Không có ai ngoài cuộc

Tư duy về an ninh thông tin phải mang tính hệ thống-purecontent.com

Rất lâu trước khi được luật hóa, vấn đề an ninh, an toàn thông tin đã thu hút sự quan tâm của các cơ quan và các tổ chức xã hội.

Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VN-CERT) đã được thành lập từ năm 2005 (trực thuộc Bộ Thông tin - truyền thông), có chức năng “điều phối hoạt động ứng cứu sự cố máy tính trên toàn quốc; cảnh báo kịp thời các vấn đề về an toàn mạng máy tính; phối hợp xây dựng các tiêu chuẩn, quy chuẩn kỹ thuật về an toàn mạng máy tính; thúc đẩy hình thành hệ thống các CERT trong các cơ quan, tổ chức, doanh nghiệp; là đầu mối trong việc hợp tác với các tổ chức ứng cứu máy tính (CERT) nước ngoài”.

Hiệp hội An toàn thông tin Việt Nam (VNISA) cũng ra đời vào năm 2008, là tổ chức xã hội nghề nghiệp phi lợi nhuận hoạt động trong lĩnh vực bảo mật thông tin, được Nhà nước Việt Nam công nhận.

Trong nhiều năm qua, các hoạt động nhằm nâng cao nhận thức của người dân, doanh nghiệp, tổ chức và cơ quan thuộc khối nhà nước liên tục diễn ra.

Thông qua các hoạt động đó, nguồn nhân lực có chuyên môn sâu về lĩnh vực này cũng đã được chuẩn bị khá tích cực. Trong một bối cảnh như vậy, chúng ta buộc phải đặt câu hỏi là sự chuẩn bị để đương đầu với các nguy cơ đã tương xứng với nhu cầu duy trì một hành lang an toàn về thông tin hay chưa, đặc biệt khi mà thế giới đang biến đổi hằng ngày với tốc độ không thể dự đoán được?

Nhìn nhận những nguy cơ

Ở thời điểm này, không ai còn nghi ngờ về những mối đe dọa từ không gian mạng, khi mà tất cả chúng ta đều đang sống cùng các thiết bị ngày một thông minh hơn và được kết nối liên tục với Internet.

Từ nhà đến công sở, đâu đâu cũng là những tiện ích của đời sống hiện đại ngày càng không thể tồn tại biệt lập. các ứng dụng mà chúng ta sử dụng trong công việc hay chỉ đơn thuần giải trí khi ở nhà cũng được kết nối với Internet, và chúng là các phần tử vô cùng nhỏ bé trong một mạng lưới vô cùng phức tạp và liên kết với nhau.

Động thái mới đây của nhà nước Iran cấm trò chơi điện tử Pokemon Go ở nước này vì những lo ngại liên quan tới an ninh mạng có thể là hơi thái quá, nhưng không hề phi lý khi nhiều trang tin tức công nghệ đã cảnh báo khả năng các mã độc được cài cắm vào trò chơi đang gây sốt này. Sự bất an đến từ chính kết nối đó.

Đầu tiên là thông tin của bất cứ ai cũng dễ dàng bị phơi bày trước hàng tỉ người khác, một cách vô tình hay hữu ý; sau đó là từ bất cứ góc nào của thế giới mạng, người ta cũng có thể lần tới được và “chui” vào một góc khác nếu cái góc ấy không được canh gác cẩn thận; thông tin bị đánh cắp và các hành vi ác ý khác đã xảy ra ngày càng nhiều và càng nguy hiểm bắt đầu từ những sơ hở đó.

Một cách khoa học hơn, người ta đã nhắc đến năm nhóm vấn đề của an ninh thông tin, theo mức độ nghiêm trọng tăng dần:

(1) tội phạm kinh tế và tội phạm mạng đánh cắp những khối lượng lớn thông tin cá nhân và riêng tư; (2) các nhà cung cấp dịch vụ an ninh thông tin tấn công tin tặc trên diện rộng;

(3) rủi ro của việc cơ sở hạ tầng thông tin cốt yếu bị tấn công;

(4) tội phạm mạng có tổ chức triển khai các hình thức tấn công tiên tiến và bền bỉ để đánh cắp bí mật thương mại và an ninh quốc phòng;

và (5) chiến tranh mạng và các cuộc tấn công từ chối dịch vụ trên diện rộng làm tê liệt mạng lưới thông tin quốc gia.

Từ tổng kết đó, không còn có thể nói rằng an ninh thông tin của bản thân mỗi cá nhân, doanh nghiệp, tổ chức không liên quan gì đến an ninh thông tin ở cấp quốc gia, bởi mỗi phần tử bây giờ đã là một phần trong cùng mạng lưới, vì thế, đều có thể bị lợi dụng để thành bàn đạp hay mục tiêu tấn công.

Quản lý có hệ thống

An ninh thông tin và quản lý nó là vấn đề có tính hệ thống. Các chương trình an ninh thông tin của nhiều quốc gia trên thế giới và Việt Nam có cùng cách tiếp cận: nhấn mạnh tính hệ thống và đặt vấn đề từ góc nhìn của quản lý rủi ro.

Khái niệm hệ thống quản lý an ninh thông tin (information security management system, ISMS) đã trở thành phổ quát, nó ngụ ý một khuôn khổ có tính hướng dẫn để người ta có thể theo đó mà triển khai các việc làm và biện pháp cụ thể.

Dù ở quy mô nào, một hệ thống như vậy cũng sẽ dựa vào ba trụ cột: (1) tiếp cận có hệ thống, (2) công nghệ & kỹ thuật, và (3) con người.

Tiếp cận có hệ thống nhấn mạnh việc đảm bảo an ninh thông tin cần dựa trên phương pháp luận về quản lý rủi ro (risk management). Theo đó, các rủi ro cần được nhận diện, phân tích, đánh giá để từ đó chọn ra các biện pháp kiểm soát và xử lý thích hợp.

Cách tiếp cận như vậy sẽ giúp chúng ta tránh được kiểu kiểm soát rủi ro truyền thống (còn gọi là phương pháp thực hành tối thiểu - baseline approach): chú trọng ngay vào các biện pháp cụ thể dựa vào kinh nghiệm chứ không bắt đầu từ đánh giá rủi ro.

Cách tiếp cận có hệ thống yêu cầu người làm công tác hoạch định an ninh thông tin phải trả lời rành rẽ các câu hỏi sau đây một cách có phương pháp: Có những mối đe dọa nào từ môi trường bên ngoài? Những đe dọa đó sẽ có thể tấn công vào đâu?

Mức độ nghiêm trọng nếu tấn công xảy ra? Có bao nhiêu cách ứng phó các rủi ro? Đâu là cách ứng phó hợp lý nhất, khả thi và phù hợp điều kiện thực tế về nguồn lực?

Giờ đây, thông tin gần như luôn đồng nghĩa với thông tin số hóa, được lưu trữ trên mạng, trong một nơi chốn cũng là phần tử của Internet. Đấy là kết quả của một đời sống ngày càng phụ thuộc sâu sắc hơn vào công nghệ và kỹ thuật.

Công nghệ và kỹ thuật làm thay đổi mọi thứ, làm cho tất cả trở nên thông minh hơn, do đó cũng rủi ro hơn. Chẳng hạn khi mọi máy móc, thiết bị gia dụng đều thông minh, gắn liền với một ứng dụng trên di động (app) để người ta theo dõi và điều khiển thì xuất hiện ngay một rủi ro nhãn tiền: chủ nó có thể bị mất quyền điều khiển vào tay người khác.

Một đặc điểm chết người khác của các sản phẩm công nghệ là luôn có lỗ hổng (vulnerability), là chỗ người ta có thể lợi dụng để phá hoại; các lỗ hổng này tồn tại một cách tự nhiên vì không có sản phẩm nào là hoàn hảo, và về nguyên tắc người ta phải vá (patch) chúng thường xuyên.

Các sản phẩm dùng để che chắn các lỗ hổng - thiết bị bảo mật, theo cách gọi thông thường - cũng có lỗ hổng trong chính bản thân chúng; đấy là chưa kể các lỗ hổng cố ý, tức là những lỗ mà người làm ra sản phẩm cố ý không bịt lại, để đó với dụng ý xấu, mà giới chuyên môn gọi là “cửa hậu” (backdoor).

Vì thế, an toàn hay không là câu hỏi phải được đặt ra từ trước khi mua công nghệ hay kỹ thuật. Đấy là câu hỏi dành cho các chuyên gia thực thụ, ở mọi cấp độ.

Hồi tháng 2-2016, Tim Cook, CEO của Apple, đã đăng một lá thư công khai giải thích việc công ty này từ chối để lại những "cửa hậu" như thế trong các thiết bị của họ, dù đã nhận được yêu cầu từ chính phủ Anh và Mỹ.

Trong khi đó, vào đầu năm 2015, nhiều trang công nghệ đã cho biết Chính phủ Trung Quốc đã yêu cầu các công ty công nghệ nước ngoài đầu tư ở quốc gia này phải chấp thuận “các kiểm tra an ninh” của chính quyền, mà giới trong nghề nói không gì khác là để hổng những “cửa hậu” có thể xâm nhập. Nếu các công ty nước ngoài còn đứng trước sức ép như thế, thì không ai biết điều gì xảy ra với các nhà cung cấp thiết bị công nghệ xuất xứ Trung Quốc.

Trụ cột thứ ba của an ninh thông tin là con người: chính họ thiết kế hệ thống quản lý an ninh thông tin và cũng chính họ vận hành hệ thống đó. Và thật không may, con người là điểm yếu nhất của toàn bộ câu chuyện.

Thậm chí, các chuyên gia còn cho rằng hệ thống an toàn nhất là hệ thống có ít người can thiệp nhất. Sự yếu đuối về thể chất và tinh thần của con người là lỗ hổng lớn nhất, và nó còn trở nên nghiêm trọng hơn nữa khi mà con người lại là sinh vật có tình cảm và sống trong các mối quan hệ xã hội chằng chịt.

Nâng cao nhận thức

Tấn công nhắm vào hệ thống và công nghệ đòi hỏi công cụ hiện đại, còn tấn công vào con người thì lại không cần nhiều năng lực kỹ thuật: về bản chất là làm thế nào để đối tượng bị tấn công tự khai ra, tự cung cấp thông tin hay tiếp tay cho các hành động ác ý.

Giới chuyên môn đặt hẳn một thuật ngữ rất khó chuyển sang tiếng Việt để chỉ các tình huống tấn công, khai thác điểm yếu của con người: social engineering (gồm các hành động dụ dỗ, mời mọc, đe dọa và lợi dụng sơ hở).

Đặc biệt hơn, trong môi trường kết nối dày đặc 24/7 với các thiết bị thông minh như hiện nay, để tấn công ai đó về phương diện thông tin, có khi chỉ cần dùng Google là đủ! Mỗi chúng ta - từng con người, từng tổ chức - đang thật sự là một thành tố không thể vắng mặt khi nói đến câu chuyện an ninh thông tin: bắt đầu từ cá nhân, đến nơi ta làm việc, tiếp theo là an ninh quốc gia.

Nhìn thấy các mối nguy là một điều đáng mừng, biết lo lắng khi nhận ra chúng là điều đáng mừng hơn, nhưng thế vẫn chưa đủ. Cái chúng ta cần là những việc làm cụ thể để ngăn ngừa, phòng tránh các mối nguy đó một cách hiệu quả và thích đáng.

Nhận thức của từng cá nhân về vấn đề sẽ làm nên sự khác biệt, và khi nhận thức của xã hội được nâng lên mức tương xứng thì khả năng phòng tránh rủi ro mới nhờ đó mà tốt hơn. Chính nhận thức đó sẽ nâng đỡ các chương trình hành động đúng đắn và cụ thể, thúc đẩy việc tiếp cận vấn đề một cách có hệ thống và nâng cao tính tuân thủ khi đứng trước các yêu cầu về quản lý rủi ro an ninh thông tin.