Chủ động ứng phó sự cố an toàn thông tin trước các thách thức mới
Các cuộc tấn công mạng ngày càng tinh nhuệ, khó đoán
Trong những năm gần đây, các cuộc tấn công ngày càng diễn ra thường xuyên, quy mô hơn trên không gian mạng. Các nhóm tin tặc dù hoạt động với hình thức tư nhân hay có sự hậu thuẫn của nhà nước, chính phủ các quốc gia đều có sự chuẩn bị với mức độ tinh vi, gây tác động lớn. Điều này dẫn đến sự leo thang của các mối đe doạ an ninh mạng, đặt ra nguy cơ đưa thế giới vào một cuộc xung đột mạng cao cấp.
Trong giai đoạn từ năm 2010 – 2020, tội phạm mạng có tổ chức đã thực hiện nhiều cuộc tấn công mạng “khét tiếng”. Nổi bật là 3 chiến dịch tấn công mạng sử dụng mã độc Stuxnet (năm 2010), WannaCry (năm 2017), Solarwinds (năm 2020).
Tháng 6/2010, các chuyên gia đã phát hiện mã độc Stuxnet mà không biết chính xác tên miền, nguồn gốc cụ thể; sự lây lan của nó dường như là ngẫu nhiên. Sau đó, cái tên Stuxnet xuất hiện nhiều trong các báo cáo có liên quan đến sự cố máy ly tâm hạt nhân của Iran. Các chuyên gia phỏng đoán Stuxnet được thiết kế như một nền tảng vũ khí mạng để tấn công hệ thống Supervisory Control and Data Acquisition (SCADA), mà phần lõi là hệ thống Programmable Logic Controller ( PLC). Một điều bất ngờ sau đó là tiến trình phát triển của Stuxnet được các chuyên gia phát hiện sớm nhất vào tháng 11/2005. Cho tới tháng 6/2014, vũ khí mạng nhiều biến thể này vẫn âm thầm hoạt động, khai thác lỗ hổng CVE-2010-2568.
Bảy năm sau vụ việc Stuxnet, thế giới lại một lần nữa chấn động bởi mã độc tống tiền WannaCry. Mã độc này còn được biết đến với các tên gọi WannaCrypt, WCrypt, Wanacrypt0r, Wcry. Sau khi bị phát hiện vào ngày 12/5/2017, WannaCry đã phát tán và lây lan ở hơn 100 quốc gia trên khắp các châu lục. Châu Âu là nơi bị ảnh hưởng nặng nề nhất của mã độc này. Tại Việt Nam, theo thống kê từ Hệ thống giám sát virus của Bkav, đã có hơn 1.900 máy tính bị lây nhiễm mã độc tống tiền WannaCry. Trong đó, khoảng 1.600 máy tính được ghi nhận tại 243 cơ quan, doanh nghiệp và khoảng 300 máy tính là của người sử dụng cá nhân.
Gần đây nhất, cuối năm 2020 và đầu năm 2021, nước Mỹ đang căng mình vì đại dịch COVID-19 và kết quả bầu cử tổng thống, thì đồng thời quốc gia này cũng nhận ra rằng, họ đang hứng chịu một cuộc tấn công mạng lớn nhất từ trước đến nay cả về mức độ tinh vi và phạm vi ảnh hưởng thông qua công ty an ninh mạng SolarWinds. Cuộc tấn công đã làm cho Mỹ và nhiều nước cần xem xét lại chiến lược an ninh mạng quốc gia và nguồn lực tác chiến mạng của mình.
Năng lực ứng phó sự cố tại Việt Nam còn hạn chế
Từ thực tế các cuộc tấn công mạng yêu cầu cấp thiết đặt ra đối với hệ thống bên cạnh vấn đề xây dựng các chiến lược đảm bảo an toàn, là vấn đề nâng cao năng lực ứng phó sự cố. Tuy nhiên, năng lực ứng phó sự cố tại Việt Nam vẫn còn nhiều hạn chế. Trong đó, có 3 hạn chế chính:
Thứ nhất, thiếu hụt nhân sự chuyên trách. Theo thống kê, 100% đội ứng cứu sự cố tại các Bộ, ngành, địa phương đang được tổ chức theo mô hình kiêm nhiệm. Do đó, thiếu các chuyên gia, kỹ sư lành nghề.
Thứ hai, chưa chuẩn hoá quy trình. Quy trình ứng cứu sự cố còn mang nặng tính hành chính, chưa liên kết được con người và công nghệ. Bên cạnh đó, quy trình của các tổ chức còn thiếu kế hoạch ứng phó sự cố cho các tình huống tấn công điển hình như mã độc, phising…
Thứ ba, công nghệ ứng cứu sự cố chưa đáp ứng các yêu cầu thực tế. Hiện nay, các giải pháp công nghệ đang chủ yếu tập trung vào việc bảo vệ như tường lửa, giải pháp phát hiện xâm nhập, tường lửa ứng dung web…. Các hệ thống bảo mật đang hoạt động không đúng với “nhiệm vụ được giao”.
Các hạn chế này dẫn đến tình trạng: nhiều đơn vị không nhận diện được sự tồn tại của lỗ hổng trên hệ thống, hoạt động phát hiện tấn công phụ thuộc hoàn toàn vào hệ thống giám sát, nhiều hệ thống bị xâm nhập trong một thời gian dài mà không bị phát hiện…
Yêu cầu thay đổi toàn diện nhận thức và hướng tiếp cận về ứng cứu sự cố
Theo ông Lê Công Phú, có 5 vấn đề các đơn vị, tổ chức cần thực hiện trong thời gian tới:
Thứ nhất, quán triệt nguyên tắc người đứng đầu chịu trách nhiệm trước Thủ tướng Chính phủ nếu lơ là trong công tác ứng cứu sự cố, để xảy ra các sự cố mất an toàn thông tin nghiêm trọng tại cơ quan, đơn vị mình quản lý.
Thứ hai, chuyển trạng thái ứng cứu sự cố từ thế bị động sang chủ động, chuyển hoạt động ứng cứu sự cố từ mang tính sự vụ sang nhiệm vụ thường xuyên.
Thứ ba, sử dụng công nghệ và dữ liệu để quản lý, điều phối, chia sẻ, hỗ trợ xử lý. Hình thành văn hóa chia sẻ thông tin đa chiều trong toàn mạng lưới.
Thứ tư, đảm bảo nguyên tắc phần mềm, ứng dụng phải được kiểm tra, đánh giá an toàn trước khi đưa vào sử dụng và sau khi nâng cấp, mở rộng để giảm thiểu tối đa các sự cố gây ra bởi các lỗ hổng bảo mật mới.
Thứ năm, mạng lưới mạnh khi các thành viên mạnh, chú trọng nâng cao năng lực và phát huy vai trò của các thành viên mạng lưới trong hoạt động ứng cứu sự cố.
Ngọc Mai