Mã độc trong chuỗi cung ứng CNTT đe dọa các hoạt động của liên bang

Malicious code in the IT supply chain threatens federal operations

By Joseph Marks 03/23/2012

Theo: http://www.nextgov.com/nextgov/ng_20120323_1655.php?oref=topstory

Bài được đưa lên Internet ngày: 23/03/2012

Lời người dịch: Đối với các bộ trong Chính phủ Mỹ hiện nay, việc mua sắm CNTT với các thiết bị, phần mềm và dịch vụ từ nước ngoài là một mối lo. Bài báo viết: “Các cơ quan liên bang được yêu cầu theo dõi mức độ mà mạng lưới viễn thông của họ có chứa thiết bị, phần mềm hoặc dịch vụ do nước ngoài phát triển, một báo cáo của Văn phòng Kiểm toán Chính phủ nói, và họ thường chỉ nhận thức được về các nhà cung cấp CNTT gần nhất với họ trong chuỗi cung ứng, chứ không phải vô số các nhà cung cấp bên dưới. Điều đó đã làm cho các hệ thống CNTT tại các bộ Năng lượng An ninh Nội địa và Tư pháp có khả năng bị tổn thương nhiều hơn đối với các phần mềm độc hại hoặc giả được các cơ quan tình báo quốc gia khác hoặc các tác nhân và các tin tặc phi nhà nước cài đặt. Kẻ địch của Mỹ có thể sử dụng các phần mềm độc hại đó để lôi một cách bí mật các thông tin từ các hệ thống của chính phủ, xóa hoặc sửa thông tin trong các hệ thống đó, hoặc thậm chí kiểm soát chúng từ xa”. Nếu ở Việt Nam mà ngăn chặn các thiết bị, phần mềm và dịch vụ do nước ngoài phát triển thì ta sử dụng CNTT như thế nào nhỉ?

Các cơ quan làm việc với các dữ liệu và chương trình an ninh quốc gia phải làm nhiều hơn để đảm bảo an ninh cho các chuỗi cung ứng CNTT của họ, một người bảo vệ chính phủ nói hôm thứ sáu.

Các cơ quan liên bang được yêu cầu theo dõi mức độ mà mạng lưới viễn thông của họ có chứa thiết bị, phần mềm hoặc dịch vụ do nước ngoài phát triển, một báo cáo của Văn phòng Kiểm toán Chính phủ nói, và họ thường chỉ nhận thức được về các nhà cung cấp CNTT gần nhất với họ trong chuỗi cung ứng, chứ không phải vô số các nhà cung cấp bên dưới.

Điều đó đã làm cho các hệ thống CNTT tại các bộ Năng lượng An ninh Nội địa và Tư pháp có khả năng bị tổn thương nhiều hơn đối với các phần mềm độc hại hoặc giả được các cơ quan tình báo quốc gia khác hoặc các tác nhân và các tin tặc phi nhà nước cài đặt.

Kẻ địch của Mỹ có thể sử dụng các phần mềm độc hại đó để lôi một cách bí mật các thông tin từ các hệ thống của chính phủ, xóa hoặc sửa thông tin trong các hệ thống đó, hoặc thậm chí kiểm soát chúng từ xa.

Bộ Tư pháp đã xác định các biện pháp bảo vệ chuỗi cung ứng của mình như đã không phát triển các thủ tục để triển khai các biện pháp đó, báo cáo nói. Bộ Năng lượng và An ninh Nội địa đã không xác định các biện pháp bảo vệ các chuỗi cung ứng của họ hoàn toàn, theo GAO.

Cơ quan theo dõi này cũng đã xác định Bộ Quốc phòng, mà đã nói đã thiết kế và triển khai có hiệu quả một chương trình quản lý rủi ro chuỗi cung ứng.

Bộ Quốc phòng đã giảm rủi ro các chuỗi cung ứng của mình thông qua một loạt các chương trình thí điểm và mong đợi có “khả năng hoạt động đầy đủ cho quản lý rủi ro chuỗi cung ứng” vào năm 2016, báo cáo nói. Những dự án thí điểm đó tập trung vào việc đánh giá rủi ro được đặt ra từ các chuỗi cung ứng của các nhà cung cấp đặc biệt và trong việc kiểm thử và đánh giá các hệ thống được mua đối với các thành phần độc hại, GAO nói.

Agencies that deal with national security data and programs must do more to secure their information technology supply chains, a government watchdog said Friday.

Federal agencies aren't required to track "the extent to which their telecommunications networks contain foreign-developed equipment, software or services," the Government Accountability Office report said, and they typically are aware only of the IT vendors nearest to them on the supply chain, not the numerous vendors downstream.

That has left IT systems at the Energy, Homeland Security and Justice departments more vulnerable to malicious or counterfeit software installed by other nations' intelligence agencies or by nonstate actors and hackers.

U.S. enemies could use that malicious software to secretly pull information from government systems, erase or alter information on those systems, or even take control of them remotely.

The Justice Department has identified measures to protect its supply chain but has not developed procedures to implement those measures, the report said. Energy and Homeland Security haven't identified measures to protect their supply chains at all, according to GAO.

The watchdog agency also examined the Defense Department, which it said had designed and effectively implemented a supply chain risk management program.

Defense has reduced its supply chain risk through a series of pilot programs and expects to have "full operational capability for supply chain risk management" by 2016, the report said. Those pilots focus both on assessing the risk posed by particular vendors' supply chains and on testing and evaluating the purchased systems for malicious components, GAO said.

Đội Ứng cứu Khẩn cấp Máy tính Mỹ (US CERT) trong Bộ An ninh Nội địa đã thấy rằng khoảng 1/4 vụ việc an ninh được các cơ quan báo cáo trong số 43.000 vụ trong năm tài chính 2011 có liên quan tới mã độc có thể đã được cài đặt ở đâu đó cùng với chuỗi cung ứng, GAO nói.

Mua phần cứng CNTT nguồn gốc toàn cầu có thể chứng minh là lúng túng đối với các cơ quan mà làm việc với các dữ liệu an ninh quốc gia thậm chí nếu không có công nghệ độc hại hoặc hàng giả bên trong các máy.

Ví dụ, Chỉ huy Tác chiến Đặc biệt của Không quân đã hoãn một vụ mua sắm iPad trong kế hoạch vào tháng hai, 2 ngày sau khi nhận được một yêu cầu từ Nextgov về phần mềm đọc tài liệu và an ninh được chỉ định trong các tài liệu mua sắm.

Việc theo dõi nguồn gốc công nghệ của liên bang đã bị các cấu trúc sở hữu phức tạp của các nhà cung cấp CNTT đa quốc gia làm phức tạp thêm, mà đôi khi được sở hữu trong một quốc gia, thuê ngoài đối với CNTT của họ tại quốc gia khác và sản xuất nó tại một quốc gia thứ 3, GAO nói.

Báo cáo đã khuyến cáo rằng các quan chức Bộ Năng lượng và An ninh Quốc gia phát triển và triển khai các thủ tục mạnh để bảo vệ chống lại những mối đe dọa của các chuỗi cung ứng. Cơ quan giám sát này đã khuyến cáo rằng tất cả 3 bộ phát triển các thủ tục giám sát để đảm bảo các thực tiễn quản lý chuỗi cung ứng của họ là có hiệu quả. Các bộ đã đồng ý với các đánh giá của GAO, báo cáo nói.

The U.S. Computer Emergency Readiness Team inside DHS has found that about one-fourth of roughly 43,000 agency-reported security incidents during fiscal 2011 involved malicious code that could have been installed somewhere along the supply chain, GAO said.

Globally sourced IT hardware buys can prove embarrassing for agencies that deal with national security data even if there's no malicious or counterfeit technology inside the machines.

The Air Force Special Operations Command, for instance, canceled a planned iPad acquisition in February, two days after receiving a query from Nextgov about Russian-developed security and document reading software specified in the procurement documents.

Tracking the origins of federal technology has been complicated by the complex ownership structures of multinational IT suppliers, which sometimes are owned in one nation, source their IT in another nation and manufacture it in a third nation, GAO said.

The report recommended that Energy and Homeland Security officials develop and implement firm procedures to protect against supply chain threats. The watchdog recommended that all three departments develop monitoring procedures to ensure their supply chain management practices are effective. The departments largely agreed with GAO's assessments, the report said.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com