Giải quyết toàn diện về an ninh thông tin có thể là một kế hoạch tốn kém và không có hướng dẫn triển khai bảo mật thông tin có thể dễ bị thất bại. Trong một quốc gia có nguồn lực nghèo như Tanzania, một giải pháp hiệu quả về chi phí và bền vững đối với vấn đề bảo mật thông tin trong việc triển khai chính phủ điện tử. Trong bài viết này các tác giả giới thiệu một trường hợp điển hình về tương tác chính phủ điện tử giữa một bộ và các cơ quan chính phủ và những thách thức an ninh thông tin được xác định trong việc thực hiện. Để giải quyết những thách thức này một khung an toàn thông tin được hình thành, nghiên cứu để hành động. Khung được áp dụng trong trường hợp nghiên cứu để giải quyết những thách thức và hướng giải quyết những thách thức trong tương lai một cách bền vững.

Giới thiệu

Tanzania là một quốc gia ở Đông Phi với dân số khoảng 43 triệu người và bình quân GDP đầu người năm 2009 của Tanzania là 693.185 Shillings hoặc 522 USD.  Chính phủ Tanzania bao gồm các Bộcơ quan Trung ương, các sở và các cơ quan hoặc các tổ chức/doanh nghiệp bán quốc doanh. Các cơ quan này thường được gọi là MDAs. Tanzania xác định công nghệ thông tin và truyền thông là công cụ để phát triển đất nước. Chính sách CNTT quốc gia được thông qua năm 2003 với mục đích hướng dẫn các sáng kiến về CNTT-TT quốc gia. Tuy nhiên, mỗi Bộ trong chính quyền trung ương và mỗi đô thị trong chính quyền địa phương đều đặt ra chương trình  riêng liên quan đến CNTT. Ngân sách trung ương cho năm tài chính 2010/2011 của Bộ Truyền thông, Khoa học & Công nghệ chịu trách nhiệm về CNTT là 3,1 tỷ Shillings tương đương  khoảng 2 triệu USD. Mặc dù GDP thấp và chi tiêu cho CNTT thấp, tỷ lệ sử dụng điện thoại di động ở Tanzania khá cao, chiếm 31% dân số và khu vực tư nhân đã cung cấp nhiều dịch vụ để tận dụng việc sử dụng điện thoại di động của người dân. Người dân mong muốn chính phủ theo kịp những đổi mới này và để đáp lại chính phủ Tanzania đã đưa ra các chính sách và chiến lược để khai thác việc sử dụng CNTT.

Chính sách và chiến lược Tanzania nhằm mục đích nâng cao hiệu quả trong chính phủ và cung cấp dịch vụ tốt hơn cho người dân. Chiến lược nêu ra bảy nguyên tắc dẫn hướng bao gồm: Đổi mới dịch vụ; mọi người đều truy cập như nhau; dễ sử dụng; lợi ích thực tế và liên quan tất cả các bên liên quan; bảo mật và quyền riêng tư; đối tác và thuê ngoài; và liên thông. Hai nguyên tắc liên quan trực tiếp đến bảo mật thông tin là bảo mật và quyền riêng tư và khả năng tương tác. Chiến lược liệt kê sáu yếu tố quan trọng, một trong số đó là cơ sở hạ tầng bền vững và tiến xa hơn để đáp ứng yêu cầu  cơ sở hạ tầng bền vững như an toàn  mạng và thông tin.

Tuy nhiên, chiến lược này không cung cấp hướng dẫn cho các MDAs về cách giải quyết các vấn đề an ninh thông tin phát sinh, đây là những cơ quan chính thực hiện Chính phủ điện tử. Hơn nữa, không có chính sách, hướng dẫn hoặc tiêu chuẩn nào chung của chính phủ được ban hành liên quan đến bảo mật thông tin. Để công dân được hưởng lợi từ Chính phủ điện tử, các MDAs phải hợp tác và hợp tác để đi kèm với các dịch vụ toàn diện hiệu quả và an toàn.

Triển khai bảo mật thông tin mạnh có thể là một việc làm tốn kém. Tanzania là một quốc gia có nguồn lực hạn chế nên quan trọng đối với các MDA là phải có khung để cho phép họ lên kế hoạch và thực hiện bảo mật thông tin trong việc triển khai chính phủ điện tử nhưng đồng thời cũng nhận thức được các nguồn lực hạn chế. Làm thế nào để triển khai chính phủ điện tử hiệu quả chi phí và khung bảo mật thông tin bền vững được phát triển cho Tanzania?.

Bối cảnh

Chính quyền trung ương Tanzania trả lương hưu cho các công chức đã về hưu trước tháng 7 năm 2004 thông qua một Bộ chịu trách nhiệm về tài chính. Do có sự lo ngại về hiệu quả của quy trình, gian lận và hạn chế nguồn lực, Bộ này đã quyết định phân cấp thực hiện chức năng này cho một cơ quan vào năm 2008. Cơ quan được chọn là một cơ quan đã xử lý các khoản thanh toán lương hưu trong hơn 30 năm cho các nhân viên từ khu vực tư nhân và từ các cơ quan chính phủ khác. Bộ yêu cầu cơ quan điều hành trả lương trên phần mềm bảo đảm an toàn và gửi thông tin bảng lương điện tử đến các ngân hàng.

Các ngân hàng sau đó sẽ ghi nợ tài khoản của Bộ và ghi có vào tài khoản hưu trí. Bộ dự kiến quá trình này sẽ làm giảm sự can thiệp của con người, một trong những nguyên nhân tiêu cực, tham nhũng; đảm bảo rằng người nghỉ hưu được trả lương đúng hạn và có một bản kiểm toán các giao dịch để theo dõi bất kỳ trường hợp nghi ngờ nào.

Những thách thức trong việc quyết định triển khai

Quá trình thực hiện bắt đầu khởi động bằng một hội thảo có sự tham gia của các nhân viên từ bộ và cơ quan. Một số thách thức đã được xác định trong hội thảo và khi kế hoạch thực hiện đã được bắt đầu. Những thách thức này được phân loại trong ba nội dung chính: Quản trị, Thực thi và kỹ thuật.

Cách tiếp cận ban đầu của Bộ là giải quyết vấn đề lập pháp và đề xuất sửa đổi luật đã được Quốc hội thông qua. Những sửa đổi này chỉ đơn giản là cho phép cơ quan trả lương hưu thay mặt cho chính phủ. Thách thức của việc truy cập dữ liệu đã không được giải quyết. Cơ quan thành lập nhóm kỹ thuật để điều phối thực hiện dự án. Nhóm này quyết định áp dụng cách tiếp cận có cấu trúc để giải quyết các thách thức nêu trên.

Khảo sát kinh nghiệm

Điểm khởi đầu cho khảo sát là các tiêu chuẩn quốc tế về bảo mật thông tin. Tổ chức Tiêu chuẩn quốc tế (ISO) định nghĩa an toàn thông tin là bảo đảm sự chính xác, tính toàn vẹn và cũng có thể liên quan đến tính xác thực, trách nhiệm, không chối bỏ và tin cậy (ISO/IEC2009:3). Bảo mật thông tin đã được nghiên cứu toàn diện từ góc độ kỹ thuật và quản lý.

Kỹ thuật về bảo mật thông tin trong Chính phủ điện tử:

Nhiều sáng kiến Chính phủ điện tử triển khai theo Kiến trúc hướng dịch vụ (SOA), với các dịch vụ web. Bởi vì việc triển khai Chính phủ điện tử để thực hiện các giao dịch trên các hệ thống không đồng bộ. Các yêu cầu bảo mật đối với việc triển khai Chính phủ điện tử trong các danh mục rộng hơn là tính khả dụng, tính tin cậy, tính toàn vẹn, tính xác thực và trách nhiệm. Các yêu cầu bảo mật của các dự án Chính phủ điện tử riêng lẻ, như dự án Access e-Gov được kể đến là bảo mật truyền thông thông qua mã hóa và chữ ký số; tin cậy; riêng tư và kiểm soát truy cập: theo đó, kiểm soát quyền truy cập dựa trên thuộc tính được đề xuất để cung cấp một cơ sở hạ tầng động linh hoạt phù hợp với SOA. Sử dụng Ngôn ngữ đánh dấu đảm bảo an toàn (Security Assertion Mark-up Language - SAML) làm cơ chế xử lý kiểm soát truy cập trong giao dịch Chính phủ điện tử  SAML là một trong một số tiêu chuẩn kỹ thuật mở được Tổ chức vì sự tiến bộ của các tiêu chuẩn thông tin có cấu trúc (OASIS) thông qua. Các tiêu chuẩn khác từ OASIS bao gồm XACML, được thiết kế để kiểm soát truy cập và nhóm tiêu chuẩn WS về bảo mật dịch vụ web.

Quản lý bảo mật thông tin:

ISO 27002 là một tiêu chuẩn được quốc tế chấp nhận, đòi hỏi phải xem xét các khía cạnh pháp lý và quy định khi kết hợp các yêu cầu bảo mật trong thiết kế hệ thống. Các yêu cầu pháp lý nên được đưa vào kỹ thuật phần mềm cho các giao dịch của Chính phủ điện tử bằng cách tuân theo luật hiện hành và đặc biệt là các yêu cầu liên quan đến quyền riêng tư và bảo vệ dữ liệu.

Môi trường văn hóa của người dùng ảnh hưởng đến hành vi trực tuyến của họ, văn hóa quốc gia có thể có tác động đến hiệu quả an ninh của Chính phủ điện tử ở các nước đang phát triển. Nghiên cứu xem xét tác động của pháp luật đối với an ninh và quyền riêng tư và tuyên bố rằng nhiều nước đang phát triển vẫn chưa xem xét áp dụng luật pháp đầy đủ liên quan đến quản lý an ninh thông tin có thể được sử dụng để hành động chống lại việc lạm dụng tài nguyên CNTT-TT. Sự phát triển của chính phủ điện tử không nên đợi cho đến khi đạt được mức độ bảo mật đầy đủ mà việc cung cấp bảo mật đầy đủ chức năng cho tất cả các chương trình của chính phủ điện tử là không thực tế. Các nguyên tắc thực nghiệm bảo mật khác bao gồm nhu cầu về một kế hoạch quản lý và phát triển bảo mật và áp dụng các tiêu chuẩn bảo mật bởi một nhóm có đủ kinh nghiệm.

An ninh thông tin và Chính phủ điện tử ở Tanzania:

Ở Tanzania, một nghiên cứu về bảo mật thông tin trong các tổ chức nghiên cứu cấp cao đã đưa ra hai kết luận chính, đó là sự cần thiết của việc lập kế hoạch đầy đủ ở cấp quốc gia và tổ chức cho một chiến lược thông tin thành công; và sự cần thiết của các nước đang phát triển để chuyển đổi các chính sách bảo mật thông tin truyền thống thành các chính sách có liên quan để phục vụ cho bảo mật thông tin số. Những kết luận này thúc đẩy hơn nữa nghiên cứu này vì một khung an toàn an ninh chính phủ điện tử sẽ vừa dễ dàng lập kế hoạch ở cấp quốc gia và tổ chức, vừa hướng dẫn việc thực hiện các chính sách bảo mật có liên quan.

Bối cảnh ở các nước đang phát triển là khác biệt đáng kể so với các nước phát triển và tác động đến an ninh thông tin; một nghiên cứu tại Tazania chỉ ra rằng các tổ chức triển khai CNTT có thể đưa ra các sáng kiến của riêng họ để đảm bảo rằng các hệ thống của họ tuân theo các tiêu chuẩn bảo mật, kết nối và có khả năng tương tác với các hệ thống CNTT khác trong nước, điều này để nói rằng đối với một quốc gia đang phát triển;

Tại Tazania, có nghiên cứu đề xuất rằng các vấn đề an ninh kỹ thuật được xếp hạng quan trọng nhất, cùng với nhận thức. Các khía cạnh phi kỹ thuật, bao gồm các yếu tố quản lý, vận hành và kinh tế cũng được coi là lĩnh vực ưu tiên. Điều này cho thấy rằng các yêu cầu pháp lý và quy định không cao trong chính sách ưu tiên, có thể được giải thích bởi thực tế là hiện tại không có nhiều luật ở Tanzania đề cập đến an ninh thông tin.

Khung an toàn thông tin

Những hiểu biết thu được từ khảo sát được kết hợp với dữ liệu thu thập được thông qua quan sát thực tiễn bảo mật thông tin ở cả bộ và cơ quan và các cuộc phỏng vấn với các nhân viên tham gia thực hiện nghiên cứu, các tác giả đã khái niệm hóa một khung bảo mật thông tin được gọi là TOG (Technical - Kỹ thuật, Operational-Thực thi và Governance - Quản trị). Khung TOG nhận thấy sự cần thiết của các giao dịch chính phủ điện tử phải nhận thức được luật pháp và chính sách quốc gia, đồng thời sẽ tuân thủ các chính sách của tổ chức. Ở cấp độ kỹ thuật, đối với một quốc gia có nguồn lực hạn chế như Tanzania, yếu tố kỹ thuật nhận ra sự tồn tại của các cơ chế thử nghiệm, đặc biệt là các cơ chế dựa trên các tiêu chuẩn mở được quốc tế chấp nhận.

Khung bảo mật thông tin TOG bao gồm ba yếu tố chính là Kỹ thuật, Thực thi và Quản trị. Yếu tố Quản trị chính bao gồm luật pháp, tiêu chuẩn quốc tế, tiêu chuẩn quốc gia và khu vực và hướng dẫn và chính sách thực thi. Yếu tố này sẽ được triển khai ở cấp quốc gia bởi các ủy ban liên bộ cùng với các cơ quan lập pháp như quốc hội, trong khi ở cấp MDA được thực hiện bởi ban quản lý điều hành và hội đồng quản trị. Yếu tố Thực thi bao gồm các kế hoạch tổ chức và quy trình hoạt động và được thực hiện bởi các đơn vị tổ chức trong MDAs. Yếu tố Kỹ thuật chính bao gồm các cơ chế kỹ thuật để giải quyết các yêu cầu bảo mật và được thực hiện bởi các bộ phận công nghệ thông tin trong các MDA. Các thành phần của mỗi yếu tố chính được thu thập từ nghiên cứu thực hiện nghiên cứu về bảo mật thông tin cho chính phủ điện tử và phù hợp với các mục tiêu và yêu cầu bảo mật áp dụng cho giao dịch của chính phủ điện tử.

Tài liệu tham khảo: An toàn thông tin trong Chính phủ điện tử tại các quốc gia đăng phát triển

Bùi Hồng Hiếu