Singapore chỉ thị bảo vệ hạ tầng thông tin trọng yếu sau vụ tấn công SingHealth

Phát biểu tại Quốc hội ngày 6/8/2018, Bộ trưởng Bộ TTTT Singapore S. Iswaran cho biết chính phủ Singapore sẽ không tiết lộ danh tính của kẻ tấn công vì lý do an ninh nhưng đã xác định cuộc tấn công là do một nhóm "APT" (Advanced Persistent Threat) thực hiện.

Bộ trưởng Iswaran cho biết: “Nhóm APT này được xem là một nhóm những kẻ tấn công mạng tinh vi, thường liên kết với nhà nước, tiến hành các chiến dịch không gian mạng được lập kế hoạch kỹ lưỡng để lấy cắp thông tin hoặc đánh sập các hoạt động. Nhóm APT này đã liên tục nỗ lực thâm nhập vào mạng, vượt qua các biện pháp bảo mật, truy cập trái phép và đánh cắp dữ liệu. Cơ quan An ninh Mạng (Cyber Security Agency - CSA) đã trích xuất "các chỉ số về sự thâm nhập", hoặc các mẩu dữ liệu được sử dụng để xác định hoạt động độc hại trên mạng, từ các máy tính bị nhiễm. Các bài học sẽ được rút ra từ vụ việc để tăng cường các biện pháp bảo vệ cơ sở hạ tầng thông tin trọng yếu (Critical Information Infrastructure - CII) của Singapore bao gồm các hạ tầng về y tế, ngân hàng, giao thông đường bộ, viễn thông…”.

Bộ trưởng Iswaran cũng cho biết các cơ quan chính phủ đã biết về danh tính của những kẻ tấn công nhưng chưa đủ bằng chứng để có hành động pháp lý.

Trong khi đó, Bộ trưởng Bộ Y tế Gan Kim Yong cho biết thêm những kẻ tấn công đã có những nỗ lực để loại bỏ các dấu vết của chúng, làm cho các cuộc điều tra khó khăn hơn, và chúng có thể tiếp tục tấn công.

"Mặc dù chúng tôi có các biện pháp an ninh, nhưng những kẻ tấn công đã rất kiên nhẫn, kiên trì và linh hoạt. Với các công cụ tấn công tiên tiến, cuối cùng chúng đã thành công ... Chúng tôi xem xét nghiêm túc vụ việc này vì không có lý do gì để tin rằng chúng sẽ không thử lại bằng các công cụ tiên tiến hơn nữa", Bộ trưởng Bộ Y tế cho hay.

Trước làn sóng tấn công, chính phủ Singapore đã ngắt kết nối các máy tính khỏi Internet tại các trung tâm y tế công cộng. Tất cả bệnh nhân, dù dữ liệu của họ có bị xâm phạm hay không, cũng nhận được thông báo qua SMS. Họ cũng có thể truy cập ứng dụng di động Health Buddy hoặc trang web SingHealth để kiểm tra xem họ có bị ảnh hưởng bởi vụ việc này hay không. SingHealth cũng khuyến khích các công dân truy cập trang Facebook của SingHealth để kiểm tra các cập nhật và thông báo thường xuyên.

Thực hiện biện pháp bảo vệ hạ tầng trọng yếu

Sau khi sự cố nghiêm trọng này, Nhóm quốc gia thông minh và chính phủ số (Smart Nation and Digital Government Group - SNDGG), cùng với Cơ quan an ninh mạng của Singapore (CSA) đã hoàn thành việc đánh giá các chính sách an ninh mạng của quốc gia và đã thông báo sẽ triển khai các biện pháp bổ sung cho các hệ thống quan trọng của chính phủ để ngăn chặn các mối đe dọa.

Theo Bộ trưởng Bộ Y tế Gan Kim Yong, công ty dịch vụ kiểm toán chuyên nghiệp hàng đầu thế giới PricewaterhouseCoopers (PWC) và Cơ quan an ninh mạng của Singapore đang làm việc với Bộ Y tế nước này để xác định các lỗ hổng trong hệ thống của họ, kiểm tra bất kỳ lỗ hổng nào để thử và ngăn chặn lặp lại.

Các cuộc tấn công mạng thường hiếm gặp ở Singapore, quốc gia đã đầu tư lớn cho an ninh mạng trong thập kỷ qua. Cuộc tấn công xảy ra tại quốc gia số này đã làm cho an ninh mạng trở thành một ưu tiên lớn trong nước và cho các nước láng giềng trong khu vực ASEAN.

Việc tạm dừng các dự án quốc gia thông minh mới, được công bố sau khi dữ liệu của khoảng 1,5 triệu bệnh nhân SingHealth bị xâm phạm và sao chép, đã được rỡ bỏ từ ngày 3/8/2018.

CSA cũng đã chỉ thị 11 lĩnh vực có cơ sở hạ tầng thông tin trọng yếu để tăng cường an ninh bằng cách thực hiện thêm các biện pháp. Các biện pháp này bao gồm việc loại bỏ tất cả các kết nối tới các mạng bên ngoài không an toàn, trung gian hóa các kết nối mở thông qua các cổng đơn hướng - cho phép dữ liệu chỉ đi theo một hướng - và triển khai một cổng thông tin bảo mật, nếu phải có giao tiếp hai chiều giữa mạng bảo mật và mạng bên ngoài không an toàn. Được biết chính phủ Singapore, cũng là một trong 11 hạ tầng trọng yếu, đã thực hành các biện pháp này trong ba năm qua.

Joanne Wong, Giám đốc khu vực Châu Á - Thái Bình Dương và Nhật Bản tại công ty bảo mật LogRhythm cho biết “LogRhythm thấy cần tập trung hơn vào việc tăng cường khả năng phục hồi mạng của CII khi Singapore chuyển động hướng tới các tham vọng quốc gia thông minh.”

Đối với các lĩnh vực không phụ thuộc rất nhiều vào Internet để hoạt động, Giám đốc Joanne Wong cho biết cần phải cân nhắc để tách biệt các phần của cơ sở hạ tầng CNTT để thông tin nhạy cảm có được bảo mật chống lại sự xâm phạm. “Mặc dù đây không phải là giải pháp toàn diện, những làm cho việc truy cập từ xa vào mạng trở nên khó khăn hơn đối với phía bên ngoài và do đó tạo ra một lá chắn phòng thủ cho các hệ thống này.”

Đối với các lĩnh vực phụ thuộc nhiều vào Internet để hoạt động như những lĩnh vực cần phải tương tác nhiều với bên ngoài và phải chia sẻ thông tin, Giám đốc Wong đề xuất rằng các cổng thông tin được bảo mật có thể hỗ trợ lọcthông tin đi qua thông qua một "cổng bảo mật số" được đặt giữa mạng của một tổ chức và Internet.

“Tất cả thông tin đi vào và ra khỏi mạng, bất kể người dùng hoặc thiết bị nào đều phải chịu sự 'kiểm tra' của cổng bảo vệ. Việc này được thực hiện để ngăn chặn thông tin được giới hạn bị gửi ra khỏi tổ chức và chặn các gói không mong muốn được gửi vào”, Giám đốc Joanne Wong cho biết.

Ngay cả khi một người dùng được ủy quyền để đưa ra một số thông tin nhất định, cổng bảo vệ này có tên “guardhouse" có thể được thông báo giữ lại các thông tin để nhận được sự chấp thuận cao hơn trước khi được phép chuyển ra ngoài.

Các ngân hàng ở Singapore và trong khu vực thường xuyên sử dụng cổng thông tin bảo mật như một trong nhiều biện pháp ngăn chặn.

“Chúng tôi thấy điều này trong các tổ chức khi yêu cầu người dùng đăng nhập thông qua một cổng web để truy cập Internet và tài nguyên của tổ chức. Đây được xem là một thực tiễn tốt và bổ sung một lớp bảo mật mà không ảnh hưởng đến các lợi ích của Internet”.

Ngoài các biện pháp ngăn chặn này, các CII cũng cần phải vận hành trên khả năng mà một lỗ hổng mạng có thể và sẽ xảy ra, Joanne Wong cho biết thêm.

“Tốc độ phát hiện sự xâm nhập, sau đó là thời gian để ứng phó và khắc phục sự xâm nhập thường quyết định mức độ thiệt hại đã xảy ra. Các thực tiễn "làm sạch" mạng, kế hoạch ứng phó sự cố mạng rõ ràng, cũng như đào tạo nhân viên chỉ là một số biện pháp bảo vệ cơ sở hạ tầng trọng yếu của Singapore”.

Lý tưởng nhất, Joanne Wong kết luận, một tổ chức có thể sử dụng kết hợp cả hai biện pháp để bảo mật mạng của họ: “Các hệ thống được bảo mật không cần giao tiếp với Internet, tạo ra một cổng thông tin an toàn cho những người làm và sau đó cho phép cả hai mạng giao tiếp với nhau thông qua cổng thông tin một chiều, chỉ cho phép truyền dữ liệu theo một hướng duy nhất”.

Được biết các hạ tầng trọng yếu của Singapore bao gồm các ngành/lĩnh vực phụ trách cung cấp các dịch vụ thiết yếu liên tục ở Singapore, bao gồm Chính phủ, thông tin – truyền thông, năng lượng, hàng không, hàng hải, vận tải đường bộ, y tế, ngân hàng và tài chính, nước, an ninh và cấp cứu.