Nền tảng số đóng vai trò quan trọng cho sự phát triển của mỗi quốc gia. Một là thúc đẩy kinh tế tăng trưởng: Hạ tầng số giúp thúc đẩy đổi mới sáng tạo; khởi nghiệp kỹ thuật số; nâng cao năng suất lao động, khả năng cạnh tranh của các quốc gia; thúc đẩy phát triển kinh tế số, thương mại điện tử; tạo ra nhiều mô hình kinh doanh mới, việc làm mới; qua đó thúc đẩy tăng trưởng kinh tế. Hai là xã hội hòa nhập và bình đẳng: Tiếp cận hạ tầng số là bình đẳng đối với cộng đồng; hạ tầng số là cầu nối giữa khu vực nông thôn và thành thị, các tầng lớp trong xã hội, qua đó tạo lập vô số kết nối mới với giá trị mới được tạo ra.

Ba là môi trường xanh, bền vững: Hạ tầng số kết hợp với hạ tầng truyền thống (như: giao thông, lưới điện...) sẽ tạo thành các hạ tầng thông minh “số+xanh”, giúp tiết kiệm, giảm phát thải, từ đó góp phần tạo nên một hành tinh xanh hơn, bền vững hơn.

Chính vì có những vai trò quan trọng như vậy mà hiện nay nhiều quốc gia trên thế giới đặt mục tiêu hướng tới xây dựng và phát triển hạ tầng số quốc gia dung lượng siêu lớn, băng thông siêu rộng, phổ cập, bền vững, xanh, thông minh, mở và an toàn phục vụ chuyển đổi số, phát triển kinh tế - xã hội.

Trong đó mạng 5G là cơ sở quan trọng trong nền kinh tế số. Vì mạng 5G có tốc độ nhanh hơn, độ trễ cực thấp và khả năng kết nối thiết bị lớn, hỗ trợ các ứng dụng như thành phố thông minh, xe tự hành, y tế từ xa... So với 4G, 5G sẽ cung cấp tốc độ cao (gấp 10 lần so với 4G), độ trễ đường truyền cực thấp (cấp mili giây) và số lượng kết nối lớn (hàng triệu kết nối trên mỗi km2).

Tại Việt Nam, Thủ tướng Chính phủ đã chỉ rõ quan điểm và nhấn mạnh về tính thiết yếu và bắt buộc của hạ tầng số. Ngày 03/6/2020, Thủ tướng Chính phủ đã ký ban hành Quyết định số 749/ QĐ-TTg phê duyệt Chương trình Chuyển đổi số quốc gia đến năm 2025, định hướng đến năm 2030, trong đó xác định rõ phát triển hạ tầng số nhằm “sẵn sàng đáp ứng nhu cầu bùng nổ về kết nối và xử lý dữ liệu, các chức năng về giám sát mạng lưới đến từng nút mạng và bảo đảm an toàn, an ninh mạng được tích hợp sẵn ngay từ khi thiết kế, xây dựng...”.

Tuy nhiên Việt Nam cũng như các quốc gia trên thế giới đều cần nhận thức, đối mặt và tìm kiếm giải pháp đảm bảo an toàn thông tin đối với những thách thức ATTT đối với nền tảng số mạng 5G.

Thách thức ATTT đối với nền tảng số mạng 5G

Cũng giống như bất kỳ cơ sở hạ tầng số khác, các nguy cơ và hậu quả của việc mất ATTT luôn là thách thức lớn nhất đối với các nhà cung cấp dịch vụ, doanh nghiệp và người dùng cuối. Thời gian gần đây xu hướng tấn công vào các cơ sở trọng yếu có nhiều dữ liệu quan trọng và ảnh hưởng lớn đang gia tăng. Đơn cử như Hoa Kỳ, tổn thất từ những vụ tấn công mã độc vào cơ sở hạ tầng trọng yếu phụ thuộc vào hệ thống bảo mật và liên tục sử dụng mạng gây ra đã tăng từ 812.380 USD đến 1.542.333 USD trong năm 2023.

Một số cuộc tấn công điển hình như vào tháng 5/2021, Colonial Pipeline, một đường ống dẫn nhiên liệu lớn ở Mỹ là nạn nhân của cuộc tấn công bằng ransomware của nhóm DarkSide. Đường ống bị đóng cửa dẫn đến tình trạng tranh nhau mua hàng trong hoảng loạn, thiếu nhiên liệu và thiệt hại về kinh tế. Năm 2023, có tới 2.525 vụ tấn công DDos và 1.066 vụ tấn công mã độc đã được báo cáo tại các nước châu Âu. Với lỗ hổng bảo mật Zero-Day, Hiệp hội An ninh mạng châu Âu (ENISA) báo cáo 66 vụ đánh cắp dữ liệu đã được thực hiện trong khoảng thời gian từ 2021 tới 2023.

Còn ở khu vực châu Á, tháng 7/2023, dữ liệu của hơn 300 triệu công dân Indonesia đã bị lộ từ hệ thống Dukcapil (Cục đăng ký quản lý cư trú và dữ liệu quốc gia về dân cư). Hay tại Úc, tháng 10/2022, công ty bảo hiểm y tế lớn nhất của Úc phải đối mặt với một cuộc tấn công bằng ransomware làm gián đoạn hệ thống; làm ảnh hưởng nghiêm trọng đến dịch vụ chăm sóc bệnh nhân và y tế.

Một số ví dụ trên cho thấy nguy cơ mất an toàn thông tin đối với hạ tầng số, mạng 5G là thực tế và cấp bách. Có thể tổng kết 7 nguy cơ mất ATTT đối với mạng 5G, bao gồm:

Một là, nguy cơ tiềm ẩn lỗ hổng ngay trong mạng lõi: Với cấu trúc phức tạp, nhiều thành phần, nhiều bên tham gia, do đó, ngay trong mạng lõi 5G vẫn chứa đựng nhiều lỗ hổng bảo mật tiềm ẩn nguy cơ bị tấn công.

Hai là, nguy cơ mất ATTT tăng theo cấp số nhân: việc hỗ trợ đa nền tảng truy cập và siêu kết nối. Sự bùng nổ số lượng thiết bị đầu cuối, đặc biệt là IoT, sẽ tạo ra vô số cơ hội tấn công (tăng theo cấp số nhân) cho tin tặc vào các hạ tầng quan trọng của mạng 5G và có thể trở thành thảm họa quốc gia khi mạng lưới hạ tầng trọng yếu (điện, nước, giao thông, y tế...) được kết nối qua mạng 5G; khối lượng dữ liệu gần như chắc chắn vượt quá khả năng quản lý của nhà mạng viễn thông nên rất khó phát hiện hết các nguy cơ mất ATTT.

Ba là, nguy cơ hiệu ứng domino: các mối đe dọa xảy ra ở bất kỳ nút nào trong mạng lưới cũng có khả năng đe dọa tới toàn bộ mạng lưới và gây ra các sự cố trên diện rộng, trong thời gian ngắn.

Bốn là, nguy cơ sử dụng nhiều phần mềm điều khiển và thực hiện ảo hóa các chức năng mạng: tạo ra mối nguy hiểm mới về bảo đảm ATTT do có nhiều điểm truy cập mạng, giảm khả năng quản lý luồng dữ liệu qua mạng, mở rộng bề mặt bị tấn công, có thể leo thang chiếm quyền điều khiển toàn bộ mạng 5G.

Năm là, nguy cơ về lỗi hoặc lỗ hổng trong thiết bị mạng: khi chất lượng của thiết bị do các nhà cung cấp không đảm bảo, có thể do quy trình phát triển, tích hợp phần cứng, phần mềm hoặc quản lý lỗ hổng bảo mật kém, sẽ có thể dẫn đến hai loại rủi ro: hệ thống bị lỗi hoặc tạo ra lỗ hổng bảo mật, “cửa hậu/backdoor” dễ bị tấn công.

Sáu là, nguy cơ về chuỗi cung ứng phức tạp, khó kiểm soát: chuỗi cung ứng 5G trải rộng khắp thế giới và phức tạp cả về phần cứng và phần mềm, trải qua nhiều nhà cung cấp và tích hợp; cơ bản các nhà mạng vẫn phải phụ thuộc vào nhà cung cấp lõi 4G, kéo theo sự kết hợp giữa các mối đe dọa dựa trên IP truyền thống (2/3/4G) với mạng 5G (mạng lõi, truy cập và biên).

Bảy là, nguy cơ từ việc cấp quyền truy cập cho nhà cung cấp thiết bị, giải pháp trong quá trình hỗ trợ: quyền truy cập, đặc biệt là truy cập từ xa của các nhà cung cấp thiết bị, giải pháp vào các mạng viễn thông.

Kinh nghiệm quốc tế về triển khai và bảo đảm ATTT mạng 5G

Việc bảo đảm ATTT cho mạng 5G luôn được các quốc gia trên thế giới quan tâm. Trong phạm vi bài viết này xin giới thiệu kinh nghiệm của một số quốc gia điển hình đã triển khai các chính sách và giải pháp đảm bảo an toàn thông tin cho mạng 5G hiệu quả.

Hoa Kỳ: Cơ quan an ninh mạng và Cơ sở hạ tầng Hoa Kỳ (Cybersecurity and Infrastructure Security Agency – CISA) phát triển chiến lược 5G với 03 trụ cột chính: Quản lý rủi ro: thúc đẩy triển khai 5G an toàn và linh hoạt bằng cách đi đầu trong nỗ lực xác định, phân tích, ưu tiên và quản lý rủi ro; Tham gia của các bên liên quan: tích cực thu hút các đối tác liên bang, tiểu bang, địa phương, ngành, hiệp hội, học viện, tổ chức phi lợi nhuận và quốc tế để giải quyết các thách thức 5G; Hỗ trợ kỹ thuật: cập nhật và phát triển các công cụ và dịch vụ giảng dạy để hỗ trợ các bên liên quan về các khía cạnh lập kế hoạch, quản trị, vận hành và kỹ thuật trong việc triển khai 5G an toàn.

Năm sáng kiến chiến lược 5G của CISA bao gồm: (1) Hỗ trợ phát triển chính sách và tiêu chuẩn 5G bằng cách nhấn mạnh đến tính bảo mật và khả năng phục hồi; (2) Mở rộng nhận thức thực tế về rủi ro chuỗi cung ứng 5G và thúc đẩy các biện pháp bảo mật; (3) Hợp tác với các bên liên quan để củng cố và bảo đảm cơ sở hạ tầng hiện có nhằm hỗ trợ triển khai 5G trong tương lai; (4) Khuyến khích đổi mới trên thị trường 5G để thúc đẩy các nhà cung cấp 5G đáng tin cậy; (5) Phân tích các trường hợp sử dụng 5G tiềm năng và chia sẻ thông tin về chiến lược quản lý rủi ro.

Tháng 3/2020, Nhà Trắng đã phát triển Chiến lược quốc gia về bảo mật 5G (National Strategy to Secure 5G). Theo Đạo luật An ninh 5G (Secure 5G and Beyond Act) năm 2020, Hoa Kỳ đã phát triển một kế hoạch triển khai toàn diện gắn liền với Chiến lược trên. Kế hoạch này được quản lý dưới sự lãnh đạo của Hội đồng An ninh Quốc gia và Hội đồng Kinh tế Quốc gia. Kế hoạch được chia làm 04 phần, cụ thể như sau:

(1) Tạo điều kiện triển khai 5G trong nước;

(2) Đánh giá rủi ro và xác định các nguyên tắc bảo mật cốt lõi của cơ sở hạ tầng 5G;

(3) Giải quyết các rủi ro đối với an ninh kinh tế và quốc gia của Hoa Kỳ trong quá trình phát triển và triển khai cơ sở hạ tầng 5G trên toàn thế giới;

(4) Thúc đẩy phát triển và triển khai toàn cầu 5G có trách nhiệm.

Trung Quốc: Trung Quốc thúc đẩy việc thực hiện các tiêu chuẩn quốc gia về 5G tại các quốc gia dọc theo Vành đai và Con đường. Các công ty Trung Quốc Huawei, China Mobile và ZTE đang tham gia chặt chẽ vào việc phát triển công nghệ 5G và đã tăng cường tham gia vào các cơ quan thiết lập tiêu chuẩn quốc tế cho 5G.

Cùng với việc thúc đẩy sự phát triển của 5G, ATTT mạng 5G cũng được nâng lên cấp chiến lược quốc gia. Luật ATTT chủ yếu đưa ra các yêu cầu để đảm bảo sự phát triển an toàn của mạng 5G từ 03 khía cạnh:

(1) Trách nhiệm giải trình về an ninh mạng;

(2) Bảo vệ cơ sở hạ tầng thông tin quan trọng; và

(3) Bảo vệ thông tin cá nhân. Quy định Viễn thông của Trung Quốc quy định không tổ chức hoặc cá nhân nào được sử dụng mạng viễn thông để tham gia vào các hoạt động gây nguy hiểm cho an ninh quốc gia, lợi ích công cộng xã hội hoặc quyền và lợi ích hợp pháp của người khác.

Ngoài ra, Chính phủ Trung Quốc cũng có chỉ thị "Thông báo thúc đẩy tăng tốc phát triển 5G”, trong đó, yêu cầu tăng cường bảo đảm an toàn, an ninh cơ sở hạ tầng mạng 5G, tăng cường bảo vệ dữ liệu mạng 5G, phát triển hệ sinh thái ATTT mạng 5G, xây dựng hệ thống bảo đảm ATTT mạng 5G và yêu cầu tăng cường đánh giá ATTT.

Châu Âu: Châu Âu sử dụng nhiều công cụ để bảo vệ mạng lưới truyền thông điện tử, bao gồm khuôn khổ viễn thông của EU, Chỉ thị NIS (Chỉ thị về An ninh mạng và hệ thống thông tin - Directive on Security of Network & Information Systems) và Đạo luật An ninh Mạng (Cybersecurity Act).

Trong lĩnh vực 5G, EU sử dụng các chương trình Tài trợ Nghiên cứu & Đổi mới của EU và các công cụ chính sách công nghiệp như biện pháp giảm thiểu rủi ro chiến lược. Năm 2020, Ủy ban châu Âu đã phê chuẩn hộp công cụ của EU về 5G (EU Toolbox on 5G) nhằm đặt ra các biện pháp nhằm tăng cường các yêu cầu bảo mật cho mạng 5G, áp dụng các hạn chế có liên quan đối với các nhà cung cấp có rủi ro cao và đảm bảo đa dạng hóa nguồn cung.

Mục tiêu của hộp công cụ nhằm xác định một bộ biện pháp chung có thể giảm thiểu các rủi ro chính về ATTT của mạng 5G và cung cấp hướng dẫn lựa chọn các biện pháp cần được ưu tiên trong kế hoạch giảm thiểu ở cấp quốc gia và cấp Liên minh. Hộp công cụ đưa ra 08 biện pháp chiến lược nhằm giải quyết những rủi ro trên, bao gồm:

(SM01) Tăng cường vai trò của chính quyền quốc gia;

(SM02) Thực hiện kiểm toán đối với bên vận hành và đòi hỏi thông tin;

(SM03) Đánh giá hồ sơ rủi ro của nhà cung cấp và áp dụng các hạn chế đối với nhà cung cấp có rủi ro cao;

(SM04) Kiểm soát việc sử dụng Nhà cung cấp dịch vụ quản lý (Managed Service Providers - MSP) và hỗ trợ trực tuyến thứ ba của nhà cung cấp thiết bị;

(SM05) Đảm bảo sự đa dạng của các nhà cung cấp cho các nhà mạng di động riêng lẻ thông qua các chiến lược đa dạng hóa nhà cung cấp;

(SM06) Tăng cường khả năng phục hồi ở cấp quốc gia;

(SM07) Xác định các tài sản chính và thúc đẩy hệ sinh thái 5G đa dạng và bền vững ở EU;

(SM08) Duy trì và xây dựng tính đa dạng và năng lực của EU trong các công nghệ mạng tương lai.

Bảo đảm ATTT mạng 5G tại Việt Nam

Hiện nay, việc đảm bảo ATTT cho mạng viễn thông của Việt Nam và được thực hiện thông qua “02 bảo đảm”:

Một là, bảo đảm ATTT cơ sở hạ tầng viễn thông trong mua sắm, đấu thầu thiết bị mạng: Quản lý chuỗi cung ứng: Các nhà mạng đã áp dụng các biện pháp quản lý về chuỗi cung ứng trong quá trình đầu tư xây dựng hệ thống; Triển khai giải pháp kỹ thuật tin cậy.

Hai là, bảo đảm an toàn hệ thống thông tin theo cấp độ: Các nhà mạng đã tiến hành phân loại và xác định cấp độ cho các hệ thống thông tin phục vụ hoạt động của mạng 5G; các nhà mạng đã xác định và phê duyệt hồ sơ cấp độ; các nhà mạng triển khai kết hợp giữa biện pháp quản lý và kỹ thuật để đáp ứng các yêu cầu an toàn theo quy định như ISO/ IEC 27000; PCI DSS...

Trên cơ sở những kinh nghiệm quốc tế cùng với thực tiễn triển khai mạng 5G của Việt Nam, Cục An toàn thông tin đề xuất một số giải pháp và khuyến nghị để đảm bảo an toàn thông tin cho mạng 5G tại Việt Nam như sau:

Đối với quản lý cần tập trung triển khai: “4T”

- Xây dựng, phát triển quy định, chính sách và Tiêu chuẩn về 5G trong đó tập trung đến tính bảo mật, chất lượng và khả năng phục hồi; đánh giá ATTT trước khi đưa vào sử dụng.

- Đẩy mạnh tuyên truyền, phổ biến, nâng cao nhận thức Thực tế về rủi ro chuỗi cung ứng 5G và thúc đẩy các biện pháp bảo mật phù hợp; đẩy mạnh việc Tự chủ các sản phẩm, thiết bị mạng 5G.

- Thiết lập cầu nối đẩy mạnh hợp tác, giữa các bên liên quan để củng cố và bảo đảm cơ sở hạ tầng hiện có phục vụ triển khai 5G được hiệu quả, ATTT.

- Xác định các trường hợp sử dụng 5G và chia sẻ thông tin các Thực tiễn tốt về đảm bảo ATTT cho hệ thống 5G.

Đối với nhà mạng: “05 bảo đảm + 01 tăng cường”

- Bảo đảm tuân thủ quy định về bảo đảm ATTT tại Luật An toàn thông tin mạng, Nghị định số 85/2016/NĐ-CP, Thông tư số 12/2022/TT-BTTTT, TCVN 11930, theo đó:

(1) mỗi hệ thống thông tin khi xây dựng mới hoặc nâng cấp, mở rộng phải được xác định cấp độ, triển khai phương án bảo vệ theo cấp độ tương ứng và áp dụng tổng thể, toàn trình từ khâu thiết kế, xây dựng, đưa vào quản lý vận hành và gỡ bỏ hệ thống thông tin theo quy định tại Điều 4 Nghị định số 85/2016/ NĐ-CP; (2) phương án bảo đảm ATTT được thực hiện một cách tổng thể, đồng bộ bao gồm các biện pháp kỹ thuật và quản lý theo quy định tại Điều 19 Nghị định số 85/2016/ NĐ-CP; Thông tư số 12/2022/TT-BTTTT; (3) thực hiện kiểm tra, đánh giá lỗ hổng, bảo mật ATTT trước khi đưa vào sử dụng.

- Đảm bảo thiết bị người dùng: Phần mềm và/ hoặc firmware của thiết bị phải được cập nhật để giảm thiểu rủi ro bị kẻ tấn công khai thác các lỗ hổng đã biết.

- Bảo đảm phân tách lưu lượng mạng: Mạng 5G phải được coi là có mức độ tin cậy tương tự như các dịch vụ kết nối mạng khác do các nhà cung cấp dịch vụ bên ngoài cung cấp. Cần xem xét tính nhạy cảm của dữ liệu truyền qua mạng 5G ngay từ giai đoạn lập kế hoạch và triển khai các chính sách cũng như giải pháp bảo mật phù hợp

- Bảo đảm bảo vệ dữ liệu: Đảm bảo rằng dữ liệu nhạy cảm được bảo vệ đầy đủ trong quá trình truyền. Dữ liệu phải được mã hóa trước khi truyền qua mạng 5G. Khi khả thi về mặt vận hành, nên triển khai mã hóa đầu cuối cho tất cả các hoạt động liên lạc của hệ thống.

- Bảo đảm kiểm soát truy cập: Kiểm soát truy cập đề cập đến việc cho phép truy cập dựa trên thông tin xác thực của người dùng và trạng thái bảo mật, kiểm soát truy cập bao gồm kiểm soát truy cập mạng, quản lý danh tính và truy cập cũng như xác thực giao diện. Cần triển khai các biện pháp kiểm soát kỹ thuật để ngăn chặn các thiết bị trái phép hoặc các thiết bị không còn đáp ứng được tình trạng ATTT kết nối với mạng 5G.

- Tăng cường năng lực phòng vệ hệ thống: Việc tăng cường hệ thống làm giảm rủi ro liên quan đến các cuộc tấn công bằng cách thực hiện những việc sau: (1) Luôn cập nhật các bản vá của hệ thống và ứng dụng; (2) Loại bỏ hoặc vô hiệu hóa các thành phần không cần thiết; (3) Tắt cài đặt gỡ lỗi; (4) Sử dụng các tùy chọn cấu hình an toàn (ví dụ: mật mã) khi được hỗ trợ; (5) Xóa các chứng chỉ ủy quyền mặc định không cần thiết; (5) Tận dụng AI và ML để phát hiện và ứng phó với mối đe dọa theo thời gian thực.

Sự phát triển của hạ tầng số, đặc biệt là mạng 5G là tương lai của một kỷ nguyên về kết nối với tốc độ và khả năng kết nối chưa từng có. Song hành với đó cũng là những thách thức mới, phức tạp về ATTT. Bản chất phân tán của mạng 5G đòi hỏi các giải pháp mạnh mẽ để ngăn chặn rủi ro về mất ATTT. Khi chúng ta tận dụng những lợi ích của 5G, việc ưu tiên bảo đảm ATTT sẽ là điều tối quan trọng để đảm bảo độ tin cậy của công nghệ mang tính cách mạng này tạo nền tảng thúc đẩy phát triển kinh tế- xã hội, tiến trình chuyển đổi số tại Việt Nam.

“

Tài liệu tham khảo

1. 5G Security and Resilience | Cybersecurity and Infrastructure
Security Agency CISA

2. Cyber-Incidents in Numbers: Year 2023 (av-test.org)

3. Cybersecurity threatscape of Asia: 2022–2023 (ptsecurity.com)
4. https://www.cisa.gov/topics/risk-management/5g-security-
and-resilience
5.https://www.ntia.gov/other-publication/national-strategy-
secure-5g-implementation-plan 6. ibid
7. https://ccdcoe.org/uploads/2020/01/EU-200129-
Cybersecurity-of-5G-networks-EU-Toolbox-of-risk-
mitigating-measures.pdf
8. https://digital-strategy.ec.europa.eu/en/library/
cybersecurity-5g-networks-eu-toolbox-risk-mitigating-
measures