Bảo vệ hạ tầng công nghệ thông tin trọng yếu Quốc gia: Mô hình tổ chức và cơ chế phối hợp hoạt động
Đó là quan điểm xây dựng một cơ chế hữu hiệu bảo đảm hoạt động an toàn cho hạ tầng CNTT quốc gia bên cạnh các cơ chế an toàn nội tại riêng của các thành phần trong Hạ tầng.
Cơ chế bảo đảm an toàn hạ tầng CNTT quốc gia được hình thành sau khi Hạ tầng đã đi vào hoạt động nhằm đảm bảo cho hạ tầng CNTT hoạt động an toàn và hiệu quả. Với quan điểm như vậy thì cơ chế bảo đảm an toàn hạ tầng CNTT quốc gia là cơ chế bảo vệ vòng thứ hai (vòng thứ nhất là xây dựng lên hạ tầng CNTT quốc gia từ mạng CNTT của các bộ, ngành, doanh nghiệp và các tổ chức khác với các chức năng an toàn thông tin (ATTT) cần thiết đã được tích hợp).
Đảm bảo ATTT tại vòng thứ nhất là trách nhiệm của các cơ quan, tổ chức quản lý và vận hành các mạng CNTT bao gồm các cơ chế an toàn, các thiết bị an ninh, và nhân lực đảm bảo an ninh thông tin. Như vậy, cơ chế bảo đảm an toàn hạ tầng CNTT quốc gia là cơ chế phòng, chống và tạo kháng thể miễn dịch cho hạ tầng CNTT quốc gia bên cạnh khả năng bảo đảm an toàn nội tại của các thành phần trong Hạ tầng. Mô hình như vậy đã được xem xét và áp dụng tại các quốc gia phát triển trên thế giới ( Mỹ, các nước Tây Âu…).
Hạ tầng CNTT trọng yếu quốc gia là những thành phần trong Hạ tầng CNTT Quốc gia mà việc phá hoại chúng sẽ làm ảnh hưởng tới các lĩnh vực hoạt động quan trọng của quốc gia, ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội.
Hình 1. Mô hình bốn chức năng của Đơn vị CIIP
Bảo vệ hạ tầng thông tin trọng yếu là một thành phần quan trọng của chính sách ATTT quốc gia. Một số quốc gia đã thiết lập các cơ quan và các hệ thống bảo vệ hạ tầng thông tin trọng yếu một cách toàn diện và gắn liền với hệ thống các cơ quan của chính phủ và các tổ chức liên quan. Mô hình bảo vệ hạ tầng thông tin trọng yếu của mỗi quốc gia có những điểm khác nhau, phụ thuộc vào tài nguyên thông tin, mức độ tin học hóa các hoạt động của xã hội, tiềm lực về CNTT… cũng như các vấn đề liên quan tới bảo vệ an ninh thông tin quốc gia. Tuy nhiên, thường có một mô hình chung là hình thành một tổ chức chịu trách nhiệm chính trong việc điều phối, thực hiện các chức năng bảo vệ hạ tầng thông tin trọng yếu quốc gia được gọi là Đơn vị Bảo vệ hạ tầng thông tin trọng yếu (CIIP – Critical Information Infrastructure Protection). Dưới đây giới thiệu các chức năng cơ bản và mô hình tổ chức của đơn vị này.
I. Chức năng cơ bản của Đơn vị CIIP
Những chức năng cơ bản, được ví như bốn trụ cột chính trong “ngôi nhà” CIIP bao gồm: Ngăn chặn và cảnh báo sớm (Prevention and Early Warning); Phát hiện (Detection); Phản ứng (Reaction) và Quản lý khủng hoảng (Crisis Management) (hình 1).
Hình 2. Sự kết hợp ba thành phần của Đơn vị CIIP
Sau đây chúng ta phân tích cụ thể về các chức năng này.
1. Ngăn chặn và cảnh báo sớm (Prevention and Early Warning)
Ngăn chặn và cảnh báo sớm là chức năng cốt yếu của Đơn vị CIIP nhằm làm giảm số lượng các vi phạm ATTT. Do các mối đe dọa tới Hạ tầng thông tin trọng yếu đa dạng, phụ thuộc lẫn nhau và phức tạp nên không thể cùng một lúc ngăn chặn tất cả các sự cố.
Mục tiêu hiện thực hơn là đảm bảo rằng các hạ tầng trọng yếu ít bị tổn thương, các hư hại xảy ra trong thời gian ngắn và trong phạm vi hạn chế, các dịch vụ sẵn sàng để phục hồi khi các sự cố xảy ra. Như vậy, các tổ chức vận hành trong hệ thống hạ tầng trọng yếu phải được chuẩn bị để đối phó với các sự cố khi chúng xảy ra.
2. Phát hiện (Detection)
Phát hiện là chức năng thứ hai, nhằm tăng cường tính an toàn và tránh các tổn thương tới hệ thống, đặc biệt là những đe dọa mới phải được phát hiện trong thời gian nhanh nhất. Để nhận biết các đe dọa một cách kịp thời, các tổ chức tham gia CIIP cần có mối quan hệ hợp tác trong phạm vi quốc gia và quốc tế. Chẳng hạn, các chuyên gia kỹ thuật từ các đội CERT có thể cung cấp các thông tin về kỹ thuật của các tấn công mới. Hơn nữa, các phân tích phi kỹ thuật và thông tin về các tình huống rủi ro chung là cần thiết (ví dụ thông tin về các tổ chức tội phạm). Chính vì vậy, Đơn vị CIIP cần được cung cấp các thông tin tình báo liên quan. Ngoài ra, thông tin kỹ thuật cũng như phi kỹ thuật cần được chia sẻ với các đối tác quốc tế vì hiện nay các đe dọa đến ATTT là không giới hạn về biên giới địa lý.
3. Phản ứng (Reaction)
Phản ứng bao gồm việc nhận ra và khắc phục các nguyên nhân gây ra sự cố. Ban đầu, tổ chức CIIP cần phải cung cấp và hỗ trợ kỹ thuật cho tổ chức gặp sự cố. Tuy nhiên, các hoạt động của tổ chức CIIP chỉ đóng vai trò bổ sung và không thay thế các nỗ lực của bản thân các tổ chức bị xảy ra sự cố. Tổ chức CIIP thường tư vấn và hướng dẫn về việc ngăn chặn sự cố hơn là cung cấp các giải pháp trọn gói.
4. Quản lý khủng hoảng (Crisis Management)
Quản lý khủng hoảng là một phần của CIIP nhằm làm giảm thiểu những hiệu ứng bất lợi khi sự cố xảy ra. Chính vì vậy, Đơn vị CIIP phải được đặt trong hệ thống quản lý khủng hoảng quốc gia và có khả năng tiếp cận trực tiếp đến những người ra quyết định và những cơ quan có trách nhiệm để giải quyết các tình huống xảy ra. Trong trường hợp khủng hoảng quốc gia, Đơn vị CIIP phải có khả năng đưa ra các ý kiến tư vấn trực tiếp cho chính phủ.
II. Các thành phần cơ bản của Đơn vị CIIP
Theo mô hình bốn trụ cột chức năng nêu trên, Đơn vị CIIP phải được thiết lập dựa trên các tổ chức thành phần có chức năng hỗ trợ lẫn nhau, bao gồm:
- Cơ quan thuộc Chính phủ (Governmental Agency) có vai trò quản lý, chỉ đạo và giám sát ở cấp chiến lược (Cơ quan chỉ huy CIIP).
- Trung tâm phân tích thông tin (Analysis Center) có những mối liên hệ chặt chẽ với cơ quan tình báo (Trung tâm phân tích tình huống).
- Trung tâm kỹ thuật chuyên gia (Technical Center of Expertise) bao gồm các thành viên chính của CERT Quốc gia (các đội CERT).
Hình dưới đây cho thấy sự kết hợp tương tác giữa ba thành phần để tạo nên Đơn vị CIIP.
1. Vai trò chỉ đạo và giám sát chiến lược
Thành phần thứ nhất của Đơn vị CIIP có trách nhiệm chỉ đạo và giám sát chiến lược, do đó nó phải là một cơ quan thuộc chính phủ. Cơ quan chỉ huy của Đơn vị CIIP cần phải có năng lực mạnh về CNTT và ATTT cũng như năng lực bảo vệ. Những vấn đề này liên quan đến hàng loạt các cơ quan và bộ, ngành khác nhau, bao gồm cả lực lượng quân đội, bảo vệ an ninh quốc gia, các đơn vị chống tội phạm công nghệ cao….
Ngoài ra, Cơ quan chỉ huy của Đơn vị CIIP cần phải được đặt ở vị trí cần thiết trong hệ thống cơ quan của Chính phủ nhằm đảm bảo rằng chức năng của Đơn vị CIIP được đề cập đến trong các chính sách có liên quan của Chính phủ. Và cuối cùng, Cơ quan chỉ huy của Đơn vị CIIP phải nhận được sự tin cậy của các tổ chức không thuộc khu vực nhà nước.
2. Khả năng phân tích thông tin
Thu thập và phân tích thông tin đe dọa đến ATTT là những nhiệm vụ đòi hỏi phải có sự phối hợp ở cấp quốc gia và quốc tế. Kinh nghiệm của các quốc gia sẽ rất có giá trị trong việc đấu tranh chống lại tội phạm điện tử. Trong mỗi quốc gia, Đơn vị CIIP cần có mối quan hệ chặt chẽ với cơ quan tình báo trong quá trình phân tích thông tin.
3. Khả năng kỹ thuật
Tại nhiều quốc gia, các đội CERT (ứng cứu khẩn cấp sự cố máy tính) có trách nhiệm đối với các vấn đề kỹ thuật về ATTT, sẵn sàng ứng cứu khi có sự cố xảy ra và tham gia ngăn chặn các sự cố bằng việc cung cấp thông tin, đưa ra các cảnh báo và các ý kiến tư vấn. Các đội CERT được thiết kế như các trung tâm kỹ thuật được vận hành bởi các chuyên gia ATTT.
Đối tác chính của Đơn vị CIIP là các cơ quan, tổ chức quản lý và vận hành những hạ tầng thông tin quan trọng của quốc gia.
Để có thể hình dung một quy trình phản ứng của Đơn vị CIIP, chúng ta xem xét một trường hợp giả định: xảy ra tấn công lấy cắp thông tin khách hàng (Phishing Attacks) của một ngân hàng là một trong những đối tác chính của Đơn vị CIIP.
Pha 1. Phát hiện tấn công: Tấn công có thể được phát hiện do phía nhân hàng, phía khách hàng hoặc do sự theo dõi, điều tra của Đơn vị CIIP.
Pha 2. Phản ứng sự cố: Quá trình phản ứng được bắt đầu ngay lập tức. CERT ra thông báo tắt các máy chủ bị tấn công (kể cả khi chúng đặt tại nước ngoài). Đơn vị CIIP lọc các thông tin bị đánh cắp bằng việc kích hoạt các bộ lọc trên mạng. Trung tâm phân tích tình huống thông báo cho ngân hàng bị tấn công về các biện pháp được áp dụng và thông báo cho công chúng về loại tấn công này. Quá trình này được hoàn thành sau ba ngày xảy ra sự cố tấn công.
Pha 3. Những ứng cứu tiếp theo: Việc “học” từ các sự cố là một phần quan trọng để xây dựng các biện pháp bảo vệ sau này. CERT nghiên cứu các đặc tính kỹ thuật của tấn công và thảo luận với các chuyên gia trong nước và quốc tế. Trong khi đó, các nhà phân tích của Trung tâm phân tích tình huống đưa ra báo báo cuối cùng của sự cố ngân hàng bị tấn công. Các bài học sẽ được phổ biến cho các thành viên khác của CIIP. Để truy tố tội phạm, trên cơ sở khuyến cáo của Đơn vị CIIP, ngân hàng liên hệ với nhà chức trách và cung cấp các kết quả nghiên cứu để cơ quan pháp lý làm việc.
Tổng kết quá trình: Việc giải quyết sự cố có thể hoàn thành sau vài ngày. Việc này chỉ có thể đạt kết quả khi Đơn vị CIIP hợp tác với hàng loạt các đối tác trong nước và quốc tế và Trung tâm phân tích tình huống cùng đội CERT chia sẻ công việc hiệu quả.
III. Kết luận
Bảo vệ hạ tầng thông tin trọng yếu là nhiệm vụ chung của tất cả các cơ quan, tổ chức trong mỗi quốc gia chứ không phải nhiệm vụ của từng bộ, ngành hay doanh nghiệp, khu vực kinh tế đơn lẻ. Mỗi quốc gia cần xây dựng thiết chế để hình thành Đơn vị CIIP và triển khai hoạt động sớm để bảo đảm an toàn cho hạ tầng thông tin thiết yếu cũng như hạ tầng CNTT của quốc gia của mình.
Đơn vị CIIP của các quốc gia cần phải kết nối và phối hợp hành động với nhau thì mới có thể phòng, chống một cách hiệu quả các tấn công điện tử trên phạm vi toàn cầu cũng như các sự cố xảy ra đối với Hạ tầng thông tin trong yếu của các quốc gia, và Việt Nam cũng không phải là một ngoại lệ.