DHS nhấn mạnh an ninh không gian mạng là trách nhiệm của giới công nghiệp

DHSofficial stresses cybersecurity is industry's responsibility

ByJill R. Aitoro 05/25/2010

Theo:http://www.nextgov.com/nextgov/ng_20100525_8667.php

Bàiđược đưa lên Internet ngày: 25/05/2010

Lờingười dịch: Quan chức cao cấp của Bộ Anninh Quốc nội Mỹ muốn các hợp đồng để đưa phầncứng và phần mềm máy tính vào trong các cơ quan nhà nướcphải được kiểm soát kỹ để biết rõ được nguồngốc sản phẩm và đảm bảo an ninh của hệ thống. Ôngcũng nêu ra những trường hợp mất anh ninh trong quá khứ,như “Ông đãlưu ý một số ví dụ nơi những thất bại trong chuỗicung cấp đã dẫn tới những hậu quả an ninh nghiêmtrọng, bao gồm một làn sóng các ổ đĩa cứng bị lâynhiễm các virus mà đã thâm nhập được vào thị trườngMỹ từ châu Á vào năm 2007 và một trường hợp gần đâytrong đó những ổ USB đã được xuất đi được cài đặtsẵn các phần mềm độc hại, cuối cùng đã dẫn tớiviệc Bộ Quốc phòng buộc phải cấm tạm thời các thiếtbị lưu trữ”. Ông mong muốn: “Cácquan chức mua sắm và công nghệ của liên bang phải viếtcác hợp đồng mà chúng thiết lập những mong muốn cụthể về cách mà giới công nghiệp đảm bảo an ninh chophần cứng và phần mềm máy tính, bao gồm cả sự bảohiểm các sản phẩm mà họ mua từ các nhà cung cấp vàcác qui trình phát triển đã tuân thủ những thực tếtốt nhất”. Còn việc mua sắm công nghệthông tin ở Việt Nam thì như thế nào nhỉ?

Cácnhà thầu mà thất bại đối với các yêu cầu về anninh trong các hợp đồng công nghệ của liên bang phảiđược tính tới, ngay cả nếu những chỗ bị tổn thươngcó khởi nguồn trong những sản phẩm hoặc khả năng đượccung cấp bởi các nhà cung cấp, một quan chức hàng đầucủa Bộ An ninh Quốc nội Mỹ (DHS) nói hôm thứ ba.

Tronghầu hết các tình huống kinh doanh, “nếu chúng ta có mộtthỏa thuận hợp đồng và bạn thất bại [để đáp ứngnhững yêu cầu], thì tôi sẽ nhờ tới pháp luận”,Ric-hard Marshall, giám đốc của quản lý an ninh không gianmạng toàn cầu tại DHS. “Vì sao không thể đúng hệtnhư vậy khi chuỗi cung cấp [có liên quan] nhỉ? Tôi đangmua một sản phẩm từ bạn, và bạn trình bày rằng đâylà một sản phẩm với những đặc tính như sau. Nếu bạnkhông đúng, thì tôi có quyền kiện bạn”.

Marshallđã nói tại hội nghị An ninh của Mỹ SecureAmericas tạiArlington, Va., một sự kiện được tổ chức bởi nhàcung cấp an ninh không gian mạng là Nhóm Chứng chỉ An ninhcác Hệ thống Thông tin Quốc tế.

Ôngđã lưu ý một số ví dụ nơi những thất bại trongchuỗi cung cấp đã dẫn tới những hậu quả an ninhnghiêm trọng, bao gồm một làn sóng các ổ đĩa cứng bịlây nhiễm các virus mà đã thâm nhập được vào thịtrường Mỹ từ châu Á vào năm 2007 và một trường hợpgần đây trong đó những ổ USB đã được xuất đi đượccài đặt sẵn các phần mềm độc hại, cuối cùng đãdẫn tới việc Bộ Quốc phòng buộc phải cấm tạm thờicác thiết bị lưu trữ.

“Muatừ một nhà cung cấp có thẩm quyền và phải chắc chắnrằng nhà cung cấp đó đã mua từ một nhà cung cấp cóthẩm quyền khác”, Marshall đã khuyến cáo.

Cácquan chức mua sắm và công nghệ của liên bang phải viếtcác hợp đồng mà chúng thiết lập những mong muốn cụthể về cách mà giới công nghiệp đảm bảo an ninh chophần cứng và phần mềm máy tính, bao gồm cả sự bảohiểm các sản phẩm mà họ mua từ các nhà cung cấp vàcác qui trình phát triển đã tuân thủ những thực tếtốt nhất.

Contractorsthat fail to live up to security requirements in federal technologycontracts should be held accountable, even if the vulnerabilitiesoriginated in products or capabilities provided by suppliers, a topHomeland Security Department official said on Tuesday.

Inmost business situations, "if we have a contractual arrangementand you fail [to meet the requirements], I have legal recourse,"said Ric-hard Marshall, director of global cybersecuritymanagement at DHS. "Why wouldn't the same be true when thesupply chain [is involved]? I'm buying a product f-rom you, and yourepresent that it's a product with the following c-haracteristics. Ifyou fail, I have a right to sue you."

Marshallspoke at the SecureAmericas conference in Arlington, Va., an eventhosted by the cybersecurity provider International InformationSystems Security Certification Consortium.

Henoted a number of examples whe-re failures in the supply chain led toserious security implications, including a wave of hard drivesinfected with viruses that infiltrated the U.S. market f-rom Asia in2007 and a recent case in which thumb drives were shippedpreinstalled with malicious software, eventually leading to theDefense Department imposing a temporary ban on the storage devices.

"Buyf-rom an authorized vendor and make sure that vendor has purchasedf-rom an authorized vendor," Marshall advised.

Federaltechnology and acquisition officials must write contracts that setspecific expectations for how industry secures computer hardware andsoftware, including assurances the products they purchase f-romsuppliers and the development processes followed best practices.

“Cả2 phía phải vận hành theo sự siêng năng trong việc xácđịnh những đặc tính [của hợp đồng]”, Marshall nói.“Bạn sẽ muốn thiết kế một hợp đồng có lợi chobạn, và tôi sẽ muốn có lợi cho tôi. Đây là áp lựccó tính xây dựng, nhưng tôi tin nó là [có năng suất] nếuchúng ta có cùng một mục đích, mà nó là việc xây dựnghàng hóa có chất lượng tốt”.

Hệtnhư những nhà cung cấp phần mềm được mong đợi sẽphát triển các bản vá anh ninh để bảo vệ những chỗdễ bị tổn thương được dò tìm ra trong các sản phẩmcủa họ, các giám đốc thông tin CIO phải siêng năngtrong việc giữ cho các hệ thống của họ được cậpnhật.

“Đólà một thách thức dễ làm thoái chí”, Marshall nói.“Chúng ta luôn có thời gian và tiền bạc để sửa mộtlỗi lầm, nhưng chúng ta bị gắn chặt trên tiền tuyếnkhi có liên quan tới việc mua một cách thông minh và càiđặt triển khai một cách đúng đắn”.

"Bothsides have to operate under due diligence in defining c-haracteristics[of the contract]," Marshall said. "You're going to want todesign a contract in your favor, and I will in mine. There's thatconstructive tension, but I believe it's [productive] if we have thesame objective, which is building good quality stuff."

Justas software vendors are expected to develop security patches toprotect vulnerabilities detected in their products, chief informationofficers must be diligent in keeping their systems up to date.

"Thatis a daunting challenge," Marshall said. "We always havethe time and money to correct a mistake, but we're tight on the frontend when it comes to buying smartly and installing correctly."

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com