Hệ thống công nghệ thông tin quan trọng nhưng chưa được chú trọng
KTNN Đan Mạch đã thực hiện một cuộc nghiên cứu và chỉ ra rằng, công tác quản lý danh mục đầu tư các hệ thống CNTT quan trọng của nhiều cơ quan chức năng không hoàn toàn thỏa đáng và chưa hiệu quả. Do đó, cơ sở để các cơ quan có thẩm quyền đưa ra các quyết định chiến lược và đầu tư vào việc cải thiện tình trạng hệ thống của họ chưa đầy đủ.
Nghiên cứu được triển khai với 11 cơ quan thuộc 5 Bộ, gồm: Công nghiệp, Kinh doanh và Tài chính; Tư pháp; Khí hậu, Năng lượng và Tiện ích công cộng; Trẻ em và Giáo dục; Nhập cư và Hội nhập. Cuộc nghiên cứu được đánh giá là rất cần thiết góp phần giảm thiểu các rủi ro liên quan đến tính bảo mật.
Báo cáo của KTNN Đan Mạch cho thấy, dù các cơ quan chức năng đã tiến bộ hơn trong việc lập bản đồ về trạng thái của các hệ thống CNTT quan trọng. Tuy nhiên, việc lập bản đồ cập nhật nhất cho thấy, tình trạng kỹ thuật của khoảng 25% hệ thống CNTT quan trọng chưa đạt yêu cầu.
Năm 2021, Hội đồng CNTT của Chính phủ xác định: 15% hệ thống CNTT quan trọng đối với hoạt động của xã hội và gần 30% hệ thống CNTT quan trọng đối với chức năng của chính quyền vẫn chưa được lập bản đồ.
Trong quá trình thực hiện nghiên cứu, KTNN Đan Mạch đã phỏng vấn 5 trong số 11 cơ quan chức năng về những vấn đề cần thiết khi lập bản đồ trạng thái các hệ thống CNTT quan trọng. Tuy nhiên, các cơ quan này đã không nắm vững thông tin và chưa thể trả lời rõ ràng trước cơ quan kiểm toán, đặc biệt liên quan đến tính bảo mật.
Kiểm tra ngẫu nhiên 4 cơ quan khác, KTNN Đan Mạch cho biết, các kế hoạch hành động do các cơ quan này xây dựng không thể hỗ trợ toàn diện cho công việc của họ. Trong kế hoạch hành động, 4 cơ quan được lựa chọn đã ưu tiên các hệ thống CNTT dự định hợp tác. Tuy nhiên, các kế hoạch hoạt động vẫn còn rất hạn chế, mới dừng lại ở việc xác định các hoạt động cụ thể để theo dõi. Ngoài ra, KTNN Đan Mạch xác định, chỉ khoảng 30% các hoạt động trong kế hoạch hành động được đánh giá sát sao.
Theo mô hình quản lý danh mục đầu tư của các hệ thống CNTT của Chính phủ, các cơ quan chức năng đều được yêu cầu ước tính lượng nhân lực cần thiết để thực hiện từng hoạt động riêng lẻ. Đây là bước cần thiết để đảm bảo rằng các cơ quan chức năng có đủ nguồn lực để thực hiện các kế hoạch hành động. Bốn cơ quan được lựa chọn nhìn chung đã giám sát tiến độ các hoạt động và báo cáo tiến độ cho Hội đồng CNTT của Chính phủ (Statens It-råd).
Tuy nhiên, KTNN Đan Mạch chỉ ra một số cơ quan chức năng chưa thực hiện nhiệm vụ báo cáo tiến độ của từng hoạt động; các nguồn lực được phân bổ để thực hiện chỉ đảm bảo được khoảng 20%. Một số cơ quan chức năng thông báo, họ chưa phân bổ nguồn lực cụ thể để thực hiện các hoạt động nội bộ. 4 cơ quan trên cũng cho biết, việc phân bổ nguồn lực cho các hoạt động dự kiến thực hiện trong 2 hoặc 3 năm là rất khó khăn bởi ngân sách thường được ấn định mỗi năm một lần.
Cần xây dựng kế hoạch để giải quyết thách thức hiện tại
Hệ thống CNTT của Chính phủ cung cấp một loạt các dịch vụ thiết yếu cho các ngành nghề như: Tài chính, hệ thống tư pháp, y tế, giao thông vận tải… Các dịch vụ đều đóng vai trò quan trọng không chỉ đối với các hoạt động của Chính phủ mà còn đối với xã hội nói chung. Trong trường hợp có sự cố, các cơ quan, doanh nghiệp, người dân đều có thể bị ảnh hưởng. Do đó, cơ quan chức năng phải xác định rõ ràng về trạng thái của các hệ thống CNTT quan trọng, bởi các cơ quan này có trách nhiệm duy trì, cập nhật và đảm bảo mức độ bảo mật đầy đủ.
Trong một số báo cáo trước đây, KTNN Đan Mạch đã nêu bật các vấn đề liên quan đến các hệ thống CNTT quan trọng của Chính phủ và vấn đề bảo mật CNTT nói chung.
KTNN Đan Mạch dẫn chứng, năm 2018, Bộ Tài chính Đan Mạch đã triển khai mô hình bắt buộc về quản lý danh mục đầu tư hệ thống CNTT của Chính phủ. Quá trình triển khai phản ánh thực tế rằng, có sự khác biệt đáng kể về mức độ trưởng thành giữa các tổ chức CNTT khu vực công và một số cơ quan chức năng thiếu nguồn lực, năng lực, kinh nghiệm cần thiết để phát triển và duy trì các hệ thống CNTT quan trọng.
Mô hình quản lý danh mục hệ thống CNTT của Chính phủ yêu cầu các cơ quan chức năng lập bản đồ tất cả các hệ thống CNTT 3 năm một lần, bao gồm các hệ thống thiết yếu cho xã hội cũng như cho việc thực hiện chức năng của các cơ quan có thẩm quyền. Việc lập bản đồ cung cấp cái nhìn tổng quan về số lượng và trạng thái của các hệ thống CNTT quan trọng.
Dựa vào các thông tin này, KTNN khuyến nghị các cơ quan chức năng cần xây dựng kế hoạch hành động nhằm giải quyết những thách thức được xác định thông qua hoạt động lập bản đồ. Statens It-råd cũng lưu ý rằng, nhiều hệ thống CNTT quan trọng của chính quyền cần được cải thiện hơn về mặt kỹ thuật để tránh những rủi ro nghiêm trọng có thể xảy ra./.
(Theo uk.rigsrevisionen.dk và tổng hợp)