Nhàchức trách gọi việc đảm bảo an ninh cho hạ tầng sốngcòn chống lại tấn công không gian mạng là không thựctế.

Officialcalls securing critical infrastructure against cyberattackimpractical

ByJill R. Aitoro 07/08/2010

Theo:http://www.nextgov.com/nextgov/ng_20100708_3510.php

Bàiđược đưa lên Internet ngày: 08/07/2010

Lờingười dịch: Rất khó để có thể đảm bảo được anninh cho các hệ thống hạ tầng sống còn như lưới điện,giao thông hay tài chính vì chúng phụ thuộc vào chuỗi muasắm phần cứng và phần mềm từ các nhà cung cấp. Lờikhuyên là đa dạng hóa số lượng các nhà cung cấp vàphải kiểm tra được độ tin cậy của các sản phẩmđược mua từ các công ty tin cậy được. Có lẽ đây làđiều Việt Nam không thể làm được chăng?

Việc đảm bảo anninh cho lưới điện quốc gia và các hệ thống máy tínhkhác mà chúng vận hành hạ tầng sống còn của quốc giachống lại tấn công không gian mạng là không thực tế,vì các công ty không thể kham được việc kiểm tra liệucác nhà cung cấp đã có cung cấp các sản phẩm đáng tincậy hay không, một quan chức tình báo từ Bộ Năng lượngnói hôm thứ năm.

“Nếu bạn trao chotôi ưu thế hoặc sự kiểm soát chuỗi cung cấp phầncứng hoặc phần mềm của bạn, thì tôi sẽ kiểm soátđược các hệ thống của bạn”, Bruce Held, giám đốcvề tình báo và phản tình báo về Năng lượng, nói.“Chúng ta sẽ phải phát triển các chiến lược [cho việcquản lý chuỗi cung cấp] mà nó là ổn định với [nhữngtài sản] mà chúng ta sẽ cố gắng bảo vệ”.

Các hệ thống mà đặtra một mối đe dọa cho quốc gia nếu bị tổn thương,bao gồm cả các hệ thống chỉ huy và kiểm soát quân sựvà các mạng quản lý vũ khí, phải được xây dựng bằngviệc sử dụng các trang thiết bị từ các công ty đượctin cậy. Các phần cứng và phần mềm phải được kiểmtra đối với những tổn thương về an ninh và có thể cómã độc mà có thể gây ra các vấn đề, Held nói. Đểkiểm tra các sản phẩm có lẽ mất nhiều tiền hơn lànhững gì mà các tổ chức của khu vực tư nhân có lẽcó thể kham được, ông bổ sung.

“Việc xem xét giáthành sẽ làm cho chiến lược về an ninh thành không thựctế” đối với các hệ thống máy tính mà chúng quantrọng mang tính sống còn nhưng được sở hữu và vậnhành bởi khu vực tư nhân, bao gồm những người mà họhỗ trợ lưới điện, và các khu vực giao thông và tàichính, và các nền công nghiệp khác mà tạo nên hạ tầngsống còn của quốc gia, Held nói.

“Chúng ta sẽ phảinghĩ nhiều hơn về các chiến lược bảo vệ, với mộtsự hiểu biết rằng sẽ có những rủi ro còn sót lại”,ông nói. “Chúng ta không bao giờ đảm bảo an ninh đượccho thành phố New York từ cuộc tấn công hạt nhân củaXô Viết [trong thời chiến tranh lạnh], nhưng chúng ta đãbảo vệ được nó rất tốt. Chúng ta cần bắt đầunghĩ theo những cách như thế này”.

Heldđã gợi ý cho chính phủ và các công ty đa dạng hóa sốlượng các nhà cung cấp mà họ cung cấp phần cứng vàphần mềm máy tính mà giúp vận hành hạ tầng sống còn.“Điều đó sẽ mang lại an ninh lớn hơn so với phụthuộc vào chỉ một quốc gia mà nó là một kẻ thù tiềmnăng”, hoặc có thể sẽ dễ dàng hơn xác định đượcvà nhắm tới được bởi những kẻ tin tặc, ông nói.

Cáctổ chức cũng cũng phải cần cù hơn về việc mua sắmcông nghệ từ các nhà cung cấp được phép. “Hành xửlà một vấn đề”, Guy Copeland, chủ tịch của nhóm làmviệc về an ninh không gian mạng xuyên các khu vực (nhànước - tư nhân) của Bộ An ninh Quốc nội, nói.

Cáctổ chức của khu vực tư nhân và nhà nước “không đượcmua các thành phần của [máy tính] và các ứng dụng từcác nguồn thị trường xám, nơi mà bạn không thể đảmbảo xác thực rằng sản phẩm đó tới từ nhà sản xuấtgốc”, ông nói. “Đáng tiếc, điều đó lại xảy raquá nhiều”.

Securingthe nation's power grid and other computer systems that operate thenation's critical infrastructure against cyberattack is unrealistic,because companies cannot afford to check if suppliers have providedtrustworthy products, said an intelligence official f-rom the EnergyDepartment on Thursday.

"Ifyou give me influence or control of your hardware or software supplychain, I control your systems," said Bruce Held, director ofintelligence and counterintelligence with Energy. "We're goingto have to develop strategies [for managing the supply chain] thatare consistent with [the assets] that we're trying to protect."

Systemsthat pose a national threat if compromised, including militarycommand-and-control systems and networks managing weapons, must bebuilt using equipment f-rom trusted companies. The hardware andsoftware must be checked for security vulnerabilities and possiblemalicious code that could cause problems, Held said. To vet theproducts would cost more than what private sector organizationslikely can afford, he added.

"Costconsiderations are going to make a security strategy impractical"for computer systems that are critically important but owned andoperated by the private sector, including those that support thepower grid, and the transportation and financial sectors, and otherindustries that make up the nation's critical infrastructure, Heldsaid.

"We'regoing to have to think more about protection strategies, with anunderstanding that there will be residual risk," he said. "Wenever secured New York City f-rom Soviet nuclear attack [during theCold War], but we protected it very well. We need to start thinkingalong those lines."

Heldsuggested government and companies diversify the pool of suppliersthat provide the computer hardware and software that help operate thecritical infrastructure. "That will give greater security than[being] dependent upon one country that is a potential adversary,"or could be more easily identified and targeted by potentialattackers, he said.

Organizationsalso have to be more diligent about procuring technology f-romauthorized suppliers. "Behavior is a problem," said GuyCopeland, chairman of the HomelandSecurity Department'scross-sector cybersecurityworking group.

Publicand private sector organizations should "not be procuring[computer] components and applications f-rom gray market sources,whe-re you can't vouch certifiably that the [product] came f-rom theoriginal manufacturer," he said. "Unfortunately, thathappens far too much."

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com