Tiêu chuẩn vàng trong phòng vệ không gian mạng

Agold standard in cyber-defense

By Joe Lieberman, SusanCollins and Tom Carper, Friday, July 8, 7:01 AM

Theo:http://www.washingtonpost.com/opinions/a-gold-standard-in-cyber-defense/2011/07/01/gIQAjsZk2H_story.html

Bài được đưa lênInternet ngày: 08/07/2011

Lờingười dịch: Tại cuộc điều trần của thượng việnvào tháng trước, Bộ trưởng Quốc phòng Leon Panett đãcảnh báo rằng “Trận Trân Châu cảng tiếp theo mà chúngta đối mặt có thể sẽ là một cuộc tấn công khônggian mạng đánh què các hệ thống điện của chúng ta,các lưới điện của chúng ta, các hệ thống an ninh củachúng ta, các hệ thống tài chính của chúng ta, các hệthống chính phủ của chúng ta”. Người Mỹ kêu gọi vềmột “tiêu chuẩn vàng” cho an ninh mạng mà mọi cơquan, doanh nghiệp khu vực nhà nước và tư nhân phải tuânthủ, nếu không muốn có một ngày ô nhục khác, mộttrận Trân Châu cảng khác.

Lịch sử của an ninhInternet vừa dễ gây lo lắng vừa dễ để răn dạy. Khivirus đầu tiên - “sâu Morris” - được tung ra vào năm1988, thì Internet từng là một hệ thống với khoảng60,000 máy tính được sử dụng hầu như hoàn toàn từcác nhà nghiên cứu hàn lâm, chính phủ vf quân đội.Morris đã sử dụng các chỗ bị tổn thương nổi tiếngtrong các phần mềm truyền thông để đánh hỏng kết nốitrực tuyến của khoảng 10% các máy tính được kết nốitới Web. Sự kêu ca ngay lập tức đã thốt ra về an ninhtốt hơn là cần thiết, nhưng tính tự mãn đã sớm đượcthiết lập lại.

Ngày nay, Internet cóhơn 2 tỷ người sử dụng - 1/3 số người trên hành tinhnày. Nó gần như là một công cụ không thể thiếu đượctrong cuộc sống hiện đại. Nhưng hãy xem chỉ một sốít các nạn nhân nổi tiếng của những vụ thâm nhậpmáy tính trái phép thành công những tháng gần đây: Sony,Citigroup,QuỹTiền tệ Quốc tế, cáctài khoản của Gmail của các quan chức cao cấp củaMỹ vfa công ty an ninh máy tính RSA - một sự thâm nhậptrái phép dường như đã đóng một phần trong các cuộctấn công sau này vào Lockheed Martin và có thể cả các nhàthầu quân sự khác mà sử dụng các sản phẩm của RSA.

Cũng bị che dấutrong thế giới số là các virus và sâu máy tính, nhưStuxnet, mà nó có thể ra lệnh cho các hệ thống kiểmsoát công nghiệp được sử dụng để vận hành các vanvà chuyển mạch trong các nhà máy điện hạt nhân, đườngống dẫn khí, các cơ sở sản xuất thương mại và cáchạ tầng sống còn khác, và bắt chúng phải dừng hoặcthực hiện các hoạt động nguy hiểm.

Bất chấp sự nguyhiểm được biết này, hãng an ninh McAfee và Trung tâmNghiên cứu Chiến lược và Quốc tế đã thấy trong năm2010 rằng chỉ 35% các ông chủ các hệ thống sống còncó kiểm tra để xem liệu các hệ thống của họ có bịlây nhiễm hay không.

Thehistory of Internet security is both worrisome and instructive. Whenthe first virus — the “Morris worm” — was launched in 1988,the Internet was a closed system of 60,000 computers used almostexclusively by academic, government and military researchers. Morrisused known vulnerabilities in communications software to knockoffline about 10 percent of the computers tied to the Web. The cryimmediately went out for greater security, but complacency soon setback in.

Today,the Internet has more than 2 billion users — one in every threepeople on the planet. It is a nearly indispensable tool of modernlife. But consider just a few high-profile victims of successfulcomputer intrusions in recent months: Sony,Citigroup,the InternationalMonetary Fund, the Gmailaccounts of high-ranking U.S. officials and the computer securitycompany RSA — an intrusion that seems to have played a part inlater attackson Lockheed Martin and perhaps other defense contractors that useRSA products.

Alsolurking in the digital ether are computer viruses and worms, likeStuxnet, that could commandeer industrial control systems used tooperate the valves and switches in nuclear power plants, pipelines,commercial manufacturing facilities and other criticalinfrastructure, and force them to shut down or perform dangerousoperations.

Despitethis known danger, the security firm McAfee and the Center forStrategic and International Studies found in 2010 that only 35percent of the owners of critical systems had checked to see ifStuxnet had invaded their networks, even though 40 percent of thosethat did check found their systems were infected.

Tạicuộc điều trần của thượng viện vào tháng trước, Bộtrưởng Quốc phòng Leon Panett đã cảnh báo rằng “TrậnTrân Châu cảng tiếp theo mà chúng ta đối mặt có thểsẽ là một cuộc tấn công không gian mạng đánh què cáchệ thống điện của chúng ta, các lưới điện củachúng ta, các hệ thống an ninh của chúng ta, các hệ thốngtài chính của chúng ta, các hệ thống chính phủ củachúng ta”.

Nghị quyết mà chúngta đã đề xuất có thể giúp tăng cường cho hạ tầngsố của chúng ta chống lại các dạng khai thác này bằngviệc tạo ra một “tiêu chuẩn vàng” trong phòng vệkhông gian mạng từ hầu hết các mạng nhạy cảm tớicác máy tính cá nhân.

Chúngta có thể bắt đầu bằng việc ủy quyền cho nhà chứctrách theo pháp luật qui định Bộ An ninh Nội địa DHSlàm việc với giới công nghiệp để xác định và đánhgiá các rủi ro đối với hạ tầng không gian mạng sốngcòn nhất - những hệ thống mà chúng kiểm soát các nhàmáy điện, các lưới điện và các đường ống dẫnkhí, tất cả những thứ đó, nếu bị thâm nhập, có thểdẫn tới sự phá hủy vật lý và con người và sự tànphá về kinh tế.

Một khi những rủiro này được xác định, các ông chủ và những ngườivận hành có thể chọn các biện pháp an ninh để đảmbảo an toàn cho các hệ thống của họ. Các kế hoạchnày có thể được các chuyên gia về không gian mạng củaDHS rà soát lại để đảm bảo là họ có cải thiện anninh. Pháp luật của chúng ta có thể đưa ra sự bảo vệtin cậy cho các ông chủ và những người vận hành tuânthủ với các kế hoạch về an ninh được phê chuẩn củahọ.

Khung công việc nàycó thể sản sinh ra an ninh không gian mạng với “các thựctiễn tốt nhất” mà chúng có khả năng sau đó sẽ sẵnsàng như một mô hình cho khu vực tư nhân. Trong khi việcsử dụng như vậy có thể là tự nguyện, thì sự pháttriển các kỹ thuật an ninh tốt hơn và tạo ra các tiêuchuẩn chăm sóc rộng khắp nền công nghiệp có thể dẫntới việc các mạng thương mại sẽ thiết lập chúng nhưlà một cách thức để giữ các khách hàng và lôi cuốncác khách hàng mới khác.

Hãy tưởng tượngmột ngân hàng phải giải thích cho các khách hàng củamình - hoặc cho một tòa án pháp luật - rằng thông tintài khoản khách hàng đã bị ăn cắp vì ngân hàng đãkhông triển khai các biện pháp an ninh có sẵn một cáchsẵn sàng.

Athis Senate confirmation hearing last month, Defense Secretary LeonPanetta warnedthat the “next Pearl Harbor we confront could very well be acyber-attack that cripples our power systems, our grid, our securitysystems, our financial systems, our governmental systems.”

Legislationwe have proposed would help strengthen our digital infrastructureagainst these kinds of exploits by creating a “gold standard” incyber-defenses f-rom the most sensitive networks to personalcomputers.

Wewould start by giving the Department of Homeland Security (DHS)statutory authority to work with industry to identify and evaluatethe risks to the country’s most critical cyber-infrastructure —those systems that control power plants, electric grids andpipelines, all of which, if hacked, could lead to human and physicaldestruction and economic havoc.

Oncethose risks have been identified, owners and operators would se-lectsecurity measures to safeguard their systems. These plans would bereviewed by DHS cyber-experts to ensure they improve security. Ourlegislation would provide liability protection for owners andoperators who are in compliance with their approved security plans.

Thisframework would produce cybersecurity “best practices” that wouldthen be available as a model for the private sector. While such usewould be voluntary, the development of better security techniques andthe creation of industrywide standards of care would lead commercialnetworks to install them as a way to keep customers and draw in newones.

Imaginethe bank that has to explain to its customers — or to a court oflaw — that customer account information was stolen because it didnot implement readily available security measures.

Một số công ty côngnghệ xuất các sản phẩm với sự quan tâm phù hợp vềan ninh, chỉ ra những lỗi có thể bị cài cắm vào saunày. Dự luật của chúng ta có thểkhuyến khích chính phủ liên bang kinh doanh chỉ với cáccông ty mà quan tâm tới an ninh từ đầu và tránh nhữngcông ty mà cố gắng áp dụng nó vào sau đó. Sứcmạnh mua sắm của chính phủ liên bang có thể giúp đưara thị trường để sản xuất nhiều sản phẩm an ninhhơn, mà cũng có thể sẽ sẵn sàng hơn cho các khách hàngkhông phải là chính phủ.

Dự luật của chúngta cũng có thể để DHS có khả năng theo luật định đảmbảo rằng chính phủ liên bang đang chia sẻ thông tin vềcác mối đe dọa, chỗ có thể bị tổn thương và sựlàm dịu với khu vực tư nhân. Nhiều công ty muốn bảovệ các hệ thống của họ nhưng bị ép mạnh phải xácđịnh chỉ những gì họ đang bảo vệ và không biết aitrong chính phủ có thể hỗ trợ cho họ. DHS nên phối hợpcác dòng chảy thông tin bên trong chính phủ cũng như giữakhu vực chính phủ và tư nhân.

Không có những thứan ninh 100%, dù là trực tuyến hay phi trực tuyến, nhưngchúng ta phải đấu tranh để tăng cường phòng vệ củachúng ta chống lại những ai luôn làm việc để làm hạichúng ta. Có một số người trong Quốc hội phản ứnglại việc thực hiện hành động trong các mối đe dọakhông gian mạng trong năm nay, nhưng chúng ta phải đặtchính trị đảng phái sang một bên, đưa ra sự nguy hiểmcủa dạng các mối đe dọa như thế này.

Lựachọn thay thế có thể là một trận Trân Châu cảng số- và một ngày ô nhục khác.

Sometechnology companies ship products with inadequate regard forsecurity, figuring flaws can be plugged later. Our bill wouldencourage the federal government to do business only with companiesthat bake in security f-rom the outset and avoid those that try tobolt it on later. The federal government’s purchasing power wouldhelp prod the market to produce more secure products, which wouldalso be available to non-government consumers.

Ourbill would also give DHS the statutory responsibility to ensure thatthe federal government is sharing threat, vulnerability andmitigation information with the private sector. Many companies wantto protect their systems but are hard-pressed to determine just whatthey are protecting against and do not know who in the government canassist them. DHS should coordinate the information flows within thegovernment as well as between government and the private sector.

Thereis no such thing as 100 percent security, on- or offline, but we muststrive to strengthen our defenses against those who are constantlyworking to do us harm. There are some in Congress who resist takingaction on cyber-threats this year, but we must put partisan politicsaside, given the danger of this threat.

Theal-ternative could be a digital Pearl Harbor — and another day ofinfamy.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com