Thứ Ba, 12 tháng 7, 2011

Tiêu chuẩn vàng trong phòng vệ không gian mạng

A gold standard in cyber-defense

By Joe Lieberman, Susan Collins and Tom Carper, Friday, July 8, 7:01 AM

Theo: http://www.washingtonpost.com/opinions/a-gold-standard-in-cyber-defense/2011/07/01/gIQAjsZk2H_story.html

Bài được đưa lên Internet ngày: 08/07/2011

Lời người dịch: Tại cuộc điều trần của thượng viện vào tháng trước, Bộ trưởng Quốc phòng Leon Panett đã cảnh báo rằng “Trận Trân Châu cảng tiếp theo mà chúng ta đối mặt có thể sẽ là một cuộc tấn công không gian mạng đánh què các hệ thống điện của chúng ta, các lưới điện của chúng ta, các hệ thống an ninh của chúng ta, các hệ thống tài chính của chúng ta, các hệ thống chính phủ của chúng ta”. Người Mỹ kêu gọi về một “tiêu chuẩn vàng” cho an ninh mạng mà mọi cơ quan, doanh nghiệp khu vực nhà nước và tư nhân phải tuân thủ, nếu không muốn có một ngày ô nhục khác, một trận Trân Châu cảng khác.

Lịch sử của an ninh Internet vừa dễ gây lo lắng vừa dễ để răn dạy. Khi virus đầu tiên - “sâu Morris” - được tung ra vào năm 1988, thì Internet từng là một hệ thống với khoảng 60,000 máy tính được sử dụng hầu như hoàn toàn từ các nhà nghiên cứu hàn lâm, chính phủ vf quân đội. Morris đã sử dụng các chỗ bị tổn thương nổi tiếng trong các phần mềm truyền thông để đánh hỏng kết nối trực tuyến của khoảng 10% các máy tính được kết nối tới Web. Sự kêu ca ngay lập tức đã thốt ra về an ninh tốt hơn là cần thiết, nhưng tính tự mãn đã sớm được thiết lập lại.

Ngày nay, Internet có hơn 2 tỷ người sử dụng - 1/3 số người trên hành tinh này. Nó gần như là một công cụ không thể thiếu được trong cuộc sống hiện đại. Nhưng hãy xem chỉ một số ít các nạn nhân nổi tiếng của những vụ thâm nhập máy tính trái phép thành công những tháng gần đây: Sony, Citigroup, Quỹ Tiền tệ Quốc tế, các tài khoản của Gmail của các quan chức cao cấp của Mỹ vfa công ty an ninh máy tính RSA - một sự thâm nhập trái phép dường như đã đóng một phần trong các cuộc tấn công sau này vào Lockheed Martin và có thể cả các nhà thầu quân sự khác mà sử dụng các sản phẩm của RSA.

Cũng bị che dấu trong thế giới số là các virus và sâu máy tính, như Stuxnet, mà nó có thể ra lệnh cho các hệ thống kiểm soát công nghiệp được sử dụng để vận hành các van và chuyển mạch trong các nhà máy điện hạt nhân, đường ống dẫn khí, các cơ sở sản xuất thương mại và các hạ tầng sống còn khác, và bắt chúng phải dừng hoặc thực hiện các hoạt động nguy hiểm.

Bất chấp sự nguy hiểm được biết này, hãng an ninh McAfee và Trung tâm Nghiên cứu Chiến lược và Quốc tế đã thấy trong năm 2010 rằng chỉ 35% các ông chủ các hệ thống sống còn có kiểm tra để xem liệu các hệ thống của họ có bị lây nhiễm hay không.

The history of Internet security is both worrisome and instructive. When the first virus — the “Morris worm” — was launched in 1988, the Internet was a closed system of 60,000 computers used almost exclusively by academic, government and military researchers. Morris used known vulnerabilities in communications software to knock offline about 10 percent of the computers tied to the Web. The cry immediately went out for greater security, but complacency soon set back in.

Today, the Internet has more than 2 billion users — one in every three people on the planet. It is a nearly indispensable tool of modern life. But consider just a few high-profile victims of successful computer intrusions in recent months: Sony, Citigroup, the International Monetary Fund, the Gmail accounts of high-ranking U.S. officials and the computer security company RSA — an intrusion that seems to have played a part in later attacks on Lockheed Martin and perhaps other defense contractors that use RSA products.

Also lurking in the digital ether are computer viruses and worms, like Stuxnet, that could commandeer industrial control systems used to operate the valves and switches in nuclear power plants, pipelines, commercial manufacturing facilities and other critical infrastructure, and force them to shut down or perform dangerous operations.

Despite this known danger, the security firm McAfee and the Center for Strategic and International Studies found in 2010 that only 35 percent of the owners of critical systems had checked to see if Stuxnet had invaded their networks, even though 40 percent of those that did check found their systems were infected.

Tại cuộc điều trần của thượng viện vào tháng trước, Bộ trưởng Quốc phòng Leon Panett đã cảnh báo rằng “Trận Trân Châu cảng tiếp theo mà chúng ta đối mặt có thể sẽ là một cuộc tấn công không gian mạng đánh què các hệ thống điện của chúng ta, các lưới điện của chúng ta, các hệ thống an ninh của chúng ta, các hệ thống tài chính của chúng ta, các hệ thống chính phủ của chúng ta”.

Nghị quyết mà chúng ta đã đề xuất có thể giúp tăng cường cho hạ tầng số của chúng ta chống lại các dạng khai thác này bằng việc tạo ra một “tiêu chuẩn vàng” trong phòng vệ không gian mạng từ hầu hết các mạng nhạy cảm tới các máy tính cá nhân.

Chúng ta có thể bắt đầu bằng việc ủy quyền cho nhà chức trách theo pháp luật qui định Bộ An ninh Nội địa DHS làm việc với giới công nghiệp để xác định và đánh giá các rủi ro đối với hạ tầng không gian mạng sống còn nhất - những hệ thống mà chúng kiểm soát các nhà máy điện, các lưới điện và các đường ống dẫn khí, tất cả những thứ đó, nếu bị thâm nhập, có thể dẫn tới sự phá hủy vật lý và con người và sự tàn phá về kinh tế.

Một khi những rủi ro này được xác định, các ông chủ và những người vận hành có thể chọn các biện pháp an ninh để đảm bảo an toàn cho các hệ thống của họ. Các kế hoạch này có thể được các chuyên gia về không gian mạng của DHS rà soát lại để đảm bảo là họ có cải thiện an ninh. Pháp luật của chúng ta có thể đưa ra sự bảo vệ tin cậy cho các ông chủ và những người vận hành tuân thủ với các kế hoạch về an ninh được phê chuẩn của họ.

Khung công việc này có thể sản sinh ra an ninh không gian mạng với “các thực tiễn tốt nhất” mà chúng có khả năng sau đó sẽ sẵn sàng như một mô hình cho khu vực tư nhân. Trong khi việc sử dụng như vậy có thể là tự nguyện, thì sự phát triển các kỹ thuật an ninh tốt hơn và tạo ra các tiêu chuẩn chăm sóc rộng khắp nền công nghiệp có thể dẫn tới việc các mạng thương mại sẽ thiết lập chúng như là một cách thức để giữ các khách hàng và lôi cuốn các khách hàng mới khác.

Hãy tưởng tượng một ngân hàng phải giải thích cho các khách hàng của mình - hoặc cho một tòa án pháp luật - rằng thông tin tài khoản khách hàng đã bị ăn cắp vì ngân hàng đã không triển khai các biện pháp an ninh có sẵn một cách sẵn sàng.

At his Senate confirmation hearing last month, Defense Secretary Leon Panetta warned that the “next Pearl Harbor we confront could very well be a cyber-attack that cripples our power systems, our grid, our security systems, our financial systems, our governmental systems.”

Legislation we have proposed would help strengthen our digital infrastructure against these kinds of exploits by creating a “gold standard” in cyber-defenses from the most sensitive networks to personal computers.

We would start by giving the Department of Homeland Security (DHS) statutory authority to work with industry to identify and evaluate the risks to the country’s most critical cyber-infrastructure — those systems that control power plants, electric grids and pipelines, all of which, if hacked, could lead to human and physical destruction and economic havoc.

Once those risks have been identified, owners and operators would select security measures to safeguard their systems. These plans would be reviewed by DHS cyber-experts to ensure they improve security. Our legislation would provide liability protection for owners and operators who are in compliance with their approved security plans.

This framework would produce cybersecurity “best practices” that would then be available as a model for the private sector. While such use would be voluntary, the development of better security techniques and the creation of industrywide standards of care would lead commercial networks to install them as a way to keep customers and draw in new ones.

Imagine the bank that has to explain to its customers — or to a court of law — that customer account information was stolen because it did not implement readily available security measures.

Một số công ty công nghệ xuất các sản phẩm với sự quan tâm phù hợp về an ninh, chỉ ra những lỗi có thể bị cài cắm vào sau này. Dự luật của chúng ta có thể khuyến khích chính phủ liên bang kinh doanh chỉ với các công ty mà quan tâm tới an ninh từ đầu và tránh những công ty mà cố gắng áp dụng nó vào sau đó. Sức mạnh mua sắm của chính phủ liên bang có thể giúp đưa ra thị trường để sản xuất nhiều sản phẩm an ninh hơn, mà cũng có thể sẽ sẵn sàng hơn cho các khách hàng không phải là chính phủ.

Dự luật của chúng ta cũng có thể để DHS có khả năng theo luật định đảm bảo rằng chính phủ liên bang đang chia sẻ thông tin về các mối đe dọa, chỗ có thể bị tổn thương và sự làm dịu với khu vực tư nhân. Nhiều công ty muốn bảo vệ các hệ thống của họ nhưng bị ép mạnh phải xác định chỉ những gì họ đang bảo vệ và không biết ai trong chính phủ có thể hỗ trợ cho họ. DHS nên phối hợp các dòng chảy thông tin bên trong chính phủ cũng như giữa khu vực chính phủ và tư nhân.

Không có những thứ an ninh 100%, dù là trực tuyến hay phi trực tuyến, nhưng chúng ta phải đấu tranh để tăng cường phòng vệ của chúng ta chống lại những ai luôn làm việc để làm hại chúng ta. Có một số người trong Quốc hội phản ứng lại việc thực hiện hành động trong các mối đe dọa không gian mạng trong năm nay, nhưng chúng ta phải đặt chính trị đảng phái sang một bên, đưa ra sự nguy hiểm của dạng các mối đe dọa như thế này.

Lựa chọn thay thế có thể là một trận Trân Châu cảng số - và một ngày ô nhục khác.

Some technology companies ship products with inadequate regard for security, figuring flaws can be plugged later. Our bill would encourage the federal government to do business only with companies that bake in security from the outset and avoid those that try to bolt it on later. The federal government’s purchasing power would help prod the market to produce more secure products, which would also be available to non-government consumers.

Our bill would also give DHS the statutory responsibility to ensure that the federal government is sharing threat, vulnerability and mitigation information with the private sector. Many companies want to protect their systems but are hard-pressed to determine just what they are protecting against and do not know who in the government can assist them. DHS should coordinate the information flows within the government as well as between government and the private sector.

There is no such thing as 100 percent security, on- or offline, but we must strive to strengthen our defenses against those who are constantly working to do us harm. There are some in Congress who resist taking action on cyber-threats this year, but we must put partisan politics aside, given the danger of this threat.

The alternative could be a digital Pearl Harbor — and another day of infamy.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.