Quan chức DHS nhấn mạnh an ninh không gian mạng là trách nhiệm của giới công nghiệp

DHS official stresses cybersecurity is industry's responsibility

By Jill R. Aitoro 05/25/2010

Theo: http://www.nextgov.com/nextgov/ng_20100525_8667.php

Bài được đưa lên Internet ngày: 25/05/2010

Lời người dịch: Quan chức cao cấp của Bộ An ninh Quốc nội Mỹ muốn các hợp đồng để đưa phần cứng và phần mềm máy tính vào trong các cơ quan nhà nước phải được kiểm soát kỹ để biết rõ được nguồn gốc sản phẩm và đảm bảo an ninh của hệ thống. Ông cũng nêu ra những trường hợp mất anh ninh trong quá khứ, như “Ông đã lưu ý một số ví dụ nơi những thất bại trong chuỗi cung cấp đã dẫn tới những hậu quả an ninh nghiêm trọng, bao gồm một làn sóng các ổ đĩa cứng bị lây nhiễm các virus mà đã thâm nhập được vào thị trường Mỹ từ châu Á vào năm 2007 và một trường hợp gần đây trong đó những ổ USB đã được xuất đi được cài đặt sẵn các phần mềm độc hại, cuối cùng đã dẫn tới việc Bộ Quốc phòng buộc phải cấm tạm thời các thiết bị lưu trữ”. Ông mong muốn: “Các quan chức mua sắm và công nghệ của liên bang phải viết các hợp đồng mà chúng thiết lập những mong muốn cụ thể về cách mà giới công nghiệp đảm bảo an ninh cho phần cứng và phần mềm máy tính, bao gồm cả sự bảo hiểm các sản phẩm mà họ mua từ các nhà cung cấp và các qui trình phát triển đã tuân thủ những thực tế tốt nhất”. Còn việc mua sắm công nghệ thông tin ở Việt Nam thì như thế nào nhỉ?

Các nhà thầu mà thất bại đối với các yêu cầu về an ninh trong các hợp đồng công nghệ của liên bang phải được tính tới, ngay cả nếu những chỗ bị tổn thương có khởi nguồn trong những sản phẩm hoặc khả năng được cung cấp bởi các nhà cung cấp, một quan chức hàng đầu của Bộ An ninh Quốc nội Mỹ (DHS) nói hôm thứ ba.

Trong hầu hết các tình huống kinh doanh, “nếu chúng ta có một thỏa thuận hợp đồng và bạn thất bại [để đáp ứng những yêu cầu], thì tôi sẽ nhờ tới pháp luận”, Richard Marshall, giám đốc của quản lý an ninh không gian mạng toàn cầu tại DHS. “Vì sao không thể đúng hệt như vậy khi chuỗi cung cấp [có liên quan] nhỉ? Tôi đang mua một sản phẩm từ bạn, và bạn trình bày rằng đây là một sản phẩm với những đặc tính như sau. Nếu bạn không đúng, thì tôi có quyền kiện bạn”.

Marshall đã nói tại hội nghị An ninh của Mỹ SecureAmericas tại Arlington, Va., một sự kiện được tổ chức bởi nhà cung cấp an ninh không gian mạng là Nhóm Chứng chỉ An ninh các Hệ thống Thông tin Quốc tế.

Ông đã lưu ý một số ví dụ nơi những thất bại trong chuỗi cung cấp đã dẫn tới những hậu quả an ninh nghiêm trọng, bao gồm một làn sóng các ổ đĩa cứng bị lây nhiễm các virus mà đã thâm nhập được vào thị trường Mỹ từ châu Á vào năm 2007 và một trường hợp gần đây trong đó những ổ USB đã được xuất đi được cài đặt sẵn các phần mềm độc hại, cuối cùng đã dẫn tới việc Bộ Quốc phòng buộc phải cấm tạm thời các thiết bị lưu trữ.

“Mua từ một nhà cung cấp có thẩm quyền và phải chắc chắn rằng nhà cung cấp đó đã mua từ một nhà cung cấp có thẩm quyền khác”, Marshall đã khuyến cáo.

Các quan chức mua sắm và công nghệ của liên bang phải viết các hợp đồng mà chúng thiết lập những mong muốn cụ thể về cách mà giới công nghiệp đảm bảo an ninh cho phần cứng và phần mềm máy tính, bao gồm cả sự bảo hiểm các sản phẩm mà họ mua từ các nhà cung cấp và các qui trình phát triển đã tuân thủ những thực tế tốt nhất.

Contractors that fail to live up to security requirements in federal technology contracts should be held accountable, even if the vulnerabilities originated in products or capabilities provided by suppliers, a top Homeland Security Department official said on Tuesday.

In most business situations, "if we have a contractual arrangement and you fail [to meet the requirements], I have legal recourse," said Richard Marshall, director of global cybersecurity management at DHS. "Why wouldn't the same be true when the supply chain [is involved]? I'm buying a product from you, and you represent that it's a product with the following characteristics. If you fail, I have a right to sue you."

Marshall spoke at the SecureAmericas conference in Arlington, Va., an event hosted by the cybersecurity provider International Information Systems Security Certification Consortium.

He noted a number of examples where failures in the supply chain led to serious security implications, including a wave of hard drives infected with viruses that infiltrated the U.S. market from Asia in 2007 and a recent case in which thumb drives were shipped preinstalled with malicious software, eventually leading to the Defense Department imposing a temporary ban on the storage devices.

"Buy from an authorized vendor and make sure that vendor has purchased from an authorized vendor," Marshall advised.

Federal technology and acquisition officials must write contracts that set specific expectations for how industry secures computer hardware and software, including assurances the products they purchase from suppliers and the development processes followed best practices.

“Cả 2 phía phải vận hành theo sự siêng năng trong việc xác định những đặc tính [của hợp đồng]”, Marshall nói. “Bạn sẽ muốn thiết kế một hợp đồng có lợi cho bạn, và tôi sẽ muốn có lợi cho tôi. Đây là áp lực có tính xây dựng, nhưng tôi tin nó là [có năng suất] nếu chúng ta có cùng một mục đích, mà nó là việc xây dựng hàng hóa có chất lượng tốt”.

Hệt như những nhà cung cấp phần mềm được mong đợi sẽ phát triển các bản vá anh ninh để bảo vệ những chỗ dễ bị tổn thương được dò tìm ra trong các sản phẩm của họ, các giám đốc thông tin CIO phải siêng năng trong việc giữ cho các hệ thống của họ được cập nhật.

“Đó là một thách thức dễ làm thoái chí”, Marshall nói. “Chúng ta luôn có thời gian và tiền bạc để sửa một lỗi lầm, nhưng chúng ta bị gắn chặt trên tiền tuyến khi có liên quan tới việc mua một cách thông minh và cài đặt triển khai một cách đúng đắn”.

"Both sides have to operate under due diligence in defining characteristics [of the contract]," Marshall said. "You're going to want to design a contract in your favor, and I will in mine. There's that constructive tension, but I believe it's [productive] if we have the same objective, which is building good quality stuff."

Just as software vendors are expected to develop security patches to protect vulnerabilities detected in their products, chief information officers must be diligent in keeping their systems up to date.

"That is a daunting challenge," Marshall said. "We always have the time and money to correct a mistake, but we're tight on the front end when it comes to buying smartly and installing correctly."

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com