Tranh luận nổi lên về kiểm tra các chứng chỉ về an ninh không gian mạng

Debateswirls on overhauling cybersecurity certifications

ByAliya Sternstein 11/17/2010

Theo:http://www.nextgov.com/nextgov/ng_20101117_4910.php

Bàiđược đưa lên Internet ngày: 17/11/2010

Lờingười dịch: Nhiều người muốn kiểm tra việc cấpchứng chỉ về an ninh không gian mạng (ANKGM) trong chínhphủ Mỹ phải được tuân thủ, trong bối cảnh ANKGM ngàymột nóng và sự thiếu hụt nhân sự trong việc này làrất lớn. “Các cựu quanchức liên bang đã đánh giá chỉ có 1,000 chuyên gia vềan ninh của Mỹ với các kỹ năng cần thiết để vậnhành trong không gian mạng – và đất nước này cầnkhoảng 10,000-30,000 các chuyên gia như vậy”. Khôngbiết Việt Nam thì cần bao nhiêu chuyên gia ANKGM nhỉ???20,000 người chăng??? Hiện ta đang có bao nhiêu người đủnăng lực để giải quyết vấn đề ANKGM nhỉ??? 200 ngườichăng??? Hay là bao nhiêu nhỉ???

Hầuhết các chuyên gia về an ninh không gian mạng (ANKGM) phảnđối ý tưởng cấu trúc lại việc huấn luyện để thúcđẩy các cấp độ nhân lực, theo một khảo sát mà hiệphội thương mại đã đưa ra hôm thứ tư, 2 ngày trướcmột báo cáo đấu nhau bởi một cơ quan nghiên cứu vềan ninh ở Washington đã gọi chương trình cấp chứng chỉhiện hành là không phù hợp.

Cuộckhảo sát hôm thứ tư, được tiến hành bởi ISC, mộtnhóm phi lợi nhuận mà cấp chứng chỉ và huấn luyệncho những người chuyên nghiệp về an ninh, đã thấy 69%các nhân viên không gian mạng không tin tưởng vào mộtban lãnh đạo của những người chấm thi do chính phủquản lý phải được thiết lập để thay đổi cácchương trình cấp chứng chỉ đang tồn tại. Phát hiệnnày là lạ lẫm với các khuyến cáo mà Trung tâm Nghiêncứu Chiến lược và Quốc tế (CSIS) đã hé lộ vào tháng7 và đã chi tiết hóa trong một tài liệu ngày 15/11 màgửi tới chính phủ để tảo ra một “cơ quan quản lý”để quản lý các chứng chỉ trong những lĩnh vực đặcbiệt và phát triển các tiêu chí cho việc đánh giá cácchương trình cấp chứng chỉ hiện đang tồn tại.

Cả2 nhóm đang cố gắng hình dung pháp lý chưa được giảiquyết trong Quốc hội nhằm vào việc kiểm tra các quiđịnh về ANKGM của cả liên bang và giới công nghiệptrong sự nổi lên các cuộc tấn công KGM mà các chính phủnước ngoài được cho là đã dàn dựng.

“Tổchức của chúng ta đã làm việc chặt chẽ với chính phủvà bất kỳ lúc nào mà họ tin tưởng họ cần một sựủy nhiệm đặc biệt, kỹ thuật hơn, thì chúng tôi sẽngồi xuống và xây dựng nó”, Giám đốc điều hành W.Hord Tipton, một cựu giám đốc thông tin của Bộ Nội vụ,nói. “Báo cáo của cơ quan này cũng đưa ra những vukhống ít nhất nhằm vào tôi và những người mà họ cósự ủy nhiệm”.

CSISvà 700 chuyên gia được khảo sát đã đồng ý về mộtthứ: có tột sự thiếu hụt các chuyên gia không gian mạngtrong chính phủ liên bang. Các cựu quanchức liên bang đã đánh giá chỉ có 1,000 chuyên gia vềan ninh của Mỹ với các kỹ năng cần thiết để vậnhành trong không gian mạng – và đất nước này cầnkhoảng 10,000-30,000 các chuyên gia như vậy.

Mostcybersecurity professionals oppose the idea of restructuring trainingto boost workforce levels, according to a survey a trade associationreleased on Wednesday, two days after a dueling report by aWashington security think tank called current certification programsinadequate.

TheWednesday poll, conducted by (ISC)²,a nonprofit group that certifies and trains information securityprofessionals, found 69 percent of cyber personnel do not believe agovernment-run board of examiners should be established to changeexisting certification programs. This finding is at odds withrecommendations the Center for Strategic and International Studiesunveiledin July and detailed in a Nov.15 paper that directs the government to cre-ate a "governancebody" to administer certifications in specialty areas anddevelop criteria for evaluating existing certification programs.

Bothgroups are trying to shape pendinglegislation in Congress aimed at overhauling federal and industrycybersecurity rules in the wake of cyberattacks foreign governmentsallegedly orchestrated.

"Ourorganization has worked closely with government and anytime that theybelieve they need a more technical, specific credential, we sit downand build it," said (ISC)² Executive Director W. HordTipton, a former Interior Department chief information officer. "The[CSIS] report also casts aspersions at least to me and people whohave credentials."

CSISand the 700 professionals (ISC)² surveyed did agree on onething: there is a shortage of federal government cyber experts.Former federal officials have estimated there are only 1,000 U.S.security specialists with the skills necessary to operate incyberspace -- and the country needs about 10,000 to 30,000 suchprofessionals.

Mànhiệm vụ của CSIS về ANKGM đối với tổng thống lầnthứ 44 trong tài liệu hôm thứ hai về các vấn đề nănglực kỹ thuật đã chê những ủy nhiệm của những ngườithực hành không gian mạng ngày nay của liên bang. “Đâylà sự đồng thuận của ủy ban mà chế độ chứng chỉchuyên nghiệp hiện hành chỉ là không phù hợp, nó tạora một cảm tưởng nguy hiểm không đúng về an ninh” vìnhững ủy nhiệm không cải thiện được các kỹ năngcủa các nhân viên, Karen Evans, một cựu quản trị vềchính phủ điện tử và công nghệ thông tin tại Vănphòng Quản lý và Ngân sách, và Frank Reeder, một cựu giámđốc chính sách thông tin tại OMB.

Cácủy nhiệm hiện hành tập trung nhiều vào việc thể hiệnsựt tinh thông trong việc làm tài liệu về tuân thủ anninh hơn là sự tinh thông trong việc ngăn ngừa và phảnứng lại với các cuộc tấn công, họ nói.

Sựđánh giá mà cơ quan CSIS đã đề xuất có thể đượctạo ra như một cơ quan phi lợi nhuận với các đại diệntừ khu vực tư nhân, hàn lâm và chính phủ liên bang.Những khuyến cáo dài hạn đã đưa vào một ban lãnh đạođộc lập của những người kiểm tra an ninh thông tin đểquản lý các chứng chỉ chuyên nghiệp đối với nhữnglĩnh vực đặc biệt như phát triển phần mềm, các hoạtđộng nghiên cứu và mạng. “Trong y tế, chúng tôi bâygiờ có các tiêu chuẩn và các chứng chỉ chuyên nghiệpđặc biệt”, Evans và Reeder đã viết. “Chúng tôi cóthể kham được không gì ít hơn trong thế giới củaANKGM”.

Cácquan chức của ISC nói CSIS đã không đưa ra được các dữliệu để ủng hộ cho lời kêu rằng có những thiếu sóttrong môi trường chứng chỉ hiện hành. “Nó làm cho bọntội phạm rời khỏi những người mà họ thực nghiệman ninh”, Tipton nói. ISC đã thấy 52%các chuyên gia không gian mạng không nghĩ việc nhấn mạnhcác chứng chỉ đặc biệt sẽ đảo ngược được sựthiếu hụt về nhân lực. Hơn nữa, đa số những ngườiđược hỏi – 54% - nói việc đầu tư vào các kỹ năngkỹ thuật huấn luyện và chứng chỉ sẽ không giảiquyết được các vấn đề về an ninh quốc gia.

Tiptonnói các dự luật chủ chốt về không gian mạng trong Quốchội là im ắng về vấn đề các chứng chỉ chuyên nghiệpđối với các nhân viên của liên bang, bao gồm Luật Bảovệ Tài sản Quốc gia và Không gian mạng 2010 (S.3480), đượcbảo trợ bởi Nghị sỹ Joe Lieberman, I-Conn., chủ tịchcủa Ủy ban Công tác Chính phủ và An ninh Nội địa.Nhưng Luật về ANKGM 2009 (S.773), được giới thiệu bởiNghị sỹ John D. Rockefeller, D-W. Va, chủ tịch của Ủy banThương mại, Khoa học và Giao thông, có thể đòi hỏi tấtcả chính phủ hoặc các chuyên gia về ANKGM của các hạtầng sống còn sẽ phải được cấp chứng chỉ theo mộtchương trình quốc gia trong vòng 3 năm.

Phápchế chủ đạo không đoán trước được sẽ thông quabất kỳ thứ gì sớm, nhưng Tipton nói ông có quan tâm tớimột điều khoản chứng chỉ có thể được gắn vàothành một thứ không liên quan, dự luật phải thông qua,theo cách mà các mệnh đề về an ninh thông tin liên bangđã được chèn vào trong phiên bản của Hạ viện củaLuật Ủy quyền Quốc phòng (H.R.5136).

ButCSIS' Commission on Cybersecurity for the 44th Presidency in Monday'spaper on technical proficiency issues condemned the credentials oftoday's federal cyber practitioners. "It is the consensus of thecommission that the current professional certification regime is notmerely inadequate, it cre-ates a dangerously false sense of security"because the credentials do not improve employees' skills, wrote KarenEvans, a former administrator for e-government and informationtechnology at the Office of Management and Budget, and Frank Reeder,a former chief of information policy at OMB.

Currentcredentials focus too much on demonstrating expertise in documentingsecurity compliance rather than expertise in preventing andresponding to attacks, they added.

Theevaluation body CSIS proposed would be cre-ated as a nonprofit withrepresentatives f-rom the private sector, academia and the federalgovernment. Long-term recommendations included an independent boardof information security examiners to administer professionalcertifications for specialty areas such as software development,forensics and network operations. "In medicine, we now haveaccreditation standards and professional certifications byspecialty," Evans and Reeder wrote. "We can afford nothingless in the world of cybersecurity."

(ISC)²officials said CSIS did not provide data to support the claim thatthere are flaws in the current certification environment. "Itmakes criminals out of people who practice security," Tiptonsaid. (ISC)² found 52 percent of cyber professionals donot think emphasizing specialty certifications will reverse theworkforce shortage. In addition, the majority of respondents -- 54percent -- said investing in technical skills training andcertification will not solve the nation's security problems.

Tiptonsaid uprooting the current certification system would undo hard-wonprogress in educating the cyber workforce and exacerbate what alreadyis a human capital crisis. Professionals polled said one of the maincauses of the shortage is the lack of a defined career path. Severaltrade groups, including (ISC)2,Information Systems Security Association and CompTIA, are askingCongress to take advantage of existing training programs to grow thecyber workforce.

Mostof the major cyber bills in Congress are silent on the issue ofprofessional certifications for federal employees, including thebipartisan 2010 Protecting Cyberspace as a National Asset Act (S.3480), sponsored by Sen. Joe Lieberman, I-Conn., chairman of theHomeland Security and Governmental Affairs Committee. But the 2009Cybersecurity Act (S.773),introduced by Sen. John D. Rockefeller, D-W.Va., chairman of theCommerce, Science and Transportation Committee, would require allgovernment or critical infrastructure cybersecurity professionals tobe certified under a national program within three years.

Majorlegislation is not anticipated to pass anytime soon, but Tipton saidhe is concerned a certification provision might be tagged onto anunrelated, must-pass bill, in the way federal information securityclauses were in-serted into the House version of the 2011 NationalDefense Authorization Act (H.R. 5136).

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com