Lỗ hổng trong hệ thống công nghệ thông tin của các cơ quan chính phủ Mỹ
15:56 | 23/09/2015 | LỖ HỔNG ATTT
Tháng 7/2013, một cuộc tấn công lớn vào hệ thống máy tính đã xảy ra ở Mỹ. Một tin tặc với bí danh Peace đã cài được mã gián điệp vào máy tính của Bộ Năng lượng Mỹ (cơ quan chịu trách nhiệm về chương trình hạt nhân quân sự, sản xuất năng lượng điện và một số các lợi ích tối quan trọng khác của Mỹ). Trước đó, Peace cũng đã đột nhập vào một ngân hàng và lấy được một khối lượng lớn thông tin về nhân sự, các số bảo hiểm xã hội và dữ liệu về tài khoản ngân hàng.
Tòa án Mỹ nghi ngờ rằng, Peace chính là Lauri Love, công dân Anh 30 tuổi. Lauri Love và những kẻ chủ mưu nặc danh đã xâm nhập vào hệ thống CNTT của Bộ Năng lượng và gửi 600 yêu cầu cho các máy tính nội bộ, tiếp cận dữ liệu của hơn 104 nghìn nhân viên đã và đang đang làm việc tại đây. Các chuyên gia cho rằng Peace đã sử dụng cùng một kỹ thuật tấn công để xâm nhập máy tính của Cơ quan dự trữ liên bang, các cơ quan bảo vệ môi trường, một số tổ chức trong quân đội và Binh chủng Phòng thủ tên lửa của Mỹ.
Mỹ là quốc gia hàng đầu trong việc sử dụng các công nghệ tiên tiến thế giới, song hệ thống máy tính của Mỹ hiện nay hoàn toàn chưa sẵn sàng đối diện với tần suất và sự tinh vi của các cuộc tấn công trong không gian điều khiển.
Sự yếu kém trong lĩnh vực an toàn không gian điều khiển của các bộ, ngành của Mỹ từ lâu không còn là bí mật. Chính phủ Mỹ phải thừa nhận, tin tặc đã đánh cắp dữ liệu cá nhân của 25 triệu người sau khi tấn công vào hệ thống mạng Văn phòng Cục Nhân sự của Chính phủ Mỹ, khiến người đứng đầu Cục này bị cách chức.
Các nhà lập pháp coi số lượng ngày càng tăng các cuộc tấn công của tin tặc là dấu hiệu của cuộc chiến tranh lạnh mới mà Mỹ đang chịu thất bại. Liệu có tồn tại một quốc gia nào đứng sau các cuộc tấn công đó hay chỉ là những nhóm nhỏ kiểu Lauri Love? Trung Quốc và Nga bị nghi ngờ là hai nước tham gia trong phần lớn các cuộc tấn công của tin tặc vào Mỹ.
Tạp chí Financial Times đã phân tích hàng chục báo cáo của Thanh tra các cơ quan và Tổng cục Quản lý giám sát ngân sách cho thấy, trong nhiều năm, hơn một nửa trong số 24 Bộ, ngành của Mỹ buộc phải thừa nhận rằng cơ quan an toàn thông tin (cơ quan bảo vệ không gian điều khiển) của họ đã không đưa ra được các biện pháp bảo vệ mang tính nền tảng. Ở đây nói đến việc loại bỏ các lỗ hổng trong các chương trình, trong sử dụng hệ thống nhận dạng và hệ thống theo dõi tin cậy nhằm đảm bảo an toàn cho các cơ sở dữ liệu quan trọng (thông tin cá nhân của cán bộ, nhân viên của các chương trình quân sự và của chính phủ).
Khi nghiên cứu hàng nghìn tài liệu, hồ sơ góp ý của các nhân viên đã và đang làm việc cho cơ quan Chính phủ, các chuyên gia nhận thấy nhiều vấn đề cần được đặt ra cho Chính phủ Mỹ. Tony Scott, người đứng đầu cơ quan chính phủ về các vấn đề thông tin đã báo cáo tại một kỳ họp Quốc hội Mỹ rằng: “Một trong những vấn đề chính là chúng tôi đang sử dụng những thiết bị cũ được sản xuất ở những thời kỳ chưa có các mối đe dọa như vậy”.
Mục tiêu cho tấn công mạng
Số lượng tấn công xâm nhập vào hệ thống máy tính và đánh cắp thành công các thông tin quan trọng của các cơ quan chính phủ đang tăng lên nhanh chóng. Năm 2015, tin tặc đã lấy được 100 nghìn tài khoản thuế, sau khi vượt qua lớp bảo vệ hệ thống máy tính của cơ quan thuế của Mỹ. Cùng với đó, việc đột nhập hệ thống máy tính của Cơ quan Bưu chính Mỹ đã làm lộ thông tin nhạy cảm của khoảng 800 nghìn nhân viên. Còn Bộ Ngoại giao Mỹ cho rằng, hệ thống máy tính không được bảo mật của họ đã bị xâm nhập có lẽ là do các cơ quan đặc vụ Nga.
Theo Cục Nhân sự của Chính phủ Mỹ, số lượng các sự cố ATTT khác nhau trong các cơ quan liên bang, bao gồm những hoạt động lừa đảo, cài mã độc và các truy cập trái phép trong giai đoạn 2006 - 2014 đã tăng gấp 10 lần.
“Mỹ bây giờ đang trả giá cho 20 năm không đầu tư đủ kinh phí cho lĩnh vực an toàn không gian điều khiển, ở cả khu vực tư nhân và khu vực công cộng”, Andy Ozment, phụ tá cho người đứng đầu Cục An ninh nội địa Mỹ đã nói.
Chính quyền Mỹ đã tăng chi phí cho cơ quan liên bang về CNTT từ 78,6 tỷ Đôla (năm 2013) lên 86,3 tỷ (năm 2016). Các vấn đề đã trở nên phức tạp hơn bởi các cuộc tranh cãi với Quốc hội về ngân sách và mong muốn để giảm chi phí. Mặc dù việc tăng chi phí là cần thiết để bảo đảm an toàn không gian điều khiển, song các quan chức cũng chỉ ra các vấn đề như tệ quan liêu trong việc tuyển dụng nhân viên, quá trình mua sắm phức tạp và quản lý ngân sách bí mật.
Thượng nghị sĩ Đảng Dân chủ, Tom Carper nói với Financial Times rằng, hai đạo luật mới thông qua gần đây tạo điều kiện cho các tổ chức CNTT trong các Bộ, ngành có nhiều quyền hạn hơn trong lĩnh vực giám sát các điều khoản có liên quan đến ngân sách và điều này hỗ trợ cho việc hiện đại hoá hệ thống an toàn không gian điều khiển.
“Đối với an toàn không gian điều khiển, Quốc hội có trách nhiệm chấp thuận và tài trợ cho việc đưa vào các công nghệ an toàn mới nhất, để làm giảm khả năng các xâm nhập mới vào cơ sở dữ liệu quan trọng của cơ quan chính phủ”, ông nói.
Việc sử dụng thiết bị lạc hậu trong các cơ quan chính phủ Mỹ khiến cho các biện pháp an toàn thông tin tiên tiến không phù hợp. Những giải pháp công nghệ không có chức năng về ATTT được sử dụng rộng rãi trong các phần mềm được sản xuất bởi các công ty như VMware, Palo Alto Network, Cisco đã không đủ khả năng bảo vệ. Mã hóa dữ liệu cũng không thể áp dụng được trong cơ sở hạ tầng thông tin cũ được thừa kế bởi Cục Nhân sự. Một tuần trước khi bị xâm nhập, Cục Nhân sự đã được khuyến cáo ngắt cả hệ thống và phục hồi lại toàn bộ sau đó, nhưng họ đã không làm theo các khuyến cáo này.
Đích ngắm của các hoạt động tình báo
Trong hệ thống CNTT, việc xác thực tin cậy theo hai mức đòi hỏi phải bổ sung dữ liệu đầu vào, ngoài tên người dùng và mật khẩu. Quá trình này bao gồm kiểm tra hai mức, đầu tiên phải đăng nhập tên người dùng, sau đó sử dụng mã an ninh hoặc thẻ nhận dạng cá nhân. Ngày nay, thủ tục cơ bản này được dùng trong nhiều công ty và thường miễn phí. Nhưng một số cơ quan Chính phủ, trong đó có Bộ Ngoại giao, Bộ Lao động Mỹ vẫn không sử dụng phương pháp xác thực hai mức, và ít nhất một nửa số nhân viên của 15 trong số 24 Bộ, ngành đã không đáp ứng với yêu cầu này.
“Các con số thống kê này rất quan trọng, nhiều sự cố trong không gian điều khiển là do thiếu các phương tiện xác thực”, báo cáo thường niên của Cục Nhân sự chính phủ Mỹ gửi Quốc hội nêu rõ: Sử dụng công nghệ cũ, quy mô hoạt động lớn và sự cần thiết phải hỗ trợ kết nối 24 giờ đã và đang tạo ra những khó khăn lớn trong các lĩnh vực an toàn, an ninh thông tin. Nhiều cơ quan Liên bang không có các quy định tối thiểu trong lĩnh vực CNTT nên các nhân viên chưa tuân thủ các thao tác bảo đảm ATTT khi sử dụng máy tính. Các cuộc kiểm tra cho thấy nhiều cơ quan không có báo cáo thống kê về các hệ thống máy tính của họ.
Theo báo cáo của Tổng thanh tra Chính phủ vào tháng 12/2014, Bộ An ninh nội địa Mỹ cũng có nhiều điểm yếu trong không gian điều khiển, đặc biệt là liên quan đến các Cơ quan Liên bang về Tình trạng khẩn cấp, trong khi cơ quan này có chức năng giám sát vấn đề nhập cư và xác minh người nước ngoài đến Mỹ, đồng thời thực hiện chức năng giúp các cơ quan khác củng cố hệ thống ATTT của họ.
Quan chức Mỹ nói rằng, trong cuộc xâm nhập lần thứ hai vào Cục Nhân sự chính phủ, tin tặc đã đánh cắp dữ liệu của khoảng 21,5 triệu người, trong đó có tư liệu về mối quan hệ của họ với người nước ngoài, bạn bè, thông tin tài chính của toàn bộ số người này.
“Đối với tình báo nước ngoài, đây thực sự là một mỏ vàng. Sự việc cho thấy chúng ta còn rất nhiều vấn đề cần giải quyết”, Cựu nghị sĩ Mike Rogers của Michigan, nay là chủ tịch Ủy ban tình báo Mỹ đã nói. Ông đã đề nghị tăng cường biện pháp an toàn cho không gian điều khiển và mỗi cơ quan Chính phủ cần hoạt động nỗ lực hơn nữa và tăng cường đầu tư kinh phí để cải thiện tình hình và đổi mới công nghệ.
Theo Mike Rogers, chính phủ Mỹ phải trả lời câu hỏi: Các dữ liệu nhạy cảm của công dân cung cấp cho Chính phủ nếu bị rò rỉ thì ai sẽ chịu trách nhiệm cho vấn đề này? Bản thân thông tin cá nhân của ông cũng đã từng bị tiết lộ.
Lạc hậu một thập kỷ
Sáu tháng trước khi tin tặc Peace xâm nhập vào hệ thống CNTT Bộ Năng lượng, các lỗ hổng của phần mềm đã được phát hiện. Cơ quan này đã trì hoãn thanh toán 4.200 Đôla cho phiên bản mới của phần mềm, và kết quả phải chịu thiệt hại từ vụ xâm nhập không nhỏ hơn 3,7 triệu Đôla. Trong một số cơ quan, việc phân chia trách nhiệm trong lĩnh vực CNTT chưa rõ ràng, cũng có nghĩa là không có ai chịu trách nhiệm về vấn đề này. Nếu tiến hành cải thiện hiện trạng ATTT ảnh hưởng tới công việc đang triển khai của cơ quan, thì giải pháp cho vấn đề này sẽ bị trì hoãn vô thời hạn.
Tổng thanh tra của Bộ Ngoại giao, bộ phận chịu trách nhiệm bảo vệ các thông tin thị thực và dữ liệu hộ chiếu đã yêu cầu Quốc hội cho tách khỏi Bộ để đảm bảo tính an toàn của hệ thống CNTT.
Bộ Ngoại giao Mỹ cho biết “hoàn toàn hỗ trợ” sự độc lập của Tổng thanh tra và hoạt động của ông, cũng như sẽ bổ sung giải pháp kiểm soát truy cập và mã hóa để giảm nguy cơ xâm nhập từ bên ngoài vào hệ thống CNTT. “Tuy nhiên, chúng tôi muốn lưu ý là, chỉ tạo ra một mạng lưới riêng biệt sẽ không làm giảm các mối đe dọa mà chính phủ Mỹ buộc phải đối phó”.
Robert Brese, người chịu trách nhiệm về CNTT của Bộ Năng lượng trong thời gian xảy ra vụ tin tặc Peace tấn công đã nhận xét, hệ thống CNTT của nhiều cơ quan của chính phủ Mỹ đang lạc hậu so với khu vực tư nhân khoảng 10 năm, nhất là trong vấn đề hiện đại hóa cơ sở hạ tầng và thực hiện an toàn hệ thống.
Mỹ là quốc gia hàng đầu trong việc sử dụng các công nghệ tiên tiến thế giới, song hệ thống máy tính của Mỹ hiện nay hoàn toàn chưa sẵn sàng đối diện với tần suất và sự tinh vi của các cuộc tấn công trong không gian điều khiển.
Sự yếu kém trong lĩnh vực an toàn không gian điều khiển của các bộ, ngành của Mỹ từ lâu không còn là bí mật. Chính phủ Mỹ phải thừa nhận, tin tặc đã đánh cắp dữ liệu cá nhân của 25 triệu người sau khi tấn công vào hệ thống mạng Văn phòng Cục Nhân sự của Chính phủ Mỹ, khiến người đứng đầu Cục này bị cách chức.
Các nhà lập pháp coi số lượng ngày càng tăng các cuộc tấn công của tin tặc là dấu hiệu của cuộc chiến tranh lạnh mới mà Mỹ đang chịu thất bại. Liệu có tồn tại một quốc gia nào đứng sau các cuộc tấn công đó hay chỉ là những nhóm nhỏ kiểu Lauri Love? Trung Quốc và Nga bị nghi ngờ là hai nước tham gia trong phần lớn các cuộc tấn công của tin tặc vào Mỹ.
Tạp chí Financial Times đã phân tích hàng chục báo cáo của Thanh tra các cơ quan và Tổng cục Quản lý giám sát ngân sách cho thấy, trong nhiều năm, hơn một nửa trong số 24 Bộ, ngành của Mỹ buộc phải thừa nhận rằng cơ quan an toàn thông tin (cơ quan bảo vệ không gian điều khiển) của họ đã không đưa ra được các biện pháp bảo vệ mang tính nền tảng. Ở đây nói đến việc loại bỏ các lỗ hổng trong các chương trình, trong sử dụng hệ thống nhận dạng và hệ thống theo dõi tin cậy nhằm đảm bảo an toàn cho các cơ sở dữ liệu quan trọng (thông tin cá nhân của cán bộ, nhân viên của các chương trình quân sự và của chính phủ).
Khi nghiên cứu hàng nghìn tài liệu, hồ sơ góp ý của các nhân viên đã và đang làm việc cho cơ quan Chính phủ, các chuyên gia nhận thấy nhiều vấn đề cần được đặt ra cho Chính phủ Mỹ. Tony Scott, người đứng đầu cơ quan chính phủ về các vấn đề thông tin đã báo cáo tại một kỳ họp Quốc hội Mỹ rằng: “Một trong những vấn đề chính là chúng tôi đang sử dụng những thiết bị cũ được sản xuất ở những thời kỳ chưa có các mối đe dọa như vậy”.
Mục tiêu cho tấn công mạng
Số lượng tấn công xâm nhập vào hệ thống máy tính và đánh cắp thành công các thông tin quan trọng của các cơ quan chính phủ đang tăng lên nhanh chóng. Năm 2015, tin tặc đã lấy được 100 nghìn tài khoản thuế, sau khi vượt qua lớp bảo vệ hệ thống máy tính của cơ quan thuế của Mỹ. Cùng với đó, việc đột nhập hệ thống máy tính của Cơ quan Bưu chính Mỹ đã làm lộ thông tin nhạy cảm của khoảng 800 nghìn nhân viên. Còn Bộ Ngoại giao Mỹ cho rằng, hệ thống máy tính không được bảo mật của họ đã bị xâm nhập có lẽ là do các cơ quan đặc vụ Nga.
Theo Cục Nhân sự của Chính phủ Mỹ, số lượng các sự cố ATTT khác nhau trong các cơ quan liên bang, bao gồm những hoạt động lừa đảo, cài mã độc và các truy cập trái phép trong giai đoạn 2006 - 2014 đã tăng gấp 10 lần.
“Mỹ bây giờ đang trả giá cho 20 năm không đầu tư đủ kinh phí cho lĩnh vực an toàn không gian điều khiển, ở cả khu vực tư nhân và khu vực công cộng”, Andy Ozment, phụ tá cho người đứng đầu Cục An ninh nội địa Mỹ đã nói.
Chính quyền Mỹ đã tăng chi phí cho cơ quan liên bang về CNTT từ 78,6 tỷ Đôla (năm 2013) lên 86,3 tỷ (năm 2016). Các vấn đề đã trở nên phức tạp hơn bởi các cuộc tranh cãi với Quốc hội về ngân sách và mong muốn để giảm chi phí. Mặc dù việc tăng chi phí là cần thiết để bảo đảm an toàn không gian điều khiển, song các quan chức cũng chỉ ra các vấn đề như tệ quan liêu trong việc tuyển dụng nhân viên, quá trình mua sắm phức tạp và quản lý ngân sách bí mật.
Thượng nghị sĩ Đảng Dân chủ, Tom Carper nói với Financial Times rằng, hai đạo luật mới thông qua gần đây tạo điều kiện cho các tổ chức CNTT trong các Bộ, ngành có nhiều quyền hạn hơn trong lĩnh vực giám sát các điều khoản có liên quan đến ngân sách và điều này hỗ trợ cho việc hiện đại hoá hệ thống an toàn không gian điều khiển.
“Đối với an toàn không gian điều khiển, Quốc hội có trách nhiệm chấp thuận và tài trợ cho việc đưa vào các công nghệ an toàn mới nhất, để làm giảm khả năng các xâm nhập mới vào cơ sở dữ liệu quan trọng của cơ quan chính phủ”, ông nói.
Việc sử dụng thiết bị lạc hậu trong các cơ quan chính phủ Mỹ khiến cho các biện pháp an toàn thông tin tiên tiến không phù hợp. Những giải pháp công nghệ không có chức năng về ATTT được sử dụng rộng rãi trong các phần mềm được sản xuất bởi các công ty như VMware, Palo Alto Network, Cisco đã không đủ khả năng bảo vệ. Mã hóa dữ liệu cũng không thể áp dụng được trong cơ sở hạ tầng thông tin cũ được thừa kế bởi Cục Nhân sự. Một tuần trước khi bị xâm nhập, Cục Nhân sự đã được khuyến cáo ngắt cả hệ thống và phục hồi lại toàn bộ sau đó, nhưng họ đã không làm theo các khuyến cáo này.
Đích ngắm của các hoạt động tình báo
Trong hệ thống CNTT, việc xác thực tin cậy theo hai mức đòi hỏi phải bổ sung dữ liệu đầu vào, ngoài tên người dùng và mật khẩu. Quá trình này bao gồm kiểm tra hai mức, đầu tiên phải đăng nhập tên người dùng, sau đó sử dụng mã an ninh hoặc thẻ nhận dạng cá nhân. Ngày nay, thủ tục cơ bản này được dùng trong nhiều công ty và thường miễn phí. Nhưng một số cơ quan Chính phủ, trong đó có Bộ Ngoại giao, Bộ Lao động Mỹ vẫn không sử dụng phương pháp xác thực hai mức, và ít nhất một nửa số nhân viên của 15 trong số 24 Bộ, ngành đã không đáp ứng với yêu cầu này.
“Các con số thống kê này rất quan trọng, nhiều sự cố trong không gian điều khiển là do thiếu các phương tiện xác thực”, báo cáo thường niên của Cục Nhân sự chính phủ Mỹ gửi Quốc hội nêu rõ: Sử dụng công nghệ cũ, quy mô hoạt động lớn và sự cần thiết phải hỗ trợ kết nối 24 giờ đã và đang tạo ra những khó khăn lớn trong các lĩnh vực an toàn, an ninh thông tin. Nhiều cơ quan Liên bang không có các quy định tối thiểu trong lĩnh vực CNTT nên các nhân viên chưa tuân thủ các thao tác bảo đảm ATTT khi sử dụng máy tính. Các cuộc kiểm tra cho thấy nhiều cơ quan không có báo cáo thống kê về các hệ thống máy tính của họ.
Theo báo cáo của Tổng thanh tra Chính phủ vào tháng 12/2014, Bộ An ninh nội địa Mỹ cũng có nhiều điểm yếu trong không gian điều khiển, đặc biệt là liên quan đến các Cơ quan Liên bang về Tình trạng khẩn cấp, trong khi cơ quan này có chức năng giám sát vấn đề nhập cư và xác minh người nước ngoài đến Mỹ, đồng thời thực hiện chức năng giúp các cơ quan khác củng cố hệ thống ATTT của họ.
Quan chức Mỹ nói rằng, trong cuộc xâm nhập lần thứ hai vào Cục Nhân sự chính phủ, tin tặc đã đánh cắp dữ liệu của khoảng 21,5 triệu người, trong đó có tư liệu về mối quan hệ của họ với người nước ngoài, bạn bè, thông tin tài chính của toàn bộ số người này.
“Đối với tình báo nước ngoài, đây thực sự là một mỏ vàng. Sự việc cho thấy chúng ta còn rất nhiều vấn đề cần giải quyết”, Cựu nghị sĩ Mike Rogers của Michigan, nay là chủ tịch Ủy ban tình báo Mỹ đã nói. Ông đã đề nghị tăng cường biện pháp an toàn cho không gian điều khiển và mỗi cơ quan Chính phủ cần hoạt động nỗ lực hơn nữa và tăng cường đầu tư kinh phí để cải thiện tình hình và đổi mới công nghệ.
Theo Mike Rogers, chính phủ Mỹ phải trả lời câu hỏi: Các dữ liệu nhạy cảm của công dân cung cấp cho Chính phủ nếu bị rò rỉ thì ai sẽ chịu trách nhiệm cho vấn đề này? Bản thân thông tin cá nhân của ông cũng đã từng bị tiết lộ.
Lạc hậu một thập kỷ
Sáu tháng trước khi tin tặc Peace xâm nhập vào hệ thống CNTT Bộ Năng lượng, các lỗ hổng của phần mềm đã được phát hiện. Cơ quan này đã trì hoãn thanh toán 4.200 Đôla cho phiên bản mới của phần mềm, và kết quả phải chịu thiệt hại từ vụ xâm nhập không nhỏ hơn 3,7 triệu Đôla. Trong một số cơ quan, việc phân chia trách nhiệm trong lĩnh vực CNTT chưa rõ ràng, cũng có nghĩa là không có ai chịu trách nhiệm về vấn đề này. Nếu tiến hành cải thiện hiện trạng ATTT ảnh hưởng tới công việc đang triển khai của cơ quan, thì giải pháp cho vấn đề này sẽ bị trì hoãn vô thời hạn.
Tổng thanh tra của Bộ Ngoại giao, bộ phận chịu trách nhiệm bảo vệ các thông tin thị thực và dữ liệu hộ chiếu đã yêu cầu Quốc hội cho tách khỏi Bộ để đảm bảo tính an toàn của hệ thống CNTT.
Bộ Ngoại giao Mỹ cho biết “hoàn toàn hỗ trợ” sự độc lập của Tổng thanh tra và hoạt động của ông, cũng như sẽ bổ sung giải pháp kiểm soát truy cập và mã hóa để giảm nguy cơ xâm nhập từ bên ngoài vào hệ thống CNTT. “Tuy nhiên, chúng tôi muốn lưu ý là, chỉ tạo ra một mạng lưới riêng biệt sẽ không làm giảm các mối đe dọa mà chính phủ Mỹ buộc phải đối phó”.
Robert Brese, người chịu trách nhiệm về CNTT của Bộ Năng lượng trong thời gian xảy ra vụ tin tặc Peace tấn công đã nhận xét, hệ thống CNTT của nhiều cơ quan của chính phủ Mỹ đang lạc hậu so với khu vực tư nhân khoảng 10 năm, nhất là trong vấn đề hiện đại hóa cơ sở hạ tầng và thực hiện an toàn hệ thống.
