Hợp tác công - tư trong xây dựng chiến lược an ninh mạng quốc gia

Vụ tấn công gần đây vào SolarWinds, công ty chuyên cung cấp phần mềm quản trị mạng cho nhiều cơ quan chính phủ và doanh nghiệp (DN) lớn của Mỹ, cho phép những kẻ xấu xâm nhập một loạt các cơ quan chính phủ và tập đoàn lớn của Mỹ, đã tiết lộ một sự thật đáng lo ngại: DN và chính phủ có nguy cơ như nhau trước những rủi ro an ninh mạng vì cùng được kết nối với nhau và dựa vào cùng một mạng lưới các nhà cung cấp phần mềm.

Điều này cũng có nghĩa là mối đe dọa từ các cuộc tấn công mạng là việc quá lớn đối với chính phủ hoặc DN để giải quyết một mình. Đó là lý do tại sao một chiến lược ứng phó an ninh mạng cần có sự hợp tác công - tư chặt chẽ. 

An ninh mạng cần sự chung tay của chính phủ và DN

Mối đe dọa an ninh mạng đang ngày càng gia tăng. Mục tiêu tấn công của tội phạm mạng đa dạng và phức tạp hơn. Ngày càng có nhiều cuộc tấn công nhắm đến các cơ quan chính phủ và các DNp. Theo điều tra của Cục Điều tra Liên bang Mỹ (FBI), trong đợt đại dịch COVID-19 năm 2020, số lượng các khiếu nại về an ninh mạng đã tăng lên gấp ba lần. Cụ thể, Trung tâm Khiếu nại Tội phạm Internet (IC3) của FBI đã cho biết họ nhận được từ 3.000 đến 4.000 khiếu nại về an ninh mạng mỗi ngày, tăng từ mức trung bình 1.000 đơn khiếu nại mỗi ngày mà Trung tâm nhận được trước khi xảy ra đại dịch COVID-19. Mặt khác, theo nghiên cứu của Coveware, quý I năm 2021, mức tiền trung bình mà các nạn nhân ransomware phải trả là 220.298 USD, tăng 43% so với quý IV năm 2020. Báo cáo từ hãng bảo mật F-Secure cho biết, ransomware ăn cắp dữ liệu, quét dữ liệu và tấn công mạng nhắm vào chuỗi cung ứng (Suppy Chain Attack). Hành trình tiến hóa của ransomware để tống tiền DN, bằng cách ngăn doanh nghiệp truy cập vào dữ liệu của chính DN. 

Nếu DN từ chối trả tiền giải mã dữ liệu đã bị mã hóa trên hệ thống, kẻ tấn công sẽ đe dọa làm rò rỉ thông tin lấy cắp, gây áp lực để buộc nạn nhân phải trả tiền. Các cuộc tấn công vào chuỗi cung ứng phần mềm đang gia tăng theo cấp số nhân. Thay vì nhắm mục tiêu trực tiếp vào nạn nhân, tin tặc tấn công vào các nhà sản xuất phần mềm mà nạn nhân sử dụng, cài mã độc vào phần mềm ngay từ khi “xuất xưởng”. Một khi nạn nhân tải hoặc cập nhật phần mềm phiên bản mới từ nhà sản xuất, mã độc sẽ được kích hoạt, hacker có thể dễ dàng xâm nhập thành công vào các hệ thống được bảo vệ nghiêm ngặt. Ngoài ra, sự phát triển của Internet vạn vật (IoT) và công nghệ không dây 5G đang mang đến nhiều lỗ hổng an ninh mạng hơn.

Những nỗ lực hiện tại để đối phó với các vi phạm an ninh mạng là rất hạn chế. Thực tế cho thấy, các chính phủ có góc nhìn tổng quan về các mối đe dọa tiềm ẩn thông qua chức năng thực thi pháp luật và tình báo, nhưng lại có xu hướng thiên về an ninh quốc gia hơn là rủi ro thương mại. Trong khi các DN lại có ưu thế về các thông tin rủi ro theo ngành và lĩnh vực cụ thể và thường tiếp cận tốt hơn với những chuyên gia an ninh mạng. Tuy nhiên, các DN lại không dễ dàng để nhận thức toàn cảnh về nền kinh tế và có thể bị choáng ngợp bởi những kẻ tấn công có khả năng được nhà nước bảo trợ. 

Một ví dụ cụ thể về mối liên hệ giữa Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) và Bộ Y tế và Dịch vụ Nhân sinh của Hoa Kỳ đã từng được FBI cảnh báo vào tháng 10/2020 rằng “các phần tử mạng độc hại” đang nhắm mục tiêu vào các tổ chức chăm sóc sức khỏe và y tế công cộng để thực hiện các cuộc tấn công ransomware và gây gián đoạn các dịch vụ y tế. Nhưng những nỗ lực như vậy có xu hướng chỉ mang tính ngoại lệ và cảnh báo quá muộn. Vì thế trong bối cảnh an ninh mạng ngày càng leo thang, để đối phó cần tập hợp các nguồn lực của cả chính phủ và DN, đồng thời cả hai bên cần tăng cường hợp tác cũng như chủ động hơn để xây dựng một chiến lược phòng thủ hợp lý hơn.

Nhấn mạnh khẳng định về vai trò của các cơ quan chính phủ trong việc phối hợp với các DN để đảm bảo an ninh mạng, mới đây, Giám đốc FBI Christopher Wray đã kêu gọi chính phủ và khu vực tư nhân hợp tác trong một cuộc chiến có tổ chức chống lại những kẻ âm mưu hơn là ngăn cản từng cuộc tấn công riêng lẻ. Chris Inglis, một cựu quan chức hàng đầu của Cơ quan An ninh Quốc gia Mỹ (NSA) được Tổng thống Biden đề cử trở thành Giám đốc An ninh mạng quốc gia, có thể đưa sự hợp tác công - tư trở thành yếu tố quan trọng trong chiến dịch không gian mạng của quốc gia này. 

Chính phủ và DN hợp tác theo cách nào?

1. Chia sẻ thông tin tình báo về mối đe dọa

Các chính phủ và các công ty có các nguồn thông tin, nhận thức và hiểu biết khác nhau về an ninh mạng, nếu được tổng hợp kịp thời sẽ tạo ra một bức tranh rõ ràng hơn và thực tế hơn về các mối đe dọa mạng. Hiện nay, việc trao đổi thông tin về các mối đe dọa cũng ngày càng tiến triển tích cực. Chẳng hạn như Trung tâm An ninh Mạng Quốc gia của Vương quốc Anh điều hành Hiệp hội Chia sẻ Thông tin An ninh Mạng với ngành công nghiệp; CISA Mỹ có quan hệ đối tác tương tự với các nhà khai thác cơ sở hạ tầng quan trọng của quốc gia này. Europol, cơ quan thực thi pháp luật của Liên minh châu Âu, đã nâng khái niệm chia sẻ thông tin này lên một mức cao hơn bằng cách tạo ra một trang web nơi các tổ chức công và tư có thể chia sẻ các công cụ giải mã để phục hồi sau các cuộc tấn công ransomware mà không phải trả tiền cho kẻ tấn công mạng.

Những sáng kiến như vậy rất có giá trị, nhưng việc chia sẻ thông tin vẫn chưa đủ nhất quán hoặc kịp thời. Các giám đốc điều hành công ty thường cảm thấy rằng họ cung cấp dữ liệu khi cần thiết, nhưng các đối tác chính phủ không đáp lại. Các dịch vụ tình báo thường không muốn tiết lộ các mối đe dọa tiềm ẩn vì sợ gây ra sự hoang mang cho các công ty với rủi ro tiềm tàng hoặc tiết lộ bí mật nghề nghiệp. Và một số công ty có thể lo lắng rằng việc tiết lộ các sự cố liên quan đến mạng có thể khiến họ bị kiểm soát hoặc giám sát ngoài mong muốn hay bị các chế tài và quy định khó khăn cũng như hình phạt.

Tuy nhiên, các chuyên gia bảo mật cho rằng cần bỏ qua những rào cản trên, xây dựng lòng tin và làm sâu sắc hơn mối quan hệ hợp tác là cách để chính phủ và DN hợp tác hiệu quả trong việc ngăn chặn nguy cơ từ an toàn an ninh mạng. Sự hợp tác giữa Trung tâm An ninh mạng quốc gia (Hoa Kỳ) với Google để cung cấp đào tạo về mạng cho các nhà lập pháp tiểu bang Hoa Kỳ và nhân viên của họ được coi là một sáng kiến mà chúng ta nên tham khảo.

2. Điều chỉnh nội dung đào tạo an ninh mạng theo nhu cầu thị trường

Các chính phủ, công ty và các tổ chức khác trên khắp thế giới phải đối mặt với sự thiếu hụt các chuyên gia an ninh mạng ước tính khoảng hơn 3 triệu - gần bằng con số ước tính 3,5 triệu người hiện đang làm việc trong lĩnh vực này. Rõ ràng đây là thách thức nhân đôi: thu hút nhiều người hơn để đào tạo lại về an ninh mạng; và đảm bảo rằng chương trình giảng dạy cho phép sinh viên và học viên bắt kịp với các mối đe dọa thay đổi nhanh chóng. 

Sáng kiến Quốc gia về Giáo dục An ninh Mạng của chính phủ Hoa Kỳ gần đây đã sửa đổi khuôn khổ phát triển nhân tài để các trường học có thể cung cấp hướng dẫn phù hợp hơn và các công ty có thể đảm bảo rằng sinh viên tốt nghiệp có đủ năng lực cần thiết. Trung tâm An ninh Mạng Quốc gia của Vương quốc Anh đã thành lập CyberFirst, cung cấp mọi thứ cho các trường đại học, bao gồm hỗ trợ tài chính, học việc cho đến các chương trình trại hè để thu hút những người trẻ tuổi tham gia lĩnh vực này.

Các tổ chức tài chính lớn, Đại học Thành phố New York (CUNY) và chuyên gia phát triển lực lượng lao động đã thành lập Liên minh lực lượng lao động an ninh mạng (The Cybersecurity Workforce Alliance) với hơn 2.700 thành viên từ các ngành công nghiệp, học viện và chính phủ, nhằm mục đích cung cấp thực tập cho hơn 10.000 sinh viên Hoa Kỳ đến năm 2022. Tập đoàn Phát triển Kinh tế Thành phố New York đã hợp tác với các doanh nghiệp và trường đại học địa phương để tạo ra các chương trình cấp bằng không gian mạng và thúc đẩy sự phát triển của các công ty khởi nghiệp trong lĩnh vực không gian mạng. Tuy nhiên đó mới chỉ là số ít và chúng ta cần có thêm những nỗ lực như vậy để lấp đầy khoảng cách về tài năng nhân lực an ninh mạng.

3. Nâng cao khả năng ứng phó sự cố

Ngay cả hệ thống phòng thủ mạng tốt nhất cũng có khả năng bị bẻ khóa. Đó là lý do tại sao các tổ chức hiệu quả luôn có sẵn các kế hoạch được diễn tập kỹ lưỡng để đối phó với những kẻ tấn công. Một số quốc gia cung cấp các diễn đàn để tạo sự hợp tác giữa chính phủ và DN nhằm đối phó với các cuộc tấn công mạng. Tại Hoa Kỳ, Kế hoạch ứng phó sự cố mạng quốc gia của CISA xác định phòng thủ mạng là “trách nhiệm chung” của các cá nhân, khu vực tư nhân và chính phủ, nêu rõ vai trò của các cơ quan chính phủ trong việc ứng phó với các cuộc tấn công và cam kết với các quan chức liên bang trong việc bảo vệ quyền riêng tư và sở hữu trí tuệ của các công ty. Trung tâm An ninh mạng Quốc gia của Vương quốc Anh, một chi nhánh của cơ quan tình báo GCHQ, điều phối các ứng phó tương tự và cung cấp các chuyên gia không gian mạng khu vực tư nhân mà cơ quan này sẽ cộng tác.

Các kế hoạch như vậy nên bao gồm các bài tập huấn luyện thực sự, không chỉ là các cuộc thảo luận, đóng vai. Lĩnh vực tài chính luôn được coi là tiên phong trong công tác diễn tập thực tế. Trong đó điển hình là Hiệp hội Thị trường Tài chính và Công nghiệp Chứng khoán đã tiến hành các cuộc diễn tập an ninh mạng kể từ năm 2011. Cuộc diễn tập mới nhất của Quantum Dawn V, vào tháng 11/2019, đã quy tụ hơn 150 công ty tài chính và 50 cơ quan quản lý trên 19 quốc gia để thực hành ứng phó với một cuộc tấn công mô phỏng ransomware vào hệ thống các tổ chức quan trọng và một tiện ích thị trường tài chính. Qua diễn tập này đã đúc rút được kinh nghiệm, đó là ngành công nghiệp tài chính nên tạo ra một danh sách gồm những người chơi và nhân sự chính, đồng thời tăng cường chia sẻ thông tin xuyên biên giới giữa các công ty, hiệp hội thương mại và các cơ quan quản lý như ngân hàng trung ương. 

 Rõ ràng cần nhiều diễn tập thực tế như vậy. Các yếu tố đe dọa khác nhau tùy theo lĩnh vực thương mại và các chính phủ có thể tìm hiểu thêm nhiều về những vấn đề quan trọng, các chuyên gia được chuẩn bị tốt hơn để thu thập thông tin tình báo về mối đe dọa có giá trị.

4. Xây dựng bảo mật từ khâu thiết kế

Trong các cuộc tấn công lừa đảo hay tải xuống một phần mềm độc hại, lỗi do con người quyết định đến sự thành công của 95% các cuộc tấn công mạng. Mặc dù vậy, chúng ta không thể loại bỏ lỗ hổng đó, mà chỉ có thể giảm thiểu bằng cách xây dựng bảo mật tốt hơn cho các thiết bị công nghệ ngay từ đầu - tức từ khâu thiết kế (security by design) - điều mà nhiều công ty công nghệ bỏ qua hoặc do vội vàng đưa sản phẩm và dịch vụ mới ra thị trường.

Ủy viên An toàn điện tử của Úc, cơ quan chính phủ đầu tiên trên thế giới có chức năng nâng cao nhận thức và giáo dục cộng đồng về rủi ro mạng, năm 2019 đã triệu tập các đại diện của ngành, chính phủ, người tiêu dùng và tổ chức phi lợi nhuận để thống nhất về một bộ nguyên tắc nhằm tăng cường sự an toàn cho các dịch vụ trực tuyến. Một

trong số các nguyên tắc đó là: an toàn không bao giờ là trách nhiệm duy nhất của người tiêu dùng và rằng các công ty giảm thiểu các yếu tố rủi ro cho tất cả người dùng trước khi phát hành dịch vụ ra công chúng. Vào tháng 12/2020, Hoa Kỳ đã thông qua luật yêu cầu chính phủ đặt ra các tiêu chuẩn cao hơn về bảo mật của các thiết bị IoT.

Các quốc gia khác nên làm theo những cách thức đó. Mục tiêu cuối cùng sẽ là không gian mạng có được chứng nhận tương đương chuẩn Kitemark (mọi thứ từ thiết bị điện đến thiết bị di động đều đáp ứng các tiêu chuẩn an toàn) của Viện Tiêu chuẩn Anh.

Kết luận

Khi vai trò của công nghệ trong xã hội tăng lên, an ninh mạng sẽ trở thành một thách thức lớn hơn bao giờ hết. Các chính phủ và khu vực tư nhân có mối quan tâm chung và trách nhiệm cùng nhau đối mặt với mối đe dọa đó. Câu nói của Jack Ma, ông chủ của Alibaba: “Nếu chúng ta là một nhóm đoàn kết và biết mình phải làm những gì, thì bất cứ ai trong chúng ta cũng có sức mạnh đánh thắng tất cả những người còn lại”, thay cho lời kết nhấn mạnh tầm quan trọng của việc hợp tác công - tư trong việc xây dựng chiến lược an ninh mạng qui mô quốc gia và quốc tế.