An ninh thông tin – vấn đề mã hoá thông tin nhạy cảm của các cơ quan Chính phủ Mỹ
1. GAO xác định thuật ngữ thông tin nhạy cảm đề cập trong báo cáo bao gồm: Thông tin an ninh quốc gia, thông tin về quốc nội; “Số an sinh xã hội; Các bản ghi y tế; Dữ liệu hành pháp; Các thông tin riêng khác có thể bị tiết lộ không hợp lý, bị xem lướt, hoặc bị sao chép không đúng qui định hoặc phục vụ cho mục đích phạm tội”.
2. Báo cáo của GAO về An ninh thông tin được công bố vào tháng 06/2008. Đây là kết quả khảo sát ở 24 cơ quan lớn của Chính phủ Mỹ. Trong đó, có 10 cơ quan xử lý các thông tin y tế nhạy cảm; 16 cơ quan có những thông tin luật pháp nhạy cảm; 19 cơ quan có thông tin nhân thân; và 20 cơ quan có thông tin về các chương trình đặc thù.
3. Hạ tầng kỹ thuật trọng yếu được GAO diễn tả gồm: Hạ tầng mạng; Hạ tầng vật lý; các cơ sở Hạ tầng công cộng và chuyên dùng khác khác cần thiết để bảo đảm an ninh quốc gia, an ninh kinh tế quốc gia hoặc cho sự an toàn và sức khỏe của cộng đồng.
4. Mã hóa là biện pháp hỗ trợ bảo vệ các thông tin nhạy cảm: Các công nghệ mã hóa để bảo mật thông tin lưu trữ gồm: Mã hóa toàn bộ đĩa; Mã hóa bằng phần cứng; Mã hóa tệp, thư mục, ổ đĩa ảo. Trên đường truyền tin, thông tin nhạy cảm được bảo vệ bằng các công nghệ: Mạng riêng ảo (VPN); Chữ ký số và Chứng chỉ số; Các công nghệ mã hóa áp dụng cho các thiết bị điện toán cầm tay.
5. Luật pháp và hướng dẫn thực hiện luật pháp bao gồm:
- Các luật Liên bang không bắt buộc các tổ chức phải mã hóa thông tin nhạy cảm, luật trao trách nhiệm bảo vệ an ninh thông tin cho các cơ quan Chính phủ.
- Đặc biệt, Luật An ninh thông tin Liên bang 2002 (Federal Information Security Management Act – FISMA 2002) được gói trong Luật Chính phủ điện tử 2002 (E-Government Act 2002) cung cấp khung pháp lý để đảm bảo kiểm soát hiệu quả thông tin và hệ thống thông tin của các cơ quan Chính phủ.
- Cơ quan Hành chính, quản trị Chính phủ (Office of Management and Budget - OMB) là cơ quan chịu trách nhiệm thiết lập chính sách và hướng dẫn các cơ quan chính phủ thi hành Luật FISMA, Luật Bí mật cá nhân (Privacy Act), và các luật an ninh thông tin, luật bí mật cá nhân khác.
- NIST chịu trách nhiệm cung cấp cho các cơ quan Chính phủ những hướng dẫn lập kế hoạch; hướng dẫn triển khai; các chuẩn bắt buộc để xác định, phân loại thông tin, và lựa chọn biện pháp bảo vệ cần thiết.
6. Thực tế, mức độ quan tâm đến mã hóa dữ liệu nhạy cảm rất khác nhau. Các cơ quan thường ít quan tâm đến dữ liệu lưu trữ mà quan tâm nhiều hơn đến mã hóa dữ liệu trên đường truyền.
- Rất ít cơ quan thực hiện mã hóa các thông tin lưu trữ trên thiết bị lưu động (Đây là yêu cầu bắt buộc của OMB). Với 24 cơ quan đã khảo sát, tỷ lệ không mã dữ liệu trên các thiết bị lưu động là 70%.
- Việc thực hiện mã hóa không có kế hoạch đầy đủ, chưa tuân thủ hướng dẫn của NIST về việc lập hồ sơ kế hoạch thực hiện. Văn bản số 800-53 (NIST Special Publication 800-53) của NIST hướng dẫn và yêu cầu các cơ quan tiến hành kiểm kê thông tin và lựa chọn biện pháp bảo vệ. 75% các cơ quan được khảo sát không tiến hành kiểm kê thông tin nhạy cảm đang nắm giữ.
- Thực tế ứng dụng mã hóa ở tất cả các cơ quan còn yếu: Không có cơ quan nào cài đặt các sản phẩm tương thích với các qui định của FIPS (Yêu cầu bắt buộc của OMB). Hiện nay, các cơ quan chính phủ Mỹ có thể được cung cấp các sản phẩm mã hóa tuân theo Tiêu chuẩn môđun mật mã an toàn FIPS 140-2 từ Chương trình “SmartBUY” của Văn phòng Chính phủ Mỹ. Nhiều cơ quan cài đặt, cấu hình hệ thống chưa hoàn chỉnh theo đúng yêu cầu của NIST. Hầu hết các cơ quan chưa xây dựng hoặc chưa lập hồ sơ các qui định, qui trình mã hóa. Một số cơ quan chưa đào tạo đầy đủ đội ngũ nhân viên ATTT.
* GAO còn đưa ra 20 khuyến nghị cần thực hiện ngay đối với OMB và một số cơ quan Chính phủ quan trọng:
- Đối với OMB: Làm rõ chính sách bắt buộc các cơ quan Chính phủ phải mã hóa thông tin nhạy cảm; giám sát các hoạt động ứng dụng mã hóa, kiểm kê thông tin nhạy cảm đang lưu giữ của các cơ quan Chính phủ.
- Đối với các cơ quan Chính phủ khác, yêu cầu phải sử dụng các sản phẩm mật mã đáp ứng tiêu chuẩn của FIPS 140-2 để mã hóa thông tin; xây dựng chính sách, quy trình thiết lập và quản lý khóa; xây dựng quy trình đảm bảo sử dụng mật mã theo quy định của FIPS.