Đội ứng cứu sự cố: Vai trò quan trọng trong đảm bảo an toàn thông tin mạng

Tuy nhiên, các tấn công mạng càng ngày càng gia tăng, các sự cố an ninh mạng càng ngày càng phức tạp, và các SOC đã trở thành chưa đủ. Họ cần làm gì đó để có thể phản ứng chủ động trước các mối đe dọa tấn công mạng.

Từ đó, các đội ứng cứu sự cố máy tính, sự cố ATTT mạng bắt đầu ra đời, trở thành lực lượng chuyên nghiệp và bài bản trong đảm bảo ATTT mạng. Đó là một nhóm các chuyên gia bảo mật chịu trách nhiệm tiếp nhận, phân tích và ứng phó với các sự cố bảo mật. Các nhóm này có thể trực thuộc vào SOC hoặc không. Các đội này có thể hoạt động độc lập, có thể là một tổ chức chính thức hoặc là một đội đặc nhiệm đặc biệt.

CERT/CSIRT đội đặc nhiệm thầm lặng 

Đội (hoặc nhóm, hoặc trung tâm, hoặc tổ chức…) ứng cứu sự cố ATTT mạng, hay ứng cứu sự cố máy tính, hay ứng cứu khẩn cấp máy tính có tên gọi từ nguồn gốc tiếng Anh là Computer Emergency Response Team (CERT) hoặc Cyber Security Incident Response Team (CSIRT), hoặc IRT (Incident Response Team); CIRT (Computer Incident Response Team); SERT (Security Emergency Response Team). 

Đây là một lực lượng có đối tượng phục vụ rõ ràng: đó có thể là các khách hàng, các đối tác, các cá nhân, tổ chức mà đội có trách nhiệm phải hỗ trợ để giúp phòng ngừa các tấn công mạng và xử lý được các sự cố ATTT mạng. 

Các hoạt động mà đội cung cấp cho các đối tượng phục vụ đó được gọi là các “dịch vụ” (service). Các dịch vụ này đa dạng, theo ENISA (Cơ quan ATTT Liên minh châu Âu), có thể chia làm 3 nhóm chính: các dịch vụ ứng cứu, các dịch vụ dự phòng chủ động và các dịch vụ quản lý chất lượng (1).

Đội ứng cứu sự cố ATTT mạng đầu tiên trên thế giới được thành lập năm 1988 tại Trường Đại học Carnegie Mellon, Hoa Kỳ và có tên là Trung tâm Ứng cứu khẩn cấp máy tính (CERT), sau này là Trung tâm điều phối Ứng cứu khẩn cấp máy tính (CERT/CC). 

Và tại Việt Nam, đội ứng cứu đầu tiên chính là Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) được thành lập năm 2005 và đến nay đổi tên thành Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC). 

Theo thời gian, các đội, nhóm, trung tâm, tổ chức tương tự ra đời và có các tên gọi đa dạng hơn như trên, với chức năng, nhiệm vụ của mỗi đội tại mỗi quốc gia có thể có khác nhau một phần nào đó; tuy nhiên, bản chất của một đội ứng cứu sự cố máy tính hay sự cố không gian mạng, sự cố thông tin mạng là không đổi. 

Mục tiêu của nhóm ứng phó sự cố là điều phối và sắp xếp các nguồn lực chính và các thành viên trong nhóm trong khi xảy ra sự cố an ninh mạng để giảm thiểu tác động và khôi phục hoạt động nhanh nhất có thể. Điều này bao gồm các chức năng quan trọng sau: điều tra và phân tích, truyền thông, đào tạo và nâng cao nhận thức cũng như phát triển tài liệu và dòng thời gian.

Khi nói về đội, nhóm này, Liên minh Viễn thông Quốc tế (ITU), tổ chức quốc tế lớn nhất thế giới về viễn thông và CNTT, dùng cụm từ CIRT. ITU đã có chiến dịch mở rộng thực hiện đánh giá hiện trạng các tổ chức CIRT có trách nhiệm điều phối quốc gia ở trên 80 nước, hỗ trợ xây dựng CIRT ở 17 nước khác và đã triển khai một loạt dự án hỗ trợ phát triển năng lực cho các tổ chức CIRT này. 

ITU cũng đã ban hành nhiều tài liệu hướng dẫn, tham khảo cho các quốc gia thành viên trong lĩnh vực ứng cứu sự cố. Hàng năm, ITU ban hành bộ chỉ số về ATTT có tên “Global Cybersecurity Index” (GCI) dựa trên khảo sát toàn diện 5 khía cạnh: pháp lý, kỹ thuật, tổ chức, phát triển năng lực và hợp tác. Trong đó, tiêu chí về đội ứng cứu sự cố ATTT mạng chiếm tỷ trọng lớn của khía cạnh kỹ thuật trong chỉ số đánh giá GCI (2). 

Còn trong bài viết này, đội ứng cứu sự cố nói trên sẽ được gọi bằng từ CSIRT. So với CIRT thì CSIRT cũng là từ viết tắt phổ biến hơn. 

Chưa có con số tổng thể các CSIRT trên toàn cầu; tuy nhiên, có thể nói, hiện nay, tất cả các nước đã có hoạt động đảm bảo ATTT, tất cả các doanh nghiệp (DN) về CNTT trên thế giới đều có các đội CERT, CSIRT. Chỉ riêng Diễn đàn các trung tâm an ninh và ứng cứu sự cố (FIRST) đã có 612 thành viên từ 99 quốc gia và vùng lãnh thổ (3). 

Các đội ứng cứu sự cố có sứ mệnh từ khi sinh ra là để thực thi các hoạt động hợp tác, phối hợp trong phòng chống các tấn công mạng, để giảm thiểu thiệt hại, giảm thiểu rủi ro và khôi phục nhanh nhất các hoạt động của tổ chức. Do vậy, tại các khu vực từ nhỏ đến lớn đều có các mạng lưới liên kết các CERT, CSIRT này. 

Tại Việt Nam có Mạng lưới ứng cứu sự cố ATTT mạng quốc gia được thành lập theo Quyết định số 05/2017/QĐ-TTg ngày 16/03/2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm ATTT mạng quốc gia. Quyết định này cũng quy định rõ về việc thành lập các đội ứng cứu sự cố tại các đơn vị chuyên trách về ứng cứu sự cố ATTT mạng của các tổ chức. 

Với sự đồng thuận rất cao trên toàn cầu về mục đích, cơ cấu, yêu cầu đối với một đội ứng cứu sự cố nên CSIRT ngày càng xuất hiện nhiều, là một tổ chức kỹ thuật đơn thuần, không phụ thuộc vào bất kể thể chế chính trị nào. Cũng vì đặc điểm này, giống như thể thao, CSIRT đạt mức độ toàn cầu hóa rất nhanh, là nơi tin cậy để liên lạc, trao đổi thông tin nhằm xử lý nhanh nhất các sự cố mạng xảy ra trên diện rộng.

Mức độ trưởng thành của CSIRT 

Trải qua hơn 30 năm phát triển, CSIRT được các chuyên gia trên thế giới chuẩn hóa mô hình. Đã có rất nhiều tiêu chuẩn được đưa ra để đối chiếu, so sánh và đánh giá nhằm giúp các CSIRT có định hướng, kế hoạch, chiến lược phát triển phù hợp. Mô hình phổ biến nhất hiện nay có tên “Security Incident Management Maturity Model” (SIM3) - Mô hình đánh giá mức độ trưởng thành trong quản lý sự cố ATTT (4). 

SIM3 phù hợp nhất cho đánh giá các CSIRT điều phối quốc gia. Tuy nhiên, một  tổ chức CSIRT cơ bản thì dù có trách nhiệm ở cấp độ nào cũng phải đạt các yêu cầu trụ cột để có thể hoàn thành nhiệm vụ của mình. Do vậy, có thể dùng SIM3 để đánh giá tất cả các CSIRT, chỉ thay đổi ở các thang điểm đánh giá để linh hoạt với mức độ quan trọng của từng yếu tố của các đội ứng cứu sự cố khác nhau. 4 nhóm trụ cột đó là: tổ chức, con người, công cụ, quy trình. 

Tiêu chí về tổ chức: Đây là tiêu chí đầu tiên để có một CSIRT thành công. Khi một đội, nhóm hình thành có vị trí, chức năng, nhiệm vụ cụ thể, có điều lệ hoạt động, cơ cấu tổ chức rõ ràng sẽ là cơ sở cho sự gắn kết trong tổ chức. Các quy định liên quan trách nhiệm và quyền hạn của đội đảm bảo đội hoạt động đúng định hướng để đạt được các mục tiêu đề ra. CSIRT là đội ngũ gắn liền với các sự cố ATTT, các tấn công mạng, các lỗ hổng phần mềm… do đó, việc phân loại sự cố, bảo mật thông tin, có các cơ chế phối hợp trong và ngoài CSIRT là yếu tố tiên quyết để xây dựng một tổ chức phát triển.

Tiêu chí về con người: Tài sản quan trọng nhất của một đội ngũ chính là các thành viên của đội ngũ ấy. CSIRT có đặc thù riêng, không làm việc theo các tiêu chuẩn dây chuyền cứng nhắc của nhà máy. Công việc của đội ứng cứu sự cố có chuyên môn cao, được thực hiện trong môi trường thử thách và thường xuyên chịu áp lực về thời gian. Do đó, tuyển dụng được các nhân sự phù hợp, thực hiện đào tạo và giữ chân nhân tài được ít nhất một số năm để đạt hiệu quả tối đa là điều quan trọng cho sự thành công của CSIRT. 

Nhân sự làm việc tại CSIRT cần tuân thủ các quy tắc ứng xử chuẩn mực, có cam kết đạo đức nghề nghiệp. ATTT là lĩnh vực thuộc về an ninh, bảo vệ tài sản thông tin và có ranh giới giữa chấp hành và vi phạm pháp luật rất dễ bị phá vỡ. Người làm trong lĩnh vực này do vậy phải ý thức được và tự tu dưỡng bản thân để có thể đảm bảo cam kết về bảo vệ các quyền lợi của khách hàng, đối tác mà họ phục vụ. 

Trong đánh giá về năng lực và mức độ trưởng thành của một CSIRT, thì khả năng dự phòng về nhân sự chủ chốt được tính là yếu tố bắt buộc. Một CSIRT cần ít nhất 3 thành viên. Khi trong đội có người có thể nghỉ phép, có người bị ốm thì vẫn có một thành viên bao quát các nhiệm vụ cơ bản của CSIRT. Các nhân sự tuyển dụng vào CSIRT cần có trình độ và các kỹ năng theo quy định, phù hợp vị trí, việc làm, chức danh cần có. 

Ngoài ra, trong quá trình hoạt động, CSIRT cũng thực hiện đào tạo liên tục đội ngũ của mình: từ đào tạo nội bộ, đến cho tham dự các khóa học bên ngoài tổ chức; từ đào tạo kỹ thuật đến đào tạo về giao tiếp, về truyền thông. 

Tiêu chí về công cụ: Trong lĩnh vực ATTT, nếu không có công cụ thích hợp, CSIRT không thể hoàn thành nhiệm vụ. Đặc biệt khi số lượng các sự cố tăng lên, các công cụ, đặc biệt công cụ xử lý tự động đóng vai trò chính trong xử lý các vấn đề. Các công cụ mà bất cứ CSIRT nào cũng cần có là: danh sách tài nguyên CNTT, hệ thống thư điện tử hợp nhất, hệ thống điện thoại, hệ thống theo dõi sự cố, xử lý sự cố. 

Tiêu chí về quy trình: Đó chính là các chính sách, kế hoạch, quy trình, hướng dẫn cho mọi hoạt động của CSIRT, được viết theo những cách ngắn gọn và đơn giản, đồng thời dễ sử dụng. Nhiều CSIRT đưa các quy trình lên các trang wiki nội bộ, vì vậy mọi thành viên của đội thể dễ dàng truy cập. Một số quy trình tiêu biểu: quy trình phát hiện mối đe dọa và sự cố, quy trình xử lý sự cố, quy trình xử lý thông tin, quy trình cung cấp thông tin cho báo chí, truyền thông, cung cấp cho các bên pháp lý, quy trình bảo mật nội bộ.

Hiện trạng các CSIRT tại Việt Nam 

Hành lang pháp lý tại Việt Nam đã được xây dựng khá đầy đủ và bài bản để thúc đẩy việc thành lập và phát triển các đội CSIRT. Đối với các cơ quan nhà nước thì đây là nhiệm vụ bắt buộc. 

Hiện cả nước có khoảng gần 300 tổ chức đã có đội ứng cứu sự cố trực thuộc các Bộ, các cơ quan ngang Bộ, cơ quan trực thuộc Trung ương, các tỉnh, thành phố, các doanh nghiệp, tổ chức. Phần lớn các CSIRT này đều đã tham gia Mạng lưới ứng cứu sự cố ATTT mạng quốc gia được thành lập theo Quyết định 05/2017/QĐ-TTg ngày 16/3/2017 đã nói ở trên. 

Trong thực tế, nhiều CSIRT đã là tổ chức mạnh, hoạt động bài bản, như CSIRT từ một số tập đoàn CNTT  lớn, các công ty chuyên về an ninh, bảo mật. Nhưng phần lớn, lực lượng này tại các địa phương đều là kiêm nhiệm và thiếu trình độ, kỹ năng chuyên sâu để có thể làm tốt vai trò của mình. 

Một tổ chức CSIRT trưởng thành cần hoàn thiện cả bốn khía cạnh về tổ chức, con người, công cụ, quy trình. Thì tại Việt Nam, rất ít CSIRT đạt được điều này. Phần lớn các CSIRT trong trạng thái bị động, chỉ hoàn thành các yêu cầu tối thiểu khi được đề nghị. Trong nhiều trường hợp, sự cố xảy ra, CSIRT cũng không hoàn thành được trách nhiệm mà cần phải có sự hỗ trợ từ các cấp trung ương và từ các DN bên ngoài. 

Tại Hội thảo có tên “Cải thiện năng lực phòng thủ thông qua hoạt động diễn tập thực chiến ATTT” được tổ chức ngày 03/3/2022 tại Đà Nẵng cho khu vực miền Trung và Tây Nguyên, hầu hết lãnh đạo các Sở TT&TT đều nêu ra khó khăn này. Việc tuyển dụng được nhân sự có trình độ CNTT khá giỏi đã rất khó, tuyển dụng được các kỹ sư có chứng chỉ về ATTT lại càng vô cùng khó. 

Ngoài ra, việc giữ chân các nhân sự này luôn là một thách thức. Ý thức về tầm quan trọng của lực lượng tại chỗ, phần lớn các Lãnh đạo Sở đều đề xuất phải tổ chức đào tạo chuyên ngành cho các lực lượng địa phương, có kinh phí mua sắm các công cụ công nghệ và có các định mức chi cho ATTT để làm căn cứ triển khai các hoạt động. 

Việc hợp tác giữa các chuyên gia kỹ thuật cũng là mong muốn của tất cả các đơn vị. Khi có các tấn công mạng xảy ra, xuất hiện các sự cố ATTT thì mạng lưới này là nơi để các kỹ thuật viên chia sẻ thông tin, kinh nghiệm, tư vấn, hỗ trợ lẫn nhau để khắc phục. Hiện nay, hoạt động này cũng chưa thực sự hiệu quả do một số tâm lý e ngại cá nhân trong giao tiếp cũng như do bối cảnh, môi trường chưa thuận lợi cho việc thúc đẩy các quan hệ kết nối này.

Khuyến nghị định hướng phát triển các CSIRT tại Việt Nam 

Quyết định số 1622/QĐ-TTg ngày 25/10/2017 phê duyệt đề án đẩy mạnh hoạt động của Mạng lưới ứng cứu sự cố, tăng cường năng lực cho các cán bộ, bộ phận chuyên trách ứng cứu sự cố ATTT mạng trên toàn quốc đến năm 2020, định hướng đến năm 20215; và Thông tư số 20/2017/ TT-BTTTT ngày 12/9/2017 quy định về điều phối, ứng cứu sự cố ATTT mạng trên toàn quốc là hai văn bản quan trọng đưa ra các định hướng phát triển cho các CSIRT. Hiện tại, các hoạt động để phát triển các CSIRT tập trung vào hoạt động diễn tập, đào tạo là chính. 

Trước hết, cần có kế hoạch tổng thể về phát triển tổ chức trong ngắn hạn và dài hạn để làm rõ lộ trình phát triển của các CSIRT. Hiện nay, có khá nhiều các kế hoạch được đưa ra nhưng mới chỉ dừng lại ở các kế hoạch triển khai từng nhiệm vụ cụ thể. Có thể dựa vào SIM3 để đưa ra kế hoạch tổng thể này và cần sự chung tay của tất cả các cấp lãnh đạo, quan lý, các DN và người dân cùng thống nhất triển khai.

Trong lĩnh vực ATTT, Chính phủ đã có nhiều chỉ đạo cụ thể, có chiến lược triển khai, có các dự án về tuyên truyền nâng cao nhận thức, về đào tạo nguồn lực ATTT, về giám sát, cảnh báo sự cố với một nguồn ngân sách rất lớn. Tuy nhiên, đối với riêng các CSIRT, chưa có các dự án cụ thể, chưa có chỉ đạo cụ thể và chưa có nguồn kinh phí riêng cho việc nâng cao năng lực của đội ngũ này. 

Hợp tác trong nội bộ, hợp tác ngoài ngành, hợp tác khu vực, hợp tác quốc gia và quốc tế là điều kiện cần thiết để phát triển CSIRT. Đây cũng là tiêu chí mà ITU tính điểm để đánh giá chỉ số ATTT của mỗi quốc gia. Vì vậy, hợp tác trong ATTT, chính là hợp tác của các CSIRT. Phát triển các quan hệ hợp tác này là định hướng phát triển quan trọng của các đội ứng cứu sự cố ATTT mạng.

Trong công cuộc chuyển đổi số (CĐS) hiện nay, sự phát triển của chính phủ số, kinh tế số, xã hội số đòi hỏi lực lượng tinh nhuệ về an ninh mạng, ATTT thì chính các CSIRT là hạt nhân đáp ứng được các yêu cầu này. Do vậy, việc thành lập các CSIRT cần được thực hiện song hành với thiết lập các hệ thống công nghệ số. ATTT cần được thực hiện từ khâu thiết kế, thì các CSIRT cần có mặt ngay khi vận hành các trung tâm kỹ thuật. 

Dự kiến trong năm 2022, Bộ TT&TT sẽ ban hành Bộ tiêu chí đánh giá năng lực các CSIRT. Trên cơ sở đó, tất cả các CSIRT trên toàn quốc có thể sử dụng bộ tiêu chí để rà soát lại hiện trạng tổ chức mình và đưa ra các lời giải cho bài toán thiếu hụt nhân sự, công cụ, quy trình của đơn vị. Qua đó, các cấp quản lý, các nhà lãnh đạo sẽ sâu sát hơn trong chỉ đạo điều hành và đưa ra được các chính sách phù hợp để thúc đẩy sự phát triển của mạng lưới các CSIRT này. 

Việc xây dựng và phát triển các CSIRT tại mỗi đơn vị, mỗi địa phương cần có các chính sách khuyến khích, hỗ trợ, cần sự hướng dẫn của các đơn vị chuyên môn của Chính phủ. Có thể coi mỗi CSIRT như một Ban chỉ huy quân sự của địa phương hay của tổ chức. Mạng lưới Ban chỉ huy quân sự này càng lớn mạnh thì việc đảm bảo an ninh trên không gian mạng cho người dân càng được thực hiện tốt. Do an ninh mạng, ATTT là lĩnh vực chuyên sâu, đòi hỏi chuyên môn nghiệp vụ đặc biệt, nên CSIRT càng cần được chú trọng đầu tư để phát triển và gánh vác trách nhiệm giúp đỡ cộng đồng.

Bộ Nội vụ cần đưa ra biểu biên chế chính thức cho CSIRT tại các cơ quan nhà nước từ Trung ương đến địa phương. Các DN công nghệ, các DN kinh doanh tham gia chuyển đổi số mạnh mẽ cũng cần có các CSIRT của riêng mình. Bộ TT&TT cần tuyên truyền nâng cao nhận thức của cộng đồng và hỗ trợ các tổ chức việc thành lập và phát triển các CSIRT. 

Vai trò của đội ứng cứu sự cố ATTT mạng sẽ dần dần được nhận thức sâu sắc hơn tại Việt Nam. Trên thế giới, trong các chiến lược an toàn mạng của tất cả các nước phát triển nhất, vai trò này luôn được nhấn mạnh hàng đầu và được giao các trọng trách đặc biệt. Mọi liên minh, hiệp hội quốc tế liên quan CNTT cũng dành những phần nội dung lớn cho các thảo luận chuyên đề về vị trí, trách nhiệm của CSIRT trong xây dựng một tương lai thịnh vượng cho toàn cầu. 

Để bắt đầu sự lớn mạnh của ngành ATTT, để xây dựng một Việt Nam hùng cường về an ninh mạng, hãy khởi động sự lớn mạnh từ những đội ứng cứu sự cố nhỏ nhất, từ những CSIRT!./.

Tài liệu tham khảo:

1. https://www.enisa.europa.eu/topics/csirt-cert-services

2. https://www.itu.int/itu-d/sites/cybersecurity/

3. https://www.first.org/

4. https://www.trusted-introducer.org

(Bài đăng ấn phẩm in Tạp chí TT&TT số 3 tháng 3/2022)