Trong những năm gần đây, thành tựu của Cách mạng công nghiệp 4.0 và chương trình Chuyển đổi số Quốc gia đã mang đến nhiều cơ hội đổi mới, phát triển cho các doanh nghiệp, nhưng kèm theo đó là các thách thức ngày càng lớn hơn trong công tác đảm bảo an toàn, an ninh thông tin tại Việt Nam.

Với các đơn vị ngành điện như Tổng công ty Điện lực miền Trung (EVNCPC), hoạt động trong lĩnh vực kinh tế đặc thù có vai trò trực tiếp đảm bảo an ninh năng lượng quốc gia, an toàn thông tin là một yêu cầu quan trọng và bức thiết, đặc biệt khi EVNCPC đang đẩy mạnh chuyển đổi số trong mọi mặt hoạt động của doanh nghiệp. EVCPC đồng thời cũng xác định an toàn thông tin là một nhiệm vụ quan trọng, cấp bách, không chỉ vì lợi ích của cả doanh nghiệp mà còn là trách nhiệm với xã hội, với khách hàng.

Hiện nay, gần như toàn bộ dữ liệu doanh nghiệp và quy trình hoạt động quản trị, điều hành, sản xuất kinh doanh của EVNCPC đã và đang được số hóa: Toàn bộ công văn được xử lý qua hệ thống văn phòng điện tử; dữ liệu nhân sự được quản lý qua phần mềm HRMS; dữ liệu kinh doanh được số hóa và quản lý qua phần mềm CMIS; lưới điện được điều khiển từ xa... Về dữ liệu khách hàng, hiện nay EVNCPC đang quản lý tệp khách hàng đồ sộ với hơn 4,5 triệu khách hàng, dữ liệu sử dụng điện đã được đo xa trực tuyến, hầu hết khách hàng đã kết nối chức năng thanh toán tiền điện với tài khoản ngân hàng hoặc các ví điện tử... Trong bối cảnh đó, việc tăng cường an ninh bảo mật và an toàn thông tin cho hệ thống CNTT, dữ liệu khách hàng và hệ thống vận hành nguồn, lưới điện của EVNCPC là một nhiệm vụ quan trọng và cấp bách.

Ông Đỗ Minh Cường - Trưởng Ban Viễn thông và CNTT cho biết, những năm qua, EVNCPC luôn quan tâm công tác đảm bảo an toàn thông tin (ATTT), trong đó từng bước bồi dưỡng, nâng cao năng lực của đội ngũ cán bộ làm công tác này là nhiệm vụ quan trọng và là yếu tố then chốt.

Trong ATTT có 1 quy tắc gọi là “Quy tắc 90/10”, nghĩa là 90% các biện pháp bảo đảm ATTT phụ thuộc vào con người, còn lại 10% là các biện pháp về mặt kỹ thuật, công nghệ. Một hệ thống thông tin dù được trang bị đầy đủ các giải pháp bảo mật, phòng vệ nhiều lớp nhưng con người vận hành, khai thác sử dụng chưa có kiến thức, sai quy trình, nhận thức về ATTT chưa tốt thì hệ thống thông tin của tổ chức sẽ không an toàn.

Đội ngũ chuyên trách ATTT và CNTT: Đây là đội ngũ trực tiếp xây dựng, phát triển phần mềm và thực hiện các công tác đảm bảo ATTT cho tổ chức. Các lỗ hổng bảo mật trên thực tế đều liên quan đến sai sót của con người trong quá trình vận hành không theo quy trình, lập trình phần mềm không đảm bảo an toàn. Do đó, hằng năm EVNCPC đều tổ chức các khóa đào tạo chuyên sâu về ATTT, các lớp lập trình an toàn và cử cán bộ chuyên trách tham gia diễn tập ứng cứu sự cố ATTT do EVN hoặc các đơn vị chuyên trách về ATTT như Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) tổ chức.

Người dùng cuối: Đây là bộ phận sử dụng, khai thác các ứng dụng, dịch vụ CNTT trên hệ thống mạng của tổ chức, bao gồm từ các cấp Lãnh đạo cho đến nhân viên. Thực tế cho thấy rằng các cuộc tấn công mạng đều xuất phát từ sự nhận thức chưa tốt về ATTT của người dùng cuối, từ đó leo thang tấn công toàn hệ thống. Nhận thấy điều này nên EVNCPC đã tổ chức các khóa nâng cao nhận thức ATTT và ban hành Sổ tay ATTT để tuyên truyền cho CBCNV với những nội dung ngắn ngọn, dễ hiểu, gắn liền với các công việc thực tế hằng ngày trên môi trường mạng máy tính.

Về mặt quy trình, công nghệ: EVNCPC đã sớm xây dựng và hoàn thiện các quy định, chính sách về an toàn thông tin theo tiêu chuẩn ISO 27001:2013, thành lập tổ công tác và đội ứng cứu sự cố an toàn, an ninh thông tin; hệ thống ATTT được triển khai đồng bộ, trang bị nhiều lớp bảo mật nhằm phân tách các vùng mạng, kiểm soát truy cập thông tin, ngăn chặn phát tán mã độc giữa các vùng.

Bên cạnh đó, EVNCPC còn nhận được sự hỗ trợ của EVN và các đơn vị chuyên trách về ATTT như Bộ Tư lệnh 86, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC),… trong việc phát hiện, dò quét cũng như đánh giá, giám sát ATTT các hệ thống thông tin quan trọng.

Ông Đỗ Minh Cường cho biết: “Chuyển đổi số là xu hướng tất yếu, tuy nhiên đảm bảo ATTT là yếu tố sống còn. Với phương châm đó, EVNCPC đã rất quyết liệt trong việc triển khai các biện pháp đảm bảo ATTT cho hệ thống thông tin, tích cực tuyên truyền sâu rộng đến người lao động. Nhờ đó, hệ thống thông tin của EVNCPC đã vận hành ổn định, an toàn, phục vụ tốt hoạt động sản xuất, kinh doanh trong đơn vị. Người lao động và CBCNV sử dụng Internet được trang bị đầy đủ nhận thức về các kỹ năng cơ bản, có thể sử dụng mạng Internet, mạng xã hội, một cách an toàn, hiệu quả, lành mạnh trên không gian mạng phục vụ cho công việc”.

Chương trình chuyển đổi số của EVNCPC giai đoạn 2021 – 2023 và đến 2025 còn nhiều nhiệm vụ cần tập trung thực hiện. Với những kết quả khả quan đã đạt được đến thời điểm hiện nay, EVNCPC cũng xác định việc đảm bảo an toàn thông tin là một nhiệm vụ không thể thiếu trong các hoạt động chuyển đổi số của doanh nghiệp. Trong những tháng cuối năm 2022 và những năm sắp tới, EVNCPC tiếp tục củng cố và tăng cường các giải pháp bảo mật hệ thống, không để xảy ra mất an toàn thông tin, đảm bảo vận hành lưới điện an toàn, liên tục, nâng cao độ tin cậy cung cấp điện, chất lượng điện cũng như chất lượng dịch vụ phục vụ khách hàng ngày càng tốt và hiệu quả hơn.