Kaspersky: Tấn công vào chuỗi cung ứng và cách ngăn chặn

Theo bà Genie Gan, Trưởng Bộ phận Đối ngoại và Quan hệ Chính phủ, Kaspersky châu Á – Thái Bình Dương, việc tăng cường khả năng phục hồi chuỗi cung ứng trong công nghệ thông tin – truyền thông là trách nhiệm của mỗi cá nhân

NotPetya, WannaCry, ShadowPad, và Sunburst có thể không phải là những cái tên phổ biến, nhưng những phần mềm độc hại này và nhiều cái tên khác đã gây ra nhiều tổn hại đến thế giới. 

Gần đây, một phần mềm độc hại đã tấn công công ty cung cấp dịch vụ công nghệ thông tin (CNTT) tại Dublin chuyên cung cấp phần mềm bảo mật cho các nhà thầu an ninh mạng quy mô lớn. Thông qua công ty này, hacker đã lây nhiễm hàng trăm khách hàng trên thế giới bằng ransomwere và đòi tiền chuộc từ 50.000 – 5 triệu đô la Mỹ trên mỗi khách hàng để đổi lại chia khóa giải khóa. 

Đầu năm nay, một cuộc tấn công khác nhắm vào công ty phần mềm tại Hoa Kỳ, sau đó xâm nhập vào 9 cơ quan liên bang, bao gồm văn phòng Tổng thống, Bộ Tài chính và Thương mại. 

Điểm chung của các cuộc tấn công này là mô hình hoạt động: Hacker nhắm đến nhà cung cấp phần mềm hoặc công ty CNTT để chiếm quyền truy cập cửa sau vào hệ thống khách hàng, lây nhiễm hàng trăm đến hàng ngàn hệ thống chỉ trong 1 lần lây nhiễm. 

Đây có lẽ là cách “chuỗi cung ứng” hoạt động: mỗi phần của quy trình chắc chắn sẽ liên kết với những phần khác. Khi một bộ phận bị ảnh hưởng, hiệu ứng domino sẽ sớm xuất hiện. 

Vấn đề

Tấn công vào chuỗi cung ứng công nghệ thông tin – truyền thông (CNTT-TT) đang gia tăng: Liên minh châu Âu về An ninh mạng ước tính mức tăng trưởng các cuộc tấn công vào năm 2021 gấp 4 lần so với năm 2020. Rủi ro còn phức tạp vì các lỗ hổng bảo mật có thể xuất hiện ở bất kỳ giai đoạn nào của vòng đời CNTT từ thiết kế thông qua phát triển, sản xuất, phân phối, mua lại và triển khai đến bảo trì.

Tác động của những sự cố này cũng sẽ ngày càng lan rộng, do sự kết nối ngày càng tăng của các hệ thống CNTT giữa các tổ chức, lĩnh vực và quốc gia. Trong một cuộc khảo sát năm 2019 của Gartner, 60% tổ chức cho biết đã làm việc với hơn 1.000 bên thứ ba.

Sau khi xâm nhập thành công, tội phạm mạng thỏa sức tiến hành hoạt động gián điệp mạng, đánh cắp thông tin và tài sản trí tuệ hoặc tống tiền bằng ransomware – xu hướng đang có chiều hướng tăng. Từ 2019 đến 2020, số người dùng Kaspersky bị tấn công bởi ransomware chuyên dùng đế nhắm vào tập đoàn, tổ chức chính phủ và cơ quan các thành phố đã tăng 767%.  

Mặc dù tác động đối với các chính phủ và doanh nghiệp có thể thấy rõ hơn, nhưng các ngành nghề khác cũng không tránh khỏi vòng tác động này. Một cuộc tấn công vào chuỗi bách hóa có thể khiến các siêu thị buộc phải đóng cửa tạm thời, nếu không vi rút có thể được phát tán đến hàng triệu người dùng PC thông qua bản cập nhật phần mềm (như đã xảy ra trong cuộc tấn công ShadowHammer3 + 1, được Kaspersky phát hiện và xử lý kịp thời, giảm nhẹ thiệt hại vào năm 2019). Xa hơn nữa, hệ thống cung cấp dịch vụ chăm sóc sức khỏe hoặc tiện ích công bị tổn hại có thể làm gián đoạn việc cung cấp các dịch vụ thiết yếu này. Và đây là những điều hàng ngày gây ảnh hưởng đến mỗi người trong chúng ta. 

Những ứng phó đầu tiên

Nhận thấy những rủi ro và tác động của các cuộc tấn công vào chuỗi cung ứng, nhiều quốc gia đang có những hành động kịp thời. Từ 2020, các chiến lược an ninh mạng quốc gia đã được đưa ra và cập nhật trên khắp khu vực châu Á – Thái Bình Dương, bao gồm Singapore, Malaysia, Úc và Nhật bản. Các quốc gia khác như Việt Nam, Ấn Độ, Indonesia sẽ sớm đưa ra chiếc lược riêng cũng như chi tiết triển khai của riêng mình. 

Nhưng khi bàn về khả năng phục hồi chuỗi cung ứng CNTT-TT, giải pháp sẽ phức tạp hơn khi bao gồm nhiều bên liên quan trong nhiều lĩnh vực khác nhau. Một số chính phủ đã gia nhập với mục tiêu bảo vệ chuỗi cung ứng CNTT-TT thuộc hệ thống thông tin trọng yếu (CII):

• Năm 2018, Bộ An ninh Nội địa Hoa Kỳ đã thành lập Lực lượng Đặc nhiệm Quản lý Rủi ro Chuỗi Cung ứng CNTT, một quan hệ đối tác công-tư nhằm phát triển sự đồng thuận về các chiến lược quản lý rủi ro nhằm tăng cường an ninh chuỗi cung ứng CNTT toàn cầu. Nhóm đặc nhiệm đã ban hành hướng dẫn về việc chia sẻ thông tin rủi ro chuỗi cung ứng và cân nhắc rủi ro cho các khách hàng là nhà cung cấp dịch vụ được quản lý.
• Năm 2021, Trung tâm An ninh Mạng Úc cũng ban hành hướng dẫn cho doanh nghiệp trong việc xác định và quản lý các rủi ro an ninh mạng trong chuỗi cung ứng. 
• Cơ quan An ninh mạng Singapore thông báo sẽ sớm ra mắt Chương trình CII Chuỗi cung ứng cho cá nhân và tổ chức để các bên liên quan tuân thủ các tiêu chuẩn và thông lệ quốc tế trong quản lý rủi ro chuỗi cung ứng. 

Chiến lược dài hạn

Đặc thù của chuỗi cung ứng CNTT-TT yêu cầu sự ứng phó mạnh hơn, liên kết hơn ở mỗi cấp tổ chức, cá nhân và khu vực. 

Về toàn cầu, nhiều quốc gia và tổ chức quốc tế (như INTERPOL, Liên hiệp Quốc, ASEAN, Europol) đã và đang các những bước đi nhằm thắt chặt quan hệ hợp tác và chia sẻ thông lệ:

• Quan hệ đa phương – Ngày nay, Nhóm các chuyên gia chính phủ và Nhóm công tác mở của Liên hợp Quốc là những nền tảng mà các quốc gia có thể sử dụng để phát triển sự đồng thuận xung quanh các quy trình và chuẩn mực không gian mạng. Các hội nghị như Diễn đàn Quản trị Internet của Liên hợp Quốc mang đến cơ hội thảo luận sâu hơn ở cấp độ làm việc: vào năm 2020, Kaspersky cùng với các đối tác đã tổ chức hội thảo để thảo luận về nhu cầu và cách thức phát triển sự đảm bảo và minh bạch trong chuỗi cung ứng CNTT-TT toàn cầu.
• Hợp tác song phương – Các quốc gia trong khu vực, bao gồm Việt Nam, Ấn Độ, Nhật Bản, Singapore, Trung Quốc và Hàn quốc đã ký MoU trong nhiều lĩnh vực liên quan đến an minh mạng – một bước tiến quan trọng trong việc đạt được mục tiêu quốc gia và quốc tế. 

Cũng theo bà bà Genie Gan, dù mỗi cách thức đều đóng vai trò quan trọng trong việc xây dựng sự đồng thuận, trao đổi kiến thức và thực tiễn tốt nhất, đồng thời hài hòa hóa các tiêu chuẩn, hướng đến tương lai, nhưng có được các cuộc thảo luận về khả năng phục hồi chuỗi cung ứng CNTT-TT toàn cầu, với nhiều loại tác nhân và tác động liên quan đến thế giới là việc hết sức quan trọng. 

Tại mỗi quốc gia, chính phủ phải tiếp tục nỗ lực để thành lập tiêu chuẩn an ninh mạng xuyên suốt các lĩnh vực từ luật pháp, quy định, hướng dẫn, đào tạo tiêu chuẩn và xây dựng nhận thức. Những ví dụ phía trên đã cho thấy những biện pháp được các chính phủ tiến hành. 

Với bản chất kết hợp của khả năng phục hồi chuỗi cung ứng CNTT-TT, cần đặc biệt phát triển các nguyên tắc cốt lõi (ví dụ như bảo mật theo thiết kế), tiêu chuẩn kỹ thuật và khuôn khổ lập pháp/ quy định để đảm bảo mức độ nhất quán của an ninh mạng và trách nhiệm giải trình giữa các bên liên quan. Ngoài ra, các công cụ tự đánh giá cũng có thể được đưa ra để tạo điều kiện thuận lợi cho việc thực hiện.

Đối với cá nhân, mỗi người đều phải chịu trách nhiệm cho việc đảm bảo an ninh mạng. Thông thường, các doanh nghiệp phát triển sản phẩm và duy trì hệ thống sẽ đi đầu trong việc này. 

Tại Kaspersky, chúng tôi tin rằng tính minh bạch trong tổ chức và kết nối giữa các chuỗi cung ứng phần mềm là cách tốt nhất để đảm bảo tính toàn vẹn và đáng tin cậy của cơ sở hạ tầng kỹ thuật số của chúng tôi. Cam kết của chúng tôi đối với nguyên tắc này được chứng minh bằng Sáng kiến Minh bạch Toàn cầu, trong đó: 

• Hoan nghênh các bên thứ ba xem xét mã nguồn của chúng tôi. Gần đây hơn, chúng tôi đã giúp các đối tác và công chúng hiểu những gì bên trong các sản phẩm của chúng tôi dễ dàng hơn bằng cách cung cấp hóa đơn phần mềm về vật liệu – danh sách tất cả các thành phần cùng thông tin và mối liên hệ giữa chúng với nhau.
• Thực hành tiết lộ lỗ hổng bảo mật một cách có trách nhiệm và trong nhiều trường hợp, đã cảnh báo các công ty CNTT về các lỗ hổng trong hệ thống của họ, ngăn chặn một số cuộc tấn công mạng quan trọng tiềm ẩn. 

An ninh mạng là công việc của tất cả mọi người vì an ninh mạng tập hợp của chúng ta chỉ mạnh mẽ khi có sự đoàn kết. Để tiếp tục dẫn đầu cuộc chơi, cần phải có một cách tiếp cận tổng thể liên quan đến tất cả các bên liên quan. Chúng ta phải nhìn xa hơn việc chơi trò bắt kịp và phản ứng với các mối đe dọa mạng. Thực hiện cách tiếp cận dài hạn trong việc thiết kế hệ sinh thái an ninh mạng, bao gồm việc xây dựng nguồn lực để đáp ứng nhu cầu của CERT, nhóm phân tích pháp y và bộ phận CNTT cũng như thiết kế CII an toàn theo từng thiết kế là việc vô cùng quan trọng. 

Những ý kiến trên đây có thể chưa đầy đủ nhưng hy vọng sẽ cung cấp một ý tưởng về nơi bắt đầu trên chặng đường dài phía trước chúng ta, khi đi cùng nhau.