Official calls securing critical infrastructure against cyberattack impractical
By Jill R. Aitoro 07/08/2010
Theo: http://www.nextgov.com/nextgov/ng_20100708_3510.php
Bài được đưa lên Internet ngày: 08/07/2010
Lời người dịch: Rất khó để có thể đảm bảo được an ninh cho các hệ thống hạ tầng sống còn như lưới điện, giao thông hay tài chính vì chúng phụ thuộc vào chuỗi mua sắm phần cứng và phần mềm từ các nhà cung cấp. Lời khuyên là đa dạng hóa số lượng các nhà cung cấp và phải kiểm tra được độ tin cậy của các sản phẩm được mua từ các công ty tin cậy được. Có lẽ đây là điều Việt Nam không thể làm được chăng?
Việc đảm bảo an ninh cho lưới điện quốc gia và các hệ thống máy tính khác mà chúng vận hành hạ tầng sống còn của quốc gia chống lại tấn công không gian mạng là không thực tế, vì các công ty không thể kham được việc kiểm tra liệu các nhà cung cấp đã có cung cấp các sản phẩm đáng tin cậy hay không, một quan chức tình báo từ Bộ Năng lượng nói hôm thứ năm.
“Nếu bạn trao cho tôi ưu thế hoặc sự kiểm soát chuỗi cung cấp phần cứng hoặc phần mềm của bạn, thì tôi sẽ kiểm soát được các hệ thống của bạn”, Bruce Held, giám đốc về tình báo và phản tình báo về Năng lượng, nói. “Chúng ta sẽ phải phát triển các chiến lược [cho việc quản lý chuỗi cung cấp] mà nó là ổn định với [những tài sản] mà chúng ta sẽ cố gắng bảo vệ”.
Các hệ thống mà đặt ra một mối đe dọa cho quốc gia nếu bị tổn thương, bao gồm cả các hệ thống chỉ huy và kiểm soát quân sự và các mạng quản lý vũ khí, phải được xây dựng bằng việc sử dụng các trang thiết bị từ các công ty được tin cậy. Các phần cứng và phần mềm phải được kiểm tra đối với những tổn thương về an ninh và có thể có mã độc mà có thể gây ra các vấn đề, Held nói. Để kiểm tra các sản phẩm có lẽ mất nhiều tiền hơn là những gì mà các tổ chức của khu vực tư nhân có lẽ có thể kham được, ông bổ sung.
“Việc xem xét giá thành sẽ làm cho chiến lược về an ninh thành không thực tế” đối với các hệ thống máy tính mà chúng quan trọng mang tính sống còn nhưng được sở hữu và vận hành bởi khu vực tư nhân, bao gồm những người mà họ hỗ trợ lưới điện, và các khu vực giao thông và tài chính, và các nền công nghiệp khác mà tạo nên hạ tầng sống còn của quốc gia, Held nói.
“Chúng ta sẽ phải nghĩ nhiều hơn về các chiến lược bảo vệ, với một sự hiểu biết rằng sẽ có những rủi ro còn sót lại”, ông nói. “Chúng ta không bao giờ đảm bảo an ninh được cho thành phố New York từ cuộc tấn công hạt nhân của Xô Viết [trong thời chiến tranh lạnh], nhưng chúng ta đã bảo vệ được nó rất tốt. Chúng ta cần bắt đầu nghĩ theo những cách như thế này”.
Held đã gợi ý cho chính phủ và các công ty đa dạng hóa số lượng các nhà cung cấp mà họ cung cấp phần cứng và phần mềm máy tính mà giúp vận hành hạ tầng sống còn. “Điều đó sẽ mang lại an ninh lớn hơn so với phụ thuộc vào chỉ một quốc gia mà nó là một kẻ thù tiềm năng”, hoặc có thể sẽ dễ dàng hơn xác định được và nhắm tới được bởi những kẻ tin tặc, ông nói.
Các tổ chức cũng cũng phải cần cù hơn về việc mua sắm công nghệ từ các nhà cung cấp được phép. “Hành xử là một vấn đề”, Guy Copeland, chủ tịch của nhóm làm việc về an ninh không gian mạng xuyên các khu vực (nhà nước - tư nhân) của Bộ An ninh Quốc nội, nói.
Các tổ chức của khu vực tư nhân và nhà nước “không được mua các thành phần của [máy tính] và các ứng dụng từ các nguồn thị trường xám, nơi mà bạn không thể đảm bảo xác thực rằng sản phẩm đó tới từ nhà sản xuất gốc”, ông nói. “Đáng tiếc, điều đó lại xảy ra quá nhiều”.
Securing the nation's power grid and other computer systems that operate the nation's critical infrastructure against cyberattack is unrealistic, because companies cannot afford to check if suppliers have provided trustworthy products, said an intelligence official from the Energy Department on Thursday.
"If you give me influence or control of your hardware or software supply chain, I control your systems," said Bruce Held, director of intelligence and counterintelligence with Energy. "We're going to have to develop strategies [for managing the supply chain] that are consistent with [the assets] that we're trying to protect."
Systems that pose a national threat if compromised, including military command-and-control systems and networks managing weapons, must be built using equipment from trusted companies. The hardware and software must be checked for security vulnerabilities and possible malicious code that could cause problems, Held said. To vet the products would cost more than what private sector organizations likely can afford, he added.
"Cost considerations are going to make a security strategy impractical" for computer systems that are critically important but owned and operated by the private sector, including those that support the power grid, and the transportation and financial sectors, and other industries that make up the nation's critical infrastructure, Held said.
"We're going to have to think more about protection strategies, with an understanding that there will be residual risk," he said. "We never secured New York City from Soviet nuclear attack [during the Cold War], but we protected it very well. We need to start thinking along those lines."
Held suggested government and companies diversify the pool of suppliers that provide the computer hardware and software that help operate the critical infrastructure. "That will give greater security than [being] dependent upon one country that is a potential adversary," or could be more easily identified and targeted by potential attackers, he said.
Organizations also have to be more diligent about procuring technology from authorized suppliers. "Behavior is a problem," said Guy Copeland, chairman of the Homeland Security Department's cross-sector cybersecurity working group.
Public and private sector organizations should "not be procuring [computer] components and applications from gray market sources, where you can't vouch certifiably that the [product] came from the original manufacturer," he said. "Unfortunately, that happens far too much."
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.