Nội dung toàn văn Kế hoạch 378/KH-UBND 2019 ứng phó sự cố an toàn thông tin mạng tỉnh Hà Tĩnh
ỦY BAN NHÂN DÂN | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 378/KH-UBND | Hà Tĩnh, ngày 06 tháng 11 năm 2019 |
KẾ HOẠCH
ỨNG PHÓ SỰ CỐ AN TOÀN THÔNG TIN MẠNG NĂM 2020 TRÊN ĐỊA BÀN TỈNH HÀ TĨNH
Thực hiện Quyết định số 05/2017/QĐ-TTg của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia; Chỉ thị số 13/CT-UBND ngày 13/8/2019 của UBND tỉnh về việc tăng cường bảo đảm an toàn thông tin mạng trong các cơ quan nhà nước trên địa bàn tỉnh Hà Tĩnh; Ủy ban nhân dân tỉnh ban hành Kế hoạch ứng phó sự cố an toàn thông tin mạng năm 2020 trên địa bàn tỉnh Hà Tĩnh như sau:
I. CÁC QUY ĐỊNH CHUNG
1. Phạm vi và đối tượng của kế hoạch
Kế hoạch này để ứng phó sự cố, bảo đảm an toàn thông tin mạng đối với các hệ thống thông tin của tỉnh, áp dụng cho các sở, ban, ngành, đoàn thể cấp tỉnh; UBND các huyện, thành phố, thị xã; các cơ quan, đơn vị, doanh nghiệp có liên quan. Hệ thống thông tin chuyên ngành của Công an tỉnh, Bộ Chỉ huy Quân sự tỉnh do Bộ Công an, Bộ Quốc phòng quản lý không thuộc phạm vi điều chỉnh của Kế hoạch này.
2. Xác định sự cố an toàn thông tin và nguyên tắc, phương châm ứng phó sự cố
2.1. Xác định sự cố an toàn thông tin
a) Hệ thống thông tin bị sự cố là hệ thống thông tin cấp độ 4 (được quy định tại Điều 10 Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ) và chủ quản hệ thống thông tin thuộc thẩm quyền quản lý UBND tỉnh.
b) Phân nhóm sự cố an toàn thông tin (ATTT) mạng đáp ứng các tiêu chí sau:
- Hệ thống thông tin bị sự cố là hệ thống thông tin cấp độ 4 và bị một trong số các sự cố sau:
+ Hệ thống thông tin bị gián đoạn dịch vụ.
+ Dữ liệu tuyệt mật hoặc bí mật nhà nước có khả năng bị tiết lộ.
+ Dữ liệu quan trọng của hệ thống không bảo đảm tính toàn vẹn và không có khả năng khôi phục được.
+ Hệ thống bị mất quyền điều khiển.
+ Sự cố có khả năng xảy ra trên diện rộng hoặc gây ra các ảnh hưởng dây chuyền, làm tổn hại cho các hệ thống thông tin cấp độ 4 hoặc cấp độ liên quan khác;
- Chủ quản hệ thống thông tin không đủ khả năng tự kiểm soát, xử lý được sự cố.
2.2. Nguyên tắc, phương châm ứng phó sự cố
- Tuân thủ các quy định pháp luật về điều phối, ứng cứu sự cố ATTT mạng.
- Chủ động, kịp thời, nhanh chóng, nghiêm ngặt và kỷ luật.
- Phối hợp chặt chẽ, chính xác, đồng bộ và hiệu quả giữa các cơ quan, tổ chức, doanh nghiệp.
- Thông tin được trao đổi, cung cấp trong quá trình điều phối, ứng cứu sự cố phải được bảo đảm bí mật theo yêu cầu của cơ quan, tổ chức, cá nhân gặp sự cố hoặc của Cơ quan điều phối quốc gia trừ khi sự cố xảy ra có liên quan tới nhiều đối tượng người dùng khác mà Cơ quan điều phối quốc gia có yêu cầu cảnh báo, nhắc nhở.
- Công tác ứng phó sự cố ATTT mạng phải tuân thủ theo Quy trình tổng thể hệ thống phương án ứng cứu sự cố ATTT mạng quy định tại Phụ lục I kèm theo Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia (sau đây gọi là Quyết định số 05/2017/QĐ-TTg), Quy chế hoạt động của Đội ứng cứu sự cố ATTT mạng của tỉnh và các văn bản quy định khác có liên quan.
3. Các lực lượng tham gia ứng phó sự cố
- Ban Chỉ đạo xây dựng Chính quyền điện tử tỉnh (kiêm nhiệm Ban Chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng);
- Các sở, ban, ngành, đoàn thể cấp tỉnh; UBND các huyện, thành phố, thị xã và các đơn vị, doanh nghiệp có liên quan;
- Sở Thông tin và Truyền thông;
- Đội ứng cứu sự cố ATTT mạng của tỉnh;
- Trung tâm CNTT và Truyền thông Hà Tĩnh;
- Đơn vị chủ quản; đơn vị quản lý, vận hành hệ thống thông tin;
- Trong trường hợp cần thiết, mời các cơ quan Trung ương có chức năng cùng tham gia.
4. Chức năng, nhiệm vụ, trách nhiệm và cơ chế, quy trình phối hợp giữa các lực lượng tham gia ứng phó sự cố
4.1. Ban Chỉ đạo xây dựng Chính quyền điện tử tỉnh: Đảm nhiệm chức năng Ban Chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng trong phạm vi địa bàn tỉnh (sau đây gọi là Ban Chỉ đạo ứng cứu khẩn cấp sự cố của tỉnh). Ban Chỉ đạo ứng cứu khẩn cấp sự cố của tỉnh có trách nhiệm và quyền hạn được quy định tại Khoản 2, Điều 5 Quyết định số 05/2017/QĐ-TTg .
4.2. Sở Thông tin và Truyền thông:
Là cơ quan thường trực của Ban Chỉ đạo ứng cứu khẩn cấp sự cố ATTT tỉnh; chỉ đạo đơn vị chuyên trách ứng cứu sự cố ATTT mạng của tỉnh thực hiện đầy đủ, kịp thời các chức năng, nhiệm vụ theo Quyết định số 05/2017/QĐ-TTg và các nhiệm vụ khác khi xảy ra sự cố.
4.3. Đội ứng cứu sự cố ATTT mạng của tỉnh:
- Tham gia hoạt động ứng cứu khẩn cấp bảo đảm ATTT mạng quốc gia khi có yêu cầu từ Bộ Thông tin và Truyền thông hoặc các bộ, ngành có liên quan và theo Quy chế hoạt động của Đội ứng cứu sự cố ATTT mạng của tỉnh;
- Tổ chức tập huấn nghiệp vụ cho thành viên của Đội ứng cứu sự cố ATTT mạng của tỉnh để nâng cao trình độ, khả năng ứng phó sự cố ATTT mạng;
- Các thành viên của Đội ứng cứu sự cố ATTT mạng của tỉnh phối hợp Sở Thông tin và Truyền thông tham mưu, trình UBND tỉnh khen thưởng những cá nhân, tập thể có thành tích kịp thời phát hiện và khắc phục sự cố, đồng thời xử lý nghiêm các cá nhân, tập thể gây ra sự cố.
4.4. Công an tỉnh, Bộ Chỉ huy Quân sự tỉnh:
Phối hợp với Sở Thông tin và Truyền thông, Trung tâm CNTT và Truyền thông tỉnh kiểm tra, xử lý các vi phạm về ATTT mạng theo quy định; ứng cứu các sự cố về ATTT xảy ra trên địa bàn tỉnh và những hệ thống thông tin dùng chung được triển khai tại Công an tỉnh, Bộ Chỉ huy Quân sự tỉnh không do Bộ Công an, Bộ Quốc phòng quản lý.
4.5. Trung tâm CNTT và Truyền thông là đơn vị chuyên trách kỹ thuật ATTT mạng của tỉnh:
- Phối hợp với Đội ứng cứu sự cố ATTT mạng của tỉnh trong hoạt động kỹ thuật ứng cứu khẩn cấp bảo đảm ATTT mạng của tỉnh.
- Thực hiện nhiệm vụ Thường trực Đội ứng cứu sự cố ATTT mạng của tỉnh theo Quy chế hoạt động của Đội.
4.6. Các sở, ban, ngành; UBND các huyện, thành phố, thị xã; đơn vị chủ quản; đơn vị quản lý, vận hành hệ thống thông tin:
Các cơ quan, đơn vị có trách nhiệm cử cán bộ, công chức phụ trách ATTT tham gia cùng Đội ứng cứu sự cố ATTT của tỉnh khi xử lý sự cố. Phối hợp với đơn vị chuyên trách ứng cứu sự cố ATTT mạng của tỉnh trong công tác ứng phó, xử lý các sự cố ATTT.
4.7. Các doanh nghiệp cung ứng dịch vụ:
- Doanh nghiệp cung, ứng dịch vụ viễn thông trên địa bàn tỉnh: Theo chức năng, nhiệm vụ, thẩm quyền của mình, phối hợp Sở Thông tin và Truyền thông trong việc cung cấp thông tin thuê bao, khách hàng liên quan tới sự cố (IP thuê bao, máy chủ, nhật ký dịch vụ phân giải tên miền DNS,... trong phạm vi quản lý của doanh nghiệp);
- Doanh nghiệp cung cấp, xây dựng các hệ thống thông tin: Tích cực phối hợp với đơn vị chủ quản; đơn vị quản lý, vận hành, Sở Thông tin và Truyền thông trong công tác ứng phó, xử lý các sự cố ATTT liên quan hệ thống thông tin do mình xây dựng hoặc cung cấp.
II. ĐÁNH GIÁ CÁC NGUY CƠ, SỰ CỐ ATTT MẠNG
(Chi tiết trong Phụ lục I kèm theo)
III. PHƯƠNG ÁN ĐỐI PHÓ, ỨNG CỨU ĐỐI VỚI MỘT SỐ TÌNH HUỐNG SỰ CỐ CỤ THỂ
(Chi tiết trong Phụ lục II kèm theo).
IV. TRIỂN KHAI HOẠT ĐỘNG THƯỜNG TRỰC, ĐIỀU PHỐI, XỬ LÝ, ỨNG CỨU SỰ CỐ
1. Báo cáo sự cố ATTT mạng: Triển khai các hoạt động thuộc trách nhiệm của các cơ quan, đơn vị liên quan theo quy định tại Điều 11 Quyết định số 05/2017/QĐ-TTg .
2. Tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố ATTT mạng: Triển khai các hoạt động thuộc trách nhiệm của các cơ quan, đơn vị liên quan theo quy định tại Điều 12 Quyết định số 05/2017/QĐ-TTg .
3. Quy trình ứng cứu sự cố ATTT mạng thông thường: Triển khai theo quy định tại Điều 13 Quyết định số 05/2017/QĐ-TTg .
4. Quy trình ứng cứu sự cố ATTT mạng quan trọng: Triển khai theo quy định tại Điều 14 Quyết định số 05/2017/QĐ-TTg .
5. Dự phòng kinh phí, nhân lực, vật lực thường trực sẵn sàng ứng cứu sự cố; triển khai điều hành phối hợp tổ chức ứng cứu và thực hiện ứng cứu, xử lý, ngăn chặn, khắc phục sự cố khi có sự cố xảy ra.
V. TRIỂN KHAI HUẤN LUYỆN, DIỄN TẬP, PHÒNG NGỪA SỰ CỐ, GIÁM SÁT PHÁT HIỆN, BẢO ĐẢM CÁC ĐIỀU KIỆN SẴN SÀNG ĐỐI PHÓ, ỨNG CỨU, KHẮC PHỤC SỰ CỐ
1. Triển khai các chương trình huấn luyện, diễn tập:
- Lựa chọn tình huống có khả năng xảy ra, tổ chức huấn luyện, diễn tập các phương án đối phó, ứng cứu sự cố tương ứng với các kịch bản, tình huống sự cố cụ thể tại Phần III của Kế hoạch này.
- Tổ chức 01 lớp cho Đội ứng cứu thực hành diễn tập nâng cao kỹ năng, nghiệp vụ phối hợp, ứng cứu, chống tấn công, xử lý mã độc, khắc phục sự cố.
2. Triển khai nhiệm vụ nhằm phòng ngừa sự cố và phát hiện sớm sự cố:
- Thực hiện nghiêm túc công tác giám sát, phát hiện sớm nguy cơ, sự cố.
- Kiểm tra, đánh giá ATTT mạng và rà quét, bóc gỡ, phân tích, xử lý mã độc.
- Phòng ngừa sự cố, quản lý rủi ro; nghiên cứu, phân tích, xác minh, cảnh báo sự cố, rủi ro ATTT mạng, phần mềm độc hại.
- Tuyên truyền, nâng cao nhận thức về nguy cơ, sự cố, tấn công mạng.
3. Bảo đảm các điều kiện sẵn sàng đối phó, ứng cứu, khắc phục sự cố:
- Mua sắm, nâng cấp, gia hạn bản quyền trang thiết bị, phần mềm, công cụ, phương tiện phục vụ ứng cứu, khắc phục sự cố (Cơ quan thường trực lập danh mục thiết yếu, dự toán trình UBND tỉnh xem xét, quyết định).
- Xây dựng phương án dự phòng nhân lực, vật lực, tài chính trình Đội trưởng Đội ứng cứu phê duyệt để sẵn sàng đối phó, ứng cứu, khắc phục khi sự cố xảy ra. Trong phương án, dự phòng các kịch bản sự cố, bố trí bộ phận tác nghiệp ứng cứu sự cố; thuê dịch vụ kỹ thuật và phương án tổ chức, duy trì đội chuyên gia ứng cứu sự cố.
- Tham gia các hoạt động của mạng lưới ứng cứu sự cố.
VI. CÁC GIẢI PHÁP ĐẢM BẢO, TỔ CHỨC TRIỂN KHAI KẾ HOẠCH VÀ KINH PHÍ
1. Các giải pháp thực hiện Kế hoạch
Các cơ quan, đơn vị căn cứ quy định tại Quyết định số 05/2017/QĐ-TTg , các văn bản khác quy định về bảo đảm ATTT mạng và phương án ứng cứu sự cố của Kế hoạch này để triển khai các nhiệm vụ được giao.
2. Nguồn lực và điều kiện bảo đảm thực hiện Kế hoạch
Ưu tiên bố trí nguồn lực và điều kiện để bảo đảm thực hiện các nội dung của Kế hoạch này, cũng như các nội dung liên quan đến bảo đảm ATTT mạng khác.
3. Kinh phí và nguồn vốn triển khai thực hiện Kế hoạch
- Kinh phí thực hiện các hoạt động ứng cứu sự cố ATTT mạng trên địa bàn tỉnh được bố trí trong dự toán chi ngân sách nhà nước của tỉnh (nguồn chi sự nghiệp CNTT) và giao Sở Thông tin và Truyền thông quản lý, sử dụng, thanh - quyết toán theo quy định. Trường hợp vượt quá dự toán đã cấp, báo cáo đề xuất UBND tỉnh xem xét, quyết định.
- Các sở, ban, ngành cấp tỉnh; UBND cấp huyện chủ động bố trí kinh phí bảo đảm cho hoạt động ứng phó sự cố ATTT mạng trong phạm vi quản lý của mình.
VII. TỔ CHỨC THỰC HIỆN
1. Sở Thông tin và Truyền thông
- Thực hiện vai trò cơ quan thường trực của Đội ứng cứu sự cố theo quy định.
- Chủ trì, hướng dẫn, đôn đốc, kiểm tra việc tổ chức triển khai thực hiện Kế hoạch này.
- Định kỳ 6 tháng một lần tổng hợp báo cáo UBND tỉnh, đề xuất điều chỉnh các nội dung khi cần thiết.
- Phối hợp với các ngành liên quan tham mưu cho UBND tỉnh thu hút nguồn lực và các nguồn hỗ trợ từ Trung ương để thực hiện có hiệu quả Kế hoạch.
2. Sở Kế hoạch và Đầu tư, Sở Tài chính
Sở Kế hoạch và Đầu tư, Sở Tài chính phối hợp Sở Thông tin và Truyền thông tham mưu UBND tỉnh bố trí kinh phí cho các dự án, kế hoạch bảo đảm ATTT mạng nói chung và kế hoạch ứng phó sự cố ATTT mạng trên địa bàn tỉnh; kinh phí thường xuyên, hàng năm cho nhiệm vụ làm đầu mối, tổ chức thực hiện việc tiếp nhận và xử lý các sự cố về ATTT mạng trên địa bàn tỉnh.
3. Công an tỉnh, Bộ Chỉ huy Quân sự tỉnh
- Tăng cường công tác nắm tình hình, kịp thời tham mưu cho UBND tỉnh về các chủ trương, giải pháp và phối hợp chặt chẽ với các cơ quan, đơn vị liên quan trong công tác bảo đảm an ninh, ATTT mạng.
- Chủ trì phối hợp với các đơn vị liên quan triển khai các giải pháp đảm bảo an ninh thông tin; phát hiện, đấu tranh, ngăn chặn mọi âm mưu, thủ đoạn hoạt động sử dụng không gian mạng của các thế lực thù địch, tội phạm mạng nhằm xâm phạm an ninh quốc gia, trật tự an toàn xã hội và gây mất ATTT mạng. Điều tra, xử lý kịp thời các vi phạm về an ninh, ATTT mạng.
- Hỗ trợ các cơ quan; đơn vị đánh giá nguy cơ mất ATTT mạng khi có yêu cầu.
4. Trách nhiệm của các cơ quan, đơn vị
- Thực hiện các nhiệm vụ thuộc trách nhiệm theo quy định tại các Điều 11, Điều 12, Điều 13, Điều 14 và các nội dung liên quan khác của Quyết định số 05/2017/QĐ-TTg và các nội dung tại Kế hoạch.
- Quan tâm, chú trọng đến công tác bảo đảm ATTT cho hệ thống thông tin tại cơ quan, đơn vị.
- Chủ động bố trí kinh phí trang bị phần mềm chống virus, thiết bị tường lửa cho hệ thống máy tính, hệ thống mạng, hệ thống thông tin tại cơ quan, đơn vị.
- Phối hợp với Sở Thông tin và Truyền thông và các đơn vị liên quan thực hiện công tác ứng phó sự cố ATTT mạng trên địa bàn tỉnh.
5. Trách nhiệm của các doanh nghiệp cung cấp dịch vụ
5.1. Doanh nghiệp cung ứng dịch vụ viễn thông trên địa bàn tỉnh:
- Tổ chức nâng cấp, mở rộng, bảo đảm hạ tầng viễn thông hoạt động ổn định, thông suốt phục vụ các hệ thống thông tin của cơ quan nhà nước trên địa bàn tỉnh hoạt động hiệu quả.
- Giám sát đầy đủ, thường xuyên hệ thống đường truyền viễn thông nhằm phát hiện và ngăn chặn, xử lý kịp thời các nguy cơ gây mất ATTT trên môi trường mạng.
5.2. Doanh nghiệp cung cấp, xây dựng các hệ thống thông tin: Thường xuyên rà soát, kiểm tra nhằm phát hiện và khắc phục các lỗi của các hệ thống thông tin do mình cung cấp, xây dựng.
Trên đây là Kế hoạch ứng phó sự cố an toàn thông tin mạng năm 2020, đề nghị các cơ quan, đơn vị, địa phương nghiêm túc thực hiện. Trường hợp có vấn đề vướng mắc, phát sinh, các cơ quan, đơn vị, địa phương phản ánh kịp thời về Sở Thông tin và Truyền thông để tổng hợp, báo cáo UBND tỉnh xem xét điều chỉnh, bổ sung theo quy định./.
| TM. ỦY BAN NHÂN DÂN |
PHỤ LỤC I
ĐÁNH GIÁ CÁC NGUY CƠ, SỰ CỐ AN TOÀN THÔNG TIN MẠNG
(Kèm theo Kế hoạch số 378/KH-UBND ngày 06/11/2019 của UBND tỉnh Hà Tĩnh)
1. Hiện trạng và khả năng bảo đảm an toàn thông tin mạng của các hệ thống thông tin
1.1. Tình hình an toàn thông tin trên địa bàn tỉnh:
Trong thời gian qua, diễn biến ATTT tại Hà Tĩnh có chiều hướng gia tăng phức tạp, nhưng chưa có các sự cố nghiêm trọng xảy ra. Một số vụ tấn công được cảnh báo và ghi nhận, bao gồm:
Trong năm 2018, đơn vị thường trực đã cảnh báo và hỗ trợ xử lý tới 167 lượt cảnh báo tới các đơn vị, cảnh báo về tấn công thay đổi giao diện, mã độc GandCrab 5.2, mã độc lây nhiễm qua phần mềm Winrar; cảnh báo các tài khoản của một số phần mềm dùng chung đang sử dụng mật khẩu đơn giản. Phối hợp, hỗ trợ xử lý Website bị tấn công thay đổi: giao diện tại Hội Liên hiệp phụ nữ tỉnh; rà quét lỗ hổng bảo mật 13 Cổng/Trang thông tin điện tử các cơ quan nhà nước cấp huyện, 10 trang thông tin điện cấp xã. Kết quả, các Cổng/Trang thông tin điện tử của các cơ quan, đơn vị, địa phương đang tồn tại nhiều lỗ hổng bảo mật ở mức nghiêm trọng dễ bị tin tặc lợi dụng tấn công.
10 tháng đầu năm 2019, đơn vị thường trực đã cảnh báo và hỗ trợ xử lý 12 lượt cảnh báo tới các đơn vị, cảnh báo về tấn công thay đổi giao diện, mã độc GandCrab 5.2; nguy cơ bị lây nhiễm mã độc qua lỗ hổng phần mềm Winrar chưa cập nhật; lỗ hổng, điểm yếu về an toàn thông tin nghiêm trọng trong bộ vi xử lý của Intel; tấn công mạng thông qua Remote Desktop vào các máy chủ; các tập tin mã độc tấn công có chủ đích vào các tổ chức hạ tầng quan trọng quốc gia; cảnh báo các tài khoản quản trị của một số phần mềm dùng chung đang sử dụng mật khẩu đơn giản. Cảnh báo 25 đợt các đơn vị máy tính đã, đang bị nhiễm mã độc, tham gia hệ thống Bonet; 18 tài khoản đã bị lộ mật khẩu của các phần mềm quan trọng (Quản trị Cổng thông tin điện tử; Email của tỉnh; dịch vụ công trực tuyến; Quản lý cán bộ); rà soát và cảnh báo tới 23 Cổng/Trang thông tin điện tử các sở, ban, ngành và UBND các huyện, thị xã, thành phố, các Cổng/Trang thông tin điện tử này đang mức nguy hiểm cao, dễ bị tấn công, tồn tại nhiều lỗ hổng bảo mật.
1.2. Khả năng bảo đảm an toàn thông tin mạng của các hệ thống thông tin:
Hệ thống mạng của các cơ quan, đơn vị, địa phương trên địa bàn tỉnh chưa được cấu hình đúng chuẩn, nhiều đơn vị chưa có hệ thống tường lửa, nên nguy cơ bị nhiễm mã độc cao; Hệ thống phần mềm lõi để xây dựng các Cổng/Trang thông tin điện tử các đơn vị chưa được nâng cấp kịp thời, trình độ lập trình chưa cao nên còn tồn lại nhiều lỗ hổng dễ bị khai thác, tấn công, chèn mã độc. Xu hướng sử dụng các thiết bị thông minh, việc tham gia vào các trang mạng xã hội, sử dụng các hệ thống Email miễn phí có địa chỉ máy chủ đặt tại nước ngoài cũng là một trong các nguy cơ lớn mất an toàn, an ninh thông tin, dễ bị tin tặc lợi dụng để trung gian tấn công vào hệ thống thông tin của các đơn vị.
2. Dự báo các nguy cơ, sự cố ATTT đối với các hệ thống thông tin trên địa bàn trong thời gian tới
- Từ tình hình an ninh, ATTT của trong nước và thế giới, diễn biến ATTT là rất khó lường, các mã độc lây lan và ăn cắp thông tin trên địa bàn thường diễn ra và hoạt động mạnh vào các ngày có tính chất đặc biệt (như: Các ngày trước, trong và sau bầu cử hoặc các sự kiện lớn). Dạng tấn công mã hóa dữ liệu đòi tiền chuộc, ăn cắp dữ liệu cá nhân, tài khoản thông qua các thiết bị thông minh, hệ thống mạng xã hội được đẩy mạnh.
- Đánh cắp thông tin cá nhân: Hiện nay, việc đánh cắp dữ liệu nhằm vào các doanh nghiệp, nhà hàng, khách sạn... sử dụng các máy tính tiền ngày càng gia tăng và nguy cơ người dùng bị đánh cắp thông tin là rất lớn. Ngoài ra, việc thanh toán bằng các phương tiện di động đang phát triển cũng tạo thêm kênh để tin tặc tấn công. Nguy cơ đánh cắp dữ liệu y tế khi các ..bệnh viện, công ty bảo hiểm và các dịch vụ y tế công cộng khác sử dụng các hệ thống trực tuyến.
3. Đánh giá, dự báo các hậu quả, tác động khi xảy ra sự cố
Khi xảy ra sự cố ATTT, các hệ thống thông tin của cơ quan nhà nước bị tấn công sẽ dẫn đến nhiều hậu quả, tác động:
- Các dữ liệu, hồ sơ, tài liệu quan trọng bị đánh cắp, gây nguy cơ lộ lọt bí mật nhà nước;
- Bị chiếm quyền điều khiển, thay đổi giao diện, chỉnh sửa nội dung của các hệ thống thông tin làm ảnh hưởng xấu đến văn hóa, chính trị và trật tự xã hội;
- Bị đình trệ, tê liệt hoạt động của hệ thống Cổng/Trang thông tin điện tử của các cơ quan nhà nước, các hệ thống thông tin quan trọng, khác của tỉnh; nguy cơ gây rối loạn các giao dịch xử lý thủ tục hành chính trên Hệ thống dịch vụ công trực tuyến mức độ cao và hoạt động vận hành của các hệ thống thông tin,...
4. Đánh giá về hiện trạng trang thiết bị, nhân lực, vật lực phục vụ đối phó, ứng cứu, khắc phục sự cố
- Các Cổng/Trang thông tin điện tử, hệ thống mạng thông tin của các cơ quan nhà nước trong tỉnh chưa đáp ứng theo tiêu chuẩn thống nhất; các hệ thống thông tin, phần mềm, thiết bị phần cứng chưa được nâng cấp thường xuyên, việc cập nhật, vá các lỗ hổng bảo mật chưa được khắc phục, trong đó có những lỗ hổng bảo mật ở mức rất nguy hiểm.
- Hệ thống dự phòng chưa đồng bộ, khi xảy ra tấn công hoặc bị lỗi phần cứng thường khó khăn trong khắc phục. Hệ thống máy chủ đặt tại nhà cung cấp dịch vụ không có “tường lửa” bảo vệ hoặc có nhưng không đủ mạnh.
- Hà Tĩnh đã có Ban Chỉ đạo ứng cứu khẩn cấp sự cố ATTT mạng (do Ban Chỉ đạo xây dựng Chính quyền điện tử tỉnh kiêm nhiệm), Đội ứng cứu sự cố ATTT mạng của tỉnh, Đơn vị chuyên trách ứng cứu sự cố ATTT mạng (Sở Thông tin và Truyền thông) và Đơn vị chuyên trách về đảm bảo kỹ thuật an toàn thông tin mạng của tỉnh (Trung tâm CNTT và Truyền thông tỉnh). Đây là các tổ chức có trách nhiệm trong việc điều phối đối phó, ứng cứu, khắc phục sự cố về ATTT trên địa bàn tỉnh.
- Ngoài ra, hệ thống đội ngũ cán bộ chuyên trách CNTT của các cơ quan nhà nước trên địa bàn tỉnh đã được hình thành, chuẩn hóa. Tuy nhiên, chưa được quan tâm, bồi dưỡng thường xuyên về ATTT nên nhiều lúc chưa đáp ứng được yêu cầu công việc./.
PHỤ LỤC II
PHƯƠNG ÁN ĐỐI PHÓ, ỨNG CỨU ĐỐI VỚI MỘT SỐ TÌNH HUỐNG SỰ CỐ CỤ THỂ
(Kèm theo Kế hoạch số 378/KH-UBND ngày 06/11/2019 của UBND tỉnh Hà Tĩnh)
1- Phân tích và thông báo sự cố
1.1. Tiếp nhận, xác định sự cố:
Đơn vị vận hành hệ thống thông tin chủ trì, phối hợp với Trung tâm CNTT và Truyền thông (Đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng tỉnh Hà Tĩnh) và các cơ quan, tổ chức liên quan tiếp nhận, phân tích các cảnh báo, dấu hiệu sự cố từ các nguồn bên trong và bên ngoài (cảnh báo sự cố: Văn bản, email, điện thoại, website, facebook, mạng xã hội...; phát hiện sự cố thông qua kiểm tra, rà soát, đánh giá). Khi xác định được sự cố đã xảy ra, cần tổ chức ghi nhận, thu thập chứng cứ, xác định nguồn gốc sự cố nhằm áp dụng phương án đối phó, ứng cứu, khắc phục sự cố phù hợp:
- Sự cố do bị tấn công mạng;
- Sự cố do lỗi của hệ thống, thiết bị, phần mềm, hạ tầng kỹ thuật hoặc do lỗi đường điện, đường truyền, hosting...;
- Sự cố do lỗi của người quản trị, vận hành hệ thống;
- Sự cố liên quan đến các thảm họa tự nhiên như bão, lụt, động đất, hỏa hoạn,...
1.2. Triển khai các bước ưu tiên ứng cứu ban đầu:
Sau khi đã xác định sự cố xảy ra, đơn vị vận hành hệ thống thông tin triển khai các bước ưu tiên ban đầu để xử lý sự cố theo phương án, kế hoạch ứng phó sự cố đã được cấp thẩm quyền phê duyệt/xác nhận hoặc theo tư vấn, hướng dẫn của Đội ứng cứu sự cố an toàn thông tin mạng của tỉnh và Trung tâm CNTT và Truyền thông.
Đội ứng.cứu sự cố phải kịp thời phân tích và xác định tình hình sự cố để xác định phạm vi ảnh hưởng. Những phân tích ban đầu sẽ cung cấp thông tin cho các hoạt động tiếp theo.
1.3. Thông báo, báo cáo sự cố:
Sau khi triển khai các bước ưu tiên ứng cứu ban đầu, đơn vị vận hành hệ thống thông tin tổ chức thông báo, báo cáo sự cố đến các tổ chức, cá nhân liên quan bên trong và bên ngoài cơ quan, tổ chức theo quy định. Cụ thể:
- Thông báo sự cố tới cơ quan chủ quản Đội ứng cứu sự cố chậm nhất 03 ngày kể từ khi phát hiện sự cố; trường hợp xác định sự cố có thể vượt khả năng xử lý, đơn vị vận hành hệ thống thông tin phải báo cáo ban đầu sự cố bằng văn bản về Trung tâm CNTT và Truyền thông.
- Hình thức thông báo sự cố: Bằng Công văn, fax, thư điện tử, nhắn tin đa phương tiện, phần mềm gửi nhận văn bản, phần mềm điều hành tác nghiệp, hoặc thông qua hệ thống kỹ thuật báo sự cố ATTT mạng của cơ quan điều phối cấp tỉnh.
- Hình thức báo cáo sự cố: Bằng văn bản giấy hoặc văn bản điện tử.
2. Ngăn chặn, xử lý sự cố
2.1. Chọn phương án:
Đơn vị vận hành hệ thống phối hợp với Đội ứng cứu sự cố và các đơn vị liên quan báo cáo, đề xuất cơ quan chủ quản hệ thống thông tin, Ban Chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng của tỉnh, Đội ứng cứu sự cố phê duyệt phương án, chiến lược ngăn chặn và xử lý sự cố và đề nghị hỗ trợ từ Cơ quan điều phối quốc gia nếu cần thiết.
Đơn vị vận hành hệ thống phối hợp với Đội ứng cứu sự cố, Trung tâm CNTT và Truyền thông và các đơn vị liên quan tiến hành:
- Phân loại sự cố:
+ Sự cố về tấn công từ chối dịch vụ;
+ Sự cố về tấn công giả mạo;
+ Sự cố về tấn công sử dụng mã độc;
+ Sự cố về tấn công truy cập trái phép, chiếm quyền điều khiển;
+ Sự cố về tấn công thay đổi giao diện;
+ Sự cố về tấn công mã hóa phần mềm, dữ liệu, thiết bị;
+ Sự cố về tấn công phá hoại thông tin, dữ liệu, phần mềm;
+ Sự cố về tấn công nghe trộm, gián điệp, lấy cắp thông tin, dữ liệu;
+ Sự cố về tấn công tổng hợp sử dụng kết hợp nhiều hình thức;
+ Sự cố về các hình thức tấn công mạng khác.
- Báo cáo lãnh đạo đơn vị: Chỉ đạo xử lý và phân công trách nhiệm xử lý.
- Thu thập thông tin để phục vụ phân tích sự cố:
+ Thông tin về đầu mối liên hệ;
+ Thu thập thông tin hệ thống;
+ Thu thập chức năng của hệ thống;
+ Thu thập cấu hình của hệ thống (OS, Servise, version, network...);
+ Thu thập chứng cứ;
+ Thu thập bộ nhớ;
+ Thu thập trạng thái network và các kết nối;
+ Thu thập các tiến trình đang chạy;
+ Thu thập hard drive media;
+ Thu thập log file;
+ Thu thập các cổng đang mở của hệ thống.
- Phân tích sự cố:
+ Phân tích dòng thời gian;
+ Thời gian bị sửa đổi, truy cập, tạo hoặc thay đổi.
+ Thời gian thực hiện các cập nhật lớn đối với hệ thống;
+ Thời điểm mà hệ thống sử dụng lần cuối cùng;
+ Phân tích dữ liệu ...
- Xử lý sự cố:
+ Gỡ bỏ sự cố;
+ Xác định và gỡ bỏ các backdoors;
+ Phân tích và kiểm tra lỗ hổng sau khi thực hiện các bản vá lỗi;
+ Khôi phục;
+ Phân tích và kiểm tra lỗ hổng sau khi thực hiện các bản vá lỗi;
+ Khôi phục dữ liệu;
+ Thu thập các tệp tin, hình ảnh, email,... bị xóa, thời gian bị xóa;
+ Tìm kiếm các tệp tin không thể khôi phục;
+ Khôi phục các tệp tin phù hợp.
- Tổng hợp báo cáo Lãnh đạo đơn vị và Trung tâm CNTT và Truyền thông:
+ Báo cáo kết quả phân tích sự cố: Mô tả chi tiết các bước quan trọng khi thực hiện xử lý sự cố;
+ Tổng hợp báo cáo gửi lãnh đạo cơ quan, tổ chức và các bên liên quan đến sự cố;
+ Rút kinh nghiệm và ứng dụng cho các sự cố tương tự.
2.2. Triển khai thu thập chứng cứ:
Trên cơ sở phương án, nguồn lực đã được phê duyệt, đơn vị được giao hoặc Đội ứng cứu sự cố tổ chức thu thập chứng cứ, phạm vi, đối tượng bị ảnh hưởng,...
2.3. Xác định nguồn gốc tấn công:
Đơn vị được giao hoặc Đội ứng cứu sự cố triển khai phân tích, xác định nguồn gốc tấn công để ngăn chặn, giảm thiểu tác động, thiệt hại đến hệ thống thông tin.
3. Khắc phục, gỡ bỏ và khôi phục
3.1. Khắc phục, gỡ bỏ sự cố:
Sau khi đã triển khai ngăn chặn sự cố, phải tiến hành tiêu diệt các mã độc, phần mềm độc hại, khắc phục các điểm yếu ATTT của hệ thống (xây dựng lại hệ thống, thay thế các tệp tin bị lỗi, cài đặt các bản vá lỗi, thay đổi mật khẩu và rà soát các chính sách ATTT).
3.2. Khôi phục:
Đơn vị vận hành hệ thống triển khai các hoạt động khôi phục hệ thống, dữ liệu và kết nối (phải khôi phục từ các bản sao lưu hệ thống “sạch”); cấu hình hệ thống an toàn; bổ sung các thiết bị, phần cứng, phần mềm bảo đảm ATTT cho hệ thống thông tin và kiểm tra thử toàn bộ hệ thống sau khi khắc phục sự cố.
Trong quá trình ứng cứu sự cố, đơn vị vận hành hệ thống phải chủ trì, phối hợp với các cơ quan, đơn vị liên quan xây dựng và duy trì thực hiện các báo cáo ứng cứu sự cố gồm:
+ Báo cáo ban đầu;
+ Báo cáo diễn biến tình hình;
+ Báo cáo phương án ứng cứu cụ thể;
+ Báo cáo xin ý kiến chỉ đạo, chỉ huy;
+ Báo cáo đề nghị hỗ trợ, phối hợp;
+ Báo cáo kết thúc ứng phó sự cố.
4. Tổng kết, đánh giá
4.1. Tổng kết, đúc rút kinh nghiệm:
Đơn vị vận hành hệ thống bị sự cố phối hợp với Đội ứng cứu sự cố và Trung tâm CNTT và Truyền thông triển khai tổng hợp tất cả các thông tin, báo cáo, phân tích có liên quan đến sự cố, công tác triển khai phương án ứng cứu khẩn cấp bảo đảm ATTT mạng, báo cáo Ban Chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng tỉnh; tổ chức phân tích nguyên nhân, rút kinh nghiệm trong hoạt động xử lý sự cố và đề xuất các biện pháp bổ sung nhằm phòng ngừa, ứng cứu đối với các sự cố tương tự trong tương lai...
4.2. Xây dựng báo cáo kết thúc ứng phó sự cố:
Đơn vị vận hành hệ thống thông tin bị sự cố, Đội ứng cứu sự cố, Trung tâm CNTT và Truyền thông chịu trách nhiệm chủ trì ứng cứu sự cố triển khai tổng hợp và xây dựng báo cáo kết thúc ứng phó sự cố, trong đó trình bày chi tiết quá trình xử lý sự cố, tóm tắt tổng quát về tình hình sự cố và đề xuất cách thức triển khai điều phối, ứng cứu sự cố nhằm xử lý nhanh, giảm nhẹ rủi ro và thiệt hại đối với sự cố tương tự.
Sau khi kết thúc ứng cứu sự cố, trong vòng 10 ngày đơn vị vận hành hệ thống thông tin, đơn vị được giao chủ trì ứng cứu hệ thống thông tin bị sự cố phải xây dựng báo cáo kết thúc ứng phó sự cố, gửi về Đội ứng cứu sự cố, Trung tâm CNTT và Truyền thông./.
