Bảo mật thông tin trong lĩnh vực tài chính điện tử
Vấn đề chính sách và chiến lược phát triển, giải pháp công nghệ thông tin và truyền thông (CNTT&TT) trong lĩnh vực dịch vụ công điện tử đã được đề cập trong một số Hội thảo quốc tế tại Việt Nam (ITCF’09, CIO C&A’09…). Nội dung về bảo mật và an toàn thông tin (BM&ATTT) trong lĩnh vực tài chính điện tử đã được các chuyên gia trong nước và quốc tế đánh giá như là yếu tố “làm phẳng” nền tài chính điện tử. Nội dung dưới đây đề cập về BM&ATTT trong lĩnh vực tài chính điện tử.
Hiện trạng CNTT&TT và bảo mật thông tin trong lĩnh vực tài chính
Những kết quả đã đạt được và khó khăn, vướng mắc trong triển khai nền tài chính điện tử của nước ta được nêu trong các báo cáo chính tại Hội thảo ITCF’09. Đề cập đến 10 thách thức chung và 5 vấn đề lớn về công nghệ triển khai dịch vụ công điện tử trong ngành tài chính, bao gồm: khung pháp lý và mô hình triển khai chính phủ điện tử; hệ thống luật pháp và quy trình tác nghiệp trong lĩnh vực tài chính; sự hợp tác chia sẻ thông tin nội bộ ngành tài chính và với các bộ, ngành khác; về trình độ ứng dụng CNTT của công dân và doanh nghiêp; chính sách đãi ngộ, tiền lương thu hút nhân lực nói chung và nhân lực CNTT (IT) nói riêng trong ngành tài chính. Các vấn đề này không chỉ được đưa ra bàn bạc trong hội thảo mà còn là công việc cần phải giải quyết liên quan tới nhiều cơ quan quản lý nhà nước hiện tại cũng như lâu dài.
Ngoài ra, sự thiếu đồng bộ và tính đa dạng, tính mở, yêu cầu tự động hóa của hệ thống CNTT&TT còn là rào cản đối với sự phát triển dịch vụ tài chính điện tử. Một chuyên gia trong lĩnh vực chứng khoán nhận xét: hệ thống CNTT, tính an toàn, bảo mật, đường truyền, các phầ¬n mềm ứng dụng trong lĩnh vực chứng khoán chưa đáp ứng đầy đủ tất cả các nhu cầ¬u phát triển của thị trường chứng khoán.
Hiện tượng phổ biến hiện nay ở các nước đang phát triển là chiến lược hay kế hoạch dài hạn phát triển CNTT&TT phục vụ kinh doanh của tổ chức/ doanh nghiệp (TC/DN) không được bàn bạc đầy đủ nên thường bị động khi triển khai; dự án đầu tư cho CNTT khó triển khai, chỉ tiêu ngân sách thường khó thực hiện, trong khi đó hệ thống thiết bị không đồng bộ, kém hiệu quả.
Khi TC/DN đầu tư công nghệ mới, triển khai chương trình tin học hóa phục vụ tác nghiệp thì lực lượng IT luôn phải “online” diệt virus, bảo trì chương trình, khởi động lại PC…. Tất cả mọi sự cố liên quan tới chương trình và máy tính đều được gọi đến lực lượng IT. Sự cố thiết bị, hệ thống CNTT&TT đôi khi chỉ đơn giản là quên mật khẩu, song khi hệ thống ít hoặc không có sự cố - điều đó không nói lên rằng hệ thống hoàn hảo, mà có thể chỉ do người dùng chưa sử dụng một cách hiệu quả.
Trong khi đó, lực lượng IT còn thiếu tính chuyên nghiệp. Lãnh đạo CNTT – CIO (được các chuyên gia hình tượng hóa như Thần Héc-Quin) đang phải chịu áp lực rất lớn về những thay đổi không ngừng của công nghệ. Tiêu chuẩn chất lượng sản phẩm, dịch vụ phát triển liên tục; môi trường kinh doanh cạnh tranh khốc liệt, thay đổi nhanh… làm gia tăng các sản phẩm và dịch vụ trong điều kiện đảm bảo pháp lý thường chậm trễ, không đáp ứng kịp thời những biến động thực tiễn.
Các nguy cơ đối với BM&ATTT xuất phát từ tổ chức hệ thống, công nghệ, thiết bị và đặc biệt là yếu tố con người. Thách thức về vấn đề BM&ATTT trong lĩnh vực tài chính công ở nước ta hiện nay, được các chuyên gia, các nhà quản lý nhận định thuộc dạng thách thức về công nghệ (Hình 1).
Điều băn khoăn lớn nhất của các TC/DN là làm sao chia sẻ được dịch vụ và bảo mật được thông tin của doanh nghiệp và của khách hàng. Các tổ chức ngày nay ngoài phải lo bảo mật hạ tầng cơ sở CNTT&TT còn lo bảo mật nội dung thông tin đã được số hóa.
Chông gai trên con đường hiện đại hóa dịch vụ công điện tử không chỉ ở nước ta, khu vực châu Á-Thái Bình Dương mà còn là tình trạng chung của các nước đang phát triển.
Hình 1 : Các thách thức về công nghệ đối với tài chính điện tử
Công nghệ ảo hóa – hướng mở cho xây dựng cơ sở hạ tầng CNTT&TT
Ảo hóa các tài nguyên CNTT&TT đang dần được xem như là cách tốt nhất nâng cao năng lực, hạ thấp chi phí cơ sở hạ tầng ban đầu cũng như chi phí vận hành doanh nghiệp. Đây có thể là giải pháp hữu hiệu cho các doanh nghiệp vừa và nhỏ. Ảo hoá là bước phát triển CNTT&TT trung gian từ tập trung hóa lên tự động hóa. Đó là các bước phát triển nhằm nâng cao hiệu suất, tăng cường mức độ linh hoạt, khả năng thích ứng của CNTT&TT trước yêu cầu hoạt động tác nghiệp, sản xuất, kinh doanh của TC/DN (Hình 2).
Bảo mật thông tin - trong suốt đối với người dùng và thông suốt dịch vụ tài chính điện tử
Đơn giản, tiện lợi, đảm bảo được tính toàn vẹn, sẵn sàng cho truy cập, chống chối bỏ và bí mật nội dung thông tin là yêu cầu đặt ra đối với bảo mật thông tin. Qui trình bảo mật phải đáp ứng được tính tiện lợi, dễ sử dụng; thiết bị, phương tiện phải được đồng bộ trong hệ thống CNTT&TT và không gây cản trở cho tác nghiệp - BM&ATTT trong suốt đối với người sử dụng. Trách nhiệm này hiện nay đang do các CIO và lực lượng IT của TC/DN đang đảm nhận.
Hình 2: Xu hướng phát triển trung tâm dữ liệu
Đến giai đoạn phát triển công nghệ ảo hóa, các TC/DN có thể đi thuê mà không cần đầu tư hệ thống thiết bị trung tâm CNTT&TT như là server, máy phát điện, ổn áp, hệ thống cảnh báo, phòng chống cháy nổ…, giảm hẳn các chi phí vận hành, bảo dưỡng các thiết bị nêu trên. Như vậy, bảo mật hệ thống CNTT&TT một phần thuộc trách nhiệm của bên cho thuê thiết bị.
Nhiệm vụ không thay thế được của tổ TC/DN là bảo mật nội dung thông tin số của chính mình. Khó khăn trong lĩnh vực BM&ATTT của TC/DN không chỉ là đầu tư trang thiết bị mà còn liên quan đến yếu tố con người. Nhân lực bảo mật thông tin không những đòi hỏi cao về trình độ chuyên môn, nghiệp vụ mà còn phải được TC/DN tin cậy về đạo đức nghề nghiệp. Các TC/DN có thể đi thuê rất nhiều thứ, song bảo mật thông tin của TC/DN (bảo mật tài sản nhạy cảm liên quan đến sự tồn tại, phát triển của TC/DN) không thể giao cho người khác.
Bảo đảm thống suốt cho dịch vụ điện tử nói chung, tài chính công điện tử nói riêng bao gồm các yếu tố: hạ tầng cơ sở CNTT&TT đồng bộ, an toàn; nhân lực IT chuyên nghiệp; tổ chức hệ thống hoàn chỉnh; sự chấp thuận công nghệ mới của người dùng…, được gọi là các yếu tố “làm phẳng” nền dịch vụ điện tử. Điều này trở nên rất khó khăn khi TC/DN phải triển khai công nghệ hiện đại trong tình hình phát triển như vũ bão của CNTT, và là thách thức lớn đối với lĩnh vực BM&ATTT. Bảo mật thông tin trở thành yếu tố “làm phẳng” hệ thống thông tin của TC/DN, đòi hỏi đầu tư trí tuệ của các nhà lãnh đạo, các nhà quản lý và là nhiệm vụ nặng nề của lãnh đạo CNTT.