Phòng chống mã độc: Trách nhiệm không của riêng ai

Gần đây, một trong những loại mã độc này đã được sử dụng để tấn công một công ty lớn chuyên cung cấp các giải pháp bảo mật có trụ sở tại Dublin. Bằng việc tấn công công ty này, hacker đã phát tán mã độc tống tiền đến hàng trăm khách hàng của công ty trên toàn thế giới và yêu cầu mỗi công ty bị lây nhiễm phải nộp tiền chuộc từ 50 ngàn đến 5 triệu USD để được giải mã dữ liệu.

Đầu năm nay, một vụ tấn công khác nhắm vào một công ty cung cấp phần mềm tại Hoa Kỳ để xâm nhập vào chín cơ quan liên bang của quốc gia này, bao gồm Văn phòng Tổng thống, Bộ Ngân khố và Bộ Thương mại Hoa Kỳ.

Các cuộc tấn công này đều có chung một cách thức hoạt động; đó là chúng đều nhằm vào các công ty cung cấp phần mềm hoặc dịch vụ IT để chiếm quyền kiểm soát từ cửa sau trong hệ thống thông tin của các khách hàng, gây thiệt hại cho hàng ngàn hệ thống chỉ với một cuộc tấn công.

Đây có lẽ chính là cách “chuỗi cung ứng” được hình thành – từng cấu phần của chuỗi liên kết chặt chẽ với nhau. Do vậy, chỉ cần một cấu phần trong đó bị tác động lập tức sẽ tạo ra hiệu ứng domino.

Vấn đề an toàn thông tin mạng trong chuỗi cung ứng

Tấn công mạng nhắm vào chuỗi cung ứng ngành công nghệ thông tin và truyền thông (ICT) có xu hướng ngày càng gia tăng. Theo Đơn vị An ninh mạng chung của Liên Minh Châu Âu, tấn công mạng trong năm 2021 có thể tăng gấp bốn lần so với năm 2020 . Rủi ro càng được nhân lên khi lỗ hổng an toàn thông tin mạng hiện hữu trong tất cả các cấu phần của chu trình ngành ICT: từ khâu thiết kế, phát triển, sản xuất, phân phối, mua bán và sử dụng cho đến khâu bảo hành sản phẩm.

Thiệt hại do các cuộc tấn công này cũng sẽ tăng lên, tương quan với tính liên thông ngày càng tăng của các hệ thống thông tin của các tổ chức thuộc nhiều ngành nghề và quốc gia khác nhau. Theo kết quả của một cuộc khảo sát thực hiện bởi công ty Gartner vào năm 2019, tới 60% các tổ chức cho biết họ đang làm việc với hơn 1,000 đối tác bên thứ ba .

Khi đã xâm nhập thành công, tội phạm mạng có thể tự do thực hiện các hành vi gián điệp, trộm cắp dữ liệu và sở hữu trí tuệ hoặc tống tiền thông qua phát tán mã độc. Tấn công ransomware đang có xu hướng ngày càng gia tăng. Từ năm 2019 đến năm 2020, số lượng khách hàng của Kaspersky bị lây nhiễm mã độc ransomware gia tăng phi mã tới mức 767% . Mục tiêu thường bị nhắm tới là các tập đoàn lớn, các cơ quan chính phủ và chính quyền địa phương.

Các cuộc tấn công mạng nhằm vào các cơ quan chính phủ và doanh nghiệp thường gây ra những thiệt hại dễ nhận thấy, tuy nhiên các đối tượng khác không phải là ngoại lệ. Cuộc tấn công mạng vào một chuỗi cửa hàng cung ứng có thể làm tê liệt hoạt động của hàng loạt siêu thị, hoặc hàng triệu máy tính có thể bị lây nhiễm vi-rút chỉ qua một bản cập nhật phần mềm (ví dụ như vụ tấn công ShadowHammer3+1đã được Kaspersky nhanh chóng phát hiện và kịp thời ngăn chặn trong năm 2019 ). Ngoài ra, tấn công mạng nhằm vào các hệ thống cung cấp dịch vụ y tế và tiện ích công cộng có thể gây gián đoạn việc cung cấp các dịch vụ thiết yếu, gây ảnh hưởng trực tiếp đến cuộc sống thường ngày của người dân.

Những ứng phó ban đầu của các nước

Nhận thức rõ những rủi ro và hậu quả của các cuộc tấn công mạng nhằm vào chuỗi cung ứng, một số quốc gia đã bắt đầu lên kế hoạch ứng phó. Kể từ năm 2020, các nước trong khu vực Châu Á – Thái Bình Dương như Xinh-ga-po, Ma-lai-xi-a, Ô-xtrây-li-a và Nhật Bản đã ban hành và cập nhật chiến lược an toàn thông tin mạng quốc gia. Những nước khác như Việt Nam, Ấn Độ và In-đô-nê-xi-a cũng sẽ sớm công bố chiến lược của mình và đồng thời lên kế hoạch chi tiết để triển khai.

Tuy nhiên, có rất nhiều bên liên quan trong việc tăng cường năng lực ứng phó linh hoạt của chuỗi cung ứng ICT do đòi hỏi phải có giải pháp phức hợp. Một số chính phủ đã hành động, chủ yếu tập trung bảo vệ chuỗi cung ứng ICT cho hạ tầng thông tin trọng yếu (CII), chẳng hạn như:

• Năm 2018, Bộ An ninh Nội địa Hoa Kỳ đã thành lập Lực lượng Quản lý Rủi ro Chuỗi Cung ứng ICT, một tổ chức hợp tác công tư với mục tiêu xây dựng đồng thuận trong các chiến lược quản lý rủi ro nhằm tăng cường an toàn thông tin cho chuỗi cung ứng ICT toàn cầu. Lực lượng này đã đưa ra hướng dẫn cho việc chia sẻ thông tin về rủi ro trong chuỗi cung ứng cũng như lưu ý về rủi ro cho khách hàng của dịch vụ quản trị (MSP).

• Trung tâm An ninh mạng Ô-xtrây-li-a cũng vừa ban hành hướng dẫn cho doanh nghiệp để xác định những rủi ro an ninh mạng liên quan tới chuỗi cung ứng và kiểm soát các rủi ro này.

• Cơ quan An ninh Mạng Xinh-ga-po thông báo sẽ sớm triển khai Chương trình Chuỗi cung ứng của hạ tầng thông tin trọng yếu (CII Supply Chain Programme) giúp các cơ quan hữu quan đảm bảo tuân thủ theo các tiêu chuẩn và thông lệ quốc tế về quản trị rủi ro trong chuỗi cung ứng.

Lộ trình phía trước

Bản chất toàn cầu của chuỗi cung ứng ICT đòi hỏi phải có những biện pháp phối kết hợp ở mọi cấp độ để ứng phó quyết liệt hơn.

Trên phương diện quốc tế, các quốc gia và Tổ chức Quốc tế (như INTERPOL, Liên hợp Quốc, ASEAN, Europol) đã và đang tăng cường phối hợp và chia sẻ kinh nghiệm thực tiễn thông qua:

• Các kênh đa phương – Hiện nay, Nhóm chuyên gia liên chính phủ của Hội nghị Liên hợp quốc (LHQ) và Nhóm công tác mở rộng LHQ là các kênh hữu ích cho các quốc gia cùng nhau xây dựng các quy trình và quy chuẩn chung trên không gian mạng. Các hội nghị như Diễn đàn Quản trị Internet của LHQ tạo ra cơ hội cho chuyên gia các nước thảo luận chuyên sâu. Ví dụ như trong năm 2020, Kaspersky đã phối hợp với các đối tác để tổ chức một hội thảo chuyên đề tập trung bàn về nhu cầu và các phương pháp để tăng cường sự bảo đảm và minh bạch trong chuỗi cung ứng ICT toàn cầu.

• Hợp tác song phương – Các quốc gia trong khu vực bao gồm Việt Nam, Ấn Độ, Nhật Bản, Xinh-ga-po, Trung Quốc và Hàn Quốc đã ký các biên bản ghi nhớ về nhiều lĩnh vực an ninh mạng đánh dấu một bước tiến quan trọng không chỉ trong khu vực mà trên toàn thế giới.

Các kênh hợp tác nêu trên đóng vai trò hết sức quan trọng trong việc xây dựng sự đồng thuận, trao đổi kiến thức và kinh nghiệm cũng như hài hòa hóa các tiêu chuẩn. Tuy nhiên, trong thời gian tới cần có những thảo luận chuyên sâu về năng lực ứng phó linh hoạt của chuỗi cung ứng ICT bởi đây là vấn đề có sự liên đới của rất nhiều cơ quan hữu quan và có phạm vi ảnh hưởng trên toàn cầu.

Trên phương diện quốc gia, các chính phủ cần tiếp tục các nỗ lực nhằm thiết lập một cấp độ chung về an ninh mạng trong tất cả các ngành thông qua việc ban hành luật, nghị định, hướng dẫn, đồng thời tăng cường các hoạt động đào tạo và nâng cao nhận thức. Các quốc gia có thể tham khảo và cân nhắc áp dụng các giải pháp như những ví dụ đã nói ở trên.

Tính kết nối của chuỗi cung ứng ICT đòi hỏi các quốc gia cần thiết lập những nguyên tắc cốt lõi, ví dụ như nguyên tắc “bảo mật từ khâu thiết kế” (security-by-design), các tiêu chuẩn kỹ thuật và khuôn khổ pháp lý để đảm bảo tính thống nhất về cấp độ an toàn thông tin mạng và trách nhiệm giải trình của tất cả các bên liên quan. Bên cạnh đó, các công cụ tự đánh giá cũng nên được thiết lập và phổ biến để tạo điều kiện thuận lợi cho quá trình triển khai.

Trên phương diện cá nhân, tất cả mọi người đều có trách nhiệm cùng nhau bảo đảm an toàn thông tin mạng. Trong đó, các doanh nghiệp phát triển sản phẩm và quản trị hệ thống an toàn thông tin mạng cần đóng vai trò tiên phong.

Với công ty Kaspersky, chúng tôi tin rằng tính minh bạch trong các cấu phần nội tại và sự gắn kết giữa các chuỗi cung ứng phần mềm là cách tốt nhất để đảm bảo sự toàn vẹn và đáng tin cậy của cơ sở hạ tầng số của chúng tôi. Nguyên tắc này được Kaspersky cụ thể hóa bằng nhiều cách, trong đó có Sáng kiến Minh bạch Toàn cầu, nơi mà chúng tôi:

• Hoan nghênh các bên thứ 3 đánh giá mã nguồn của chúng tôi. Gần đây, chúng tôi tạo điều kiện cho đối tác và cộng đồng có thể dễ dàng tìm hiểu các sản phẩm của Kaspersky thông qua việc cung cấp hóa đơn nguyên vật liệu phần mềm (software bill of materials) – một danh sách mô tả các cấu phần, thông tin về các cấu phần và mối liên kết giữa chúng.

• Thực hiện tiết lộ có trách nhiệm về lỗ hổng bảo mật và trong nhiều trường hợp, cảnh báo các công ty IT về các lỗ hổng trong hệ thống của họ, từ đó có thể phòng tránh các cuộc tấn công nguy hiểm.

An toàn thông tin mạng là trách nhiệm của mỗi người bởi hệ thống thông tin mạng của chúng ta chỉ được củng cố khi các mắt xích yếu nhất của hệ thống được bảo vệ. Để có thể đi trước một bước đối với tội phạm mạng cần phải có cách tiếp cận toàn diện với sự tham gia của tất cả các bên liên quan. Chúng ta cần có tầm nhìn xa hơn, không thể chỉ phản ứng thụ động với các mối đe dọa mạng. Thay vào đó, xây dựng một chiến lược lâu dài là vô cùng cấp thiết để thiết kế hệ sinh thái an toàn thông tin mạng, bao gồm việc xây dựng một lộ trình phát triển nhân lực đáp ứng nhu cầu của các đội phản ứng nhanh an toàn thông tin mạng (CERT), nhóm phân tích điều tra số và bộ phận IT, đồng thời cần thiết kế các hệ thống thông tin trọng yếu theo nguyên tắc bảo mật từ khâu thiết kế.

Những ý tưởng trên có thể chưa đầy đủ, nhưng tôi hi vọng đây sẽ là xuất phát điểm để chúng ta có thể cùng nhau suy nghĩ và định hướng để tiếp tục phát triển.