỳ là Anthem Inc đã làm lộ, lọt thông tin của hơn 80 triệu khách hàng của công ty này.

Bên cạnh các thông tin lưu trữ tại các công ty tư nhân, thông tin của các chính phủ cũng phải đối mặt với những nguy cơ tương tự. Vào tháng 7 năm 2015, thông tin cá nhân của hàng triệu nhân viên Chính phủ Hoa Kỳ đã bị lộ, lọt thông qua nhiều cuộc tấn công mạng khác nhau. Nhiều chuyên gia trên thế giới đều cho rằng đây gần như là sự kiện chưa có tiền lệ và sức ảnh hưởng của nó là chưa thể nào tiên đoán được. Dư âm của vụ việc sẽ còn kéo dài trong nhiều thập kỷ và tốn hàng tỷ USD để tiếp tục xử lý các hậu quả. Tương tự, trong năm 2015, lực lượng bảo vệ quốc gia (ARNG) của quân đội Hoa Kỳ cũng đã phải đối mặt với nhiều cuộc tấn công mạng, trong đó có trường hợp thông tin của 868.000 quân nhân đã và đang phục vụ trong tổ chức này bị phát tán ra bên ngoài. Các quốc gia khác cũng gặp phải các cuộc tấn công mạng gây tổn thất lớn như: sự cố nhà máy điện hạt nhân của Hàn Quốc bị tấn công đánh cắp thiết kế, hồ sơ thông tin nhân viên; sự cố mất điện trên diện rộng tại Ukraina do bị tin tặc tấn công vào mạng lưới điện. Tấn công mạng cũng đã bắt đầu mang tính chính trị một cách công khai hơn, điển hình là vụ nhóm tin tặc nổi tiếng hàng đầu thế giới Anonymous tuyên bố chính thức tuyên chiến với tổ chức Nhà nước Hồi giáo IS qua hình thức tấn công mạng, sau vụ tấn công khủng bố liên hoàn tại Paris làm ít nhất 129 người thiệt mạng.

Các công ty về an toàn thông tin cũng trở thành đích ngắm của tấn công mạng. Tháng 6 năm 2015, Kaspersky Lab, một công ty về an toàn thông tin tại Nga đã thông báo về sự cố công ty bị tấn công mạng. Cuộc tấn công mạng

12 ais.gov.vn


được cho rằng sử dụng nhiều kỹ thuật mới, tinh vi khác nhau nhằm vào chính công ty cung cấp sản phẩm bảo mật uy tín này.

An toàn thông tin gắn liền với lợi ích kinh tếNăm 2015 cũng đã cho thế giới thấy rằng tấn công mạng đã và đang trở

thành hoạt động mang tính thương mại. Các thông tin rò rỉ từ nhóm tin tặc Hacking team đã cho thấy nhiều tổ chức, cá nhân đã đặt hàng và sử dụng các công cụ tấn công mà nhóm phát triển. Các công cụ này sử dụng các điểm yếu an toàn thông tin zero-day (một hình thức tấn công mạng mà theo đó, tin tặc khai thác các lỗ hổng, điểm yếu của phần mềm chưa được khắc phục bởi nhà sản xuất) trên sản phẩm CNTT do nhóm phát hiện để thực hiện tấn công. Như vậy, khi tìm ra được điểm yếu an toàn thông tin zero-day, người tìm ra sẽ có thêm lựa chọn bán lại cho các tổ chức cung cấp dịch vụ tấn công mạng thay vì thông báo cho chính các công ty phát triển sản phẩm bị mắc lỗi để khắc phục. Giá trị thị trường của những điểm yếu, lỗ hổng zero-day như vậy có thể lên đến hàng triệu đô la Mỹ.

Nhiều công ty bảo hiểm trên thế giới đã bắt đầu cung cấp các dịch vụ bảo hiểm cho thông tin cũng như bảo hiểm cho các cuộc tấn công vào khách hàng của mình. Đơn cử như cuộc tấn công vào Talktalk tại Anh vào tháng 10/2015 dẫn đến hơn 157.000 tài khoản người dùng bị xâm phạm và 15.656 tài khoản ngân hàng cùng thông tin bị lấy cắp. Cuộc tấn công ước tính làm thiệt hại của công ty này từ 30 đến 35 triệu bảng Anh, tuy nhiên, may mắn cho Talktalk là đã sử dụng dịch vụ bảo hiểm tấn công mạng từ trước đó cho trường hợp đáng tiếc này.

Trong năm 2015, hoạt động của các phần mềm độc hại tống tiền ghi nhận có sự gia tăng mạnh. Bên cạnh hình thức tống tiền dữ liệu, thế giới còn chứng kiến thêm nhiều hình thức tống tiền khác như tống tiền tấn công mạng, tức người sử dụng buộc phải trả một khoản tiền nếu không sẽ bị tiếp tục tấn công gây gián đoạn các hoạt động kinh doanh của người sử dụng này.

An toàn thông tin trong xu hướng IoT (Internet of Things)Năm 2015 cũng chứng kiến một số xu hướng mới của an toàn thông tin,

trong số đó, đáng chú ý là an toàn thông tin trên các thiết bị di chuyển thông minh. Theo đó, cùng với sự phát triển của công nghệ, những phương tiện di

13ais.gov.vn


chuyển như xe ô tô đang dần dần được điều khiển bởi máy tính. Trên thực tế, việc các cuộc tấn công nhắm vào các phương tiện này đã không còn là khái niệm xa lạ. Một số chuyên gia trên thế giới đã chứng minh rằng việc điều khiển và tấn công một chiếc xe thông minh đang chuyển động là điều hoàn toàn có thể. Điều này đã mở đầu cho hàng loạt cuộc triệu hồi của các hãng xe trên thế giới để khắc phục các điểm yếu an toàn thông tin trên chính các phương tiện này.

Tình hình các điểm yếu an toàn thông tin được phát hiệnNếu trong năm 2014, các điểm yếu Heartbleed và Shellshock được xem là

các điểm yếu tiêu biểu, thì trong năm 2015, chưa có điểm yếu nào được đánh giá có mức độ ngang bằng với các điểm yếu này. Tuy nhiên, một số chương trình phần mềm phổ biến lại trở thành đích nhắm của cộng đồng an toàn thông tin khi số lượng điểm yếu của các phần mềm này tăng vọt. Điển hình, chỉ trong tháng 12 năm 2015, Adobe đã phải phát hành nhiều bản vá cho hơn 100 điểm yếu an toàn thông tin của chương trình Flash. Điều đáng chú ý rằng việc phát hiện các điểm yếu này chỉ thực sự xảy ra khi các điểm yếu bị lợi dụng để tấn công rộng rãi trước khi nhà sản xuất tự phát hiện ra các điểm yếu này.

Công tác quản lý nhà nước về an toàn thông tin được các quốc gia quan tâm

Trong những năm gần đây, trước những diễn biến phức tạp về an toàn thông tin trên thế giới, Chính phủ của các quốc gia đã dành nhiều quan tâm, chú trọng hơn cho công tác quản lý nhà nước về an toàn thông tin qua việc hoàn thiện hành lang pháp lý cũng như ban hành chiến lược, quy hoạch, kế hoạch về an toàn thông tin. Theo thống kê, đến nay đã có khoảng gần 100 quốc gia ban hành các chính sách, chiến lược, quy hoạch, kế hoạch chuyên về bảo đảm an toàn thông tin. Điển hình trong số đó là các quốc gia như: Mỹ, Nhật, Hàn Quốc, Trung Quốc, Singapore, Úc, Ấn Độ, Việt Nam, Thụy Sĩ, Nga,…


14 ais.gov.vn

15ais.gov.vn

TỔNG QUAN TÌNH HÌNH AN TOÀN THÔNG TIN VIỆT NAM

NĂM 2015


16 ais.gov.vn


17ais.gov.vn

Năm 2015 tiếp tục là một năm diễn ra nhiều sự kiện về an toàn thông tin của Việt Nam, tiêu biểu là việc Quốc hội thông qua Luật an toàn thông tin mạng vào ngày 19/11/2015.

Theo đánh giá tổng thể, tình hình bảo đảm an toàn thông tin của Việt Nam đã có những chuyển biến tích cực rõ rệt. Chỉ số an toàn thông tin Việt Nam năm 2015 (VNISA Index 2015) đã tăng từ mức 39% vào năm 2014 lên 46,4% vào năm 2015.

Về mặt tích cực, có thể thấy, dấu ấn rõ nét nhất trong năm 2015 là việc Luật an toàn thông tin mạng được Quốc hội thông qua vào ngày 19/11/2015. Sự kiện này thể hiện quyết tâm của Quốc hội, Chính phủ và là bước khởi đầu quan trọng trong việc hoàn thiện hành lang pháp lý về an toàn thông tin của Việt Nam.

Những điểm sáng trong lĩnh vực an toàn thông tin- Nghị quyết số 26/NQ-CP ngày 15/4/2015 của Chính phủ ban hành

Chương trình hành động của Chính phủ thực hiện Nghị quyết số 36-NQ/TW ngày 01/7/2014 của Bộ Chính trị Ban Chấp hành Trung ương Đảng Cộng sản Việt Nam về đẩy mạnh ứng dụng, phát triển công nghệ thông tin đáp ứng yêu cầu phát triển bền vững và hội nhập quốc tế. Nội dung của Nghị quyết xác định rõ trong bối cảnh phát triển CNTT và hội nhập quốc tế thì cần thiết phải đẩy mạnh ứng dụng CNTT trong quốc phòng, an ninh; bảo đảm an toàn, an ninh thông tin, nâng cao năng lực quản lý các mạng viễn thông, truyền hình, Internet.

- Ngày 14/10/2015, Chính phủ đã ban hành Nghị quyết số 36a/NQ-CP về Chính phủ điện tử, trong đó, một trong những nội dung quan trọng đó là tăng cường bảo đảm an toàn, an ninh thông tin với giải pháp cụ thể trước mắt là tăng cường năng lực cán bộ làm công tác an toàn, an ninh thông tin trong các cơ quan nhà nước. Tại Nghị quyết này, Chính phủ cũng đã giao Bộ Thông tin và Truyền thông chịu trách nhiệm giám sát an toàn thông tin đối với hệ thống, dịch vụ CNTT của Chính phủ điện tử. Nghị quyết này cùng với nhiều văn bản pháp lý khác chắc chắn sẽ khiến cho các hoạt động huấn luyện, diễn tập bảo đảm an toàn thông tin, ứng cứu sự cố, giám sát an toàn thông tin,... trở nên sôi động hơn trong thời gian tới.

18 ais.gov.vn


Ngày 19/11/2015, Quốc hội đã thông qua Luật an toàn thông tin mạng. Luật bao gồm 08 Chương và 54 Điều quy định về hoạt động an toàn thông tin mạng, quyền và trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm an toàn thông tin mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng; kinh doanh trong lĩnh vực an toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng; quản lý nhà nước về an toàn thông tin mạng.

- Công tác triển khai các Đề án quan trọng về an toàn thông tin được thực hiện một cách tích cực và đã đem lại những hiệu quả ban đầu nhất định, góp phần nâng cao năng lực bảo đảm an toàn thông tin quốc gia như Đề án 99 về Đào tạo và phát triển nguồn nhân lực về an toàn, an ninh thông tin đến năm 2020; Đề án 1524 về Triển khai tiêu chuẩn DNSSecurity cho hệ thống máy chủ tên miền (DNS) “.vn”. Điển hình trong đó, ngày 19/6/2015, Thủ tướng Chính phủ ban hành Quyết định số 893/QĐ-TTg phê duyệt Đề án Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin đến năm 2020.

- Một số bộ, ngành, địa phương đã quan tâm hơn đến việc bảo đảm an toàn thông tin qua việc tổ chức các khóa đạo tào ngắn hạn về an toàn thông tin cho cán bộ, công chức, viên chức làm về CNTT và triển khai diễn tập, ứng cứu sự cố an toàn thông tin.

- Trong năm, thêm nhiều tổ chức ở Việt Nam đón nhận “Chứng chỉ Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC - 27001:2013”, các tổ chức này bao gồm: Trung tâm Internet Việt Nam (VNNIC), Ngân hàng Thương mại cổ phần Tiên phong (TPBank), Ngân hàng Thương mại cổ phần Sài Gòn - Hà Nội (SHB), Ngân hàng Thương mại cổ phần Đông Nam Á (SeABank), Công ty cổ phần NetNam, Trung tâm Viễn thông và Công nghệ thông tin - Tập đoàn Điện lực Việt Nam (EVNICT), Công ty Cổ phần Giải pháp phần mềm Hanel (HanelSoft), Công ty cổ phần viễn thông Tinh vân, Công ty cổ phần Tin học Lạc Việt, Công ty cổ phần FSI, Công ty Gimasys,… Sự kiện này cho thấy các tổ chức chủ quản của hệ thống thông tin đã bắt đầu quan tâm nhiều hơn tới các biện pháp bảo đảm an toàn thông tin theo chuẩn mực quốc tế.

- Chữ ký số và dịch vụ chứng thực chữ ký số có bước phát triển mới, đóng vai trò tích cực trong việc phát triển và khai thác hạ tầng an toàn thông tin

19ais.gov.vn


phục vụ giao dịch điện tử. Ngoài việc được sử dụng để kê khai thuế, kê khai hải quan, năm 2015, chữ ký số đã được tích hợp và ứng dụng hiệu quả trong các dịch vụ mới như nộp thuế điện tử, bảo hiểm điện tử,... góp phần vào công tác cải cách hành chính, phát triển Chính phủ điện tử.

Những điểm bất cập, tồn tại về an toàn thông tin- Việt Nam tiếp tục nằm trong danh sách các quốc gia có tỉ lệ lây nhiễm

phần mềm độc hại cao trên thế giới. Chỉ số này của Việt Nam năm 2015 ước tính vào khoảng 64,36%. Mặc dù tỉ lệ này có giảm so với năm 2014 nhưng là không đáng kể. Điều này cho thấy, Việt Nam sẽ còn phải bỏ nhiều nỗ lực trong việc phát hiện, giảm thiểu và gỡ bỏ các phần mềm độc hại.

- Trong năm 2015, Việt Nam phát hiện 38.177 cuộc tấn công mạng, tăng gấp 2 lần so với năm 2014, trong đó có 5.600 cuộc tấn công lừa đảo (Phishing), 22.200 cuộc tấn công cài phần mềm độc hại (Malware) và 10.377 cuộc tấn công thay đổi giao diện (Deface), trong số đó có 212 cuộc tấn công thay đổi giao diện vào các hệ thống có tên miền “.gov.vn”.

Trong các phần tiếp theo, Báo cáo này sẽ chi tiết cụ thể hơn về thông tin, số liệu thống kê, tổng hợp về tình hình an toàn thông tin Việt Nam năm 2015, đồng thời, đưa ra một số dự báo về xu hướng an toàn thông tin năm 2016.


20 ais.gov.vn


TIÊU ĐIỂM AN TOÀN THÔNG TINNĂM 2015 - MẠNG XÃ HỘI

21ais.gov.vn


22 ais.gov.vn

23ais.gov.vn

Hiện nay, thế giới có hàng trăm mạng xã hội khác nhau, với MySpace và Facebook nổi tiếng nhất trong thị trường Bắc Mỹ và Tây Âu; Orkut và Hi5 tại Nam Mỹ; Friendster tại Châu Á và các đảo quốc Thái Bình Dương. Một số mạng xã hội khác thành công theo vùng miền như Bebo tại Anh Quốc, CyWorld tại Hàn Quốc, Mixi tại Nhật Bản. Tại Việt Nam, những năm vừa qua đã xuất hiện một số mạng xã hội như: Zing Me, YuMe, Tamtay...

Trong khi mạng xã hội được xem là phương tiện giao tiếp và truyền thông tốt thì đồng thời nó cũng trở thành đích ngắm của tội phạm mạng. Các hãng về an toàn thông tin lớn trên thế giới đã quan sát được làn sóng đe dọa trực tuyến ngày càng tăng lợi dụng mạng xã hội để đánh cắp thông tin sử dụng cho mục đích kiếm tiền. Những đe dọa này ngày càng phức tạp hơn, khó phát hiện hơn và thường nhắm vào xu hướng “kết nối mạng trực tuyến” của người sử dụng.

Năm 2015, mạng xã hội đã trở thành tiêu điểm nóng nhất về an toàn thông tin với hàng loạt những nguy cơ, vấn nạn thu hút nhiều sự quan tâm của xã hội cũng như gây ra một số hậu quả đáng quan ngại. Một số nguy cơ, thách thức về an toàn thông tin trên mạng xã hội trong năm 2015 cụ thể như sau:

Mất an toàn thông tin cá nhân trên mạng xã hội:Mạng xã hội hoạt động trên nguyên tắc kết nối và chia sẻ thông tin. Do vậy,

các mạng xã hội sẽ bắt buộc người sử dụng phải cung cấp một số nhất định các thông tin cá nhân. Xu hướng của mạng xã hội trong những năm gần đây là yêu cầu người sử dụng phải cung cấp thông tin thật (tên, tuổi, số điện thoại,…). Càng nhiều thông tin mà người sử dụng cung cấp lên mạng xã hội, càng làm tăng nguy cơ bị kẻ xấu lợi dụng, làm ảnh hưởng tới hình ảnh, uy tín của bản thân. Sử dụng các thông tin đưa lên mạng xã hội như: vị trí địa lý, sở thích cá nhân, danh sách bạn bè, kẻ xấu có thể khai thác thêm các thông tin cá nhân khác hoặc các dữ liệu tài chính, ngân hàng của người dùng. Các thông tin cá nhân mà các đối tượng xấu thu thập được trên mạng xã hội được lợi dụng để thực hiện nhiều hành vi vi phạm pháp luật, trong đó bao gồm cả phát tán thư rác, tin nhắn rác, gọi điện quảng cáo dịch vụ,… gây nhiều phiền toái cho người sử dụng.

Lừa đảo trên mạng xã hộiTừ năm 2014, nhiều đối tượng đã lợi dụng mạng xã hội là kênh phát

tán dễ dàng, nhanh chóng thông tin để bắt đầu thực hiện hành vi lừa đảo.

24 ais.gov.vn


Sang năm 2015, số lượng đối tượng và hành vi cũng như quy mô của các vụ lừa đảo trên mạng xã hội đã tăng rõ rệt và trở thành mối lo ngại cho cả cơ quan quản lý cũng như người sử dụng. Điển hình, có trường hợp, đối tượng đã lừa đảo người sử dụng tổng số tiền lên tới hàng tỷ đồng. Một số hình thức lừa đảo của các đối tượng thường sử dụng như: lừa đảo trúng thưởng, tặng quà miễn phí; lừa nạp thẻ cào điện thoại di động trả trước hưởng khuyến mãi khủng;…

Giả mạo tổ chức, cá nhân trên mạng xã hộiCùng với hiện tượng giả mạo thư điện tử đã diễn ra một thời gian, trong

năm 2015 đã xuất hiện nhiều hiện tượng giả mạo tài khoản mạng xã hội mạo danh người sử dụng trên mạng xã hội. Ngoài việc mạo danh các đồng chí lãnh đạo Đảng, Nhà nước để phát tán thông tin tuyên truyền chống phá Đảng, Nhà nước, hiện tượng mạo danh các tổ chức, cá nhân có uy tín, nổi tiếng để tuyên truyền thông tin độc hại, thông tin bôi nhọ tổ chức, cá nhân khác hoặc với mục đích “câu Like” bùng phát mạnh. Việc giả mạo đã gây ảnh hưởng nhất định đến uy tín của một số tổ chức, cá nhân và gây bức xúc trong xã hội.

Lây nhiễm phần mềm độc hại qua mạng xã hộiVới sự phổ biến và khả năng kết nối của mạng xã hội, thông tin hiện nay

được mọi người bình luận và chia sẻ với tốc độ “chóng mặt”. Vì vậy, những nguy cơ kèm theo các thông tin này cũng tăng lên theo cấp số nhân. Mạng xã hội đã trở thành kênh phổ biến nhất để các tin tặc lây nhiễm phần mềm độc hại lên thiết bị của người sử dụng, qua đó thực hiện các hành vi tấn công mạng, đánh cắp dữ liệu cá nhân, phát tán thư rác,… Hình thức phổ biến để lây nhiễm phần mềm độc hại qua mạng xã hội thường được các đối tượng sử dụng là lây nhiễm qua các liên kết khi người sử dụng click để đọc các tin giật gân, lây nhiễm qua các phần mềm đoán tên, tuổi, tính cách thu hút người dùng tò mò sử dụng,…

Phát tán thư rác, thông tin độc hại trên mạng xã hộiSau khi đánh cắp mật khẩu các tài khoản mạng xã hội, tin tặc lợi dụng chính

những tài khoản này để phát tán thư rác, thông tin độc hại. Tin tặc thường lợi dụng tâm lý người sử dụng thường ít khi đề phòng tin nhắn, thông tin mà người gửi tới là bạn bè. Thư rác được phát tán đi dưới danh nghĩa những địa chỉ hợp pháp khiến cho người dùng ít khi cảnh giác, và vô hình chung giúp cho

25ais.gov.vn


mục đích của tin tặc trở nên hiệu quả hơn. Ngoài việc phát tán nội dung quảng cáo sai quy định, người sử dụng thường nhận được một thư, tin nhắn có tiêu đề mang tính cá nhân được gửi từ một người hay công ty mà bạn thường liên lạc, và điều này đã khiến người nhận mất cảnh giác và sẽ bị lây nhiễm phần mềm độc hại hoặc liên kết chuyển hướng đến một trang web nguy hại hay có nội dung không lành mạnh. Về cơ bản, hiểm họa này không khác gì mấy so với hình thức lừa đảo trên email thông thường. Có thể, người sử dụng sẽ nhận được thông báo từ nhà cung cấp dịch vụ về việc hộp thư đã quá tải và yêu cầu cung cấp lại mật khẩu. Ngay khi nhập vào mật khẩu thì người sử dụng đã bị tin tặc đánh cắp thông tin cá nhân và trộm mật khẩu của tài khoản.

Bằng nghiệp vụ quản lý, kỹ thuật cũng như áp dụng chế tài xử phạt, các cơ quan có thẩm quyền trong thời gian vừa qua đã cơ bản ngăn chặn và xử lý được các nguy cơ, thách thức về an toàn thông tin trên mạng xã hội. Tuy nhiên, trong xu hướng chung của thế giới, cộng với nhận thức về an toàn thông tin của người sử dụng công nghệ thông tin Việt Nam chưa đầy đủ, chắc chắn sẽ còn nhiều nguy cơ, sự cố về an toàn thông tin đối với các tổ chức, cá nhân trên mạng xã hội trong thời gian tới.

Cục An toàn thông tin khuyến nghị:

Cảnh giác với các thông tin lạ trên mạng xã hội, nâng cao nhận thức về an toàn thông tin cho bản thân và phối hợp chặt chẽ với cơ quan có thẩm quyền khi phát hiện hành vi có khả năng gây mất an toàn thông tin là biện pháp hữu hiệu để tổ chức, cá nhân để tự bảo vệ mình trên mạng xã hội.

26 ais.gov.vn


TỔNG HỢP SỐ LIỆU

27ais.gov.vn


28 ais.gov.vn


29ais.gov.vn

Số liệu thống kê về tình hình an toàn thông tin năm 2015 của Việt Nam được tổng hợp như bảng dưới đây:

Bảng 1: Tổng hợp số liệu thống kê tình hình an toàn thông tin Việt Nam năm 2015

30 ais.gov.vn


31ais.gov.vn



32 ais.gov.vn


SỰ KIỆN NỔI BẬT

33ais.gov.vn


34 ais.gov.vn


35ais.gov.vn

Ngày 19/11/2015, Quốc hội đã thông qua Luật an toàn thông tin mạng. Việc ban hành Luật đã góp phần hoàn thiện cơ sở pháp lý ổn định về an toàn thông tin theo hướng áp dụng các quy định pháp luật một cách đồng bộ, khả thi trong thực tiễn thi hành và phát huy các nguồn lực của đất nước để đảm bảo an toàn thông tin mạng, phát triển lĩnh vực này đáp ứng yêu cầu phát triển kinh tế - xã hội, quốc phòng và an ninh, góp phần nâng cao chất lượng cuộc sống của nhân dân. Luật ra đời cũng nhằm đảm bảo quyền và lợi ích hợp pháp của tổ chức, cá nhân tham gia hoạt động an toàn thông tin mạng, đẩy mạnh công tác giám sát, phòng chống nguy cơ mất an toàn thông tin mạng, mở rộng hợp tác quốc tế trong lĩnh vực này trên cơ sở tôn trọng độc lập, chủ quyền, bình đẳng, cùng có lợi, phù hợp với pháp luật Việt Nam và điều ước quốc tế mà Việt Nam tham gia ký kết.

Ngày 19/6/2015, Thủ tướng Chính phủ ban hành Quyết định số 893/QĐ-TTg phê duyệt Đề án Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin đến năm 2020. Theo đó, các nhóm nhiệm vụ quan trọng cần triển khai đến năm 2020 bao gồm: định hướng hoạt động và xây dựng, biên tập các tài liệu tuyên truyền; tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin ở các cơ sở giáo dục, qua các phương tiện thông tin đại chúng, truyền thông xã hội, hệ thống thông tin cơ sở và các phương thức khác. Đề án khẳng định quyết tâm của Việt Nam trong việc nâng cao nhận thức, trách nhiệm của các tổ chức, cá nhân và toàn xã hội về an toàn thông tin trong bối cảnh mất an toàn thông tin đang trở thành nguy cơ ngày càng lớn và rõ rệt .

Ngày 14/10/2015, Chính phủ đã ban hành Nghị quyết số 36a/NQ-CP về Chính phủ điện tử, trong đó, một trong những nội dung quan trọng đó là tăng cường bảo đảm an toàn, an ninh thông tin với giải pháp cụ thể trước mắt là tăng cường năng lực cán bộ làm công tác an toàn, an ninh thông tin trong các cơ quan nhà nước.

1

2

3

36 ais.gov.vn


4

Tại Nghị quyết này, Chính phủ cũng đã giao Bộ Thông tin và Truyền thông chịu trách nhiệm giám sát an toàn thông tin đối với hệ thống, dịch vụ CNTT của Chính phủ điện tử. Nghị quyết này cùng với nhiều văn bản pháp lý khác chắc chắn sẽ khiến cho các các hoạt động huấn luyện, diễn tập bảo đảm an toàn thông tin, ứng cứu sự cố, giám sát an toàn thông tin,... trở nên sôi động hơn trong thời gian tới Việt Nam là điểm đến của một số các Hội thảo, Hội nghị lớn, uy tín về an toàn thông tin trên thế giới như:

- Đại hội đồng Liên minh Nghị viện thế giới lần thứ 132 (IPU-132) đã diễn ra tại Hà Nội từ ngày 28/3/2015 đến ngày 01/4/2015. Đây là sự kiện chính trị có ý nghĩa lịch sử, ngoại giao thể hiện tinh thần chủ động và tích cực hội nhập sâu rộng của Quốc hội Việt Nam, một thành viên có trách nhiệm trong tổ chức liên nghị viện toàn cầu và vị thế của Việt Nam trên trường quốc tế. Ngày 31/3/2015, Đại hội đồng đã thông qua Nghị quyết Chiến tranh mạng: Mối đe dọa nghiêm trọng cho hòa bình và an ninh toàn cầu. Nội dung của Nghị quyết kêu gọi các nghị viện quốc gia nỗ lực hoàn thiện khung pháp lý của nước mình nhằm ngăn ngừa các nguy cơ tội phạm mạng, thúc đẩy Nghị viện các nước xây dựng các chiến lược an ninh mạng, vừa đảm bảo phát triển công nghệ thông tin và quyền tiếp cận của người dân đối với những tiến bộ khoa học - kỹ thuật, đồng thời đảm bảo an toàn thông tin; tuân thủ luật pháp quốc tế, tăng cường hợp tác quốc tế trong các phương thức bảo vệ không gian mạng, chống các hành động tội phạm công nghệ cao, tiến tới thiết lập các thỏa thuận quốc tế ngăn ngừa chiến tranh mạng.

- Ngày 29/5/2015, tại Hà Nội, Bộ Thông tin và Truyền thông đã tiến hành tổ chức Hội nghị Sơ kết 05 năm thực hiện Quy hoạch phát triển an toàn thông tin số đến năm 2020 theo Quyết định số 63/QĐ-TTG ngày 13/01/2010 của Thủ tướng Chính phủ và thảo luận về Kế hoạch bảo đảm an toàn thông tin quốc gia giai đoạn 2016-2020. Tham dự Hội nghị có hơn 300 đại diện của cơ quan, đơn vị phụ trách về

37ais.gov.vn


công nghệ thông tin và an toàn thông tin của các Bộ, ngành, địa phương và các doanh nghiệp.

- Hội nghị quốc tế về phòng chống mã độc toàn cầu - AVAR 2015 do Công ty cổ phần Tập đoàn CMC tổ chức dưới sự bảo trợ của Cục An toàn thông tin từ ngày 02/12/2015 đến ngày 04/12/2015 tại Đà Nẵng. Hội thảo đã thu hút được hơn 150 chuyên gia hàng đầu đến từ 50 hãng sản xuất phần mềm về an toàn thông tin trên thế giới như: Intel (McAfee), Symantec, Kaspersky, Microsoft, BitDefender,….; Hội thảo Tetcon 2015 được tổ chức ngày 06/01/2015 tại Thành phố Hồ Chí Minh.

- Sự kiện thường niên Ngày An toàn thông tin Việt Nam năm 2015 do Hiệp hội An toàn thông tin Việt Nam (VNISA) phối hợp với các đơn vị chức năng của Bộ Thông tin và Truyền thông, Bộ Quốc phòng và Bộ Giáo dục và Đào tạo với một chuỗi các hoạt động về an toàn thông tin diễn ra trên phạm vi cả nước, trong đó nổi bật nhất là Hội thảo Triển lãm quốc tế về an toàn thông tin với chủ đề “Xu hướng phá hoại tàn khốc của tấn công mạng hiện đại” tổ chức tại Hồ Chí Minh ngày 19/11/2015 và tại Hà Nội ngày 01/12/2015. Sự kiện đã thu hút được sự quan tâm của đông đảo các tầng lớp trong xã hội. Trong khuôn khổ sự kiện, nhiều hoạt động hữu ích được tổ chức như: Bình chọn Sản phẩm An toàn thông tin chất lượng cao năm 2015; Cuộc thi Sinh viên với an toàn thông tin; Tọa đàm Con đường Kỷ nguyên số với nội dung về hướng nghiệp cho sinh viên công nghệ thông tin và an toàn thông tin. Ngày 17/4/2015, Đoàn công tác của Việt Nam do Lãnh đạo Bộ Thông tin và Truyền thông làm Trưởng đoàn đã tham dự Hội nghị toàn cầu về không gian mạng (Global Conference on CyberSpace 2015) diễn ra tại Hà Lan với sự tham gia của các đại biểu đến từ hơn 120 quốc gia, vùng lãnh thổ và các tổ chức quốc tế. Hội nghị này nhằm thúc đẩy việc hợp tác, tăng cường xây dựng năng lực bảo đảm an toàn, an ninh thông tin và thảo luận về trách nhiệm của mỗi quốc gia, tổ chức

5


38 ais.gov.vn

trong không gian mạng. Cũng tại Hội nghị, Diễn đàn toàn cầu các chuyên gia không gian mạng (Global Forum on Cyber Expertise - GFCE)do Hà Lan đề xuất đã được thành lập. Diễn đàn GFCE nhằm tạo động lực cho việc xây dựng chính sách về ATTT; thúc đẩy các sáng kiến và cung cấp kiến thức, kinh nghiệm cho các nước thành viên; tạo nền tảng trao đổi ở cấp độ cao trong việc thảo luận xây dựng chính sách. Việt Nam là một trong 42 quốc gia, vùng lãnh thổ và tổ chức quốc tế là thành viên sáng lập của GFCE.

Các cuộc thi lớn về an toàn thông tin được tổ chức tại Việt Nam với sự tham gia của nhiều quốc gia mạnh về lĩnh vực an toàn thông tin như: Cuộc thi an toàn thông tin mạng toàn cầu (White Hat Grand Prix Global challenge 2015) do Công ty cổ phần BKAV tổ chức dưới sự bảo trợ của Cục An toàn thông tin; Cuộc thi Viettel Mates CTF. Đặc biệt, trong cuộc thi an toàn thông tin mạng “Cyber Seagame 2015”, đội Việt Nam đã xuất sắc vượt qua 13 đội đại diện cho các quốc gia trong khu vực Đông Nam Á để giành chức vô địch.

6


SỰ CỐ ĐÁNG CHÚ Ý

39ais.gov.vn


40 ais.gov.vn


41ais.gov.vn

Cuối tháng 5/2015, khoảng 1.000 trang web của Việt Nam bị tấn công thay đổi giao diện hoặc tải tệp tin trái phép, trong đó có 10 trang web của cơ quan nhà nước với tên miền “.gov.vn”. Đợt tấn công được cho rằng xuất phát từ các diễn biến “nóng” trong tình hình thời sự đang diễn ra, trong đó có thể có từ sự ảnh hưởng của Đối thoại Shangri-la được tổ chức tại Singapore vào khoảng thời gian này.

Trung tuần tháng 3/2015, hơn 50.000 tài khoản của người sử dụng dịch vụ của một doanh nghiệp cung cấp dịch vụ viễn thông lớn bị công khai trên một số trang mạng. Nhóm tin tặc với tên gọi DIE Group đã tiến hành khai thác lỗ hổng của môđun tra cứu thông tin khách hàng trên một máy chủ cũ để tấn công và lấy trộm thông tin. Thông tin tài khoản bị công khai bao gồm: mã số khách hàng, họ tên, địa chỉ, số điện thoại (di động và cố định),... Phần lớn những thông tin cá nhân bị tiết lộ vẫn đang hoạt động. Dưới sự chỉ đạo của Bộ Thông tin và Truyền thông, doanh nghiệp viễn thông này đã kịp thời khắc phục lỗ hổng được phát hiện và tiến hành xử lý, tăng cường bảo mật các tài khoản dữ liệu cho các khách hàng.

Trong năm, hệ thống thông tin của nhiều cơ quan, tổ chức và doanh nghiệp bị tấn công mạng; lây nhiễm phần mềm độc hại, mạng botnet; tồn tại các điểm yếu, lỗ hổng có nguy cơ mất an toàn thông tin cao. Tuy nhiên, các đơn vị chức năng của Bộ Thông tin và Truyền thông đã kịp thời cảnh báo, phối hợp cùng các cơ quan, tổ chức và doanh nghiệp xử lý các cuộc tấn công, nguy cơ mất an toàn thông tin. Kết quả, các sự cố về an toàn thông tin đều được xử lý và không gây hậu quả nghiêm trọng.

1

2

3


42 ais.gov.vn


NGUY CƠ, THÁCH THỨC

43ais.gov.vn


44 ais.gov.vn


45ais.gov.vn

Phần mềm độc hạiNăm 2015, Việt Nam tiếp tục nằm trong danh sách những

nước có tỉ lệ lây nhiễm phần mềm độc hại cao trên thế giới. Theo đánh giá của các hãng phần mềm trong và ngoài nước, đối với Việt Nam, tỉ lệ lây nhiễm phần mềm độc hại trên máy vi tính vào khoảng 64,36%, tỉ lệ lây nhiễm phần mềm độc hại trên thiết bị di động vào khoảng 24%. Phương thức lây nhiễm phổ biến vẫn là lây nhiễm qua thiết bị đa phương tiện kết nối với máy tính (USB, ổ cứng di động, thẻ nhớ,…).

Thiết bị lây nhiễmTỉ lệ lây nhiễm phần mềm độc hại trên máy tính

Tỉ lệ lây nhiễm phần mềm độc hại trên máy tính là chỉ số thống kê về tỉ lệ máy tính từng bị tấn công bởi phần mềm độc hại, bao gồm cả các máy tính bị tấn công nhưng không bị lây nhiễm và các máy tính bị tấn công dẫn đến lây nhiễm (bao gồm cả các máy tính đã lây nhiễm và được phát hiện).

Năm 2015, Việt Nam nằm trong danh sách các nước có tỉ lệ lây nhiễm phần mềm độc hại trên máy vi tính cao, ước tính khoảng 64,36%. Tỉ lệ lây nhiễm này của Việt Nam cao gấp gần 4 lần tỉ lệ lây nhiễm trung bình trên thế giới.

Bảng 2: Tỉ lệ lây nhiễm phần mềm độc hại trên máy vi tính

46 ais.gov.vn


Đáng chú ý, 07 dòng phần mềm độc hại phổ biến nhất ở Việt Nam lại không nằm trong danh sách 10 dòng phần mềm độc hại phổ biến trên thế giới, tăng 01 dòng so với năm 2014. Đây là một đặc điểm riêng của Việt Nam, không giống với các quốc gia khác. Vì vậy, việc tập trung đầu tư nghiên cứu và triển khai các giải pháp trong nước nhằm phòng, chống các phần mềm độc hại này là một yêu cầu cần thiết và cấp bách.Tỉ lệ lây nhiễm phần mềm độc hại trên thiết bị di động

Tỉ lệ lây nhiễm phần mềm độc hại trên thiết bị di động của Việt Nam năm 2015 ước tính vào khoảng 24%, tăng 1% so với năm 2014. Việt Nam cũng là quốc gia nằm trong danh sách các quốc gia có tỉ lệ lây nhiễm phần mềm độc hại trên thiết bị di động cao trên thế giới.

Phương thức lây nhiễmTỉ lệ lây nhiễm phần mềm độc hại qua mạng

Năm 2015, Việt Nam vẫn là một trong các quốc gia có tỉ lệ lây nhiễm phần mềm độc hại qua mạng cao với tỉ lệ là 39% mặc dù tỉ lệ này đã giảm đáng kể so với năm 2014 (49%).

Một số nguyên nhân dẫn đến sự cải thiện cho kết quả này là:- Người dùng đã quan tâm hơn đến việc tự bảo vệ mình khỏi phần mềm

độc hại trên mạng, kết quả từ việc tăng cường công tác tuyên truyền, phổ biến và nâng cao nhận thức về an toàn thông tin.

- Các nhà phát triển trình duyệt và công cụ tìm kiếm nhận ra sự cần thiết của việc đảm bảo người dùng của họ và bắt đầu đóng góp vào cuộc chiến chống lại các trang web độc hại.

- Người dùng đang sử dụng ngày càng nhiều các thiết bị di động và máy tính bảng để sử dụng mạng và các phần mềm độc hại, phương thức lây nhiễm trên thiết bị di động còn ít phổ biến hơn so với trên máy tính.

47ais.gov.vn


Tỉ lệ lây nhiễm phần mềm độc hại qua các thiết bị đa phương tiệnĐối với nguy cơ lây nhiễm phần mềm độc hại qua các các thiết bị đa

phương tiện kết nối với máy tính như: camera, thẻ nhớ, USB, ổ cứng di động,…Việt Nam vẫn nằm trong danh sách các nước có nguy cơ cao với tỉ lệ khoảng 77%, tương đương với năm 2014. Trung bình tỉ lệ này của 20 quốc gia nằm trong danh sách các quốc gia có tỉ lệ lây nhiễm cao nhất trên thế giới đã tăng lên 9% so với năm 2014.

Chỉ số này vẫn còn cao, chưa được cải thiện so với năm 2014 và hơn hẳn so với chỉ số tỉ lệ lây nhiễm phần mềm độc hại qua mạng là khoảng 39%. Điều này nói lên rằng các máy tính có nguy cơ lây nhiễm phần mềm độc hại từ các thiết bị kết nối (đặc biệt là USB, ổ đĩa cứng di động) tại Việt Nam vẫn rất cao và người sử dụng chưa quan tâm nhiều đến các biện pháp phòng, chống lây nhiễm qua phương thức này giống như phòng, chống lây nhiễm qua mạng.

Cục An toàn thông tin khuyến cáo các cơ quan, tổ chức:1. Định kỳ thực hiện rà quét, tìm diệt phần mềm độc hại trên hệ thống

thông tin do mình quản lý, đặc biệt là đối với các hệ thống giao dịch trực tuyến và hệ thống cung cấp dịch vụ trên thiết bị di động.

2. Ban hành quy định về quản lý, sử dụng thiết bị đa phương tiện (USB, ổ di động, thẻ nhớ,…) để hạn chế nguy cơ lây nhiễm phần mềm độc hại qua các thiết bị đa phương tiện kết nối với máy tính.Cục An toàn thông tin khuyến cáo người sử dụng:

1. Sử dụng và thường xuyên cập nhật phần mềm diệt virus có bản quyền, phần mềm diệt virus trong nước sản xuất được để có hiệu quả phòng, chống và được hỗ trợ tốt nhất, kịp thời nhất.

2. Cảnh giác với các trang web “lạ” và không mở các fi le, các email, đường dẫn “lạ” được chia sẻ trên mạng và để ý đường dẫn trên trình duyệt khi được yêu cầu nhập thông tin, tài khoản cá nhân.

3. Không nên thực hiện các thao tác giao dịch thương mại điện tử như tài khoản ngân hàng trực tuyến khi sử dụng máy tính công cộng, mạng Internet không dây WiFi ở các địa điểm công cộng như quán cafe để giảm thiểu nguy cơ bị đánh cắp mật khẩu.

48 ais.gov.vn


Tấn công mạng

Năm 2015, Việt Nam gặp phải khoảng 38.177 cuộc tấn công mạng, tăng gấp 2 lần so với năm 2014, trong đó có 5.600 cuộc tấn công lừa đảo (Phish-ing), 22.200 cuộc tấn công cài phần mềm độc hại và 10.377 cuộc tấn công thay đổi giao diện, trong số đó có 212 cuộc tấn công thay đổi giao diện vào các hệ thống có tên miền “.gov.vn”. Cả nước có 1.297.033 lượt địa chỉ IP bị nhiễm mạng botnet, giảm hơn 2,5 lần so với năm 2014; trong đó, số lượt địa chỉ IP thuộc cơ quan nhà nước là 3.257 lượt, giảm hơn 2,5 lần so với năm 2014. Tuy nhiên, 54% số cơ quan, tổ chức của Việt Nam không hề có khả năng ghi nhận, cảnh báo hành vi dò quét, thử tấn công của kẻ xấu nhằm vào hệ thống thông tin của mình; 63% số cơ quan, tổ chức không có quy trình thao tác chuẩn để phản hồi ngay cả khi đã phát hiện ra là mình bị tấn công.

Tấn công từ chối dịch vụ

49ais.gov.vn


Năm 2015, Việt Nam nằm trong danh sách các quốc gia ghi nhận có số lượt bị tấn công từ chối dịch vụ (DDoS) lớn với tỉ lệ chiếm 3,95% tổng số lượt tấn công từ chối dịch vụ trên toàn thế giới.

Cục An toàn thông tin khuyến cáo các cơ quan, tổ chức:1. Tổ chức đào tạo, bồi dưỡng cán bộ phụ trách về công nghệ thông

tin để hạn chế, giảm thiểu nguy cơ, rủi ro mất an toàn thông tin. Chú trọng tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về ATTT.

2. Thành lập hoặc chỉ định bộ phận đầu mối về an toàn thông tin, xây dựng quy trình thao tác chuẩn để phản hồi khi hệ thống thông tin bị tấn công và tham gia mạng lưới điều phối ứng cứu sự cố theo Thông tư số 27/2011/TT-BTTTT ngày 04/10/2011 của Bộ Thông tin và Truyền thông quy định về điều phối các hoạt động ứng cứu sự cố mạng Internet Việt Nam.

3. Triển khai các giải pháp kỹ thuật nhằm giám sát, theo dõi và cảnh báo sớm các nguy cơ gây mất an toàn hệ thống thông tin do đơn vị mình quản lý.

50 ais.gov.vn


Thư rác

Thống kê cho thấy, năm 2015, số lượt phản ánh tin nhắn rác của người sử dụng giảm gần 23,7% so với năm trước. Bộ Thông tin và Truyền thông đã chỉ đạo các doanh nghiệp viễn thông di động ngăn chặn hơn 2.865.000 lượt thuê bao phát tán tin nhắn rác, tăng gần 3 lần so với năm 2014.

Trên bình diện quốc tế, năm 2015, tỉ lệ thư rác (thư điện tử, tin nhắn SMS, tin báo giả mạo trên thiết bị di động, thư/tin nhắn quảng cáo,…) trên toàn thế giới trung bình khoảng 55,28%. Tỉ lệ này chỉ số lượng thư rác trên tổng số thư được gửi đi trên toàn thế giới, nghĩa là, cứ trong 100 thư được gửi đi thì có khoảng 55 thư rác. Trong đó, số lượng thư rác được phát tán từ Việt Nam chiếm tỉ lệ khoảng 6,1% tổng thư rác trên thế giới. Như vậy, trong 100 thư được gửi đi thì trên phạm vi toàn cầu có khoảng 55 thư rác và trong 55 thư rác này thì có khoảng 03 thư rác được phát tán từ Việt Nam. Đáng lưu ý là 2,17% số lượng thư rác trên thế giới (bao gồm cả thư rác được gửi đi từ Việt Nam) có đích gửi là các địa chỉ điện tử ở Việt Nam.

Đối với Việt Nam nói riêng, theo thống kê của cơ quan quản lý nhà nước, tin nhắn rác vẫn tồn tại, nhưng nhìn chung đã giảm nhiều so với năm 2014. Số lượt phản ánh tin nhắn rác của người sử dụng trên các mạng viễn thông di động cũng đều giảm mạnh. Năm 2015, tổng số lượt phản ánh tin nhắn rác của người sử dụng qua đầu số 456 là hơn 621.254 lượt, giảm gần 23,7% so với năm 2014, tỉ lệ giảm này tăng hơn 5 lần so sánh với mức giảm 4,4% của năm 2014 so với năm 2013. Tỉ lệ phản ánh tin nhắn rác về quảng cáo dịch vụ nội dung qua tin nhắn chiếm nhiều nhất là dịch vụ nội dung qua tin nhắn với khoảng 23%, tiếp theo là SIM số với khoảng 22%, tin nhắn rác quảng cáo bất động sản với khoảng 21% và tin nhắn rác quảng cáo dịch vụ 1900xxxx chiếm khoảng 3%.

So sánh với năm 2014, ngoại trừ tin nhắn rác quảng cáo bất động sản tăng 50% thì số lượt phản ánh tin nhắn rác các nội dung khác đều giảm, cụ thể: dịch vụ nội dung qua tin nhắn giảm gần 40%, dịch vụ SIM số đẹp giảm hơn 43%, dịch vụ gọi tổng đài 1900xxxx giảm gần 70%.

51ais.gov.vn


Năm 2015, theo chỉ đạo của Bộ Thông tin và Truyền thông (Cục An toàn thông tin) về việc tăng cường ngăn chặn tin nhắn rác, các doanh nghiệp viễn thông di động đã ngăn chặn hơn 2.865.000 lượt thuê bao phát tán tin nhắn rác, tăng gần 3 lần so với năm 2014, tạm ngừng cung cấp dịch vụ đối với 42 đầu số dịch vụ tin nhắn ngắn. Trong năm, Thanh tra Bộ Thông tin và Truyền thông đã xử phạt 20 lượt doanh nghiệp thực hiện hành vi phát tán tin nhắn rác với tổng số tiền xử phạt là 1,285 tỷ đồng và thu hồi tổng số tiền 330 triệu đồng. Đồng thời, Thanh tra Bộ Thông tin và Truyền thông cũng đã thu hồi 10 đầu số 1900xxxx của 02 doanh nghiệp do thực hiện hành vi phát tán tin nhắn rác.

Cục An toàn thông tin khuyến cáo:1. Người sử dụng hãy cảnh giác với tin nhắn rác, tin nhắn lừa đảo có

nội dung mời chào người sử dụng gọi điện thoại hoặc nhắn tin đến các đầu số thoại, tin nhắn để trừ cước của khách hàng. Khi nhận được tin nhắn rác, tin nhắn lừa đảo, người sử dụng hãy chuyển tiếp tin nhắn đến đầu số 456 (miễn phí) để cơ quan quản lý nhà nước xử lý.

2. Các cơ quan, tổ chức triển khai các quy trình, biện pháp kỹ thuật theo hướng dẫn tại công văn số 430/BTTTT-CATTT ngày 09/02/2015 của Bộ Thông tin và Truyền thông hướng dẫn bảo đảm an toàn thông tin cho hệ thống thư điện tử của cơ quan, tổ chức nhà nước.


52 ais.gov.vn


DIỄN TẬP, ĐIỀU PHỐI ỨNG CỨU SỰ CỐ

53ais.gov.vn


54 ais.gov.vn


55ais.gov.vn

Năm 2015, công tác diễn tập bảo đảm an toàn thông tin và ứng cứu sự cố đã diễn ra tại nhiều cơ quan, tổ chức trên cả nước. Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam tiếp tục phối hợp chặt chẽ với các đơn vị liên quan duy trì hoạt động diễn tập và điều phối ứng cứu sự cố an toàn thông tin trên phạm vi quốc gia và phối hợp quốc tế. Một số công tác chính đã triển khai bao gồm:

- Ngày 18/3/2015, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam đã tổ chức cho các cơ quan, tổ chức tại Việt Nam tham gia diễn tập APCERT Drill 2015. Đây là buổi diễn tập của nhóm thành viên ứng cứu sự cố khẩn cấp của một số nước khu vực Châu Á - Thái Bình Dương nhằm kiểm tra đầu mối liên lạc, thử nghiệm phối hợp kỹ thuật, thử nghiệm phối hợp diễn tập ứng cứu sự cố xuyên biên giới. Cuộc diễn tập năm nay có chủ đề “Xử lý tấn công từ chối dịch vụ” với sự tham gia của 25 CERT trên thế giới, bao gồm: AusCERT, bdCERT, BruCERT, CCERT, CERT Australia, CERT-In, CNCERT/CC, EC-CERT, HKCERT, ID-CERT, ID-SIRTII/CC, JPCERT/CC, KrCERT/CC, LaoCERT, mm-CERT/CC, MNCERT/CC, MOCERT, MyCERT, SingCERT, Sri Lanka CERT/CC, TechCERT, ThaiCERT, TWCERT/CC, TWNCERT và VNCERT.

- Ngày 20/5/2015, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam đã tổ chức cho các cơ quan, tổ chức tại Việt Nam tham gia chương trình diễn tập ASEAN - Nhật Bản năm 2015 với chủ đề “Tấn công vào các hệ thống thông tin trọng yếu”. Chương trình diễn tập có sự tham dự của các chuyên gia an toàn thông tin đến từ 10 quốc gia khu vực Đông Nam Á và Nhật Bản. Đây là hoạt động được tổ chức thường niên, với mục đích giúp các nước trong khu vực Đông Nam Á xây dựng phương án để ứng phó với các tình huống tấn công vào hạ tầng thông tin quốc gia, tăng cường năng lực phòng chống các cuộc tấn công an toàn mạng quy mô lớn. Tại Việt Nam, cuộc diễn tập có sự tham gia của hơn 30 chuyên gia an toàn thông tin đến từ 13 cơ quan, đơn vị thuộc Bộ Thông tin và Truyền thông và các tổ chức trong lĩnh vực CNTT.

- Ngày 28/10/2015, Việt Nam tổ chức diễn tập quốc tế ASEAN CERT Inci-dent Drill (ACID) chủ đề “Điều tra, phân tích, xử lý mã độc gián điệp” với sự tham dự của gần 100 đội đến từ 14 quốc gia nhằm diễn tập xử lý sự cố về an toàn thông tin khu vực Đông Nam Á và các nước đối thoại. Chương trình diễn tập được Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam triển khai tại 3 khu vực:


56 ais.gov.vn

miền Bắc (Hà Nội), miền Trung (Đà Nẵng), miền Nam (TP. Hồ Chí Minh). Các đội tham gia đã tập trung vào việc điều tra, phân tích và ứng cứu sự cố mã độc gián điệp với mục tiêu nâng cao kỹ năng trong việc điều tra và phản ứng với kịch bản mã độc. Kết thúc chương trình diễn tập, Việt Nam dẫn đầu 4/6 tình huống diễn tập về việc giải và gửi đáp án trả lời nhanh nhất.Ngoài ra, một số tỉnh, thành phố trực thuộc Trung ương địa phương cũng đã thực hiện diễn tập đảm bảo an toàn thông tin tại địa phương, cụ thể:

- Ngày 18/9/2015, tỉnh Lào Cai phối hợp với Cục An toàn thông tin tổ chức diễn tập đảm bảo an toàn thông tin với chủ đề: “Hội thảo và diễn tập an toàn thông tin mạng tỉnh Lào Cai năm 2015”.

- Ngày 18/11/2015, thành phố Hồ Chí Minh tổ chức cuộc diễn tập với chủ đề: “Diễn tập bảo vệ hệ thống thông tin thành phố Hồ Chí Minh năm 2015”.

- Ngày 23/11/2015, tỉnh Lâm Đồng tổ chức cuộc diễn tập đảm bảo an toàn thông tin với chủ đề: “Phòng chống tấn công đảm bảo an toàn, an ninh thông tin trên môi trường mạng”.

- Ngày 04/12/2015, tỉnh Đồng Nai tổ chức cuộc diễn tập đảm bảo an toàn thông tin trong khuôn khổ Hội thảo đảm bảo an toàn thông tin tỉnh Đồng Nai năm 2015.

- Ngày 16/12/2015, thành phố Hà Nội tổ chức diễn tập đảm bảo an toàn thông tin với chủ đề: “Đảm bảo an toàn thông tin trong cơ quan Nhà nước thành phố Hà Nội quy mô cấp cơ sở năm 2015”.

- Ngày 22/12/2015, tỉnh Bình Thuận tổ chức diễn tập an toàn thông tin với chủ đề: “Diễn tập tấn công, phòng thủ an toàn thông tinh mạng năm 2015”.

- Ngày 31/12/2015, thành phố Hải Phòng tổ chức cuộc diễn tập về ứng phó xử lý sự cố về an toàn thông tin mạng năm 2015.

Trong năm 2015, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam đã phối hợp với các tổ chức ứng cứu quốc tế (các CERT) xử lý 200 sự cố giả mạo website của Việt Nam (gồm giả mạo webmail của vnn, giả mạo các trang điện tử nạp tiền điện thoại trả trước và các trang điện tử lừa đảo trúng thưởng nhằm vào người dùng Việt Nam).


SẢN PHẨM, DỊCH VỤ THƯƠNG HIỆU VIỆT TIÊU BIỂU

57ais.gov.vn

58 ais.gov.vn


59ais.gov.vn


60 ais.gov.vn


61ais.gov.vn



62 ais.gov.vn


63ais.gov.vn

Sản phẩm phần mềm diệt virus

Trên thị trường trong nước, hiện nay, có một số doanh nghiệp cung cấp các sản phẩm, dịch vụ về an toàn thông tin. Trong đó, có 02 doanh nghiệp cung cấp các sản phẩm phần mềm diệt virus được nhiều người sử dụng là Công ty cổ phần BKAV (BKAV) và Công ty cổ phần an ninh an toàn thông tin CMC (CMC Infosec).

BKAV có các dòng sản phẩm: BKAV Home, BKAV Pro, BKAV Mobile Security, BKAV Endpoint SMB, BKAV Endpoint 11 và BKAV Gateway Scan.

CMC Infosec có các dòng sản phẩm: CMC Antivirus, CMC Internet Security, CMC Endpoint Security và CMC Mobile Sercurity.

Ngoài ra, còn có một số doanh nghiệp khác đã và đang chú trọng đầu tư nghiên cứu, xây dựng và cung cấp các sản phẩm, dịch vụ về an toàn thông tin.

Trong những năm vừa qua, các sản phẩm mang thương hiệu Việt này đang từng bước phát triển và dần khẳng định được vị thế, được người dùng quan tâm sử dụng thay thế cho sản phẩm phần mềm diệt virus của các hãng bảo mật uy tín nước ngoài do có những ưu điểm phù hợp với đặc điểm riêng của Việt Nam.

64 ais.gov.vn


Dịch vụ chứng thực chữ ký số công cộng

Đến cuối năm 2015, Việt Nam có 09 doanh nghiệp được cấp phép cung cấp dịch vụ chứng thực chữ ký số công cộng, bao gồm (sắp xếp thứ tự theo chữ cái đối với Tên giao dịch):

Bảng 3: Danh sách các doanh nghiệp được cấp phépcung cấp dịch vụ chứng thực chữ ký số công cộng

Trong năm, Bộ Thông tin và Truyền thông đã cấp lại Giấy phép cho 04 doanh nghiệp là Công ty TNHH An ninh mạng Bkav, Công ty cổ phần Công nghệ Thẻ Nacencomm, Tập đoàn Viễn thông Quân đội Viettel và Công ty TNHH Hệ thống Thông tin FPT do các Giấy phép đã hết hạn.

Năm 2015, thị trường cung cấp dich vụ chứng thực chữ ký số công cộng ghi nhận sự tăng trưởng mạnh với số lượng chữ ký số cấp phát năm 2015 tăng 75% so với năm 2014 với 537.629 chứng thư số cấp phát mới, nâng tổng số

65ais.gov.vn


chứng thư số đã cấp phát từ khi bắt đầu hoạt động đến nay lên 1.422.800 chứng thư số. Số lượng chứng thư số đang hoạt động đến 31/12/2015 là 733.846 chứng thư số, tăng 260.846 chứng thư số so với năm 2014, được sử dụng chủ yếu trong lĩnh vực kê khai thuế qua mạng, nộp thuế điện tử, hải quan điện tử và bảo hiểm điện tử.

Hình 1: Thị phần thị trường dịch vụ chứng thực chữ ký số công cộng

66 ais.gov.vn


Theo số liệu cung cấp từ các doanh nghiệp cung cấp dịch vụ, số lượng cơ quan, tổ chức, doanh nghiệp sử dụng chữ ký số trong một số lĩnh vực cụ thể như sau:

- Kê khai thuế qua mạng: 582.436 cơ quan, tổ chức, doanh nghiệp.- Nộp thuế điện tử: 490.892 cơ quan, tổ chức, doanh nghiệp.- Hải quan điện tử: 69.835 cơ quan, tổ chức, doanh nghiệp.- Bảo hiểm: 124.077 cơ quan, tổ chức, doanh nghiệp.Số chứng thư số cấp phát trong năm 2015 của từng doanh nghiệp cung

cấp dịch vụ như sau:

Hình 2: Số lượng chứng thư số cấp phát năm 2015

67ais.gov.vn


Sản phẩm an toàn thông tin chất lượng cao năm 2015

Từ năm 2015, trong khuôn khổ sự kiện thường niên Ngày An toàn thông tin Việt Nam, Hiệp hội An toàn thông tin Việt Nam, với sự bảo trợ của Bộ Thông tin và Truyền thông tổ chức bình chọn, xét duyệt và công nhận danh hiệu “Sản phẩm, dịch vụ an toàn thông tin chất lượng cao hàng năm” cho các sản phẩm và dịch vụ tiêu biểu nhất về an toàn thông tin, có xuất xứ từ Việt Nam, do các cá nhân, tổ chức, doanh nghiệp nội địa phát triển và làm chủ công nghệ.

Cuộc bình chọn được tổ chức với mục tiêu:- Đánh giá, bình chọn, xếp hạng và công nhận danh hiệu cho các sản phẩm

và dịch vụ tiêu biểu nhất về an toàn thông tin tại Việt Nam trong năm.- Xây dựng uy tín và thương hiệu của sản phẩm và dịch vụ của các doanh

nghiệp, tổ chức an toàn thông tin và CNTT Việt Nam. Qua đó, tuyên truyền quảng bá, hỗ trợ tiếp thị các sản phẩm và dịch vụ an toàn thông tin tiêu biểu tại thị trường trong và ngoài nước.

- Hưởng ứng chủ trương “Người Việt Nam ưu tiên dùng hàng Việt Nam”, đặc biệt là sản phẩm và dịch vụ về an toàn thông tin; giới thiệu và đưa các sản phẩm, dịch vụ an toàn thông tin tốt của Việt Nam đến với người dùng trong và ngoài nước, góp phần định hướng cho thị trường và người sử dụng.

- Tuyên truyền quảng bá, nâng cao nhận thức về an toàn thông tin, thúc đẩy ứng dụng các sản phẩm, dịch vụ an toàn thông tin trong các ngành kinh tế, xã hội; trong các cơ quan, đơn vị Trung ương và địa phương, thiết thực hỗ trợ các doanh nghiệp sản xuất, phát triển sản phẩm an toàn thông tin mở rộng thị trường.

Kết quả, 06 sản phẩm, dịch vụ an toàn thông tin được công nhận danh hiệu Sản phẩm, dịch vụ an toàn thông tin chất lượng cao năm 2015 (không phân biệt thứ tự xếp hạng) như sau:


68 ais.gov.vn

Bảng 4: Danh sách Sản phẩm, dịch vụ an toàn thông tin chất lượng cao năm 2015

Danh hiệu “Sản phẩm, dịch vụ an toàn thông tin chất lượng cao hàng năm” sẽ là công cụ hữu hiệu trong việc góp phần nâng cao nhận thức cộng đồng, tôn vinh hàng Việt và hỗ trợ đắc lực cho các tổ chức, doanh nghiệp trong quảng bá tiếp thị, xây dựng thương hiệu và định hướng thị trường.


69Bản quyền thuộc Cục An toàn thông tin ais.gov.vn

70 ais.gov.vn


70 ais.gov.vn


71ais.gov.vn


KẾT QUẢ THỰC HIỆN CÁC ĐỀ ÁN QUAN TRỌNG

71ais.gov.vn

72 ais.gov.vn


Đề án 99

Ngày 14/01/2014, Thủ tướng Chính phủ đã ban hành Quyết định số 99/QĐ-TTg phê duyệt Đề án Đào tạo và phát triển nguồn nhân lực an toàn, an ninh thông tin đến năm 2020 (Đề án 99). Theo Đề án 99, mục tiêu đặt ra đến năm 2020 như sau:

- Đưa được 300 giảng viên, học viên đi đào tạo về an toàn, an ninh thông tin ở nước ngoài, trong đó có 100 người làm nghiên cứu sinh;

- Đào tạo được 2.000 học viên có trình độ đại học và sau đại học về an toàn, an ninh thông tin chất lượng cao;

- Đưa được 1.500 lượt cán bộ chuyên trách về an toàn, an ninh thông tin đi đào tạo ngắn hạn nhằm cập nhật công nghệ, nâng cao kỹ năng, nghiệp vụ tại các cơ sở đào tạo có uy tín ở nước ngoài;

- Tập huấn, đào tạo ngắn hạn nâng cao kiến thức, kỹ năng về an toàn, an ninh thông tin cho 10.000 lượt cán bộ làm về an toàn, an ninh thông tin và công nghệ thông tin tại các cơ quan nhà nước.

Đến hết năm 2015, Việt Nam có 10 cơ sở đào tạo chuyên ngành an toàn thông tin, bao gồm 08 cơ sở đào tạo trọng điểm thuộc Đề án 99 và 02 cơ sở đào tạo có thực hiện đào tạo chuyên ngành an toàn thông tin (sắp xếp theo thứ tự chữ cái đối với tên cơ sở đào tạo) :

73ais.gov.vn


Bảng 5: Danh sách các cơ sở đào tạo về an toàn, an ninh thông tin

Năm 2015 là năm thứ hai triển khai Đề án 99, một số kết quả triển khai Đề án trong năm như sau:

Đào tạo đội ngũ giảng viên, nghiên cứu viên trình độ thạc sĩ, tiến sĩ về ATANTT ở nước ngoài

Trong năm 2015, các cơ sở đào tạo trọng điểm đã cử được 05 lượt giảng viên, nghiên cứu viên đi học trình độ Tiến sĩ tại Ý, Pháp, Nga; 11 lượt giảng viên, nghiên cứu viên đi đào tạo ngắn hạn trong 03 tháng tại Áo và Séc.

Bên cạnh đó, trong năm 2015, các cơ sở nghiên cứu, đào tạo khác (Viện Hàn lâm KHCN Việt Nam; các Trường Đại học Hà Nội, Hải Dương, Cần Thơ; Trường Cao đẳng Kinh tế Kỹ thuật Cần Thơ) đã cử 05 lượt giảng viên, nghiên cứu viên đi học trình độ Tiến sĩ theo diện học bổng ngân sách nhà nước và học bổng Hiệp định.

Như vậy, tính tổng cộng từ khi bắt đầu triển khai đến hết năm 2015, các cơ sở đào tạo trọng điểm đã cử được 36 lượt giảng viên, nghiên cứu viên đi đào tạo về ATANTT ở nước ngoài, trong đó có 21 lượt tiến sĩ, 04 lượt thạc sĩ và 11 chỉ tiêu đào tạo ngắn hạn.

Các giảng viên, nghiên cứu viên này đã được cử đi đào tạo tại 11 nước trên thế giới: Nga, Pháp, Úc, Ai-len, Singapore, Niu Di-lân, Ý, Bỉ, Hung-ga-ri, Áo và Séc.

74 ais.gov.vn


Đào tạo kỹ sư, cử nhân an toàn, an ninh thông tin trong nước Đến hết năm 2015, đã có 6/8 cơ sở đào tạo trọng điểm tuyển sinh đào tạo

hệ chính quy kỹ sư, cử nhân an toàn thông tin, cụ thể:- Tổng số tuyển sinh mới năm 2015 là 1.146 học viên đào tạo bậc kỹ sư,

cử nhân (trong đó có 96 học viên văn bằng 2) và 57 học viên đào tạo bậc thạc sĩ. Như vậy, tính đến hết năm 2015, đã tuyển sinh được 1.984 học viên đào tạo bậc kỹ sư, cử nhân và 110 học viên đào tạo bậc thạc sĩ. Trong đó, tổng số tuyển sinh vào hệ tài năng, chất lượng cao là 33 học viên.

- Tổng số tốt nghiệp ra trường năm 2015 là 112 kỹ sư, cử nhân. Như vậy, tính đến hết năm 2015, đã đào tạo được 1.612 kỹ sư, cử nhân an toàn thông tin.

Ngoài các cơ sở đào tạo trọng điểm, một số cơ sở đào tạo khác như Trường Đại học FPT, Trường Đại học CNTT-TT Đại học Thái Nguyên cũng đã tuyển sinh đào tạo kỹ sư, cử nhân ATTT.

Bên cạnh việc đào tạo kỹ sư, cử nhân trong nước, các cơ sở đào tạo trọng điểm cũng đã cử 34 lưu học sinh đi học trình độ đại học về ATTT theo diện học bổng ngân sách nhà nước và học bổng Hiệp định tại Bỉ, Hung-ga-ri, Nga và Pháp do Bộ Giáo dục và Đào tạo quản lý.

Đào tạo ngắn hạn ở nước ngoài cho cán bộ an toàn, an ninh thông tinCụ thể, trong năm 2015, Bộ Thông tin và Truyền thông cử được gần 34 lượt

cán bộ đi đào tạo ngắn hạn ở Nhật Bản, Phần Lan, Hungary, Nga, Phi-líp-pin và Singapore từ nguồn ngân sách nhà nước và học bổng do phía bạn đài thọ.

Như vậy, đến hết năm 2015, đã cử được 40 lượt cán bộ đi đào tạo ngắn hạn ở nước ngoài về an toàn, an ninh thông tin (chưa tính số lượt cán bộ do các bộ, ngành cử đi đào tạo ngắn hạn ở nước ngoài về CNTT, có lồng ghép nội dung về an toàn, an ninh thông tin).

Đào tạo ngắn hạn về an toàn, an ninh thông tin trong nướcTrong năm 2015, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) đã

chủ trì tổ chức 07 lớp đào tạo ngắn hạn tập trung tại Hà Nội từ nguồn ngân sách nhà nước cho 210 lượt cán bộ của 21 cơ quan nhà nước ở Trung ương và địa phương, trong đó có:

- 05 Bộ, bao gồm các Bộ: Thông tin và Truyền thông, Quốc phòng, Công an, Ngoại giao, Tài Nguyên và Môi trường;

75ais.gov.vn


- 08 tỉnh, thành phố trực thuộc Trung ương, bao gồm: Hà Nội, Hải Phòng, Hòa Bình, Thái Nguyên, Lào Cai, Thanh Hóa, Nghệ An, Thừa Thiên -Huế;

- 08 tập đoàn, tổng công ty nhà nước và doanh nghiệp, bao gồm: Tập đoàn Bưu chính Viễn thông Việt Nam, Tập đoàn Viễn thông Quân đội, Tập đoàn Điện lực Việt Nam, Tập đoàn Than - Khoáng sản, Tổng công ty Viễn thông MobiFone, Tổng Công ty Truyền thông đa phương tiện Việt Nam, Công ty FPT Telecom và Công ty NetNam.

Trong số 07 lớp nói trên, có 05 lớp dành cho cán bộ kỹ thuật (03 lớp theo chương trình quốc tế và 02 lớp theo chương trình trong nước) và 02 lớp dành cho cán bộ quản lý.

Trong khuôn khổ điều phối thực hiện Đề án 99, Cục An toàn thông tin - Bộ Thông tin và Truyền thông đã phối hợp với một số bộ, ngành, địa phương (Bộ Tư pháp, Công an Hà Nội và Sở Thông tin và Truyền thông các tỉnh Hòa Bình, Thanh Hóa, Lào Cai, Nghệ An, Đồng Nai) tổ chức hội thảo, đào tạo, tập huấn, diễn tập an toàn thông tin tại chỗ cho khoảng 400 lượt cán bộ của các bộ, ngành, địa phương nêu trên.

Bên cạnh đó, huy động từ các nguồn lực hợp tác quốc tế, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - Bộ Thông tin và Truyền thông, Hiệp hội An toàn thông tin Việt Nam (VNISA) đã phối hợp cùng đối tác phía Nhật Bản, Hàn Quốc tổ chức các lớp đào tạo ngắn hạn về an toàn thông tin cho khoảng 200 lượt cán bộ của các cơ quan, tổ chức nhà nước và doanh nghiệp.

Trong khuôn khổ Dự án đào tạo cho lực lượng cơ yếu, Ban Cơ yếu Chính phủ đã chủ trì, tổ chức đào tạo ngắn hạn cơ bản và chuyên sâu cho 385 cán bộ cơ yếu đang làm việc trong các cơ quan trọng yếu của Đảng và Nhà nước trên toàn quốc.

Như vậy, đến hết năm 2015, từ cả nguồn ngân sách nhà nước cấp cho Bộ Thông tin và Truyền thông, Ban Cơ yếu Chính phủ và nguồn lực xã hội hóa, đã tổ chức tập huấn, đào tạo ngắn hạn nâng cao kiến thức, kỹ năng về an toàn, an ninh thông tin cho khoảng 1.400 lượt cán bộ làm về an toàn, an ninh thông tin và CNTT tại các cơ quan, tổ chức nhà nước.

76 ais.gov.vn


Đề án 893

Ngày 19/6/2015, Thủ tướng Chính phủ đã ký Quyết định số 893/QĐ-TTg về việc phê duyệt Đề án Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin đến năm 2020 (Đề án 893) với mục đích tạo sự chuyển biến mạnh mẽ trong nhận thức và ý thức chấp hành pháp luật về an toàn thông tin của xã hội. Theo đó, Đề án đề ra 05 nhiệm vụ chính, bao gồm:

- Định hướng hoạt động và xây dựng, biên tập các tài liệu tuyên truyền thuộc phạm vi của Đề án.

- Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin ở các cơ sở giáo dục.

- Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin qua các phương tiện thông tin đại chúng, truyền thông xã hội.

- Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin qua các hệ thống thông tin cơ sở.

- Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin qua các phương thức khác.

Mặc dù Đề án 893 được Thủ tướng Chính phủ phê duyệt vào nửa cuối năm 2015, tuy nhiên, Bộ Thông tin và Truyền thông đã khẩn trương chỉ đạo các đơn vị chức năng thực hiện một số hoạt động cụ thể thực hiện nhiệm vụ của Đề án:

1. Xây dựng và phát hành Bản tin An toàn thông tin hàng tháng nhằm cung cấp kịp thời các thông tin về tình hình an toàn thông tin trong nước và quốc tế tới các cá nhân, tổ chức thuộc bộ, ban, ngành, địa phương.

2. Xây dựng và phổ biến Cẩm nang an toàn thông tin cho cán bộ, công chức, viên chức: cung cấp các thông tin và kỹ năng cơ bản nhất về một số nguy cơ mất an toàn thông tin phổ biến trong việc sử dụng thiết bị và dịch vụ CNTT: các bước thiết lập máy tính mới an toàn; an toàn thông tin khi sử dụng mạng không dây; kỹ năng phòng chống mã độc; hướng dẫn nhận biết, phòng chống thư rác, thư giả mạo, tin nhắn rác; hướng dẫn sử dụng mạng xã hội an toàn. Bản mềm các tài liệu tuyên truyền được đăng tải trên cổng thông tin điện tử của Cục An toàn thông tin: ais.gov.vn.

77ais.gov.vn


Một số đơn vị như: Trung ương Đoàn thanh niên Cộng sản Hồ Chí Minh, UBND các tỉnh (Thanh Hóa, Bình Định, Cần Thơ…) cũng đã ban hành Kế hoạch để sớm triển khai, thực hiện các nhiệm vụ được giao trong Đề án.

78 ais.gov.vn


Đề án 1524

Ngày 23/10/2014, Bộ trưởng Bộ Thông tin và Truyền thông đã ký Quyết định số 1524/QĐ-BTTTT về việc phê duyệt Đề án triển khai tiêu chuẩn DNS-SEC cho hệ thống máy chủ tên miền (DNS) “.vn” (Đề án 1524). Điều này đánh dấu một chuyển biến quan trọng trong việc phát triển hạ tầng Internet tại Việt Nam, sẵn sàng đẩy mạnh phát triển các dịch vụ thương mại điện tử, chính phủ điện tử tại Việt Nam một cách an toàn nhất. Việc triển khai DNSSEC cho hệ thống máy chủ tên miền (DNS) “.VN” được thực hiện với 03 giai đoạn:

- Giai đoạn chuẩn bị (2015): Xây dựng kế hoạch, chuẩn bị các điều kiện cần thiết về truyền thông, nhân lực, kỹ thuật, tài chính để triển khai tiêu chuẩn DNSSEC đối với hệ thống DNS tại các cơ quan, tổ chức, doanh nghiệp.

- Giai đoạn khởi động (2016): Chính thức triển khai tiêu chuẩn DNSSEC trên hệ thống DNS quốc gia, đồng thời xây dựng nâng cấp hệ thống DNS tại các doanh nghiệp cung cấp dịch vụ Internet, các nhà đăng ký tên miền “.VN”, các cơ quan Đảng, Nhà nước để kết nối thử nghiệm với hệ thống DNS quốc gia theo tiêu chuẩn DNSSEC.

- Giai đoạn triển khai (2017): Hoàn thiện và nâng cấp hệ thống DNS quốc gia, hệ thống quản lý tên miền quốc gia hoạt động an toàn, tin cậy theo tiêu chuẩn DNSSEC đáp ứng nhu cầu phát triển của Internet Việt Nam trong các giai đoạn tiếp theo; các doanh nghiệp cung cấp dịch vụ Internet, các nhà đăng ký tên miền “.VN”, các cơ quan Đảng, Nhà nước chính thức triển khai hệ thống DNS theo tiêu chuẩn DNSSEC và cung cấp dịch vụ sử dụng, truy vấn tên miền “.VN” theo tiêu chuẩn DNSSEC cho người sử dụng Internet tại Việt Nam.

Trong năm 2015, Bộ Thông tin và Truyền thông (Trung tâm Internet Việt Nam - VNNIC) đã bám sát các nội dung đề án triển khai DNSSEC và đã đạt được các kết quả như sau:

- Gửi thông báo cho các doanh nghiệp cung cấp dịch vụ Internet (ISP), nhà đăng ký tên miền .vn, các tổ chức CNTT trong nước về lộ trình triển khai DNSSEC trên hệ thống máy chủ tên miền (DNS) quốc gia “.VN” và phối hợp triển khai đề án Triển khai tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền (DNS) .vn. Trong đó nêu rõ phạm vi và các giai đoạn thực hiện đề án; lộ trình

79ais.gov.vn


kế hoạch triển khai DNSSEC trên DNS quốc gia; kế hoạch truyền thông, đào tạo phát triển nguồn lực sẵn sàng để triển khai DNSSEC.

- Đào tạo nhân lực: VNNIC đã tiến hành đào tạo nội bộ nội dung cơ bản và nâng cao về DNSSEC phục vụ cho triển khai DNSSEC trên hệ thống DNS quốc gia. Bên cạnh đó, VNNIC đã hoàn thành tổ chức 03 khóa đào tạo cơ bản về DNSSEC cho hơn 70 cán bộ quản lý kỹ thuật, cán bộ kỹ thuật của các ISP, NĐK và các tổ chức, doanh nghiệp CNTT tại Hà Nội và thành phố Hồ Chí Minh nhằm hỗ trợ, xây dựng và chuẩn bị nguồn nhân lực phục vụ cho việc xây dựng kế hoạch, triển khai DNSSEC tại đơn vị này.

- Hoàn thiện xây dựng các quy trình, tài liệu quản lý, vận hành hệ thống DNSSEC theo tiêu chuẩn quốc tế, tuân thủ theo quy trình ISO 27001:2013, đảm bảo an toàn thông tin cho hệ thống.

- Triển khai hạ tầng kỹ thuật: xây dựng hệ thống thử nghiệm DNSSEC, phát triển các công cụ phần mềm hệ thống Quản lý, cấp phát tên miền hỗ trợ DNS-SEC cho hệ thống DNS quốc gia .VN. Chuẩn bị và bước đầu xây dựng hạ tầng kỹ thuật phòng máy, hệ thống DNSSEC, … chuẩn bị cho kế hoạch triển khai DNSSEC chính thức trên hệ thống DNS quốc gia .VN trong năm 2016.

- Nghiên cứu các tiêu chuẩn RFC, trao đổi, phối hợp Viện Kỹ thuật Bưu Điện, Vụ KHCN xây dựng các TCVN về DNSSEC.

- Tham gia các diễn đàn công nghệ, giải pháp, trình bày tiêu chuẩn DNS-SEC cho cộng đồng, xây dựng brochure DNSSEC nhằm tăng cường nhận thức, truyền tải thông tin.

- Tiếp tục nghiên cứu, cập nhật tình hình triển khai DNSSEC trên thế giới. Trao đổi, làm việc với một số nước như Canada, Séc, Hàn Quốc, New Zeland về chia sẻ kinh nghiệm, tài liệu triển khai DNSSEC tại các nước và tổ chức trên thế giới.


80 ais.gov.vn


CHỈ SỐ AN TOÀN THÔNG TIN VIỆT NAM NĂM 2015

81ais.gov.vn


82 ais.gov.vn


83ais.gov.vn

Chỉ số an toàn thông tin Việt Nam 2015 (VNISA Index 2015) được Cục An toàn thông tin phối hợp với Hiệp hội An toàn thông tin Việt Nam (VNISA) thực hiện khảo sát 650 cơ quan, tổ chức theo bộ tiêu chí bao gồm 5 nhóm tiêu chí là: (1) Đào tạo và nhận thức; (2) Chính sách và kinh phí; (3) Hệ thống tổ chức; (4) Biện pháp kỹ thuật và (5) Biện pháp quản lý.

Theo bộ tiêu chí này, năm 2015, đơn vị khảo sát đưa ra 36 câu hỏi để các cơ quan, tổ chức trả lời. Kết quả của các phiếu khảo sát này sẽ được lượng hóa thành Chỉ số an toàn thông tin Việt Nam.

Kết quả, Chỉ số an toàn thông tin Việt Nam năm 2015 là 46,4%, tăng 7,4% so với chỉ số 39% của năm 2014.

Hình 3: Chỉ số an toàn thông tin Việt Nam VNISA Index năm 2015Điểm đáng lưu ý là cả nhóm 5 tiêu chí để xác định Chỉ số VNISA Index 2015

đều tăng so với năm 2014, nhất là 2 nhóm tiêu chí về tổ chức và nhân lực, biện pháp quản lý. Điều này thể hiện rằng các cơ quan, tổ chức đã bắt đầu có sự quan tâm, đầu tư nhiều hơn cho công tác đảm bảo an toàn thông tin.

Theo kết quả khảo sát, năm 2015, chỉ có 44% tổ chức, doanh nghiệp có cán bộ chuyên trách hoặc bán chuyên trách về an toàn thông tin.

84 ais.gov.vn


Tỉ lệ cụ thể từ năm 2012 đến 2015 như sau:

Hình 4: Thống kê tổ chức, doanh nghiệp có cán bộ chuyên tráchhoặc bán chuyên trách về an toàn thông tin

Tỉ lệ các tổ chức, doanh nghiệp có khả năng ghi nhận các hành vi tấn công mạng (kể cả chưa thành công) vào hệ thống thông tin của mình vẫn còn thấp với 46%, tăng 7% so với năm 2014.

Hình 5: Thống kê tổ chức có khả năng ghi nhận các hành vi tấn công mạng(kể cả chưa thành công) vào hệ thống thông tin của mình

85ais.gov.vn


Tỉ lệ các tổ chức, doanh nghiệp có quy trình thao tác chuẩn để phản hồi lại những cuộc tấn công mạng đã có cải thiện rõ rệt nhưng vẫn còn rất thấp với 37%, tăng 15,4% so với năm 2014:

Hình 6: Thống kê tổ chức, doanh nghiệp có quy trình thao tác chuẩnđể phản hồi lại những cuộc tấn công

Năm 2015, các tổ chức, doanh nghiệp đã quan tâm hơn đến công tác xây dựng quy chế an toàn thông tin cho đơn vị của mình với 48% tổ chức, doanh nghiệp đã ban hành quy chế này, tăng có 12,6% so với năm 2014:

Hình 7: Thống kê tỉ lệ tổ chức đã ban hành quy chế về an toàn thông tin


86 ais.gov.vn


DỰ BÁO XU HƯỚNG NĂM 2016

87ais.gov.vn


88 ais.gov.vn


89ais.gov.vn

Năm 2016, theo dự báo, an toàn thông tin sẽ tiếp tục là sự bùng nổ của phần mềm độc hại mã hóa dữ liệu tống tiền, lừa đảo trực tuyến và lây nhiễm phần mềm độc hại trên mạng xã hội và các cuộc tấn công có chủ đích, nhất là các cuộc tấn công vào hệ thống trọng yếu của các cơ quan quản lý nhà nước và các hệ thống thương mại điện tử, tài chính, ngân hàng. Trong đó, việc mất an toàn thông tin trên các thiết bị di động sẽ trở nên ngày càng nghiêm trọng hơn khi các thiết bị này đã thực sự bùng nổ về số lượng và gắn với hầu hết các hoạt động của người sử dụng. Dự báo xu hướng về an toàn thông tin Việt Nam năm 2016 như sau:

#1: Phần mềm độc hại mã hóa dữ liệu tống tiền (ransomware)Năm 2015 đang chứng kiến sự trở lại mạnh mẽ của rất nhiều loại mã độc

mã hóa dữ liệu tống tiền (ransomware) với hàng loạt các cuộc tấn công trên diện rộng diễn ra tại Việt Nam. Đặc điểm chung của dòng mã độc này sau khi lây nhiễm sẽ mã hóa tất cả dữ liệu quan trọng của người dùng và yêu cầu trả tiền chuộc để lấy lại dữ liệu. Mã độc thường sử dụng các thuật toán mã hóa tốt nên việc khôi phục lấy lại dữ liệu sau khi đã bị mã hóa là rất khó khăn, thậm chí chúng còn có khả năng xóa toàn bộ thông tin của System Restore để không có cách nào khác để khôi phục lại dữ liệu. Nguy hiểm hơn khi các biến thể mới của mã độc xuất hiện vào cuối năm 2015 có mang theo nhiều các tính năng cao cấp hơn như phát tán lây nhiễm qua website, các file đính kèm email hay tập tin trên mạng chia sẻ (Network sharing) và thậm chí trên các thiết bị di động… Đây sẽ tiếp tục là một vấn đề nóng về an toàn thông tin trong năm 2016.

#2: Lừa đảo trực tuyến, lây nhiễm phần mềm độc hại trên mạng xã hộiCùng với sự phát triển phổ biến của mạng xã hội đặc biệt là những trang

mạng xã hội có đông người sử dụng như Facebook, nhiều đối tượng xấu đang sử dụng mạng xã hội làm nền tảng để lừa đảo trực tuyến hay phát tán những phần mềm độc hại, gây ra những rủi ro, mất an toàn thông tin cho người sử dụng. Với một lượng người dùng mạng xã hội và Internet không ngừng gia tăng tại Việt Nam như hiện nay thì các nguy cơ mất an toàn thông tin từ mạng xã hội sẽ vẫn tiếp tục là một xu hướng nóng trong năm 2016 và các năm tiếp theo.


90 ais.gov.vn

#3: Tấn công có chủ đích (APT)Trong vài năm trở lại đây xu hướng tấn công có chủ đích (APT) đang diễn

biến hết sức phức tạp trên diện rộng. Đây là hình thức tấn công tinh vi và rất khó để phát hiện do kẻ tấn công sử dụng các kỹ thuật mới để ẩn nấp và những cuộc tấn công này nhắm vào những người dùng hay các hệ thống quan trọng nhằm đánh cắp thông tin, phá hoại hệ thống và có thể xem là một mối rủi ro nguy hiểm thường trực hiện nay trên Internet không chỉ ở Việt Nam và trên thế giới. Không nằm ngoài xu thế đó thì đây vẫn là xu hướng chính và cần tiếp tục được quan tâm và chú trọng trong năm 2016.

#4: Thiết bị di động và Internet of Things (IoT)Internet của vạn vật (Internet of Things - IoT) đang là một xu hướng mạnh

mẽ trên toàn thế giới, mở ra những cơ hội chưa từng có cho các nền kinh tế, doanh nghiệp, tổ chức và cá nhân để cạnh tranh trong môi trường mới. Nói đơn giản đây là một tập hợp hàng tỉ các thiết bị hiện hữu hiện nay (máy tính, điện thoại, tủ lạnh, tivi, điều hòa, đồng hồ, ô tô,…) có khả năng kết nối với nhau, với Internet và với thế giới bên ngoài. Việt Nam chúng ta cũng không nằm ngoài xu thế phát triển đó của thế giới. Hiện tại tại Việt Nam các thiết bị di động đang là một phần không thể thiếu với cuộc sống hàng ngày, xu thế smart home (ngôi nhà thông minh) đang được người dân tin dùng …

Bên cạnh những lợi ích vượt trội về công nghệ, các thiết bị di động, Internet of Things cũng để lại nhiều các lỗ hổng an toàn thông tin và trở thành mục tiêu cho các tin tặc nhắm tới.

#5: Tấn công mạng vào hạ tầng viễn thông và công nghệ thông tinTrong những năm gần đây, thế giới đã chứng kiến nhiều các cuộc tấn công

mạng với quy mô lớn nhắm vào các hệ thống cơ sở hạ tầng trọng yếu của các quốc gia như: Hệ thống điện, các nhà máy điện hạt nhân, các hệ thống công nghiệp, SCADA ... Tấn công vào các hạ tầng trọng yếu sẽ tăng theo xu hướng phát triển của các chiến dịch tấn công hiện đại do các quốc gia hoặc các tổ chức tội phạm thực hiện. Tại Việt Nam, các cơ sở hạ tầng trọng yếu đều đang sử dụng hệ thống công nghệ thông tin phục vụ cho các hoạt động quản lý và vận hành do đó có thể nói đây sẽ trở thành đích ngắm của nhóm, đối tượng muốn tấn công nhắm vào trong thời gian tới đây.


91Bản quyền thuộc Cục An toàn thông tin ais.gov.vn

VĂN BẢN BAN HÀNH NĂM 2015

91ais.gov.vn


92 ais.gov.vn


93ais.gov.vn

Năm 2015, một số văn bản quan trọng liên quan đến lĩnh vực an toàn thông tin đã được Quốc hội, Chính phủ, Thủ tướng Chính phủ và Bộ Thông tin và Truyền thông ban hành như sau:

1. Luật an toàn thông tin mạng được Quốc hội thông qua ngày 19/11/2015. Luật bao gồm 08 Chương và 54 Điều quy định về hoạt động an toàn thông tin mạng, quyền và trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm an toàn thông tin mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng; kinh doanh trong lĩnh vực an toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng; quản lý nhà nước về an toàn thông tin mạng

2. Nghị quyết số 26/NQ-CP ngày 15/4/2015 của Chính phủ ban hành Chương trình hành động của Chính phủ thực hiện Nghị quyết số 36-NQ/TW ngày 01/7/2014 của Bộ Chính trị Ban Chấp hành Trung ương Đảng Cộng sản Việt Nam về đẩy mạnh ứng dụng, phát triển công nghệ thông tin đáp ứng yêu cầu phát triển bền vững và hội nhập quốc tế.

Nội dung của Nghị quyết xác định rõ trong bối cảnh phát triển CNTT và hội nhập quốc tế thì cần thiết phải đẩy mạnh ứng dụng CNTT trong quốc phòng, an ninh; bảo đảm an toàn, an ninh thông tin, nâng cao năng lực quản lý các mạng viễn thông, truyền hình, Internet.

3. Nghị quyết số 36a/NQ-CP ngày 14/10/2015 của Chính phủ về Chính phủ điện tử với mục tiêu đẩy mạnh phát triển Chính phủ điện tử, nâng cao chất lượng, hiệu quả hoạt động của các cơ quan nhà nước, phục vụ người dân và doanh nghiệp ngày càng tốt hơn. Nâng vị trí của Việt Nam về Chính phủ điện tử theo xếp hạng của Liên hợp quốc.

Nghị quyết đề ra 5 nhiệm vụ cụ thể gồm: Triển khai các giải pháp để nâng cao 3 nhóm chỉ số về dịch vụ công trực tuyến, hạ tầng viễn thông và nguồn nhân lực; Xây dựng hệ thống điện tử thông suốt, kết nối và liên thông văn bản điện tử, dữ liệu điện tử từ Chính phủ đến các cấp; Ứng dụng CNTT gắn kết chặt chẽ với công cuộc cải cách hành chính và nâng cao năng lực cạnh tranh, cải thiện môi trường kinh doanh; Triển khai thực hiện ứng dụng CNTT kết hợp với Hệ thống quản lý chất lượng ISO; Nâng cao chất lượng cơ sở hạ tầng viễn thông.

94 ais.gov.vn


Đẩy mạnh triển khai đưa hạ tầng di động và Internet về vùng sâu, vùng xa và tăng cường bảo đảm an toàn, an ninh thông tin.

4. Quyết định số 08/2015/QĐ-TTg ngày 09/3/2015 của Thủ tướng Chính phủ về việc thí điểm về giao dịch điện tử trong việc thực hiện thủ tục tham gia bảo hiểm xã hội, bảo hiểm y tế, bảo hiểm thất nghiệp và đề nghị cấp sổ bảo hiểm xã hội, thẻ bảo hiểm y tế.

Quyết định có hiệu lực thi hành kể từ ngày 01/5/2015 đến khi Nghị định của Chính phủ quy định trình tự, thủ tục tham gia và giải quyết các chế độ bảo hiểm xã hội bằng phương thức giao dịch điện tử trong lĩnh vực bảo hiểm xã hội có hiệu lực thi hành và được áp dụng đối với: Doanh nghiệp, cơ quan nhà nước, đơn vị sự nghiệp và các tổ chức tham gia bảo hiểm xã hội, bảo hiểm y tế, bảo hiểm thất nghiệp theo quy định của pháp luật lựa chọn phương thức giao dịch điện tử trong lĩnh vực bảo hiểm xã hội; Tổ chức cung cấp dịch vụ giao dịch điện tử trong lĩnh vực bảo hiểm xã hội (Tổ chức I-VAN); Cơ quan Bảo hiểm xã hội

5. Quyết định số 893/QĐ-TTg ngày 19/6/2015 của Thủ tướng Chính phủ về việc phê duyệt Đề án Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin đến năm 2020. Theo đó, Đề án đề ra 05 nhiệm vụ chính, bao gồm:

- Định hướng hoạt động và xây dựng, biên tập các tài liệu tuyên truyền thuộc phạm vi của Đề án.

- Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin ở các cơ sở giáo dục.

- Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin qua các phương tiện thông tin đại chúng, truyền thông xã hội.

- Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin qua các hệ thống thông tin cơ sở.

- Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin qua các phương thức khác.

6. Thông tư số 06/2015/TT-BTTTT ngày 23/3/2015 của Bộ Thông tin và Truyền thông quy định Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và

95ais.gov.vn


dịch vụ chứng thực chữ ký số. Thông tư này có hiệu lực thi hành kể từ ngày 15/9/2015. Quyết định số 59/2008/QĐ-BTTTT ngày 31/12/2008 của Bộ trưởng Bộ Thông tin và Truyền thông ban hành Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số hết hiệu lực kể từ ngày Thông tư này có hiệu lực, trừ quy định về “Hàm băm bảo mật” tại mục 2.3 của Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số ban hành kèm theo Quyết định số 59/2008/QĐ-BTTTT tiếp tục có hiệu lực đến hết ngày 31 tháng 3 năm 2016. Thông tư này áp dụng đối với: tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia; tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng; tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng được Bộ Thông tin và Truyền thông cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số; tổ chức cung cấp dịch vụ chứng thực chữ ký số nước ngoài được Bộ Thông tin và Truyền thông cấp giấy công nhận.

7. Quyết định số 1778/QĐ-BTTTT ngày 26/10/2015 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT).


TỔ CHỨC BỘ MÁY

96 ais.gov.vn


TỔ CHỨC BỘ MÁY

97ais.gov.vn


98 ais.gov.vn


99ais.gov.vn

Hiện nay, sơ đồ quản lý nhà nước về lĩnh vực an toàn thông tin của Bộ Thông tin và Truyền thông như sau:

Hình 8: Sơ đồ tổ chức quản lý về an toàn thông tincủa Bộ Thông tin và Truyền thông

-Cục An toàn thông tin có chức năng tham mưu, giúp Bộ trưởng Bộ Thông

tin và Truyền thông quản lý nhà nước và tổ chức thực thi pháp luật về an toàn thông tin.

-Trung tâm Chứng thực điện tử quốc gia có chức năng khai thác hạ tầng an toàn thông tin phục vụ hoạt động giao dịch điện tử, bao gồm dịch vụ chứng thực chữ ký số và xác thực điện tử.

-Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam có chức năng điều phối hoạt động ứng cứu sự cố máy tính trên toàn quốc; cảnh báo kịp thời các vấn đề về an toàn mạng máy tính; phối hợp xây dựng các tiêu chuẩn, quy chuẩn kỹ thuật về an toàn mạng máy tính; thúc đẩy hình thành hệ thống các CERT trong các cơ quan, tổ chức, doanh nghiệp; là đầu mối trong việc hợp tác với các tổ chức ứng cứu máy tính (CERT) nước ngoài.

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

ĐƠN VỊ QUẢN LÝ NHÀ NƯỚC

CỤC AN TOÀN THÔNG TIN

ĐƠN VỊ SỰ NGHIỆP

TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM

TRUNG TÂM CHỨNG THỰC ĐIỆN TỬ QUỐC GIA

100 ais.gov.vn


Sơ đồ tổ chức của Cục An toàn thông tin:

LÃNH ĐẠO CỤC

CÁC PHÒNG CÁC ĐƠN VỊ SỰ NGHIỆPTRỰC THUỘC

VĂN PHÒNG

PHÒNG KẾ HOẠCH - TÀI CHÍNH

PHÒNG CHÍNH SÁCH VÀHỢP TÁC QUỐC TẾ

PHÒNG CẤP PHÉPSẢN PHẨM, DỊCH VỤ

PHÒNG THẨM ĐỊNH VÀ QUẢN LÝ GIÁM SÁT

TRUNG TÂM KIỂM ĐỊNH AN TOÀN THÔNG TIN

TRUNG TÂM TƯ VẤN VÀ HỖ TRỢ NGHIỆP VỤ AN TOÀN THÔNG TIN

Hình 9: Sơ đồ tổ chức của Cục An toàn thông tin

Ngoài ra, tổ chức mạng lưới ứng cứu sự cố mạng trên cả nước hiện nay đã có 121 đơn vị tham gia hoạt động, bao gồm 25 đơn vị chuyên trách về công nghệ thông tin của các bộ, cơ quan ngang bộ, 63 Sở Thông tin và Truyền thông các tỉnh, thành phố trực thuộc Trung ương, 30 doanh nghiệp cung cấp dịch vụ Internet và 03 tổ chức, doanh nghiệp tự nguyện tham gia khác.

101ais.gov.vn


PHỤ LỤC IDANH MỤC VĂN BẢN QUY PHẠM PHÁP LUẬT

102 ais.gov.vn


103ais.gov.vn


104 ais.gov.vn


105ais.gov.vn


PHỤ LỤC IIDANH MỤC VĂN BẢN CHỈ ĐẠO, ĐIỀU HÀNH

106 ais.gov.vn


107ais.gov.vn


PHỤ LỤC IIIGIẢI THÍCH THUẬT NGỮ

Các thuật ngữ được sử dụng trong Báo cáo này được hiểu như sau:1. Tỉ lệ lây nhiễm phần mềm độc hại trên máy tínhLà chỉ số thống kê về tỉ lệ máy tính từng bị tấn công bởi phần mềm độc hại,

bao gồm cả các máy tính bị tấn công nhưng không bị lây nhiễm và các máy tính bị tấn công dẫn đến lây nhiễm (bao gồm cả các máy tính đã lây nhiễm và được phát hiện).

2. Tỉ lệ lây nhiễm phần mềm độc hại trên thiết bị di độngLà chỉ số thống kê về tỉ lệ thiết bị di động từng bị tấn công bởi phần mềm

độc hại.3. Tỉ lệ lây nhiễm phần mềm độc hại qua mạngLà chỉ số thống kê về tỉ lệ máy tính bị tấn công bởi phần mềm độc hại qua

kết nối mạng Internet.4. Tỉ lệ lây nhiễm phần mềm độc hại qua các thiết bị đa phương tiệnLà chỉ số thống kê về tỉ lệ máy tính bị lây nhiễm phần mềm độc hại qua kết nối

với các thiết bị đa phương tiện như: camera, thẻ nhớ, USB, ổ cứng di động,…

108 ais.gov.vn


PHỤ LỤC IVGIẢI THÍCH SỐ LIỆU THỐNG KÊ

Các chỉ số thống kê sử dụng trong Báo cáo này được thu thập từ các nguồn số liệu và ước tính theo phương pháp giải thích ở bên dưới.

1. Tỉ lệ lây nhiễm phần mềm độc hại trên máy vi tínhTỉ lệ lây nhiễm phần mềm độc hại trên máy vi tính ở Việt Nam được ước

tính bằng cách lấy kết quả trung bình cộng chỉ số thống kê của 03 hãng phần mềm diệt virus là BKAV, Microsoft và Kaspersky.

2. Tỉ lệ lây nhiễm phần mềm độc hại trên thiết bị di độngTỉ lệ lây nhiễm phần mềm độc hại trên thiết bị di động ở Việt Nam được

ước tính từ kết quả thống kê của 02 hãng phần mềm diệt virus là BKAV và Kaspersky.

3. Tỉ lệ lây nhiễm phần mềm độc hại qua mạngTỉ lệ lây nhiễm phần mềm độc hại qua mạng ở Việt Nam được ước tính từ

kết quả thống kê của hãng phần mềm diệt virus Kaspersky.4. Tỉ lệ lây nhiễm phần mềm độc hại qua thiết bị đa phương tiệnTỉ lệ lây nhiễm phần mềm độc hại qua thiết bị đa phương tiện ở Việt Nam

được ước tính từ kết quả thống kê của 02 hãng phần mềm diệt virus là BKAV và Kaspersky.

5. Số liệu tấn công mạngSố liệu cuộc tấn công mạng vào hệ thống thông tin của Việt Nam và tấn

công thay đổi giao diện lên các website tên miền “.vn”, “.gov.vn” được thống kê bởi Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam.

Tỉ lệ số lượt bị tấn công từ chối dịch vụ của Việt Nam được Cục An toàn thông tin ước tính từ kết quả thống kê của hãng phần mềm diệt virus Kaspersky.

6. Số liệu về thư rácSố liệu về tỉ lệ nguồn phát tán thư rác ở Việt Nam được ước tính từ kết quả

thống kê của hãng bảo mật Kaspersky.

109ais.gov.vn


7. Chỉ số VNISA Index 2015Chỉ số an toàn thông tin Việt Nam VNISA Index 2015 và các chỉ số thành

phần do Cục An toàn thông tin phối hợp với Hiệp hội An toàn thông tin Việt Nam (VNISA) thực hiện.

Các số liệu khác được tổng hợp từ thực tiễn công tác của các đơn vị: Cục An toàn thông tin, Thanh tra Bộ Thông tin và Truyền thông và Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam, Trung tâm Chứng thực điện tử quốc gia.


110 ais.gov.vn


111ais.gov.vn

BÁO CÁO

AN TOÀN THÔNG TINVIỆT NAM 2015

Chịu trách nhiệm nội dungCỤC AN TOÀN THÔNG TIN - BỘ THÔNG TIN VÀ TRUYỀN THÔNG

112 ais.gov.vn


Documents

BÁO CÁO AN TOÀN THÔNG TIN 2015 - Cổng Thông tin điện …laichau.gov.vn/.../Thang9/14421346_Bao-cao-ATTT-Viet … · · 2016-09-13chỈ sỐ an toÀn thÔng tin viỆt