Trách nhiệm tăng cường năng lực ứng phó linh hoạt của chuỗi cung ứng ICT

0:00 / 0:00
0:00
Chia sẻ của bà Genie Sugene Gan, Giám đốc phụ trách Đối ngoại và Quan hệ Chính phủ, khu vực Châu Á - Thái Bình Dương, Công ty Kaspersky.
Bà Genie Sugene Gan, Giám đốc phụ trách Đối ngoại và Quan hệ Chính phủ, khu vực Châu Á - Thái Bình Dương, Công ty Kaspersky.

Bà Genie Sugene Gan, Giám đốc phụ trách Đối ngoại và Quan hệ Chính phủ, khu vực Châu Á - Thái Bình Dương, Công ty Kaspersky.

Những cái tên như Not Petya, WannaCry, ShadowPad và Sunburst tuy không quen thuộc nhưng đây lại là một số trong những loại mã độc đã và đang gây ra thiệt hại nặng nề trên toàn thế giới.

Gần đây, một trong những loại mã độc này đã được sử dụng để tấn công một công ty lớn chuyên cung cấp các giải pháp bảo mật có trụ sở tại Dublin. Bằng việc tấn công công ty này, hacker đã phát tán mã độc tống tiền đến hàng trăm khách hàng của công ty trên toàn thế giới và yêu cầu mỗi công ty bị lây nhiễm phải nộp tiền chuộc từ 50 ngàn đến 5 triệu đô la Mỹ để được giải mã dữ liệu.

Đầu năm nay, một vụ tấn công khác nhắm vào một công ty cung cấp phần mềm tại Hoa Kỳ để xâm nhập vào chín cơ quan liên bang của quốc gia này, bao gồm Văn phòng Tổng thống, Bộ Ngân khố và Bộ Thương mại Hoa Kỳ.

Các cuộc tấn công này đều có chung một cách thức hoạt động; đó là chúng đều nhằm vào các công ty cung cấp phần mềm hoặc dịch vụ IT để chiếm quyền kiểm soát từ cửa sau trong hệ thống thông tin của các khách hàng, gây thiệt hại cho hàng ngàn hệ thống chỉ với một cuộc tấn công.

Thực tế trên cho thấy, tấn công mạng nhắm vào chuỗi cung ứng ngành công nghệ thông tin và truyền thông (ICT) có xu hướng ngày càng gia tăng. Theo Đơn vị An ninh mạng chung của Liên Minh Châu Âu, tấn công mạng trong năm 2021 có thể tăng gấp bốn lần so với năm 2020. Rủi ro càng được nhân lên khi lỗ hổng an toàn thông tin mạng hiện hữu trong tất cả các cấu phần của chu trình ngành ICT: từ khâu thiết kế, phát triển, sản xuất, phân phối, mua bán và sử dụng cho đến khâu bảo hành sản phẩm.

Thiệt hại do các cuộc tấn công này cũng sẽ tăng lên, tương quan với tính liên thông ngày càng tăng của các hệ thống thông tin của các tổ chức thuộc nhiều ngành nghề và quốc gia khác nhau.

Các cuộc tấn công mạng nhằm vào các cơ quan chính phủ và doanh nghiệp thường gây ra những thiệt hại dễ nhận thấy, tuy nhiên các đối tượng khác không phải là ngoại lệ. Cuộc tấn công mạng vào một chuỗi cửa hàng cung ứng có thể làm tê liệt hoạt động của hàng loạt siêu thị, hoặc hàng triệu máy tính có thể bị lây nhiễm vi-rút chỉ qua một bản cập nhật phần mềm (ví dụ như vụ tấn công ShadowHammer3+1đã được Kaspersky nhanh chóng phát hiện và kịp thời ngăn chặn trong năm 2019). Ngoài ra, tấn công mạng nhằm vào các hệ thống cung cấp dịch vụ y tế và tiện ích công cộng có thể gây gián đoạn việc cung cấp các dịch vụ thiết yếu, gây ảnh hưởng trực tiếp đến cuộc sống thường ngày của người dân.

Nhận thức rõ những rủi ro và hậu quả của các cuộc tấn công mạng nhằm vào chuỗi cung ứng, một số quốc gia đã bắt đầu lên kế hoạch ứng phó. Kể từ năm 2020, các nước trong khu vực Châu Á - Thái Bình Dương như Nhật Bản, Australia đã ban hành và cập nhật chiến lược an toàn thông tin mạng quốc gia. Những nước khác như Việt Nam, Ấn Độ và Indonesia cũng sẽ sớm công bố chiến lược của mình và đồng thời lên kế hoạch chi tiết để triển khai.

Tuy nhiên, có rất nhiều bên liên quan trong việc tăng cường năng lực ứng phó linh hoạt của chuỗi cung ứng ICT do đòi hỏi phải có giải pháp phức hợp. Một số chính phủ đã hành động, chủ yếu tập trung bảo vệ chuỗi cung ứng ICT cho hạ tầng thông tin trọng yếu.

Song, bản chất toàn cầu của chuỗi cung ứng ICT đòi hỏi phải có những biện pháp phối kết hợp ở mọi cấp độ để ứng phó quyết liệt hơn.

Trên phương diện quốc tế, các quốc gia và Tổ chức Quốc tế (như INTERPOL, Liên hợp Quốc, ASEAN, Europol) đã và đang tăng cường phối hợp và chia sẻ kinh nghiệm thực tiễn thông qua các kênh đa phương hoặc, hợp tác song phương.

Trên phương diện quốc gia, các chính phủ cần tiếp tục các nỗ lực nhằm thiết lập một cấp độ chung về an ninh mạng trong tất cả các ngành thông qua việc ban hành luật, nghị định, hướng dẫn, đồng thời tăng cường các hoạt động đào tạo và nâng cao nhận thức. Các quốc gia có thể tham khảo và cân nhắc áp dụng các giải pháp như những ví dụ đã nói ở trên.

Trên phương diện cá nhân, tất cả mọi người đều có trách nhiệm cùng nhau bảo đảm an toàn thông tin mạng. Trong đó, các doanh nghiệp phát triển sản phẩm và quản trị hệ thống an toàn thông tin mạng cần đóng vai trò tiên phong.

Với công ty Kaspersky, chúng tôi tin rằng tính minh bạch trong các cấu phần nội tại và sự gắn kết giữa các chuỗi cung ứng phần mềm là cách tốt nhất để đảm bảo sự toàn vẹn và đáng tin cậy của cơ sở hạ tầng số của chúng tôi. Nguyên tắc này được Kaspersky cụ thể hóa bằng nhiều cách, trong đó có Sáng kiến Minh bạch Toàn cầu. Với sáng kiến này, chúng tôi hoan nghênh các bên thứ 3 đánh giá mã nguồn của chúng tôi. Gần đây, chúng tôi tạo điều kiện cho đối tác và cộng đồng có thể dễ dàng tìm hiểu các sản phẩm của Kaspersky thông qua việc cung cấp hóa đơn nguyên vật liệu phần mềm (software bill of materials) - một danh sách mô tả các cấu phần, thông tin về các cấu phần và mối liên kết giữa chúng.

Chúng tôi thực hiện tiết lộ có trách nhiệm về lỗ hổng bảo mật và trong nhiều trường hợp, cảnh báo các công ty IT về các lỗ hổng trong hệ thống của họ, từ đó có thể phòng tránh các cuộc tấn công nguy hiểm.

An toàn thông tin mạng là trách nhiệm của mỗi người bởi hệ thống thông tin mạng của chúng ta chỉ được củng cố khi các mắt xích yếu nhất của hệ thống được bảo vệ. Để có thể đi trước một bước đối với tội phạm mạng, cần phải có cách tiếp cận toàn diện với sự tham gia của tất cả các bên liên quan.

Chúng ta cần có tầm nhìn xa hơn, không thể chỉ phản ứng thụ động với các mối đe dọa mạng. Thay vào đó, xây dựng một chiến lược lâu dài là vô cùng cấp thiết để thiết kế hệ sinh thái an toàn thông tin mạng, bao gồm việc xây dựng một lộ trình phát triển nhân lực đáp ứng nhu cầu của các đội phản ứng nhanh an toàn thông tin mạng (CERT), nhóm phân tích điều tra số và bộ phận IT, đồng thời cần thiết kế các hệ thống thông tin trọng yếu theo nguyên tắc bảo mật từ khâu thiết kế.

Những ý tưởng trên có thể chưa đầy đủ, nhưng tôi hi vọng đây sẽ là xuất phát điểm để chúng ta có thể cùng nhau suy nghĩ và định hướng để tiếp tục phát triển.

Tin bài liên quan