Báo cáo các rủi ro cao về an ninh mạng của Hoa Kỳ: Những thách thức trong việc bảo vệ cơ sở hạ tầng mạng trọng yếu.

07/03/2023
Xem cỡ chữ Đọc bài viết In trang Google

Theo báo cáo mới đây của Kiểm toán nhà nước Hoa Kỳ (GAO), GAO vừa phát hành Báo cáo các rủi ro cao về an ninh mạng của Hoa Kỳ - đây là báo cáo thứ ba trong chuỗi bốn báo cáo về các lĩnh vực rủi ro, đề cập đến hành động liên quan đến bảo vệ cơ sở hạ tầng trọng yếu trên mạng, cụ thể là tăng cường vai trò của liên bang trong an ninh mạng đối với cơ sở hạ tầng trọng yếu.

Báo cáo rủi ro cao đã xác định 10 hành động quan trọng để giải quyết các thách thức an ninh mạng liên bang và106 kiến nghị công khai trong lĩnh vực này kể từ năm 2010.

Tính đến tháng 12/2022, gần 57% trong số các kiến nghị đó đã không được thực hiện. Báo cáo nhận định các hệ thống phân phối của lưới điện Hoa Kỳ, mạng điện tử hệ thống truyền tải đến người tiêu dùng và chủ yếu do các tiểu bang quản lý đang ngày càng gặp rủi ro trước các cuộc tấn công mạng. Các hệ thống phân phối ngày càng dễ bị tổn thương hơn, một phần là do khả năng kết nối ngày càng tăng của các hệ thống điều khiển công nghiệp. Do đó, các tác nhân đe dọa có thể sử dụng nhiều kỹ thuật để truy cập các hệ thống đó và có khả năng làm gián đoạn hoạt động.

Báo cáo đã đưa ra ba ví dụ cụ thể về kỹ thuật truy cập ưu tiên các hệ thống kiểm soát công nghiệp; các thách thức an ninh tiềm tàng đối với ngành truyền thông; bốn giai đoạn của một cuộc tấn công ransomware phổ biến (mã độc tống tiền, là một loại phần mềm độc hại, sau khi lây nhiễm vào máy tính, mã hóa hoặc chặn truy cập dữ liệu trên đĩa và sau đó thông báo cho nạn nhân về khả năng khôi phục chúng).

Đối với kỹ thuật truy cập ưu tiên các hệ thống kiểm soát công nghiệp, trong báo cáo kiểm toán phát hành tháng 3/2021, GAO cho rằng Bộ năng lượng (DOE), với tư cách là cơ quan liên bang đầu mối về lĩnh vực năng lượng, đã xây dựng các kế hoạch giúp chống lại mối đe dọa về khả năng truy cập các hệ thông kiểm soát và thực hiện chiến lược an ninh mạng quốc gia cho lưới điện. Tuy nhiên, GAO nhận thấy, các kế hoạch của DOE không giải quyết lỗ hổng của hệ thống phân phối liên quan đến chuỗi cung ứng. Do không có các kế hoạch đề cập đến việc cải thiện an ninh mạng của hệ thống phân phối lưới điện, các kế hoạch của DOE có nguy cơ bị hạn chế sử dụng trong việc ưu tiên hóa hỗ trợ của liên bang cho các tiểu bang và ngành.

GAO kiến nghị, khi xây dựng kế hoạch thực hiện chiến lược an ninh mạng quốc gia cho lưới điện, DOE phối hợp với DHS, các tiểu bang và ngành để giải quyết đầy đủ hơn các rủi ro đối với hệ thống phân phối của lưới điện từ các cuộc tấn công mạng. Ví dụ về các mối đe dọa bảo mật tiềm ẩn đối với lĩnh vực truyền thông, báo cáo của GAO khẳng định, lĩnh vực truyền thông là một thành phần không thể thiếu của nền kinh tế Hoa Kỳ và phải đối mặt với các mối đe dọa nghiêm trọng về vật chất, liên quan đến mạng và con người có thể ảnh hưởng đến hoạt động của hệ thống mạng cấp địa phương, khu vực và quốc gia. Ngoài việc quản lý sự phối hợp cấp liên bang trong các sự cố ảnh hưởng đến lĩnh vực truyền thông, CISA chia sẻ thông tin với các bên liên quan trong ngành để tăng cường an ninh mạng và cải thiện khả năng tương tác, nhận thức tình huống cũng như chuẩn bị ứng phó và quản lý sự cố.

Vào tháng 11/2021, GAO đã báo cáo rằng CISA (Chuyên gia Kiểm định Hệ thống thông tin - CISA là một chứng nhận quan trọng khác của tổ chức ISACA. Đây là chứng chỉ dành cho chuyên gia đánh giá (kiểm định) hệ thống thông tin và bảo mật) đã không đánh giá hiệu quả của các chương trình và dịch vụ hỗ trợ bảo mật và khả năng phục hồi của lĩnh vực truyền thông. Bằng cách hoàn thành đánh giá như vậy, CISA có thể xác định tốt hơn chương trình và dịch vụ nào hữu ích hoặc phù hợp nhất trong việc hỗ trợ bảo mật và khả năng phục hồi của ngành.

GAO cũng đã báo cáo rằng CISA đã không cập nhật Kế hoạch dành riêng cho lĩnh vực truyền thông năm 2015. Xây dựng và ban hành một kế hoạch sửa đổi sẽ giúp CISA giải quyết các mối đe dọa và rủi ro mới nổi đối với lĩnh vực truyền thông. GAO kiến nghị CISA đánh giá tính hiệu quả của các chương trình và dịch vụ để hỗ trợ lĩnh vực truyền thông và phối hợp với các bên liên quan trong lĩnh vực truyền thông công cộng và tư nhân, xây dựng và sửa đổi Kế hoạch dành riêng cho lĩnh vực truyền thông. Về ví dụ đối với bốn giai đoạn của một cuộc tấn công ransomware phổ biến, vào tháng 9/2022, GAO đã báo cáo rằng CISA, Cục Điều tra Liên bang FBI và Sở Mật vụ hỗ trợ ngăn chặn và ứng phó với các cuộc tấn công bằng mã độc tống tiền nhằm vào các tổ chức chính quyền của các bộ lạc, tiểu bang, địa phương và vùng lãnh thổ. Tuy nhiên, các cơ quan có thể cải thiện nỗ lực của mình bằng cách giải quyết đầy đủ sáu trong số bảy vấn đề chính liên quan đến hoạt động hợp tác giữa các cơ quan trong việc hỗ trợ cho chính quyền tiểu bang, địa phương, bộ lạc và lãnh thổ. Ví dụ: sự hợp tác liên ngành hiện có về hỗ trợ ransomware cho chính quyền bộ lạc, tiểu bang, địa phương và lãnh thổ là không chính thức và thiếu các thủ tục chi tiết.

GAO kiến nghị Bộ An ninh nội địa Hoa Kỳ và Bộ Tư pháp giải quyết các thách thức đã xác định và kết hợp các hoạt động hợp tác chính trong việc cung cấp dịch vụ cho chính quyền tiểu bang, địa phương, bộ lạc và lãnh thổ./.

Theo Bản tin quốc tế của Vụ hợp tác Quốc tế Kiểm toán nhà nước tháng 2/2023

Xem thêm »