 |
| Kiểm tra vận hành hệ thống Data Center của EVNCPC. |
Nhiệm vụ quan trọng và cấp bách
Thực tế hiện nay, nguy cơ từ không gian mạng đã và đang gia tăng tỉ lệ thuận với sự phát triển và ứng dụng Công nghệ thông tin (CNTT) vào đời sống, xã hội. Tại Việt Nam nói riêng và thế giới nói chung, tình hình an toàn thông tin (ATTT) ngày càng diễn biến phức tạp. Đặc biệt, các cuộc tấn công mạng, nhất là tấn công mạng vào hệ thống thông tin các doanh nghiệp lớn đang tăng mạnh về quy mô, số lượng, mức độ tinh vi và tính chuyên nghiệp.
Thống kê của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC, thuộc Cục An toàn thông tin) cho thấy, trong tháng 6/2021 đã có 718 cuộc tấn công mạng gây ra sự cố vào các hệ thống thông tin tại Việt Nam và lũy kế trong 6 tháng đầu năm, Việt Nam đã hứng chịu tổng số 2.915 sự cố tấn công mạng, tăng gần 898 cuộc so với cùng kỳ năm 2020.
Đặc biệt, trong tình hình đại dịch COVID-19 diễn biến phức tạp, các tổ chức, cá nhân tội phạm mạng càng tăng cường lợi dụng nhu cầu sử dụng mạng Internet của người dùng cũng như sự quan tâm của người dân tới thông tin tình hình dịch bệnh COVID-19 để tấn công nhằm lừa đảo, phá hoại và đánh cắp thông tin trái phép, đe dọa an toàn thông tin với các tổ chức, cá nhân.
Với các đơn vị ngành điện như EVNCPC, hoạt động trong lĩnh vực kinh tế đặc thù có vai trò trực tiếp đảm bảo an ninh năng lượng quốc gia, an toàn thông tin là một yêu cầu quan trọng và bức thiết, đặc biệt khi EVNCPC đang đẩy mạnh chuyển đổi số trong mọi mặt hoạt động của doanh nghiệp. Hiện nay, gần như toàn bộ dữ liệu doanh nghiệp và quy trình hoạt động quản trị, điều hành, sản xuất kinh doanh của EVNCPC đã và đang được số hóa: Toàn bộ công văn được xử lý qua hệ thống văn phòng điện tử; dữ liệu nhân sự được quản lý qua phần mềm HRMS; dữ liệu kinh doanh được số hóa và quản lý qua phần mềm CMIS; lưới điện được điều khiển từ xa... Về dữ liệu khách hàng, hiện nay EVNCPC đang quản lý tệp khách hàng đồ sộ với hơn 4,5 triệu khách hàng, dữ liệu sử dụng điện đã được đo xa trực tuyến, hầu hết khách hàng đã kết nối chức năng thanh toán tiền điện với tài khoản ngân hàng hoặc các ví điện tử... Trong bối cảnh đó, việc tăng cường an ninh bảo mật và an toàn thông tin cho hệ thống CNTT, dữ liệu khách hàng và hệ thống vận hành nguồn, lưới điện của EVNCPC là một nhiệm vụ quan trọng và cấp bách.
 |
| Lắp đặt hệ thống đảm bảo an toàn thông tin và an ninh mạng tại các đơn vị trực thuộc EVNCPC. |
Nâng cao nhận thức ATTT song hành với chuyển đổi số
Việc đảm bảo ATTT được thực hiện qua 3 yếu tố, đó là Con người – Quy trình – Công nghệ. Trong đó, con người là yếu tố then chốt, quyết định tất cả các vấn đề liên quan đến đảm bảo ATTT cho tổ chức.
Trong ATTT có một quy tắc gọi là “Quy tắc 90/10”, nghĩa là 90% các biện pháp bảo đảm ATTT phụ thuộc vào con người, còn lại 10% là các biện pháp về mặt kỹ thuật, công nghệ. Một hệ thống thông tin dù được trang bị đầy đủ các giải pháp bảo mật, phòng vệ nhiều lớp nhưng con người vận hành, khai thác sử dụng chưa có kiến thức, sai quy trình, nhận thức về ATTT chưa tốt thì hệ thống thông tin của tổ chức sẽ không an toàn.
Xuất phát từ yêu cầu đó, nhiều tổ chức, doanh nghiệp, trong đó có EVNCPC luôn xác định đội ngũ chuyên trách ATTT và CNTT luôn là đội ngũ trực tiếp hàng đầu trong xây dựng, phát triển phần mềm và thực hiện các công tác đảm bảo ATTT cho đơn vị. Các lỗ hổng bảo mật trên thực tế đều liên quan đến sai sót của con người trong quá trình vận hành không theo quy trình, lập trình phần mềm không đảm bảo an toàn. Do đó, hằng năm EVNCPC đều tổ chức các khóa đào tạo chuyên sâu về ATTT, các lớp lập trình an toàn và cử cán bộ chuyên trách tham gia diễn tập ứng cứu sự cố ATTT do EVN hoặc các đơn vị chuyên trách về ATTT như Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) tổ chức.
Tuy nhiên, đáp ứng yên cầu đảm bảo an toàn an ninh mạng và sự phát triển bền vững của đơn vị trong thời buổi bùng nỗ thông tin và sự phát triển mạnh mẽ của công nghệ như hiện nay, ngoài yêu cầu kể trên thì người dùng cuối (tức bộ phận sử dụng, khai thác các ứng dụng, dịch vụ CNTT trên hệ thống mạng của tổ chức, bao gồm từ các cấp lãnh đạo cho đến nhân viên) thực tế đang cho thấy rằng, đây cũng là đầu mối rất quan trọng, nếu thiếu sự quan tâm sẽ dẫn đến hậu quả khó lường cho đơn vị khi bị tấn công mạng. Bởi đa phần các cuộc tấn công mạng đều xuất phát từ sự nhận thức chưa tốt về ATTT của người dùng cuối, từ đó leo thang tấn công toàn hệ thống. Nhận thức rõ điều này nên thời gian qua, EVNCPC đã tổ chức các khóa nâng cao nhận thức ATTT và ban hành Sổ tay ATTT để tuyên truyền cho cán bộ, công nhân viên (CBCNV) với những nội dung ngắn ngọn, dễ hiểu, gắn liền với các công việc thực tế hằng ngày trên môi trường mạng máy tính.
Về mặt quy trình, công nghệ: EVNCPC đã sớm xây dựng và hoàn thiện các quy định, chính sách về an toàn thông tin theo tiêu chuẩn ISO 27001:2013, thành lập tổ công tác và đội ứng cứu sự cố an toàn, an ninh thông tin; hệ thống ATTT được triển khai đồng bộ, trang bị nhiều lớp bảo mật nhằm phân tách các vùng mạng, kiểm soát truy cập thông tin, ngăn chặn phát tán mã độc giữa các vùng.
Cạnh đó, EVNCPC cũng nhận được sự hỗ trợ của Tập đoàn Điện lực Việt Nam (EVN) và các đơn vị chuyên trách về ATTT như Bộ Tư lệnh 86, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC),… trong việc phát hiện, dò quét cũng như đánh giá, giám sát ATTT các hệ thống thông tin quan trọng.
Nhờ sự chú trọng, quan tâm đáp ứng tốt các yêu cầu kể trên nên đến nay, các thành tựu mà Chương trình chuyển đổi số tại EVNCPV mang lại đã góp phần tạo nên nhiều lợi ích thiết thực cho khách hàng ngành điện tại địa bàn đơn vị quản lý. Đặc biệt, hiện nay khách hàng của EVNCPC có thể thanh toán tiền điện, theo dõi sản lượng điện nhà mình mọi lúc, mọi nơi mà không cần đến các quầy thanh toán của ngành điện. Đây là bước tiến quan trọng, khẳng định kết quả bước đầu trong chuyển đổi số cũng như đảm bảo an toàn thông tin của doanh nghiệp và khách hàng của EVNCPC.
Tuy nhiên, cùng với sự phát triển vừa kể, tội phạm sử dụng công nghệ cao ngày càng tinh vi và khách hàng ngành điện cũng là mục tiêu mà các đối tượng này nhắm đến. Do vậy, để tránh sa bẫy của những đối tượng lừa đảo trên mạng, EVNCPC đang nỗ lực giúp khách hàng nâng cao tinh thần cảnh giác, thực hiện các biện pháp phòng tránh, ngăn ngừa. Trước mắt, EVNCPC khuyến cáo khách hàng không nên đăng các thông tin cá nhân (số điện thoại, địa chỉ nơi ở, số chứng minh nhân dân, mã khách hàng sử dụng điện,…) lên các trang mạng xã hội, chỉ nên tiếp nhận thông tin từ các kênh chính thông đã được ngành điện công bố; tuyệt đối không thanh toán tiền điện cho người lạ hoặc chuyển tiền vào các tài khoản khi chưa tiến hành xác minh thông tin. Nỗ lực của doanh nghiệp trong công tác đảm bảo ATTT mới chỉ là một vế của vấn đề; vế còn lại, rất cần sự quan tâm của người dùng về bảo mật thông, bảo vệ an toàn chính mình trên môi trường số.
 |
| Vận hành Trung tâm giám sát lưới điện EVNCPC |
Chia sẻ những kinh nghiệm bước đầu của EVNCPC trên mặt trận đảm bảo an toàn thông tin và an ninh mạng ở đơn vị, ông Đỗ Minh Cường – Trưởng Ban Viễn thông và Công nghệ thông tin EVNCPC cho biết: “Chuyển đổi số là xu hướng tất yếu, tuy nhiên đảm bảo ATTT là yếu tố sống còn. Với phương châm đó, EVNCPC đã rất quyết liệt trong việc triển khai các biện pháp đảm bảo ATTT cho hệ thống thông tin, tích cực tuyên truyền sâu rộng đến người lao động. Nhờ đó, hệ thống thông tin của EVNCPC đã vận hành ổn định, an toàn, phục vụ tốt hoạt động sản xuất, kinh doanh trong đơn vị. Người lao động và CBCNV sử dụng Internet được trang bị đầy đủ nhận thức về các kỹ năng cơ bản, có thể sử dụng mạng Internet, mạng xã hội, một cách an toàn, hiệu quả, lành mạnh trên không gian mạng phục vụ cho công việc”.
Phát huy kết quả bước đầu kể trên, theo đại diện EVNCPC, hiện đơn vị đang hướng tới mục tiêu đến tháng 6/2022 cơ bản trở thành doanh nghiệp số. Đi kèm với mục tiêu đó, việc đảm bảo an toàn thông tin là một nhiệm vụ không thể thiếu trong các hoạt động chuyển đổi số của EVNCPC. Trong năm 2021 và những năm sắp tới, EVNCPC tiếp tục củng cố và tăng cường các giải pháp bảo mật hệ thống, không để xảy ra mất an toàn thông tin, đảm bảo vận hành lưới điện an toàn, liên tục, nâng cao độ tin cậy cung cấp điện, chất lượng điện cũng như chất lượng dịch vụ phục vụ khách hàng ngày càng tốt và hiệu quả hơn./.