Chủ quyền an ninh mạng - cái gốc của số hóa

Yuri Maximov (tỷ phú đô la đứng thứ ba của Nga năm 2024), đồng sáng lập Quỹ Cyberus và công ty Positive Technologies.
Cyberus tập hợp các nhà phát triển công nghệ an ninh mạng, doanh nghiệp và chính phủ để xây dựng một phương pháp tiếp cận mới về an ninh thông tin ở cấp độ từng công ty, toàn ngành và quốc gia.
Phóng viên: Đối với việc xây dựng các kho lưu trữ số cho các cơ quan hành chính đầu não yêu cầu tuyệt đối bảo mật, làm thế nào để cân bằng giữa việc tận dụng sức mạnh điện toán của các ông lớn công nghệ hay các hãng dữ liệu khổng lồ quốc tế với việc thiết lập "chủ quyền vật lý" (đặt máy chủ trong nước) nhằm ngăn chặn hoàn toàn sự can thiệp của các đạo luật ngoài lãnh thổ như Đạo luật sử dụng dữ liệu ở nước ngoài hợp pháp (CLOUD Act) của Mỹ?
Ông Yuri Maximov: Tôi sẽ bắt đầu bằng mục đích của việc này. Số hóa chắc chắn cải thiện cuộc sống của chúng ta - nó có thể làm tăng GDP lên nhiều lần. Nhưng để được như vậy, một quốc gia cần xây dựng cơ sở hạ tầng kỹ thuật số cơ bản và tự tin rằng các quy trình quan trọng nằm trong tầm kiểm soát của mình. Và đây là nghịch lý: nhiều quốc gia ngày nay ngần ngại chuyển đổi số chính vì họ sợ mất quyền kiểm soát này. Tuy nhiên, chỉ một số ít quốc gia trên thế giới có thể tự xây dựng một cơ sở hạ tầng kỹ thuật số hoàn toàn có chủ quyền.
Do đó, tôi sẽ xem xét lại cách đặt câu hỏi. Việc đặt máy chủ vật lý trong nước là điều cần thiết, nhưng chưa đủ. Một máy chủ có thể được đặt trong trung tâm dữ liệu quốc gia, nhưng nếu kiến trúc, quản trị và phần mềm được gắn với các nhà thầu nước ngoài, điều này không cung cấp bảo mật và chủ quyền tuyệt đối.
Nhận thức quan trọng mà thế giới đã đạt được chỉ trong bốn năm qua là: Các sản phẩm công nghệ thông tin, dù dường như sở hữu tất cả những đặc điểm của quyền sở hữu tiêu dùng, thực chất không mang lại chủ quyền hay quyền sở hữu nào. Khi các thiết bị và phần mềm đi mua đột nhiên ngừng hoạt động, chúng không còn là sở hữu của bạn – bạn chỉ có quyền sử dụng chúng tạm thời. Do đó, ngay cả khi máy chủ được đặt trong nước nhưng công nghệ là của nước ngoài với "chủ sở hữu" riêng, thì luật pháp ngoài lãnh thổ là một đòn bẩy tiềm năng. Câu hỏi không phải là nhà cung cấp (vendor) thuộc tài phán của ai, mà là liệu thông tin có thể rời khỏi tầm kiểm soát của bạn hay không.
Và đây là giải pháp không yêu cầu quốc gia phải hoàn toàn từ bỏ và thay thế các máy chủ do IBM, HP, Dell hoặc các công ty khác sản xuất. Hiện tại, Nga đang đầu tư mạnh vào việc xây dựng một kiến trúc đáng tin cậy dựa trên các thành phần không đáng tin cậy. Ý tưởng rất đơn giản: ngay cả khi chúng ta không tin tưởng phần cứng này, ngay cả khi một trung tâm dữ liệu giao tiếp với một trung tâm dữ liệu khác qua internet, chúng tôi vẫn tạo ra sự cô lập đến mức thông tin không bao giờ rò rỉ ra internet. Và ngay cả khi các máy chủ này có chủ sở hữu muốn sử dụng thông tin được lưu trữ ở đó, họ cũng sẽ không bao giờ truy cập được.
Kiến trúc này có khả năng chính xác cho nhiệm vụ mà bạn đang đề cập: các trung tâm dữ liệu lớn xử lý dữ liệu nhạy cảm, lưu trữ hệ thống bỏ phiếu điện tử và chứa các kho lưu trữ kỹ thuật số của các cơ quan chính phủ cao nhất. Đây là một ví dụ về cách bạn có thể sử dụng chúng với mức độ tin cậy cần thiết mà không cần phải phát minh lại hoặc thiết kế lại mọi sản phẩm trên thế giới.
Nhưng quan trọng hơn cả, bạn không thể chỉ xây nên rồi bỏ mặc. Một hệ thống như vậy cần được kiểm tra liên tục. Bạn cần giao nó cho các chuyên gia giỏi – chúng tôi gọi họ là các hacker mũ trắng – và nói với họ: hãy thử tấn công với, chẳng hạn, một triệu đô la. Hãy thử truy cập dữ liệu và sửa đổi các bản ghi lưu trữ. Nếu họ không làm được, ta hiểu được mức độ bảo mật. Nếu họ làm được, ta sẽ khắc phục các lỗ hổng trước khi kẻ tấn công có thể khai thác chúng.
Việc kiểm tra như vậy đòi hỏi một ngành an ninh mạng độc lập. Bất kỳ quốc gia nào cũng có thể xây dựng một ngành như vậy. Nó rẻ hơn nhiều so với việc cố gắng xây dựng toàn bộ hệ thống kỹ thuật số từ đầu. Khi một quốc gia có các chuyên gia riêng, các hacker mũ trắng riêng, các kỹ sư riêng, các công ty riêng, hệ thống đo lường an ninh riêng và cộng đồng chuyên nghiệp riêng, quốc gia đó sẽ được bảo vệ không chỉ khỏi các kẻ tấn công mà còn khỏi bất kỳ sự phụ thuộc nào từ bên ngoài.
Do đó, câu trả lời của tôi là: nếu một quốc gia không thể ngay lập tức xây dựng một cơ sở hạ tầng kỹ thuật số hoàn toàn tự chủ, quốc gia đó phải bắt đầu với chủ quyền an ninh mạng. Với một ngành công nghiệp cho phép quốc gia đó quản lý rủi ro số hóa, xác định các lỗ hổng, xây dựng một kiến trúc đáng tin cậy trên các yếu tố không đáng tin cậy và trả lời câu hỏi quan trọng: hệ thống này có thể gây ra thiệt hại không thể chấp nhận được cho nhà nước hay không?
Đây chính là nơi mà Nga sẵn sàng giúp các đối tác xây dựng ngành công nghiệp an ninh mạng của riêng mình: giúp phát triển năng lực để họ có thể đào tạo chuyên gia, xây dựng các công ty và hệ thống bảo vệ, tạo ra các giải pháp và cộng đồng chuyên nghiệp của riêng họ. Đây là cách một ngành ra đời - khi mọi thứ được thực hiện bởi chính người dân. Và chính kiểu ngành này có thể trở thành nền tảng để xây dựng một nền kinh tế số thực sự tự chủ.

Gian của công ty Positive Technologies tại SPIEF 29.
Phóng viên: Việt Nam đang trong quá trình thực thi Luật Lưu trữ 2024 với trọng tâm chuyển dịch mạnh mẽ sang lưu trữ điện tử. Nhìn từ các khung tham chiếu an toàn thông tin, ông đánh giá đâu là lỗ hổng kỹ thuật dễ bị bỏ qua nhất khi các cơ quan công quyền chuyển đổi kho tài liệu giấy khổng lồ lên không gian số?
Ông Yuri Maximov: Những điểm yếu chính nào dễ bị tổn thương khi các cơ quan chính phủ chuyển đổi từ kho lưu trữ giấy khổng lồ sang định dạng kỹ thuật số? Sai lầm chính trong quá trình chuyển đổi là cho rằng đó chỉ đơn giản là việc quét, lưu trữ và tìm kiếm dễ dàng. Trên thực tế, với số hóa, kho lưu trữ trở thành một phần của cơ sở hạ tầng quan trọng của nhà nước. Kho lưu trữ kỹ thuật số, nếu được thiết kế kém, có thể bị sửa đổi, phá hủy không thể phục hồi, thay thế, mã hóa, sao chép hoặc được sử dụng để phân tích hệ thống của nhà nước. Theo nghĩa này, việc hoàn toàn từ bỏ các bản sao là liều lĩnh.
Do đó, điểm yếu đầu tiên là sự tập trung hóa. Kiến trúc kỹ thuật số hiện tại phần lớn được thiết kế để tất cả người dùng và tất cả dữ liệu có thể được kiểm soát từ một vị trí trung tâm. Điều này thuận tiện, nhưng nó cũng tạo ra những điểm yếu lớn. Nếu chỉ có một trung tâm điều khiển, một hệ thống cập nhật và một kênh truy cập bên ngoài duy nhất, thì một vụ tấn công hoặc lỗi tại điểm này có thể gây ra hậu quả nghiêm trọng.
Thứ hai là yếu tố con người, điều này hầu như luôn bị đánh giá thấp. Kiến trúc hiện tại đòi hỏi một số lượng lớn người vận hành: các kỹ sư liên tục điều chỉnh, đấu nối lại hệ thống. Một sai lầm của bất kỳ ai trong số họ, cố ý hay vô ý, đều dẫn đến hậu quả nghiêm trọng. Càng nhiều người bảo trì hệ thống, càng có nhiều điểm yếu cho kẻ tấn công.
Điểm yếu thứ ba, như đã đề cập ở trên, là sự phụ thuộc vào các sản phẩm bên ngoài và dịch vụ đám mây. Một quốc gia có thể tin rằng mình đã xây dựng một kho lưu trữ điện tử, nhưng nếu các yếu tố quan trọng nằm trong tay các nhà cung cấp nước ngoài, nếu các bản cập nhật, giấy phép, quản lý, phân tích hoặc sao lưu đều phụ thuộc vào họ, thì đó không phải là chủ quyền đầy đủ. Đến một lúc nào đó, hệ thống có thể ngừng hoạt động, dữ liệu có thể trở nên không thể truy cập được và một quốc gia khác có thể giành được quyền kiểm soát.
Nhưng cũng có một lớp ít rõ ràng hơn. Khi số hóa một kho lưu trữ, bạn để lại dấu vết kỹ thuật số. Và dấu vết này, đặc biệt là trong bối cảnh AI đang nhanh chóng thâm nhập vào cuộc sống của chúng ta, cho phép những người quan sát bên ngoài phân tích bạn một cách có hệ thống-để hiểu bạn là ai, khoa học của bạn là gì, bí mật của bạn là gì. Kho lưu trữ của các cơ quan chính phủ cao nhất chính là sự tập trung thông tin nhạy cảm này. Mọi người thường nghĩ về quyền truy cập bảo mật, nhưng họ lại bỏ qua thực tế rằng chính việc số hóa tạo ra một dấu vết có thể phân tích được, qua đó quốc gia đó có thể bị nghiên cứu từ bên ngoài.
Và cuối cùng, điều quan trọng cơ bản đối với một kho lưu trữ là tính toàn vẹn và nguồn gốc của tài liệu. Làm thế nào chúng ta có thể đảm bảo, 20-30 năm nữa, rằng một tài liệu là xác thực, rằng nó chưa bị sửa đổi và người đứng sau nó chính xác là người phải đứng sau nó? Chúng ta đã có mọi thứ cần thiết ở đây. Chúng ta có mật mã đáng tin cậy cho phép chữ ký đáng tin cậy. Nhìn thấy chữ ký này ta biết chắc sau nó là một công dân, tổ chức hoặc quốc gia cụ thể.
Ta có các công nghệ sổ cái phân tán đảm bảo tính bất biến của nội dung theo thời gian và khả năng đo lường các thông số của nó. Về cơ bản, có thể xây dựng một kho lưu trữ trong đó nguồn thông tin được biết và tính bất biến của nó được đảm bảo. Đây là nền tảng thường bị bỏ qua nhất trong quá trình chuyển đổi từ giấy sang kỹ thuật số, và nó nên được đặt ngay từ đầu.
Do đó, khi chuyển sang lưu trữ điện tử, ngay từ đầu cần phải suy nghĩ không chỉ về lưu trữ mà còn về kiến trúc bảo mật. Chúng ta cần một hệ thống trả lời được một số câu hỏi đơn giản nhưng quan trọng: Liệu chúng ta có thể bị tấn công mạng không? Dữ liệu có thể bị thay đổi không? Liệu có thể gây ra thiệt hại không thể chấp nhận được không? Liệu kho lưu trữ có thể bị sử dụng để gây ảnh hưởng bên ngoài đến nhà nước không? Liệu chúng ta có thể tiếp tục hoạt động nếu một phần cơ sở hạ tầng kỹ thuật số bị vô hiệu hóa hoặc bị xâm phạm không?
Và một lần nữa, câu trả lời nằm ở cách tiếp cận toàn diện: cơ sở hạ tầng địa phương, nhân sự tại chỗ, hệ thống đo lường liên tục bằng các phương pháp của hacker, mạch điện độc lập và sự hợp tác đáng tin cậy với các yếu tố không đáng tin cậy.
Đối với Việt Nam, cũng như bất kỳ quốc gia nào đang nghiêm túc số hóa kho lưu trữ nhà nước hiện nay, đây là cơ hội để xây dựng kiến trúc đúng đắn ngay từ đầu. Chúng ta không được lặp lại những sai lầm của quá trình số hóa toàn cầu hiện nay, nơi sự tiện lợi thường vượt trội hơn bảo mật, và bảo mật sau đó mới được thêm vào. Ngay từ đầu, chúng ta cần thiết kế hệ thống sao cho nó không chỉ mang lại hiệu quả mà còn đảm bảo chủ quyền, khả năng phục hồi và mức độ bảo mật có thể kiểm chứng được.
Và điều cuối cùng tôi muốn nói. Nga có lẽ là quốc gia duy nhất phải hứng chịu mức độ tấn công mạng chưa từng có trong bốn năm qua. Do đó, tất cả những gì tôi đang nói đều là kinh nghiệm thực tiễn, chứ không phải lý thuyết suông. Kinh nghiệm này đã tạo ra hệ thống đo lường an ninh liên tục, việc xây dựng môi trường đáng tin cậy trên các yếu tố không đáng tin cậy, và các phương pháp tiếp cận khác. Và đây là kinh nghiệm mà chúng tôi sẵn sàng chia sẻ với các đối tác của mình ngày hôm nay.
Bài, ảnh: Tâm Hằng (PV TTXVN tại Nga)
19 phút trước
26 phút trước
4 giờ trước
2 giờ trước
17 phút trước
31 phút trước
43 phút trước
51 phút trước
55 phút trước
1 giờ trước
2 giờ trước
3 giờ trước