Nhiều điểm yếu tồn đọng
Là một phần của các cuộc kiểm toán tài chính hằng năm, Văn phòng Tổng Kiểm toán bang Tây Australia đã tiến hành đánh giá các biện pháp kiểm soát CNTT tại các cơ quan, tổ chức để xác định mức độ bảo đảm tính toàn vẹn, bảo mật và khả dụng của các hệ thống thông tin quan trọng.
Các cuộc kiểm toán được thực hiện từ năm 2025 cho thấy những thách thức đáng kể trong việc tăng cường quản trị và bảo mật CNTT. Đáng chú ý, 60% các phát hiện kiểm toán là những vấn đề tồn tại từ nhiều năm trước nhưng chưa được khắc phục.
Trong năm 2025, việc đánh giá mức độ trưởng thành năng lực được thực hiện trên 10 hạng mục kiểm soát then chốt, đóng vai trò quan trọng trong việc duy trì an ninh của các đơn vị. Kết quả cho thấy, mức độ trưởng thành đã giảm ở cả 10/10 hạng mục so với năm trước, phản ánh xu hướng suy giảm đồng loạt trong năng lực kiểm soát CNTT của các đơn vị.
Mặc dù hầu hết các cơ quan, tổ chức đều đã xây dựng chính sách và quy trình quản lý rủi ro, song các biện pháp kiểm soát lại không vận hành hiệu quả. Điều này làm suy giảm khả năng chủ động nhận diện, đánh giá và giảm thiểu các mối đe dọa tiềm tàng, đồng thời gia tăng nguy cơ gián đoạn hoạt động. Hệ quả là tính toàn vẹn, bảo mật thông tin và khả năng truy cập của các hệ thống tài chính cũng như dữ liệu nhạy cảm bị ảnh hưởng.
Văn phòng Tổng Kiểm toán đã ghi nhận 333 điểm yếu trong kiểm soát máy tính tổng quát tại 68 đơn vị thuộc 10 danh mục kiểm soát. Trong đó, 9% số phát hiện được đánh giá là nghiêm trọng, 69% ở mức trung bình và 22% ở mức thấp. Phần lớn các điểm yếu thuộc nhóm trung bình, nhưng vẫn có thể khiến các đơn vị dễ bị tấn công mạng nếu không được xử lý kịp thời.
Đáng lưu ý, hầu hết các điểm yếu, bao gồm cả các điểm yếu nghiêm trọng, đều là các vấn đề đã được phát hiện từ những năm trước. Trong số các vấn đề nghiêm trọng, 2/3 đã từng được xác định ở mức nghiêm trọng trước đó, trong khi 1/3 còn lại được nâng mức độ lên nghiêm trọng trong năm 2025.
Đây là báo cáo thứ 7 của Văn phòng Tổng Kiểm toán bang Tây Australia nhằm đánh giá công tác kiểm soát máy tính tổng quát cho các cơ quan, đơn vị của chính quyền địa phương; đánh giá hiệu quả của các biện pháp kiểm soát máy tính trong việc bảo vệ tính toàn vẹn, bảo mật và khả dụng của các hệ thống tài chính. Trong năm 2025, Văn phòng đã báo cáo điểm yếu tại 68 đơn vị, cung cấp bản đánh giá năng lực chuyên sâu hơn cho 15/68 đơn vị.
Tăng cường kiểm soát, nâng cao khả năng chống chịu
Dù một số vấn đề đã được các đơn vị khắc phục so với năm trước, song nhiều điểm yếu, đặc biệt trong lĩnh vực an ninh thông tin và an ninh mạng, vẫn chưa được xử lý triệt để. Những hạn chế này làm gia tăng nguy cơ gián đoạn hoạt động, dịch vụ, rò rỉ dữ liệu, lộ thông tin cá nhân, kéo theo tổn thất tài chính và ảnh hưởng đến uy tín của tổ chức.
Báo cáo kiểm toán chỉ ra một số kết quả đáng lo ngại. Cụ thể, chỉ có một đơn vị đáp ứng tiêu chuẩn về quản lý truy cập và chỉ có hai đơn vị đáp ứng tiêu chuẩn về bảo mật điểm cuối. Đây là những chỉ dấu cho thấy mức độ tuân thủ các yêu cầu cơ bản về an ninh CNTT còn rất hạn chế.
Các đánh giá về mức độ trưởng thành năng lực cũng cho thấy phần lớn các đơn vị không đạt tiêu chuẩn đánh giá, trong khi mức độ trưởng thành tiếp tục suy giảm trên tất cả các hạng mục. Các điểm yếu trong kiểm soát làm gia tăng nguy cơ xảy ra sự cố, ảnh hưởng trực tiếp đến tính toàn vẹn, bảo mật và khả năng truy cập của các hệ thống và thông tin quan trọng trong khu vực công.
Báo cáo kiểm toán nhấn mạnh rằng, các phát hiện và khuyến nghị năm 2025 về cơ bản không khác biệt so với các năm trước. Điều này cho thấy những hạn chế mang tính hệ thống vẫn chưa được khắc phục hiệu quả.
Trước thực trạng đó, các cơ quan, tổ chức được khuyến nghị phải duy trì sự cảnh giác liên tục và không ngừng tăng cường các biện pháp kiểm soát để ứng phó với các rủi ro mới nổi. Trọng tâm là quản lý chặt chẽ quyền truy cập; bảo đảm quản trị phù hợp và duy trì bảo mật nhất quán; tăng cường bảo vệ máy trạm, máy chủ và thiết bị di động trước các mối đe dọa mạng.
Bên cạnh đó, cần giảm thiểu rủi ro từ các mối đe dọa nội bộ và lỗi không cố ý; bảo vệ mạng lưới và các hệ thống quan trọng; bảo đảm khả năng khôi phục dịch vụ và hệ thống CNTT trong các tình huống khẩn cấp; duy trì hiệu quả cung cấp dịch vụ CNTT; đồng thời quản lý chặt chẽ các rủi ro hiện hữu và mới phát sinh, bảo đảm không vượt quá mức chấp nhận rủi ro của đơn vị.
Báo cáo cũng nhấn mạnh, việc nâng cao hiệu quả kiểm soát không nhất thiết phụ thuộc vào các giải pháp công nghệ tốn kém, mà đòi hỏi sự nâng cao nhận thức về rủi ro, sự cảnh giác thường xuyên và nỗ lực liên tục của mỗi tổ chức. Đây được xem là điều kiện then chốt để tăng cường khả năng chống chịu của hệ thống CNTT, giảm thiểu nguy cơ sự cố và bảo đảm hoạt động ổn định, an toàn của khu vực công./.
