DN đối mặt với thách thức ATTT và hoá giải như thế nào?
An toàn thông tin - Ngày đăng : 05:26, 13/06/2022
Xu hướng tấn công chuỗi cung ứng gia tăng
Qua theo dõi tình hình ATTT trong thời gian qua, đặc biệt là trong thời gian COVID-19, ông Lê Công Phú, Phó Giám đốc Trung tâm VNCERT/CC - Cục ATTT - Bộ TT&TT mới đây cho biết xu hướng tấn công vào chuỗi cung ứng tập trung vào các đơn vị chuyên sản xuất phần mềm đang gia tăng, trong đó các điểm đầu vào như phần mềm, phần cứng, các nhà cung cấp dịch vụ đang bị khai thác.
Tại châu Âu, có tới 60% các cuộc tấn công nhắm vào mã nguồn phần mềm, khai thác lỗ hổng phần mềm, từ đó xâm nhập các hệ thống, đính kèm và phát tán mã độc đến các bên sử dụng sản phẩm dịch vụ của nhà cung cấp. Xu hướng tấn công phổ biến tiếp theo là tấn công lừa đảo (phishing) nhắm vào mắt xích yếu nhất là vào con người.
"Đây đang là những xu hướng phổ biến trên thế giới và Việt Nam không phải là ngoại lệ khi CĐS đang diễn ra rất nóng", ông Phú cho hay.
Trao đổi về nguy cơ đến từ chuỗi cung ứng, ông Vũ Quốc Thành, Phó Chủ tịch kiêm Tổng thư ký Hiệp hội ATTT Việt Nam (VINASA) cho biết chuỗi cung ứng gồm 5 khâu: thiết kế, phát triển, phân phối, mua lại và triển khai, bảo trì và bảo hành.
"Tôi cho rằng 5 khâu vẫn có những điểm yếu như nhau, đó là chưa nhận được sự quan tâm và được bảo vệ rời rạc. Chưa có đơn vị tư vấn cũng như chưa đưa ra được chuẩn áp dụng bảo vệ cho chuỗi cung ứng. Bên cạnh đó, nguy cơ còn đến từ sản phẩm trong chuỗi cung ứng bị loại bỏ thì thông tin trên sản phẩm vẫn còn", ông Thành cho hay.
Cũng theo ông Thành, VINASA và các doanh nghiệp (DN) ICT trước đây bảo vệ chuỗi cung ứng dựa trên chuẩn ISO, và hiện đã có chuẩn để bảo vệ hệ thống thông tin theo cấp độ, hoàn chỉnh hơn trước. Mắt xích yếu nhất trong chuỗi cung có thể nhận định là ở khâu thiết kế, phát triển sản phẩm. Tuy nhiên, chưa có vụ việc nào nghiêm trọng. Các cơ quan nhà nước (CQNN) đã có những văn bản về vấn đề này. DN làm phần mềm hiện nay cũng đã quan tâm áp dụng những công cụ, hệ thống phát triển phần mềm an toàn.
DN đối mặt thách thức ATTT và hoá giải như thế nào?
Chia sẻ thêm về nguy cơ ATTT mạng, ông Nguyễn Ngọc Quân, Giám đốc Trung tâm ATTT, VNPT-IT cho biết, bất kỳ một DN nào cung cấp dịch vụ CNTT đến khách hàng thì luôn những nguy cơ như nguy cơ từ ứng dụng di động, từ hạ tầng, mã độc, phishing… Bên cạnh đó, nguy cơ còn đến từ nhận thức của công ty CNTT, cấp quản lý (C-level) của công ty trong việc xây dựng chiến lược ATTT chưa đầy đủ. Trước đây, DN thường tập trung vào biện pháp phòng vệ nhưng đã không còn phù hợp và hiện có xu hướng chuyển dịch sang việc giám sát và chủ động phòng vệ.
Có nhiều bài học rút ra từ vụ tấn công mạng SolarWinds vào năm 2020. SolarWinds là một công ty Mỹ về phát triển phần mềm cho các doanh nghiệp để giúp giám sát mạng, hệ thống và cơ sở hạ tầng CNTT. Bài học rút ra là vụ việc đã được giám sát kịp thời và báo cáo cho SolarWinds. Đồng thời phải có quy trình phát triển phần mềm an toàn trước khi cung cấp cho khách hàng. Tiếp theo là sự minh bạch thông tin. "Ở Việt Nam, nhiều công ty còn ngại công bố thông tin. Trong khi SolarWinds bị tấn công và báo cáo ngay cho khách hàng", ông Quân cho hay.
Tiếp theo, ông Quân chia sẻ là lãnh đạo DN không nên chỉ tập trung vào đầu tư giải pháp mà nên chuyển sang giám sát, xây dựng đội ngũ và thuê dịch vụ của các DN trên thị trường. "Chúng ta tập trung vào đội ngũ, sau đó cân bằng giữa con người, giải pháp, cũng như thường xuyên triển khai giám sát, đánh giá ATTT".
Ông Quân cho biết VNPT vừa là nhà cung cấp các sản phẩm, dịch vụ CNTT cho khách hàng và vừa là công ty bảo đảm ATTT nên vừa phải tập trung phát triển phần mềm, đánh giá ATTT sản phẩm, đồng thời giám sát ATTT cho toàn bộ mạng lưới ATTT để khi có vấn đề gì xảy ra thì kịp thời phát hiện và xử lý. VNPT cũng giữ liên kết với các cơ quan chức năng như các đơn vị VNCERT/CC, NCSC thuộc Cục ATTT … để kịp thời báo cáo sự cố và được chia sẻ thông tin về dấu hiệu tấn công trên thế giới và Việt Nam để cập nhật thông tin, kịp thời nhận biết tấn công và xử lý.
Ông Vũ Quốc Thành lưu ý trong chuỗi cung ứng hiện có những phòng/ban được giao mua sắm các dịch vụ, sản phẩm CNTT. Các đơn vị này đóng vai trò quan trọng trong đàm phán hợp đồng mua sắm và có thể coi là cửa ngõ để kiểm soát về ATTT nên cần phải bổ sung bộ phận này vào danh sách cần phải được tăng cường về năng lực và nhận thức ATTT.
Trong khi đó, ông Manoj Menon, người sáng lập kiêm Tổng giám đốc công ty Twimbit chia sẻ trong lịch sử kinh doanh thì chưa bao giờ quan hệ đối tác và hệ sinh thái lớn như bây giờ. Hiện giờ đã qua thời điểm tự làm mọi thứ. "Xu hướng đảm bảo ATTT chuỗi cung ứng đang nhận được sự quan tâm. Xử lý quan hệ đối tác toàn diện và ứng dụng tiêu chuẩn quốc tế, quốc gia và thông báo các tiêu chuẩn cho toàn bộ hệ sinh thái để các bên tuân thủ và thực hành là cần thiết".
Với tư cách là nhà cung cấp giải pháp đảm bảo ATTT điểm cuối, ông Yeo Siang Tiong, Tổng Giám đốc khu vực Đông Nam Á công ty Kaspersky cho biết công ty này có đội ngũ giám sát ATTT mạng hàng ngày để hỗ trợ các nhà cung cấp dịch vụ trên toàn thế giới nắm bắt biết được thông tin mới nhất. Khi có cuộc tấn công nào rộng rãi, thu hút của công chúng thì Kaspersky thông báo ngay để thực hiện các công tác bảo đảm ATTT mạng hay nâng cao nhận thức.
Theo ông Nguyễn Thành Phúc, Cục trưởng Cục ATTT, có 5 giải pháp thiết thực đảm bảo ATTT mạng nói chung, kiểm soát tấn công mạng chuỗi cung ứng mạng nói riêng, gồm: (1) triển khai hiệu quả giám sát ATTT tới các hệ thống thông thông tin, đặc biệt là giải pháp triển khai SOC mà Bộ TT&TT đã chỉ đạo từ năm 2020; (2) các sản phẩm ICT phải được kiểm tra, đánh giá toàn diện trước khi đưa vào sử dụng mỗi khi nâng cấp, mở rộng; (3) phát triển phần mềm phải tuân thủ khung phát triển phần mềm an toàn do Cục ATTT ban hành; (4) tuân thủ quy trình bảo đảm ATTT chuỗi cung ứng ngắt khỏi hệ thống các phần mềm không an toàn; (5) thuê chuyên gia từ giám sát, kiểm tra, đánh giá sự cố là giải pháp hết sức hữu hiệu, đặc biệt với cơ quan nhà nước khi biên chế và nguồn lực có hạn.
Nỗ lực bảo đảm ATTT cho các nền tảng số quốc gia
Việt Nam đang thúc đẩy CĐS mạnh mẽ với nỗ lực đưa các tổ chức, DN, cá nhân lên các nền tảng số. Ông Lê Công Phú cho biết ATTT được coi là yếu tố then chốt, quyết định sự thành công của CĐS. Theo đó, để phát triển hạ tầng an toàn, Cục ATTT có ban hành khung phát triển phần mềm an toàn. Theo đó, các tổ chức được yêu cầu tuân thủ là ngay từ khâu thiết kế phải đảm bảo bao phủ được hết các lỗ hổng phần mềm trước khi đưa vào sử dụng thì phải tuân thủ tiêu chuẩn an toàn.
Thứ hai là về vấn đề đánh giá ATTT, quan điểm của Cục ATTT là trước khi các sản phẩm được đưa vào sử dụng đều phải thực hiện đánh giá code để phát hiện các lỗ hổng, kiểm thử thâm nhập và tất cả các hệ thống đều phải đảm bảo ATTT theo các cấp độ. Có 5 cấp độ bảo đảm ATTT cho hệ thống, tuỳ theo mức độ quan trọng của hệ thống mà bảo đảm. Theo đó, các CERT có các biện pháp đảm bảo ATTT cho hệ thống.
Hiện Cục ATTT đang được giao đánh giá 3 nền tảng thuộc 35 nền tảng số. Cục ATTT sẽ đánh giá kiểm thử xâm nhập, đánh giá code để tìm kiếm lỗ hổng đang tồn tại và từ đó các đơn vị chủ quản thực hiện khắc phục lỗ hổng trước khi lỗ hổng bị khai thác bởi kẻ tấn công. Song song với đó, 3 nền tảng cũng được đánh giá theo tiêu chuẩn bảo đảm ATTT Việt Nam.
"Các nền tảng CĐS đều là những ưu tiên mà Cục thực hiện đánh giá bởi các nền tảng này có nhiều người sử dụng nhiều nếu bị xâm nhập sẽ bị ảnh hưởng về tính trị, niềm tin số của người dùng", ông Phú cho hay.
Còn theo ông Quân, VNPT cũng là một trong những đơn vị phụ trách phát triển một số nền tảng số quốc gia. "Là công ty phát triển sản phẩm, VNPT cũng phải tuân thủ quy trình phát triển phần mềm an toàn từ đưa ra yêu cầu, từ phân tích, thiết kế, đưa ra mô hình cho tới khi công bố sản phẩm".
VNPT kết hợp với Cục ATTT để tiến hành đánh giá độc lập về bảo mật của sản phẩm. Sau quá trình cung cấp sản phẩm đến khách hàng, toàn dân, VNPT cũng triển khai chương trình mời phát hiện lỗ hổng để trao thưởng (bounty) để tiếp nhận phát hiện lỗ hổng từ cộng đồng và kịp thời sửa. "Không có sản phẩm nào làm ra có thể đảm bảo 100% an toàn tuyệt đối. Tuy nhiên, VNPT-IT đảm bảo khi các lỗ hổng được phát hiện và khi được báo cáo thì kịp thời xử lý có trách nhiệm", ông Quân nhấn mạnh./.