Close

Bộ Tài chính tìm hiểu giải pháp mới về đào tạo, nâng cao nhận thức an toàn an ninh mạng


20/09/2023
Chiều ngày 19/9 tại Hà Nội, Bộ Tài Chính phối hợp cùng Công ty QNET và Hãng Proofpoint Hoa Kỹ đã tổ chức buổi hội thảo “ Human Firewalls – Giải pháp đào tạo kiện toàn bảo mật an ninh thông tin và các khuyến nghị cho ngành Tài chính”. Hội thảo với sự tham dự của Lãnh đạo Cục TH TKTC, Đại diện Tổng cục Thuế, Kho bạc Nhà nước cùng hơn 50 cán bộ chuyên trách ANTT của ngành tài chính. Theo báo cáo của ông Ngô Minh Hiếu (Hiếu PC), tình hình bảo mật an toàn an ninh tại Việt Nam theo thống kê của Trung tâm Giám sát an toàn an ninh mạng quốc gia 6 tháng đầu năm 2023: Các cuộc tấn công cao hơn so với 6 tháng đầu năm 2022 là 64% và 37% so với 6 tháng cuối năm 2022. Hacker thường tấn công vào hệ thống ngân hàng, tài chính, mạng viễn thông, cơ sở dữ liệu nhạy cảm. Theo đánh giá của Hiệp hội an toàn thông tin Việt Nam (VNISA) 87% các đơn vị được khảo sát lo ngại nhân sự về an toàn thông tin tại Việt Nam chưa đáp ứng nhu cầu, 71% tổ chức, doanh nghiệp có nhu cầu bổ sung nhân sự an toàn thông tin trong vòng 2-3 năm tới, 42,2% tổ chức lo ngại về các mối đe dọa an toàn thông tin.

Đảm bảo an toàn an ninh thông tin là một trong những vấn đề hết sức quan trọng trong thời đại số hiện nay. Các tổ chức đã chú trọng đầu tư về an toàn an ninh thông tin rất nhiều cho hệ thống thông tin của mình, tuy nhiên con người là một trong các yếu tố gây mất an ninh an toàn cho hệ thống và là nhân tố khó kiểm soát trong hoạt động đảm bảo an toàn an ninh mạng của tổ chức. Với cách thức tấn công phi kỹ thuật, kẻ tấn công không thực hiện gửi email độc hại cho nhiều người như trước đây mà nhắm mục tiêu vào từng người cụ thể. Nội dung email gửi đi rất thuyết phục, có thể nhắc đúng tên người nhận, hoặc nhắc đến một sự kiện mà người nhận đã tham dự hoặc đề cập đến một người bạn chung... Do đó, mỗi cá nhân phải chủ động ứng phó với những thách thức từ không gian mạng. Để đáp ứng được yêu cầu này, các cá nhân phải thay đổi hành vi của mình cho phù hợp với tình hình mới, việc thay đổi hành vi này phải bắt nguồn từ việc thay đổi nhận thức của bản thân. Tuy nhiên, đào tạo, bồi dưỡng nâng cao nhận thức theo phương thức truyền thống đã dần bộc lộ những điểm yếu không còn phù hợp với tình hình hiện nay. Do đó, công tác đào tạo an toàn an ninh mạng cho nhân sự trong tổ chức cần được thay đổi, áp dụng các phương thức đào tạo mới phù hợp hơn, được thực hiện thường xuyên và hướng đến từng cá nhân.

Giải pháp đào tạo cần được xây dựng, triển khai thông qua hệ thống thông tin. Thực hiện đào tạo theo hình thức trực tuyến để phù hợp với thời gian của từng cá nhân, giúp cá nhân có thể học mọi lúc, mọi nơi. Nhân sự của tổ chức không chỉ cần thay đổi nhận thức mà còn cần thay đổi hành vi, thông qua các cơ hội tiếp cận và thực hành ứng xử với các tình huống về an toàn an ninh mạng.

Cần xây dựng lộ trình đào tạo riêng phù hợp cho từng cá nhân. Không thực hiện đào tạo tập trung, sử dụng cùng một giáo trình có cùng nội dung kiến thức cho nhiều cá nhân có mức độ nhận thức về an toàn an ninh mạng khác nhau. Tránh tình trạng người có nhận thức cao vẫn phải học lại kiến thức đã có, người có nhận thức thấp không nắm bắt được lượng kiến thức nâng cao, gây lãng phí thời gian của mọi người, dẫn đến kết quả đào tạo không đạt hiệu quả cao.

Sử dụng video, các bảng câu hỏi hoặc thông qua mô phỏng các mối đe dọa cho hoạt động đào tạo. Sau khi xem mỗi đoạn video, trả lời mỗi câu hỏi, học viên phải tương tác với hệ thống đào tạo để xác nhận nhận thức đã đạt được. Đồng thời hệ thống cũng đưa ra phản hồi cho lựa chọn đúng hoặc giải thích, nhắc nhở ngay lập tức để học viên điều chỉnh nhận thức và hành vi của mình.

 

Hệ thống đào tạo cần có cơ sở dữ liệu câu hỏi phong phú, các mẫu mô phỏng tấn công được tổng hợp từ thực tế mà không phải từ phòng thí nghiệm. Khi xuất hiện tấn công theo cách thức mới, sử dụng các mẫu tấn công mới thì mức độ sẵn sàng ứng phó với sự cố an toàn của cá nhân giảm đi, do đó cá nhân cần được bổ sung nhận thức kịp thời. Do đó, hệ thống cần cập nhật kiến thức mới để phục vụ việc đào tạo bổ sung cho học viên. Tổ chức cũng có thể lựa chọn để đưa vào cơ sở dữ liệu đào tạo nội dung riêng, các quy định, chính sách cần đào tạo cho nhân viên của mình.

Hệ thống đào tạo cần có khả năng quản lý tự động và lưu hồ sơ đào tạo cho số lượng lớn tài khoản học viên. Hỗ trợ tích hợp tài khoản của học viên từ hệ thống AD của tổ chức bằng nhiều hình thức khác nhau, giúp giảm thiểu được thời gian tạo tài khoản mới trong trường hợp các tổ chức lớn, con số này có thể từ hàng nghìn đến hàng chục nghìn nhân viên. Hỗ trợ phân quyền xem hồ sơ đào tạo cho các tài khoản trong trường hợp cần bảo vệ thông tin.

Tổ chức cần quản lý được toàn bộ quá trình đào tạo từ kiểm tra nhận thức ban đầu, thực hiện đào tạo và đánh giá được mức độ thay đổi nhận thức, hành vi của học viên sau đào tạo. Trong quá trình đào tạo và đánh giá, cho phép học viên trải nghiệm các cuộc tấn công an toàn an ninh mạng thông qua mô phỏng các cuộc tấn công trong thực tế. Tất cả các hành vi, hoạt động, thao tác phản ứng của học viên trong cuộc giả lập tấn công được hệ thống ghi nhận, theo dõi và thống kê để biết được điểm yếu trong nhận thức an toàn thông tin của học viên. Đánh giá được nhận thức của từng cá nhân, theo mức độ khác nhau từ dễ đến khó, tương ứng với thủ đoạn tinh vi của các đối tượng tấn công, để xây dựng được lộ trình đào tạo cũng như nội dung kiến thức cần thiết bổ sung vào nhận thức còn yếu, thiếu, sai lệch của cá nhân.

Hệ thống nên hiển thị được số liệu thống kê tổng hợp, thể hiện được tình trạng, mức độ nhận thức về an toàn thông tin của toàn bộ nhân sự của tổ chức. Hỗ trợ xuất báo cáo theo nhu cầu của tổ chức.

Đào tạo nâng cao nhận thức của nhân viên với các sự cố an toàn thông tin mang lại khả năng ứng xử khi đối mặt với các sự cố an toàn thông tin của nhân viên đồng thời góp phần bảo vệ tổ chức trước các mối đe dọa trên không gian mạng.

Bộ Tài chính là bộ tổng hợp đa ngành với số lượng công chức, viên chức, người lao động trong ngành rất cao, lên đến hơn 60 nghìn người. Việc đào tạo, bồi dưỡng, nâng cao nhận thức về an toàn an ninh mạng cho nhân sự của Bộ đã được quy định tại Quy chế An toàn thông tin mạng và An ninh mạng của Bộ Tài chính. Các giải pháp mới về đào tạo, nâng cao nhận thức an toàn an ninh mạng cho nhân sự của tổ chức sẽ giúp Bộ Tài chính triển khai hiệu quả công tác này tại Bộ.

 

Bình luận của bạn