Ngày 16/01/2024, CISA cơ quan dẫn đầu toàn quốc của Mỹ trong nỗ lực nhằm hiểu, quản lý và giảm thiểu rủi ro đối với cơ sở hạ tầng kỹ thuật số và vật lý mà người Mỹ sử dụng hàng ngày, hàng giờ đã hợp tác với Cơ quan Dự án Nghiên cứu Quốc phòng Tiên tiến (DARPA), Văn phòng Thứ trưởng Quốc phòng về Nghiên cứu và Kỹ thuật (OUSD R&E) và Cơ quan An ninh Quốc gia (NSA) công bố Báo cáo Thu hẹp Khoảng cách Hiểu biết về Phần mềm. Cụ thể, báo cáo kêu gọi các hệ thống được điều khiển bằng phần mềm có thể được đánh giá để xác minh chức năng, tính an toàn và bảo mật trong mọi điều kiện, điều mà hiện tại vẫn chưa có.

Chủ sở hữu và người vận hành hệ thống để thực hiện nhiệm vụ có thể chưa đạt tới khả năng thấu hiểu phần mềm đầy đủ vì công nghệ xây dựng phần mềm các nhà sản xuất vượt xa khả năng hiểu biết của họ. Sự hiểu biết không đầy đủ dẫn đến các lỗ hổng phần mềm bị khai thác vì các nhà sản xuất công nghệ tạo ra phần mềm không an toàn theo thiết kế.

Giám đốc Kỹ thuật CISA Chris Butera cho biết: “Những khám phá gần đây về hoạt động do nhà nước tài trợ nhắm đến cơ sở hạ tầng quan trọng của Mỹ, chủ yếu trong lĩnh vực truyền thông, năng lượng, hệ thống giao thông và hệ thống nước gây ra mối đe dọa trong tương lai đối với an ninh quốc gia Mỹ. Khoảng cách hiểu biết về phần mềm làm trầm trọng thêm rủi ro đối với các mối đe dọa này. Chủ sở hữu và nhà điều hành nhiệm vụ có sự phụ thuộc rất lớn và ngày càng cao vào phần mềm bảo lãnh cơ sở hạ tầng quan trọng của Mỹ. Cùng với các đối tác của mình, CISA kêu gọi Chính phủ Mỹ thu hẹp khoảng cách này trước các quốc gia khác và kêu gọi các nhà sản xuất phần mềm tuân thủ các nguyên tắc Bảo mật theo Thiết kế”. 

Kathleen Fisher, Giám đốc Văn phòng Đổi mới Thông tin của DARPA cho biết: “Hiện nay, chúng tôi có các công cụ để giảm đáng kể số lượng lỗ hổng phần mềm gây ảnh hưởng đến cơ sở hạ tầng. Hành động nhanh chóng để triển khai các công cụ này trong các hệ thống cũ và tương lai có thể giúp giảm đáng kể các lỗ hổng mạng của Mỹ trước các cuộc xung đột toàn cầu trong tương lai”.

Báo cáo này cũng đưa ra các khuyến nghị để có được sự hiểu biết sâu sắc, phát triển đối với các hệ thống được điều khiển bằng phần mềm, bao gồm các hệ thống dựa trên AI. Bằng cách cung cấp năng lực phù hợp để hiểu phần mềm, Mỹ sẽ đảm bảo được lợi thế về địa chính trị trong tương lai gần và sẽ giúp củng cố cơ sở hạ tầng quan trọng chống lại hoạt động đối đầu do nhà nước tài trợ.

Báo cáo nêu bật các giải pháp tiềm năng để thay đổi thế trận bảo mật của phần mềm cũ và được phát triển trong tương lai, trong đó nhấn mạnh sự phối hợp rộng rãi và lâu dài của chính phủ là cần thiết để tạo ra năng lực giải quyết những mối đe dọa này.