(sav.gov.vn) - Kiểm toán nhà nước Hoa Kỳ (GAO) vừa công bố một báo cáo, trong đó đặc biệt nhấn mạnh những rủi ro trong lĩnh vực an ninh mạng tại Bộ Ngoại giao Hoa Kỳ (DOS). GAO khuyến ghị, DOS cần củng cố công tác quản lý để ngăn chặn rủi ro trong lĩnh vực này.
Bộ Ngoại giao cần củng cố công tác quản lý rủi ro an ninh mạng. Ảnh minh họa
Rủi ro an ninh mạng cần được chú trọng hơn
Thực hiện cuộc kiểm toán, GAO muốn đánh giá các hoạt động an ninh mạng của DOS; đánh giá mức độ DOS đã triển khai chương trình quản lý rủi ro an ninh mạng; xem xét quy trình và cơ sở hạ tầng hỗ trợ để phát hiện, ứng phó và khắc phục sự cố an ninh mạng; đồng thời, đánh giá năng lực của Giám đốc công nghệ thông tin (CNTT) - CIO - của DOS trong bảo mật hệ thống CNTT.
Để thực hiện những nhiệm vụ này, GAO đặc biệt chú trọng đánh giá các chính sách của Bộ. GAO đã phân tích các rủi ro về CNTT, dữ liệu, cấu hình của các hệ thống, đánh giá công tác ứng phó với sự cố của các đơn vị trực thuộc và 16 đại sứ quán, lãnh sự quán. GAO cũng phỏng vấn các quan chức từ Cục Quản lý tài nguyên thông tin và Cục An ninh ngoại giao, 2 đơn vị có trách nhiệm chính trong quản lý, bảo mật các hệ thống và mạng lưới CNTT; phối hợp với các quan chức cấp cao tại Cục Lãnh sự, cơ quan vận hành nhiều hệ thống CNTT.
"Tính bảo mật của các hệ thống CNTT là yếu tố đặc biệt quan trọng nhằm phát triển cơ sở hạ tầng thông tin và truyền thông mở với nhiều khả năng tương tác của DOS." - Kiểm toán nhà nước Hoa Kỳ
GAO cho biết, DOS đã xác định vai trò, trách nhiệm quản lý rủi ro, đồng thời xây dựng chiến lược và thực hiện chương trình quản lý rủi ro an ninh mạng, đáp ứng yêu cầu của Chính phủ. Tuy nhiên, DOS chưa thực hiện các chương trình này một cách toàn diện để xác định, giám sát rủi ro đối với các tài sản và thông tin trên các hệ thống. Sau khi triển khai các hoạt động quản lý rủi ro, DOS vẫn không đảm bảo được các biện pháp kiểm soát rủi ro an ninh hoạt động như dự kiến.
Các quy trình của DOS nhằm phát hiện, ứng phó và khôi phục sau các sự cố an ninh mạng nhìn chung tuân theo hướng dẫn của Liên bang thông qua việc thiết lập khả năng xử lý sự cố cho hệ thống thông tin. Tuy nhiên, DOS chưa nhận thức đầy đủ về các lỗ hổng bảo mật thông tin và các mối đe dọa gây ảnh hưởng đến việc thực hiện những sứ mệnh của DOS.
Hơn nữa, DOS chưa đảm bảo được cơ sở hạ tầng CNTT toàn diện để hỗ trợ chương trình ứng phó với sự cố. Cơ sở hạ tầng này bao gồm việc thay thế 23.689 hệ thống phần cứng và 3.102 thiết bị lắp đặt phần mềm hệ điều hành mạng và máy chủ đã quá hạn sử dụng. Một số thiết bị lắp đặt phần mềm hệ điều hành đã hết hạn sử dụng cách đây hơn 13 năm.
GAO cho rằng, nếu không triển khai đầy đủ các quy trình ứng phó sự cố, cải thiện cơ sở hạ tầng CNTT phù hợp, cập nhật các sản phẩm lỗi thời, hệ thống CNTT của DOS sẽ dễ bị tấn công, gây nhiều rủi ro. Hơn nữa, DOS có nguy cơ không thể phát hiện, điều tra và giảm thiểu các sự cố liên quan đến an ninh mạng.
Khuyến nghị giải quyết điểm yếu về an ninh mạng
Những năm qua, DOS đã thực hiện một số hoạt động để làm rõ và tăng cường vai trò của CIO. Vào tháng 10/2020, DOS đã phát hành một bản ghi nhớ và vạch rõ vai trò, trách nhiệm đối với an ninh mạng của CIO cùng những đơn vị khác. Tuy nhiên, khả năng của CIO trong việc bảo mật hệ thống CNTT của DOS lại hạn chế do trách nhiệm quản lý bị chia sẻ và thiếu sự kết nối. Ngoài ra, việc thiếu trao đổi giữa CIO, bộ phận quản lý nguồn thông tin và các Cục cũng cản trở khả năng của CIO trong việc bảo mật hệ thống CNTT.
Vào tháng 10/2021, CIO đưa ra ý kiến rằng vai trò, trách nhiệm của CIO cần được củng cố để phản ánh tốt hơn các chức năng và hoạt động của lãnh đạo DOS và các Cục. Khi DOS chưa giải quyết được những vấn đề và thiếu sót trên, CIO cũng phải đối mặt với những thách thức trong việc quản lý, giám sát chương trình an ninh mạng của DOS, đặc biệt quản lý rủi ro và ứng phó với sự cố.
Từ những phát hiện trên, GAO đưa ra 15 khuyến nghị cho DOS, trong đó, DOS cần xây dựng các kế hoạch nhằm giảm thiểu tình trạng hệ thống CNTT dễ bị tổn thương mà DOS đã xác định được trước đó. DOS cần tiến hành đánh giá rủi ro cấp Cục đối với 28 cơ quan sở hữu hệ thống thông tin mà GAO đã đánh giá.
DOS cũng cần đảm bảo hệ thống thông tin có giấy phép hợp lệ để hoạt động theo chính sách của DOS và hướng dẫn của Liên bang; đảm bảo CIO có quyền truy cập vào hệ thống quản lý tài sản của các Cục và hòm thư để liên tục theo dõi các mối đe dọa, các lỗ hổng có thể gây ảnh hưởng đến việc thực hiện nhiệm vụ chung.
GAO khuyến nghị DOS cần đảm bảo tất cả các kế hoạch dự phòng liên quan đến hệ thống CNTT đều được kiểm tra hằng năm theo các quy định, chính sách của DOS; đồng thời, chỉ đạo CIO cập nhật kế hoạch tháng 10/2020 để đảm bảo tuân thủ tốt hơn các chính sách hiện hành của DOS và hướng dẫn của Liên bang.
DOS đã đồng tình với tất cả 15 khuyến nghị và đang triển khai các kế hoạch nhằm giải quyết các điểm yếu về an ninh mạng./.
(Theo GAO và tổng hợp)