Mã độc trong chuỗi cung ứng CNTT đe dọa các hoạt động của liên bang

Maliciouscode in the IT supply chain threatens federal operations

By JosephMarks 03/23/2012

Theo:http://www.nextgov.com/nextgov/ng_20120323_1655.php?oref=topstory

Bài được đưa lênInternet ngày: 23/03/2012

Lờingười dịch: Đối với các bộ trong Chính phủ Mỹ hiệnnay, việc mua sắm CNTT với các thiết bị, phần mềm vàdịch vụ từ nước ngoài là một mối lo. Bài báo viết:“Các cơ quan liên bang được yêu cầutheo dõi mức độ mà mạng lướiviễn thông của họ có chứa thiết bị, phần mềm hoặcdịch vụ do nước ngoài phát triển,một báo cáo của Văn phòng Kiểm toán Chính phủ nói, vàhọ thường chỉ nhận thức được về các nhà cung cấpCNTT gần nhất với họ trong chuỗi cung ứng, chứ khôngphải vô số các nhà cung cấp bên dưới. Điều đó đãlàm cho các hệ thống CNTT tại các bộ Năng lượng Anninh Nội địa và Tư pháp có khả năng bị tổn thươngnhiều hơn đối với các phầnmềm độc hại hoặc giả được các cơ quan tình báoquốc gia khác hoặc các tác nhân và các tin tặc phi nhànước cài đặt. Kẻ địch củaMỹ có thể sử dụng các phần mềm độc hại đó đểlôi một cách bí mật các thôngtin từ các hệ thống của chính phủ, xóa hoặc sửathông tin trong các hệ thống đó, hoặc thậm chí kiểmsoát chúng từ xa”. Nếu ở Việt Nam mà ngănchặn các thiết bị, phần mềm và dịch vụ do nướcngoài phát triển thì ta sử dụng CNTT như thế nào nhỉ?

Các cơ quan làm việcvới các dữ liệu và chương trình an ninh quốc gia phảilàm nhiều hơn để đảm bảo an ninh cho các chuỗi cungứng CNTT của họ, một người bảo vệ chính phủ nóihôm thứ sáu.

Các cơ quan liên bang được yêu cầutheo dõi mức độ mà mạng lưới viễn thông của họ cóchứa thiết bị, phần mềm hoặc dịch vụ do nước ngoàiphát triển, một báo cáo của Văn phòng Kiểm toán Chínhphủ nói, và họ thường chỉ nhận thức được về cácnhà cung cấp CNTT gần nhất với họ trong chuỗi cung ứng,chứ không phải vô số các nhà cung cấp bên dưới.

Điềuđó đã làm cho các hệ thống CNTT tại các bộ Năng lượngAn ninh Nội địa và Tư pháp có khả năng bị tổn thươngnhiều hơn đối với các phần mềm độc hại hoặc giảđược các cơ quan tình báo quốc gia khác hoặc các tácnhân và các tin tặc phi nhà nước cài đặt.

Kẻđịch của Mỹ có thể sử dụng các phần mềm độc hạiđó để lôi một cách bí mật các thông tin từ các hệthống của chính phủ, xóa hoặc sửa thông tin trong cáchệ thống đó, hoặc thậm chí kiểm soát chúng từ xa.

Bộ Tưpháp đã xác định các biện pháp bảo vệ chuỗi cung ứngcủa mình như đã không phát triển các thủ tục đểtriển khai các biện pháp đó, báo cáo nói. Bộ Năng lượngvà An ninh Nội địa đã không xác định các biện phápbảo vệ các chuỗi cung ứng của họ hoàn toàn, theo GAO.

Cơ quantheo dõi này cũng đã xác định Bộ Quốc phòng, mà đãnói đã thiết kế và triển khai có hiệu quả một chươngtrình quản lý rủi ro chuỗi cung ứng.

Bộ Quốcphòng đã giảm rủi ro các chuỗi cung ứng của mình thôngqua một loạt các chương trình thí điểm và mong đợi có“khả năng hoạt động đầy đủ cho quản lý rủi rochuỗi cung ứng” vào năm 2016, báo cáo nói. Những dự ánthí điểm đó tập trung vào việc đánh giá rủi ro đượcđặt ra từ các chuỗi cung ứng của các nhà cung cấp đặcbiệt và trong việc kiểm thử và đánh giá các hệ thốngđược mua đối với các thành phần độc hại, GAO nói.

Agenciesthat deal with national security data and programs must do more tosecure their information technology supply chains, a governmentwatchdog saidFriday.

Federalagencies aren't required to track "the extent to which theirtelecommunications networks contain foreign-developed equipment,software or services," the Government Accountability Officereport said, and they typically are aware only of the IT vendorsnearest to them on the supply chain, not the numerous vendorsdownstream.

Thathas left IT systems at the Energy, HomelandSecurityand Justice departments more vulnerable to malicious or counterfeitsoftware installed by other nations' intelligence agencies or bynonstate actors and hackers.

U.S.enemies could use that malicious software to secretly pullinformation f-rom government systems, erase or al-ter information onthose systems, or even take control of them remotely.

TheJustice Department has identified measures to protect its supplychain but has not developed procedures to implement those measures,the report said. Energy and Homeland Security haven't identifiedmeasures to protect their supply chains at all, according to GAO.

Thewatchdog agency also examined the Defense Department, which it saidhad designed and effectively implemented a supply chain riskmanagement program.

Defensehas reduced its supply chain risk through a series of pilot programsand expects to have "full operational capability for supplychain risk management" by 2016, the report said. Those pilotsfocus both on assessing the risk posed by particular vendors' supplychains and on testing and evaluating the purchased systems formalicious components, GAO said.

ĐộiỨng cứu Khẩn cấp Máy tính Mỹ (US CERT) trong Bộ An ninhNội địa đã thấy rằng khoảng 1/4 vụ việc an ninh đượccác cơ quan báo cáo trong số 43.000 vụ trong năm tài chính2011 có liên quan tới mã độc có thể đã được cài đặtở đâu đó cùng với chuỗi cung ứng, GAO nói.

Mua phần cứng CNTTnguồn gốc toàn cầu có thể chứng minh là lúng túng đốivới các cơ quan mà làm việc với các dữ liệu an ninhquốc gia thậm chí nếu không có công nghệ độc hạihoặc hàng giả bên trong các máy.

Ví dụ, Chỉ huy Tácchiến Đặc biệt của Không quân đã hoãn một vụ muasắm iPad trong kế hoạch vào tháng hai, 2 ngày sau khi nhậnđược một yêu cầu từ Nextgov về phần mềm đọc tàiliệu và an ninh được chỉ định trong các tài liệu muasắm.

Việc theo dõi nguồngốc công nghệ của liên bang đã bị các cấu trúc sởhữu phức tạp của các nhà cung cấp CNTT đa quốc gia làmphức tạp thêm, mà đôi khi được sở hữu trong mộtquốc gia, thuê ngoài đối với CNTT của họ tại quốcgia khác và sản xuất nó tại một quốc gia thứ 3, GAOnói.

Báo cáo đã khuyếncáo rằng các quan chức Bộ Năng lượng và An ninh Quốcgia phát triển và triển khai các thủ tục mạnh để bảovệ chống lại những mối đe dọa của các chuỗi cungứng. Cơ quan giám sát này đã khuyếncáo rằng tất cả 3 bộ phát triển các thủ tục giámsát để đảm bảo các thực tiễn quản lý chuỗi cungứng của họ là có hiệu quả. Các bộ đã đồngý với các đánh giá của GAO, báo cáo nói.

TheU.S. Computer Emergency Readiness Team inside DHS has found thatabout one-fourth of roughly 43,000 agency-reported security incidentsduring fiscal 2011 involved malicious code that could have beeninstalled somewhe-re along the supply chain, GAO said.

Globallysourced IT hardware buys can prove embarrassing for agencies thatdeal with national security data even if there's no malicious orcounterfeit technology inside the machines.

TheAir Force Special Operations Command, for instance, canceleda planned iPad acquisition in February, two days after receiving aquery f-rom Nextgovabout Russian-developed security and document reading softwarespecified in the procurement documents.

Trackingthe origins of federal technology has been complicated by the complexownership structures of multinational IT suppliers, which sometimesare owned in one nation, source their IT in another nation andmanufacture it in a third nation, GAO said.

Thereport recommended that Energy and Homeland Security officialsdevelop and implement firm procedures to protect against supply chainthreats. The watchdog recommended that all three departments developmonitoring procedures to ensure their supply chain managementpractices are effective. The departments largely agreed with GAO'sassessments, the report said.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com