Cựu CIO của FBI thúc giục Kế hoạch An ninh không gian mạng bằng hành động

FormerFBI CIO Urges 'Actionable' Cybersecurity Plan

Thefirst step: harden desktops, servers, switches, and routers and thesoftware that runs them via security and management tools, says ZalAzmi.

By J.Nicholas Hoover

InformationWeek
December23, 2009 10:45 AM

Theo:http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=222100030

Bài được đưa lênInternet ngày: 23/12/2009

Lờingười dịch: Azmi, cựu CIO của FBI thúc giục chính phủhành động, chứ không chỉ đưa ra những chiến lược anninh không gian mạng trên giấy. Và đây là một số khuyếncáo của ông: “chìa khóa của bất kỳ kế hoạch nào làtập trung vào phần cứng, phần mềm, và con người, vàđể hiểu rằng an ninh không gian mạng là một nỗ lựccủa quản lý rủi ro”. “Trước hết, điều quan trọngđể tìm cách giải quyết những thứ mà chính phủ có sựkiểm soát bằng việc tăng cường cho các máy tính đểbàn, các máy chủ, các bộ chuyển mạch (switch), các bộđịnh tuyến (routers) và các phần mềm mà chúng chạytrên các thiết bị đó thông qua các công cụ quản lý vàan ninh”. “Ví dụ, Azmi nói các cơ quan phải có các phầncứng và phần mềm được ký số bởi các nhà cung cấp”.Thật khó cho Việt Nam khi mà phần cứng, phần mềm khómà biết xuất xứ của chúng là từ đâu, và chúng lạiđều là những đồ nhập khẩu. Sẽ không nói ngoa, chiểutheo những gợi ý của Azmi, thì an ninh không gian mạng củaViệt Nam đâu đó ở mức 0, một báo động đỏ thựcsự. Bạn có nghĩ như vậy không?

Cựu Giám đốc thôngtin (CIO) của Cục Điều tra Liên bang (FBI) muốn thấychính phủ phát triển và triển khai một kế hoạch anninh không gian mạng tổng thể, ông đã nói trong một cuộcphỏng vấn tuần trước.

Lời kêu gọi củacựu CIO của FBI Zal Azmi tới chỉ mấy ngày trước khichính quyền Obama chỉ định nhà điều phối an ninh khônggian mạng của mình.

“Về mặt chiếnlược, những gì chúng ta đang thiếu ngay bây giờ là mộtkế hoạch của cuộc chơi có hành động”, Azmi nói,người bây giờ là phó chủ tịch cao cấp cho nhóm giảipháp không gian mạng của nhà thầu của chính phủ CACI.“Tôi có quá nhiều nghiên cứu trong văn phòng của mìnhmà bạn không thể tin nổi, nhưng chúng ta cần phải tậptrung hơn. Chúng ta cần đặt những cái đầu của chúngta cùng nhau và có một kế hoạch hành động triển khaiđược”.

Đã từng có một sốkế hoạch an ninh mạng của chính phủ đặt ra tướctrong vài năm trở lại đây, kể cả Chiến lược Quốcgia năm 2004 để Đảm bảo an ninh Không gian mạng và Sángkiến về An ninh không gian mạng Tổng thể Quốc gia khôngđược công khai năm 2008. Các kế hoạch này đã bị rútruột hoặc nếu không thì đã biến mất khỏi tầm nhìncủa công chúng.

Bây giờ, chính quyềnObama, đang thúc đẩy kế hoạch tổng thể của riêngmình. Trong một video được đưa lên sau khi ông đã chỉđịnh người điều phối về an ninh không gian mạng củaNhà Trắng tuần này, Howard Schmidt đã nói Tổng thốngObama đã giao nhiệm vụ cho ông bằng việc tạo ra mộtchiến lược an ninh không gian mạng tổng thể, mà nó cólẽ sẽ phát triển ngoài sự xem xét lại về an ninh khônggian mạng trong vòng 60 ngày của chính quyền đã kết thúcđầu năm nay.

Azmiđã nói rằng chìa khóa của bất kỳ kế hoạch nào làtập trung vào phần cứng, phần mềm, và con người, vàđể hiểu rằng an ninh không gian mạng là một nỗ lựccủa quản lý rủi ro. “Có những thứ mà bạn phải kiểmsoát, và những thứ bạn sẽ không”, ông nói.

Theformer CIO of the Federal Bureau of Investigation wants to see thegovernment develop and implement a comprehensive cybersecurity plan,he said in an interview last week.

FormerFBI CIO Zal Azmi's call came only days before the Obamaadministration named its cybersecuritycoordinator.

"Strategically, what we arelacking right now is an actionable game plan," said Azmi, who isnow senior VP for government contractor CACI's cyber solutions group."I have so many studies in my office that you wouldn't believe,but we need to be more focused. We need to put our heads together andget an actual plan going."

Therehave been a number of government cybersecurity plans put forward overthe last several years, including 2004's National Strategy to SecureCyberspace and 2008's largely classified Comprehensive NationalCybersecurity Initiative. The plans have been gutted or otherwisedisappeared off the public scene.

Now,the Obama administration, is pushing its own comprehensive plan. In avideoposted after his appointment as White House cybersecurity coordinatorthis week, Howard Schmidt said President Obama had tasked him withcreating a comprehensive cybersecurity strategy, which will likelygrow out of the administration's 60-day cybersecurity reviewfinalized earlier this year.

Azmisaid that the key to any plan is to focus on hardware, software, andpeople, and to understand that cybersecurity is a risk managementeffort. "There are things you have control over, and things youdon't," he explained.

Trướchết, điều quan trọng để tìm cách giải quyết nhữngthứ mà chính phủ có sự kiểm soát bằng việc tăngcường cho các máy tính để bàn, các máy chủ, các bộchuyển mạch (switch), các bộ định tuyến (routers) và cácphần mềm mà chúng chạy trên các thiết bị đó thôngqua các công cụ quản lý và an ninh, ông nói.

Tuy nhiên, điều nàychỉ đi tới nay. Từ chuỗi cung cấp cho tới những ngườitrong cuộc, có nhiều số lượng các yếu tố hệ thốngIT mà các cơ quan chỉ có một số sự kiểm soát. Vídụ, Azmi nói các cơ quan phải có các phần cứng và phầnmềm được ký số bởi các nhà cung cấp.

Azmi đã thúc giụcmột nỗ lực chính để khuyến khích quan hệ đối tácgiữa nhà nước và tư nhân, đặc biệt với các khu vựcnăng lượng và tài chính. “Bạn kết với quá nhiềumạng khác nhau và quá nhiều các nhà cung cấp dịch vụInternet (ISP) khác nhau”, ông lưu ý. Ông cũng nói rằngchính phủ cần tìm các cách để mang những sản phẩm anninh không gian mạng sáng tạo vào trong không gian chínhphủ. “Chúng ta cần lấp chỗ trốnggiữa khu vực tư nhân và chính phủ”, ông nói. “Nhiềusự đổi mới sáng tạo xảy ra trong các công ty khởinghiệp, nhưng họ làm việc với khu vực tư nhân và khôngvới chính phủ vì qui trình này là quá lâu và những côngty này không có đủ nhân lực để làm việc với chínhphủ”.

Cuốicùng bất kỳ chiến lược nào cũng cần có sự ủng hộkhông chỉ của một nhà điều phối về không gian mạng,mà cũng của một “cơ quan chính phủ” mà có thể giúpnhà điều phối về không gian mạng thực hiện đượcnhiệm vụ của ông ta. “Các chính sách và thủ tục làtốt, nhưng nếu chúng không có hiệu lực, thì chúng khôngđáng gì hơn là một mẩu giấy”, Azmi nói.

CIO Liên bang VivekKundra là Sếp của Năm của chúng ta. Hãy tìm ra những kếhoạch của ông ta về việc thi hành về nhiều mục tiêucủa ông cũng như nhiều thách thức ở phía trước. Hãytải về báo cáo ởđây (cần phải đăng ký).

First,it is important to tackle the things the government has control overby hardening desktops, servers, switches, and routers and thesoftware that runs on those devices via security and managemenettools, he said.

However,this only goes so far. F-rom the supply chain to insiders, there areany number of IT system elements that agencies have only some controlover. For example, Azmi said agencies should have hardware andsoftware digitally signed by manufacturers.

Azmiurged a major effort to encourage public-private partnerships,particularly with the energy and financial sectors. "You'remarried to so many different networks and so many different ISPs,"he noted.

Healso said that the government needs to find ways to bring innovativecybersecurity products into the government space. "We need toclose the gap between the private sector and the government," hesaid. "A lot of innovation happens in startups, but they workwith the private sector and not the government because the process isso long and these companies don't have the manpower to deal with thegovernment."

Finally,any strategy needs to have the backing not just of a cybercoordinator, but also of a "governing body" that would helpthe cyber coordinator execute his mission. "Policies andprocedures are good, but if they are not enforced, they are worthnothing more than a piece of paper," Azmi said.

FederalCIO Vivek Kundra is our Chief of the Year. Find out his plans forexecuting on his many goals as well as the many challenges ahead.Downloadthe report here (registration required).

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com