Nhiều điểm yếu kéo dài gây rủi ro an ninh mạng
Trong năm 2025, OAG đã thực hiện đánh giá mức độ trưởng thành năng lực tại 33 cơ quan, dựa trên 10 hạng mục kiểm toán với thang điểm từ 0 đến 5. Theo tiêu chuẩn của OAG, để đáp ứng yêu cầu quản lý, các cơ quan cần đạt mức độ trưởng thành từ cấp 3 trở lên. Kết quả cho thấy, 4/10 hạng mục đã có cải thiện so với năm 2024. Hầu hết các cơ quan đạt chuẩn trong quản lý rủi ro, bảo đảm an ninh để ngăn chặn truy cập trái phép, quản lý các hoạt động thay đổi và vận hành hệ thống CNTT.
Tuy nhiên, bức tranh tổng thể vẫn cho thấy nhiều dấu hiệu đáng lo ngại. Cụ thể là sự suy giảm ở ba hạng mục liên quan trực tiếp đến an ninh thông tin và an ninh mạng - những lĩnh vực được coi là tuyến phòng thủ quan trọng trong bảo vệ hệ thống CNTT của các cơ quan nhà nước.
Trong năm tài chính 2024-2025, OAG đã báo cáo kết quả kiểm toán công tác kiểm soát hệ thống CNTT tại 534 cơ quan; cung cấp cho 33 cơ quan những đánh giá chi tiết về mức độ trưởng thành năng lực, hiệu quả của các biện pháp kiểm soát CNTT theo 10 hạng mục kiểm toán của OAG.
Qua kiểm toán, OAG đã báo cáo tổng cộng 359 phát hiện liên quan đến công tác kiểm soát máy tính tổng quát tại 53 đơn vị. Đáng chú ý, gần 2/3 số phát hiện này, tương đương 65%, vẫn chưa được giải quyết từ những năm trước. Trong tổng số các phát hiện, 6% được đánh giá ở mức độ nghiêm trọng, 65% ở mức độ trung bình và 29% ở mức độ nhẹ.
Các phát hiện nghiêm trọng xuất hiện trong 7/10 danh mục, bao gồm: Quản lý truy cập, bảo mật điểm cuối, bảo mật mạng, khung bảo mật thông tin, bảo đảm tính liên tục kinh doanh, quản lý sự thay đổi và vận hành CNTT. Đáng lưu ý, hơn một nửa số phát hiện nghiêm trọng này, chiếm 57%, cũng là những tồn tại kéo dài từ các năm trước chưa được khắc phục.
Mặc dù phần lớn các phát hiện được xếp loại ở mức độ trung bình, song OAG nhấn mạnh rằng, nếu không được xử lý kịp thời, các điểm yếu này sẽ làm gia tăng đáng kể nguy cơ bị khai thác bởi các mối đe dọa an ninh mạng, ảnh hưởng trực tiếp đến hoạt động của hệ thống và chất lượng cung cấp dịch vụ công.
Siết quản trị, nâng cao hiệu quả kiểm soát an ninh công nghệ
Trong bối cảnh công nghệ phát triển nhanh chóng, cùng với việc ứng dụng ngày càng rộng rãi các giải pháp số và trí tuệ nhân tạo, nguy cơ xảy ra các sự cố an ninh mạng cũng gia tăng tương ứng. Từ kết quả kiểm toán, OAG nhận định, kiểm soát an ninh thông tin và an ninh mạng vẫn đang là thách thức lớn đối với nhiều cơ quan, tổ chức.
Để giảm thiểu rủi ro, OAG cho rằng các tổ chức cần rà soát lại toàn diện quyền truy cập vào hệ thống CNTT; tăng cường giám sát hoạt động của người dùng; nhanh chóng vá các lỗ hổng bảo mật và từng bước cập nhật, thay thế các hệ thống đã lỗi thời. Đây được xem là những biện pháp thiết yếu nhằm giảm nguy cơ bị xâm phạm, đồng thời nâng cao độ tin cậy của các hệ thống phục vụ hoạt động quản lý và cung cấp dịch vụ thiết yếu cho công chúng.
Trước thực trạng đa số các phát hiện kiểm toán cũ vẫn chưa được giải quyết, tiềm ẩn nguy cơ xảy ra các sự cố an ninh mạng nghiêm trọng, OAG đã đưa ra nhiều khuyến nghị cụ thể. Trong đó, để nâng cao hiệu quả quản lý truy cập hệ thống CNTT, các tổ chức cần triển khai đầy đủ các quy trình quản lý truy cập hiệu quả, bao gồm việc thường xuyên xem xét các tài khoản người dùng; thiết lập và vận hành các quy trình giám sát để kịp thời phát hiện các hoạt động độc hại.
Bên cạnh đó, OAG khuyến nghị các cơ quan thực hiện xác thực đa yếu tố chống lừa đảo; kiểm soát chặt chẽ đặc quyền của quản trị viên và hệ thống; đồng thời phân chia nhiệm vụ một cách hợp lý nhằm bảo đảm tính khách quan và hạn chế rủi ro phát sinh từ yếu tố con người.
Trong tất cả các hệ thống CNTT, bảo mật thông tin được đặc biệt coi trọng. Theo OAG, các cơ quan cần thực hiện phân loại thông tin và áp dụng các biện pháp kiểm soát phù hợp để ngăn ngừa nguy cơ mất dữ liệu; duy trì các chính sách bảo mật thông tin và an ninh mạng phù hợp với chính sách an ninh mạng của chính quyền bang. Việc đánh giá thường xuyên mức độ an toàn của chuỗi cung ứng CNTT, cũng như thu thập và xem xét các báo cáo liên quan đến việc sử dụng phần mềm trong các hệ thống, được coi là những nội dung không thể thiếu trong quản lý an ninh mạng hiện đại.
Đối với công tác quản lý rủi ro, OAG khuyến nghị các cơ quan, tổ chức cần thực hiện đầy đủ các chính sách quản lý rủi ro an ninh CNTT và an ninh mạng; xây dựng và vận hành các quy trình quản lý sự cố CNTT phù hợp; quản lý thông tin và áp dụng các biện pháp kiểm soát dựa trên giá trị của thông tin. Đồng thời, các rủi ro về CNTT, thông tin và an ninh mạng cần được xác định, đánh giá và xử lý trong khung thời gian thích hợp, đi kèm với việc thường xuyên rà soát, đánh giá hiệu quả của các biện pháp kiểm soát đã triển khai.
Tổng Kiểm toán OAG khuyến khích các cơ quan nghiên cứu những điểm yếu và rủi ro đã được OAG xác định trong quá trình kiểm toán và trình bày trong báo cáo; qua đó, triển khai các biện pháp kiểm soát phù hợp nhất với hoạt động của mỗi cơ quan, tổ chức./.
(Theo audit.wa.gov.au và tổng hợp)
