Phối hợp “tác chiến” công và tư để bảo vệ hạ tầng trọng yếu

Năm 2020, COVID-19 thúc đẩy quá trình chuyển đổi sang làm việc từ xa và vì thế, các cuộc tấn công mạng càng trở nên dễ thực hiện hơn, các cuộc tấn công ransomware đã tăng nhanh và tiếp tục tăng tốc vào năm 2021. 9 tháng qua, chỉ riêng các cuộc tấn công mạng tại nước Mỹ đã tăng 300%, trong đó có hơn 60% các cuộc tấn công ransomware nhắm vào các ngành có cơ sở hạ tầng quan trọng, dẫn đầu là chăm sóc sức khỏe, điện nước và sản xuất. Theo số liệu của hãng công nghệ phần mềm Check Point, các nhà cung cấp dịch vụ thiết yếu như điện, nước tại Mỹ đã bị tấn công 300 lần mỗi tuần với mức tăng 50% chỉ trong hai tháng.

Mục tiêu chính của tội phạm mạng là mạng lưới công nghệ vận hành (Operational Technology - OT), kết nối với các Hệ thống điều khiển công nghiệp (ICS). Hệ thống này quản lý cơ sở hạ tầng quan trọng của đất nước. Các dịch vụ như lưới điện, cơ sở xử lý nước, hệ thống giao thông và chăm sóc sức khỏe ngày càng tích hợp sâu hệ thống công nghệ hoạt động với Internet vạn vật (IoT) - ví dụ như thông qua các cảm biến và giám sát từ xa - điều này tạo ra một biên giới rủi ro mới trong đó hàng triệu điểm dễ bị tổn thương và các vectơ mới có thể bị tin tặc khai thác.

Những cuộc tấn công này có tác động rất lớn không chỉ đối với các doanh nghiệp (DN) mà còn đối với cộng đồng, thành phố, tiểu bang và toàn bộ quốc gia. Hậu quả của chúng có thể rất thảm khốc. Vào tháng 4/2020, tin tặc đã nhắm mục tiêu vào các cơ sở xử lý nước của Israel thông qua hệ thống IoT của họ, cho phép những kẻ tấn công có khả năng thay đổi áp suất nước, nhiệt độ và nồng độ Clo trong nước. Nếu cuộc tấn công hoàn toàn thành công, điều này có thể gây nguy hiểm cho sức khỏe của toàn bộ cộng đồng do nguồn cung cấp nước bị ảnh hưởng hoặc gây ra tình trạng cắt nước nước diện rộng.

Tin tặc khai thác hệ thống IoT như thế nào?

Các thiết bị IoT và hệ thống kết nối có thể là một rủi ro bảo mật lớn đối với các dịch vụ cơ sở hạ tầng quan trọng khi các phương pháp bảo mật tốt nhất không được triển khai. Nguyên nhân của sự yếu kém này nằm ở một số lý do như: Thiếu tiêu chuẩn hóa trong các nguyên tắc an ninh mạng trên toàn bộ chuỗi cung ứng, dẫn đến nguy cơ hệ thống bị phơi nhiễm nhiều hơn; Các giao thức và thiết kế bảo mật dễ bị tấn công, bao gồm mật khẩu yếu và các phương pháp vá lỗi; Kiến trúc, chương trình cơ sở và phần mềm lỗi thời và không được hỗ trợ và số lượng các cuộc tấn công tăng, tỷ lệ thuận với số lượng thiết bị được kết nối.

Do đó, tin tặc đã lợi dụng một số kẽ hở để khai thác các thiết bị này và tiến hành các cuộc tấn công vào các mục tiêu lớn hơn để gây hại cho các hệ thống quan trọng và lấy cắp thông tin của khách hàng và nhân viên, tài sản trí tuệ hoặc các tài sản nhạy cảm khác.

18 tháng qua, một cuộc tấn công “botnet” mới được gọi là Mozi đã hoạt động cực kỳ tích cực, chiếm 90% tổng số cuộc tấn công IoT vào năm 2020 và kiểm soát gần 500.000 thiết bị được kết nối. Mỗi thiết bị bị xâm nhập được hướng dẫn tìm thêm thiết bị để lây nhiễm, điều này cho phép tội phạm mạng giành quyền kiểm soát toàn bộ mạng lưới và dữ liệu, để rồi đòi tiền chuộc.

Vào tháng 3/2021, công ty khởi nghiệp Verkada ở thung lũng Silicon đã phải hứng chịu một cuộc tấn công mạng IoT quy mô lớn. Các tin tặc có thể có được đặc quyền quản trị đối với một số lượng lớn các camera giám sát an ninh, có nghĩa là chúng có thể thực thi mã độc hại của riêng mình trên các thiết bị.

Một khi tin tặc có thể xâm phạm một thiết bị được nối mạng, chúng sẽ có thể sử dụng thiết bị đó như một điểm khởi động cho các cuộc tấn công về sau, làm lộ các hệ thống quan trọng. Khi các ngành công nghiệp tích hợp sâu hơn nữa các mạng CNTT và OT, các thiết bị này thậm chí còn gây ra mối nguy hiểm lớn hơn cho các hoạt động. Nếu không thúc đẩy mạnh mẽ các giải pháp bảo mật các thiết bị được kết nối này, nhiều cuộc tấn công mạng có thể sẽ tiếp tục xảy ra, nhắm vào các ngành cơ sở hạ tầng quan trọng.

Vào ngày 14/10/2021, trước các cuộc tấn công mạng nhắm vào các lĩnh vực tài chính, khí đốt, thực phẩm và vận tải, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ đã phát hành cảnh báo AA21-287. 

Cảnh báo hướng sự chú ý đến tính chất mong manh của các lĩnh vực cơ sở hạ tầng quan trọng, trong đó nhấn mạnh thực trạng "các hoạt động tấn công độc hại đang diễn ra" nhắm vào các cơ sở cấp nước và nước thải. Các hoạt động này bao gồm việc khai thác các dịch vụ kết nối Internet, hệ điều hành và phần mềm lỗi thời, cũng như các cuộc tấn công lừa đảo trực tuyến và ransomware - điều mà chúng ta đã thấy rất nhiều trong các cuộc tấn công mạng gần đây.

Theo cảnh báo, các cuộc tấn công mạng này có thể ảnh hưởng đến khả năng của các cơ sở cấp nước và nước thải trong việc “cung cấp nước sạch và quản lý hiệu quả nước thải của cộng đồng”.

Các giải pháp bảo mật IoT ở quy mô quốc gia và toàn cầu

Cơ sở hạ tầng quan trọng phần lớn vẫn thuộc sở hữu của tư nhân và sẽ đòi hỏi nỗ lực phối hợp giữa khu vực công và tư để ngăn chặn các mối đe dọa ransomware và IoT. Để giải quyết những lỗ hổng trong các giao thức và tiêu chuẩn bảo mật trong các ngành công nghiệp quan trọng, các chính phủ đang mở rộng các chính sách an ninh mạng hiện có cho các thiết bị IoT.

Cơ quan An ninh mạng của Liên minh Châu Âu (ENISA) đã xuất bản hướng dẫn về bảo mật chuỗi cung ứng IoT vào năm 2020 và hiện đang phát triển các biện pháp bảo mật cụ thể cho các nhà khai thác IoT và các ngành cơ sở hạ tầng quan trọng. Trong khi đó, Mỹ cũng đã ban hành Đạo luật Cải thiện An ninh mạng IoT vào cuối năm 2020, yêu cầu các cơ quan ứng dụng công nghệ IoT trong khu vực công của Mỹ, bao gồm cả những tổ chức trong cơ sở hạ tầng quan trọng, mở rộng khả năng phòng thủ mạng mạnh mẽ đối với việc triển khai ứng dụng IoT.

Viện Tiêu chuẩn Công nghệ Quốc gia (NIST) là cơ quan đóng vai trò trung tâm trong việc phát triển các phương pháp tiếp cận để cải thiện an ninh mạng trên khắp nước Mỹ nhiều năm qua. NIST đã phát triển một số tài liệu hướng dẫn với sự tham vấn của các bên liên quan trong chính phủ, ngành công nghiệp và khu vực tư nhân, đồng thời phối hợp với các nỗ lực tiêu chuẩn hóa quốc tế của các quốc gia khác. 

Ngoài Đạo luật Cải thiện An ninh mạng IoT, tập trung vào thị trường của Chính phủ Liên bang, Luật Công 116-283 được thông qua vào cuối năm 2020 đã kêu gọi Ban Chỉ đạo IoT bao gồm các bên liên quan trong khu vực tư nhân tư vấn cho một nhóm liên ngành của Chính phủ Liên bang. Ban chỉ đạo và Nhóm công tác liên bang có nhiệm vụ xác định những lợi ích của IoT, cải thiện quy định IoT và loại bỏ các rào cản đối với việc áp dụng. Trong một nỗ lực song song, Sắc lệnh hành chính tháng 5/2021 của Tổng thống về an ninh mạng kêu gọi thí điểm chương trình dán nhãn cho các sản phẩm IoT nhằm xác định cách chúng đáp ứng các tiêu chí an ninh mạng. Sắc lệnh sẽ hoạt động vào tháng 2/2022.

Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA), Bộ Ngoại giao (DOS) và Bộ Năng lượng (DOE) đã hỗ trợ hoạt động Tuần lễ an ninh mạng của Hệ thống điều khiển công nghiệp (ICS) Mỹ - Nhật từ ngày 25-29/10/2021.

Sự kiện do Bộ Kinh tế, Thương mại và Công nghiệp Nhật Bản (METI) và Trung tâm An ninh mạng Công nghiệp cấp cao (ICSCoE) thuộc Cơ quan Xúc tiến Công nghệ Thông tin (IPA), tổ chức. Tuần lễ đào tạo quy tụ các chuyên gia an ninh mạng OT và CNTT từ các nhà khai thác cơ sở hạ tầng quan trọng, Nhóm ứng phó sự cố an ninh máy tính quốc gia (CSIRT) và các chuyên gia chính sách từ các bộ liên quan và chính quyền quốc gia. 

Chương trình cho thấy những nỗ lực phối hợp ở cấp quốc tế giữa Mỹ, Nhật Bản và EU nhằm đảm bảo một không gian mạng mở, tương tác, đáng tin cậy và an toàn, đồng thời xây dựng nền tảng để cùng giải quyết các mối đe dọa an ninh mạng ngày càng tăng.

Những nỗ lực này nhằm thiết lập các yêu cầu bảo mật cho các thiết bị IoT, để giải quyết nhu cầu bảo mật trong cơ sở hạ tầng quan trọng. Các ngành dễ bị tấn công nhất cần phối hợp và đồng nhất, do đó các điều luật và chính sách này như những hướng dẫn để áp dụng các yêu cầu bảo mật cơ bản.

Phối hợp “tác chiến” giữa khu vực công và tư 

Khi các cuộc tấn công mạng gia tăng trong các ngành công nghiệp quan trọng, các chính phủ và khu vực tư nhân có trách nhiệm chung trong việc bảo vệ các hệ thống này. Các cơ quan, tổ chức sử dụng thiết bị IoT có thể làm việc cùng với các nhà hoạch định chính sách và nhà cung cấp an ninh mạng để xây dựng sự đồng thuận cao hơn về các tiêu chuẩn bảo mật IoT, đồng thời phát triển niềm tin bảo mật cho các cơ sở hạ tầng quan trọng. Các chuyên gia WEF đã đưa ra một số gợi ý như:

Thiết lập một cách tiếp cận nhất quán về bảo mật IoT trên toàn cầu bằng cách: Thống nhất một tiêu chuẩn cơ sở chung toàn cầu về bảo mật IoT (phân biệt thiết bị tiêu dùng và thiết bị công nghiệp); Thúc đẩy chia sẻ các nguyên tắc bảo mật trong các liên minh công nghiệp; Điều chỉnh các quy định và cơ chế chứng nhận bảo mật thiết bị cơ sở; Phát triển các nguyên tắc chung về an ninh kỹ thuật số và các chuẩn mực quốc tế; Không chỉ tập trung vào các nhà cung cấp mà còn cả những người tiêu dùng của công nghệ IoT.

Xây dựng lòng tin thông qua sự minh bạch và hợp tác quốc tế tốt hơn: Làm rõ mô hình trách nhiệm trên toàn bộ chuỗi cung ứng và giá trị; Tăng cường hợp tác liên ngành và quốc tế; Thúc đẩy việc sử dụng các khuôn khổ chia sẻ thông tin quốc tế và đảm bảo các thông lệ tốt nhất./.