Thông tư 09/2020/TT-NHNN quy định về bảo đảm an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng là văn bản pháp lý cốt lõi mà mọi tổ chức tín dụng và chi nhánh ngân hàng nước ngoài tại Việt Nam phải tuân thủ. Với tổ chức chưa đáp ứng đầy đủ, việc khắc phục thường là dự án phức tạp kéo dài nhiều năm với ngân sách lớn. Bài viết này đề xuất lộ trình thực tế để triển khai tuân thủ theo thứ tự ưu tiên.
Điểm cốt lõi của Thông tư 09
Thông tư 09 có cấu trúc bao quát toàn bộ các lĩnh vực quản trị an toàn thông tin theo chuẩn quốc tế ISO 27001, nhưng được điều chỉnh cho đặc thù của ngành ngân hàng Việt Nam. Các yêu cầu chính có thể nhóm thành sáu lĩnh vực.
Thứ nhất là tổ chức và quản trị, yêu cầu thành lập bộ phận chuyên trách an toàn thông tin, ban hành chính sách và quy trình, phân công trách nhiệm rõ ràng, đào tạo nhận thức cho toàn bộ nhân viên.
Thứ hai là quản lý tài sản và phân loại hệ thống, yêu cầu phân loại các hệ thống thông tin theo cấp độ rủi ro, áp dụng các biện pháp kiểm soát tương ứng với từng cấp độ.
Thứ ba là kiểm soát truy cập và định danh, bao gồm xác thực đa yếu tố cho các tài khoản đặc quyền, quản lý vòng đời tài khoản, rà soát quyền truy cập định kỳ.
Thứ tư là bảo vệ vật lý và môi trường, yêu cầu trung tâm dữ liệu có biện pháp kiểm soát ra vào, giám sát môi trường, hệ thống dự phòng điện và làm mát.
Thứ năm là giám sát và quản lý sự cố, yêu cầu khả năng phát hiện và phản ứng sự cố an ninh thông tin, báo cáo sự cố cho Ngân hàng Nhà nước theo quy định, lưu trữ nhật ký hoạt động.
Thứ sáu là sao lưu và liên tục kinh doanh, yêu cầu chiến lược sao lưu theo mức độ quan trọng của hệ thống, kế hoạch phục hồi thảm họa, diễn tập định kỳ.
Đánh giá hiện trạng là bước đầu tiên
Trước khi lập kế hoạch khắc phục, cần có đánh giá hiện trạng tuân thủ thật sự khách quan. Đây là giai đoạn nhiều tổ chức làm qua loa hoặc tự đánh giá, dẫn đến bức tranh sai lệch và kế hoạch không thực tế.
Đánh giá cần bao gồm rà soát chính sách và quy trình đã ban hành, phỏng vấn người thực hiện để xác minh quy trình có được áp dụng trên thực tế hay chỉ tồn tại trên giấy, kiểm tra kỹ thuật các hệ thống để xác nhận cấu hình thực tế khớp với chính sách, đánh giá theo từng điều khoản cụ thể của Thông tư 09 với bằng chứng đi kèm.
Kết quả đánh giá nên được phân loại theo ba mức: tuân thủ đầy đủ, tuân thủ một phần (có chính sách nhưng chưa triển khai đầy đủ), không tuân thủ. Danh sách các khoảng cách tuân thủ là đầu vào cho việc lập kế hoạch khắc phục.
Sắp xếp ưu tiên theo rủi ro
Không thể khắc phục toàn bộ khoảng cách tuân thủ cùng một lúc. Việc sắp xếp ưu tiên cần dựa trên ba tiêu chí: mức độ rủi ro của khoảng cách, chi phí khắc phục, thời gian thực hiện.
Các hạng mục ưu tiên cao nhất thường bao gồm: xác thực đa yếu tố cho tài khoản đặc quyền, giám sát các hệ thống quan trọng 24/7, sao lưu và kiểm tra khả năng phục hồi của các hệ thống quan trọng, vá lỗi bảo mật cho các hệ thống đối mặt Internet, kiểm soát ra vào trung tâm dữ liệu.
Các hạng mục có thể làm trong giai đoạn sau thường là: ban hành và cập nhật chi tiết các chính sách thứ cấp, hoàn thiện quy trình quản lý nhà cung cấp, mở rộng phạm vi giám sát đến toàn bộ hệ thống, nâng cấp kiến trúc phục hồi thảm họa lên mức cao nhất.
Lộ trình triển khai ba giai đoạn
Dựa trên kinh nghiệm triển khai cho nhiều tổ chức tín dụng, chúng tôi đề xuất lộ trình ba giai đoạn, mỗi giai đoạn từ sáu đến mười hai tháng.
Giai đoạn một: khắc phục rủi ro cao
Tập trung vào các khoảng cách có thể gây ra sự cố nghiêm trọng trong thời gian ngắn nếu không khắc phục. Các hạng mục điển hình bao gồm triển khai xác thực đa yếu tố cho tài khoản đặc quyền, nâng cấp tường lửa thế hệ mới cho các kết nối Internet, triển khai giám sát cơ bản cho các hệ thống quan trọng, cải thiện quy trình vá lỗi bảo mật, thiết lập sao lưu đáng tin cậy cho dữ liệu quan trọng.
Giai đoạn này yêu cầu đầu tư tương đối lớn trong thời gian ngắn. Mục tiêu là đưa tổ chức ra khỏi tình trạng rủi ro cao trước các mối đe dọa hiện tại.
Giai đoạn hai: hoàn thiện các yêu cầu bắt buộc
Sau khi giải quyết các rủi ro cấp bách, tập trung vào việc hoàn thiện các yêu cầu bắt buộc của Thông tư 09. Bao gồm phân loại hệ thống theo cấp độ và áp dụng biện pháp tương ứng, mở rộng phạm vi giám sát đến tất cả các hệ thống theo yêu cầu, xây dựng và diễn tập kế hoạch phục hồi thảm họa, hoàn thiện hệ thống chính sách và quy trình theo chuẩn, triển khai đánh giá và kiểm thử định kỳ.
Giai đoạn này đòi hỏi công việc tổ chức và quản trị nhiều hơn đầu tư công nghệ. Cần sự tham gia của nhiều phòng ban, không chỉ bộ phận công nghệ thông tin.
Giai đoạn ba: nâng cao và tối ưu
Khi đã đạt tuân thủ cơ bản, tập trung vào nâng cao mức độ trưởng thành an ninh thông tin. Các hạng mục thường bao gồm: chuyển sang kiến trúc Zero Trust với phân đoạn mạng vi mô, triển khai phân tích hành vi để phát hiện mối đe dọa từ bên trong, tự động hóa phản ứng sự cố theo kịch bản, tích hợp tình báo mối đe dọa vào quy trình vận hành, nâng cao khả năng săn tìm mối đe dọa chủ động.
Giai đoạn ba không phải yêu cầu bắt buộc của Thông tư 09 nhưng giúp tổ chức vượt lên chuẩn tối thiểu và đạt mức độ chủ động trước các mối đe dọa mới.
Các sai lầm phổ biến
Trong quá trình làm việc với các tổ chức tín dụng, chúng tôi thấy một số sai lầm lặp lại.
Sai lầm thứ nhất là coi tuân thủ như dự án công nghệ đơn thuần, bỏ qua các yếu tố về tổ chức và quy trình. Thông tư 09 yêu cầu nhiều hơn công nghệ. Nếu không có chính sách, không có quy trình, không có đào tạo nhận thức, thì công nghệ đơn thuần không đủ để đạt tuân thủ.
Sai lầm thứ hai là tập trung quá nhiều vào việc ban hành văn bản mà thiếu triển khai thực tế. Một hệ thống chính sách dày hàng trăm trang không có giá trị nếu các nhân viên không biết và không áp dụng. Đánh giá tuân thủ thực tế sẽ dễ dàng phát hiện điều này.
Sai lầm thứ ba là mua các giải pháp công nghệ cao cấp nhưng không có đội vận hành đủ năng lực. Kết quả là các công cụ đắt tiền được sử dụng ở mức dưới khả năng, hoặc tạo ra quá nhiều cảnh báo giả dẫn đến bỏ sót các sự kiện thật. Chọn công nghệ cần cân bằng với năng lực vận hành hiện có và kế hoạch phát triển năng lực.
Sai lầm thứ tư là không có sự tham gia của lãnh đạo cao nhất. Tuân thủ Thông tư 09 đòi hỏi phối hợp giữa nhiều phòng ban, ngân sách lớn, thay đổi cách làm việc. Nếu không có cam kết rõ ràng của ban lãnh đạo, dự án dễ bị trì hoãn và không đạt kết quả.
Lời kết
Tuân thủ Thông tư 09 không phải đích đến một lần mà là hành trình liên tục. An ninh thông tin là lĩnh vực mà môi trường mối đe dọa luôn thay đổi, công nghệ bảo vệ cũng phải cập nhật tương ứng. Mô hình tuân thủ thành công là mô hình gắn được việc đáp ứng quy định với việc quản lý rủi ro thực tế của tổ chức, không phải chỉ đáp ứng trên giấy tờ để qua kiểm tra.