Bảo vệ cơ sở hạ tầng thông tin trọng yếu trong chiến lược an toàn, an ninh thông tin Nhật Bản
Một nội dung quan trọng trong Chiến lược đã nêu ra là bảo vệ các cơ sở hạ tầng thông tin trọng yếu (Critical Information Infrastructure - CII) của quốc gia. Theo đó, cơ sở hạ tầng thông tin trọng yếu được vận hành để bảo đảm các hoạt động thiết yếu của xã hội. Việc giảm thiểu các nguy cơ và gia tăng khả năng chống lại tấn công mạng của CII là một trong những mục tiêu lớn của nhiều quốc gia trên thế giới hiện nay. Bởi vậy, Chiến lược nêu rõ: khu vực nhà nước (khu vực công) và khu vực tư nhân phải hợp tác để cùng nhau bảo vệ CII. Bởi sự gián đoạn hoạt động của CII có nguy cơ gây tác động lớn đối với điều kiện sống và các hoạt động kinh tế của con người.
Nhiệm vụ bảo vệ CII khó có thể giao hoàn toàn cho chính phủ đảm trách, trong khi khu vực tư nhân không phải chịu bất cứ trách nhiệm nào, hoặc ngược lại. Do đó, cần có sự phối hợp chặt chẽ giữa khu vực công và khu vực tư nhân. Để bảo vệ CII cần giảm thiểu tối đa sự tiềm ẩn của các lỗ hổng trong hệ thống, hoặc các rủi ro khác; nâng cao khả năng phát hiện sớm các lỗ hổng tồn tại và bảo đảm việc phục hồi hoạt động của CII được thực hiện nhanh chóng.
Chính phủ Nhật Bản đã phát hành Phiên bản thứ 3 của “Chính sách cơ bản về Bảo vệ Cơ sở hạ tầng thông tin trọng yếu” và xác định các lĩnh vực được coi là Cơ sở hạ tầng thông tin trọng yếu. Dựa trên chính sách này, Chính phủ Nhật Bản đã triển khai các biện pháp như: thúc đẩy xây dựng các tiêu chuẩn an toàn; nâng cao nhận thức; triển khai các hoạt động huấn luyện, diễn tập và tăng cường chia sẻ thông tin giữa khu vực công và tư nhân.
Sau khi đạt được các kết quả đáng kể trong việc bảo vệ CII, Nhật Bản vẫn đang duy trì những biện pháp bảo vệ hiện có. Trong thực tế, những biện pháp này có thể bị giảm hiệu quả và trở nên lỗi thời nếu không được sửa đổi, điều chỉnh phù hợp với yêu cầu phát triển của môi trường công nghệ và xã hội liên quan đến CII. Bởi vậy, Chính phủ Nhật Bản sẽ thường xuyên đánh giá lại các hoạt động và biện pháp hiện đang được áp dụng, đồng thời phối hợp, thúc đẩy những cách tiếp cận cụ thể, nhằm tăng cường an toàn cho các hoạt động này. Bên cạnh đó, nhà điều hành CII và các cơ quan nhà nước có thẩm quyền phải triển khai biện pháp bảo vệ CII trước các cuộc tấn công mạng bằng cách thiết lập các tiêu chuẩn ATTT mạng (bao gồm các tiêu chuẩn bắt buộc áp dụng và tài liệu hướng dẫn). Đối với khu vực CII đã có các tiêu chuẩn cơ bản để duy trì dịch vụ và đảm bảo an toàn được quy định bởi các điều luật, Chính phủ Nhật Bản sẽ thường xuyên xem xét lại các tiêu chuẩn an toàn, để phù hợp với những thay đổi về môi trường trong không gian mạng.
Nhằm ứng phó với các mối đe dọa không gian mạng và bảo vệ CII, Chính phủ Nhật Bản thực hiện các biện pháp:
Thường xuyên đánh giá về quy mô của hoạt động bảo vệ CII
Bởi sự tác động của các sự cố trong hệ thống thông tin của các khu vực có thể dẫn đến những hậu quả nghiêm trọng, nên việc xác định các vùng CII mới là điều hết sức cần thiết. Vì vậy, Chính phủ Nhật Bản sẽ tiến hành đánh giá thường xuyên việc bảo vệ CII. Cần lưu ý, việc xác định thêm khu vực CII mới không nhất thiết phải triển khai một cách chính xác những biện pháp bảo vệ CII mà các khu vực CII khác đã thực hiện. Với số lượng các khu vực CII ngày càng gia tăng, việc triển khai các biện pháp bảo vệ chung sẽ trở nên khó khăn. Từ những quan điểm này, Chính phủ Nhật Bản sẽ đánh giá các CII dựa trên đặc điểm của từng lĩnh vực, mức độ phụ thuộc với các lĩnh vực khác, dịch vụ mà nó cung cấp và các quy định pháp luật liên quan đến khu vực đó. Ví dụ, việc phân loại các khu vực CII có thể là một cách thức triển khai việc đánh giá này.
Trong khi đó, đối với các khu vực CII hiện tại, để cung cấp dịch vụ an toàn và đáng tin cậy hơn, cần đảm bảo sự “bảo vệ xuyên suốt trên toàn khu vực” thay vì “bảo vệ mục tiêu nhất định” với khả năng hạn chế của mỗi nhà điều hành CII. Theo đó, Chính phủ sẽ thường xuyên đánh giá lại phạm vi của “các nhà điều hành CII”. Ví dụ, các biện pháp chỉ được áp dụng cho các nhà điều hành lớn sẽ được áp dụng rộng rãi cho các doanh nghiệp vừa và nhỏ; hay chúng sẽ được áp dụng cho cả các doanh nghiệp có liên quan, như các nhà thầu phụ và các công ty liên kết có liên quan gián tiếp đến các dịch vụ được cung cấp bởi các nhà điều hành CII.
Bên cạnh đó, cần xem xét việc bảo vệ các doanh nghiệp tư nhân ngoài khu vực CII, vì đây cũng là mục tiêu của các cuộc tấn công mạng. Đối với các doanh nghiệp hàng đầu tại Nhật Bản và các doanh nghiệp có tầm quan trọng với an ninh quốc gia, Chính phủ Nhật Bản sẽ xem xét gia tăng các biện pháp cần thiết (như thúc đẩy việc tham gia các thỏa thuận chia sẻ thông tin), dù các doanh nghiệp này có thuộc CII hay không.
Đảm bảo chia sẻ thông tin nhanh chóng và hiệu quả
Các cuộc tấn công mạng đã trở nên phức tạp, đa dạng và tinh vi hơn, để đối phó với các mối đe dọa từ môi trường mạng một cách thích hợp, khu vực công và tư nhân cần phải hợp tác chặt chẽ để chia sẻ thông tin về các lỗi hệ thống có thể bị tấn công mạng. Để việc chia sẻ thông tin trở nên chủ động, cần giảm gánh nặng tâm lý của các nhà điều hành CII về nguy cơ giảm sút uy tín, danh tiếng của doanh nghiệp nếu họ cung cấp thông tin cho bên thứ 3 và giúp họ nhận ra sự tích cực của hành động này. Chính phủ sẽ có những quy định cần thiết như: che giấu danh tính người báo tin, xác định phạm vi, cũng như giới hạn của thông tin được chia sẻ và tạo ra một môi trường trong đó những người báo tin sẽ không phải chịu bất kỳ sự bất lợi hay tổn thất không hợp lý nào từ việc cung cấp thông tin.
Những người chịu trách nhiệm xử lý các thông tin được cung cấp cần có đầy đủ năng lực phân tích thông tin và phải đưa ra các cảnh báo kịp thời, thích hợp dựa trên thông tin được cung cấp. Môi trường chia sẻ thông tin cần hiện đại, bao gồm xây dựng các nền tảng để thu thập, phân tích và chia sẻ các thông tin được cung cấp, giúp các nhà điều hành CII có được những thông tin cần thiết bảo vệ CII một cách thích hợp.
Đến năm 2020, việc chia sẻ thông tin cần nhanh hơn và hiệu quả hơn, giúp cho việc xây dựng một khuôn khổ phòng vệ ở phạm vi toàn cầu, để đối phó với các cuộc tấn công mạng. Dựa trên sự đồng thuận giữa các bên liên quan, cần tiến hành thu thập không chỉ những thông tin về sự cố hệ thống ở một mức độ nhất định, theo quy định pháp luật cụ thể về mỗi ngành công nghiệp, mà thông tin về các lỗi hệ thống ở quy mô nhỏ cũng như các hành vi cho thấy dấu hiệu của các cuộc tấn công mạng cũng cần được cập nhật. Trong nhiều trường hợp, Trung tâm Quốc gia về Chiến lược ATTT mạng và Sẵn sàng ứng phó sự cố (National center of Incident readiness and Strategy for Cybersecurity - NISC) Nhật Bản và các đơn vị có thẩm quyền của các nhà điều hành CII sẽ hợp tác chặt chẽ hơn và tham gia vào các hoạt động thu thập thông tin một cách chủ động. Chính phủ cũng sẽ thúc đẩy việc hợp tác giữa các cơ quan chính phủ có liên quan, đặc biệt là để lưu giữ các thông tin cần thiết tại NISC, nhằm xây dựng một mô hình chia sẻ thông tin nhanh chóng, với các biện pháp cần thiết như: thiết lập đường dây nóng giữa NISC và các nhà điều hành CII; cải thiện các phương pháp, quy trình chia sẻ thông tin và áp dụng xử lý thông tin tự động.
Khi một nhà điều hành CII báo cáo về một vụ tấn công mạng cho các cơ quan chính phủ có liên quan (trong việc chịu trách nhiệm ứng phó sự cố), các cơ quan chính phủ (với vai trò cơ quan phối hợp) sẽ xử lý, nắm bắt tình huống để biết chính xác vấn đề đang xảy ra, giúp các nhà điều hành CII kiểm soát được tình hình. Các thông tin thu thập được về sự cố (bao gồm thông tin về phương pháp tấn công của tin tặc) sẽ được chia sẻ với các cơ quan chính phủ, các nhà điều hành CII và các bên liên quan khác để ngăn chặn những vụ tấn công tương tự xảy ra.
Để đảm bảo tính hiệu quả của các biện pháp này, Chính phủ Nhật Bản sẽ triển khai các hoạt động đào tạo và diễn tập trên toàn hệ thống cho các bên liên quan, bao gồm cả khu vực công và tư nhân.
Hỗ trợ phù hợp cho các khu vực CII
Đối với chính quyền địa phương, phương pháp hợp tác để hỗ trợ triển khai nhiệm vụ sẽ được Bộ chỉ huy chiến lược an toàn, an ninh mạng thực hiện theo quy định trong Luật An toàn, an ninh mạng (2015). Để đảm bảo thực hiện chức năng của mình, tất cả chính quyền địa phương, bất kể quy mô nào, đều phải đáp ứng các tiêu chuẩn an toàn tương tự như cơ quan Chính phủ và các cơ quan liên quan đến Chính phủ, để xử lý các thông tin nhạy cảm. Dự kiến sẽ có sự chuyển đổi trong môi trường giao dịch điện tử của chính quyền địa phương. Họ sẽ phải áp dụng các hệ thống mới, do sự ra đời của hệ thống định danh cá nhân My Number trên toàn Nhật Bản. Chính phủ sẽ cung cấp sự hỗ trợ cần thiết, theo Luật An toàn, an ninh mạng, để đảm bảo an toàn và sẽ xem xét, thực hiện các biện pháp cần thiết đối với các hệ thống thông tin của chính quyền địa phương, với mục tiêu tăng cường ATTT mạng cho hoạt động của hệ thống My Number.
Chính phủ sẽ thực hiện các biện pháp an toàn mạng dựa trên việc xem xét các phương pháp tiếp cận hiệu quả, bao gồm phát triển các hệ điều hành và cải thiện các mô hình hoạt động dựa trên các biện pháp an toàn mạng tiên tiến. Những biện pháp đó bao gồm cách ly các hệ thống xử lý các vấn đề bằng cách sử dụng số định danh cá nhân (được mô tả trong Đạo luật về Sử dụng số định danh) để xác định một cá nhân cụ thể trong quy trình thực hiện thủ tục hành chính qua Internet. Đồng thời, Chính phủ sẽ thúc đẩy cơ chế theo dõi và giám sát dựa trên kinh nghiệm, kiến thức kỹ thuật và đội ngũ chuyên gia với sự phối hợp với các cơ quan liên quan.
Bên cạnh đó, với mục tiêu xây dựng cơ chế theo dõi và phát hiện để giám sát hoạt động của các hệ thống thông tin ở địa phương và toàn quốc được kết nối với nhau qua hệ thống My Number, Chính phủ sẽ xây dựng các mô hình có khả năng theo dõi và nhanh chóng phát hiện các sự cố mạng. Lưu ý đến việc chia sẻ thông tin với Đội Phối hợp Hoạt động An toàn thông tin Chính phủ (Global Security Operations Center - GSOC). Bên cạnh đó, về việc phối hợp giữa khu vực công - tư nhân và liên chính phủ để xác thực khi triển khai hệ thống My Number, Chính phủ sẽ nỗ lực cải thiện các môi trường cần thiết để cân bằng giữa việc tăng cường sự thân thiện với người dùng mà vẫn và đảm bảo tính an toàn.
Đối với các hệ thống điều khiển công nghiệp (ICS) thì mối lo ngại lớn nhất là sự cố ATTT có thể gây ra sự gián đoạn dịch vụ. Các đồng hồ đo thông minh trong các dịch vụ cung cấp điện và các hệ thống tự động trong nhà máy thuộc ngành công nghiệp hóa chất và dầu khí là những ví dụ điển hình về tình huống này. Để ICS trở nên bền vững hơn, cần tái khẳng định tầm quan trọng của việc đảm bảo an toàn cho ICS bằng cách triển khai các biện pháp ATTT, giúp việc cung cấp dịch vụ được đảm bảo liên tục.
Bên cạnh đó, ICS đã có độ “mở” hơn về công nghệ và kết nối mạng, như sử dụng các sản phẩm tiêu chuẩn và sự ra đời của các giao thức tiêu chuẩn mở. Do đó, các hệ thống điều khiển mở đã trở nên phổ biến thay cho các thiết bị thông thường hiện có. Mặt khác, điều này đã tạo nên một nhu cầu cấp thiết cần phải xác định các lỗ hổng bảo mật và sự truy cập trái phép. Trong nhiều trường hợp, Chính phủ sẽ thu thập, phân tích và phổ biến các thông tin hữu ích (như thông tin về lỗ hổng của ICS, thông tin về các vụ tấn công mạng). Điều này được thực hiện dựa trên thỏa thuận chia sẻ thông tin một cách hài hòa giữa các ICS và các thành phần không phải ICS. Chính phủ Nhật Bản sẽ thúc đẩy việc sử dụng các chương trình chứng nhận của bên thứ ba được chấp thuận trên toàn thế giới, cho phép đánh giá khách quan về mức độ thực hiện an toàn, xem xét các kỹ năng, kiến thức chuyên môn cần thiết cho việc mua sắm, hoạt động của ICS và các thiết bị liên quan khác.
Việc đảm bảo ATTT mạng cho các CII là hết sức quan trọng để giữ vững an ninh quốc gia, duy trì hoạt động của các cơ quan chính phủ, cũng như cung cấp liên tục các dịch vụ thiết yếu cho người dân và xã hội tại Nhật Bản. Để đạt được điều này, các nhà điều hành CII cần thực hiện tất cả các biện pháp khả thi, hợp tác với các cơ quan chính phủ và nhận thức được về hậu quả mà các cuộc tấn công mạng sẽ tác động đến việc thực hiện các nhiệm vụ của các cơ quan chính phủ và hoạt động của họ.
Hồng Phương
Tổng hợp