Nguồn: David Barno & Nora Bensahel, “Defending the Cyber Nation: Lesson From Civil Defense”, War on The Rocks, 02/06/2015.
Biên dịch: Hoàng Cao Quyền | Hiệu đính: Nguyễn Thế Phương
Nếu bạn lớn lên trong thời kì Chiến Tranh Lạnh như cả hai chúng tôi, có lẽ bạn vẫn còn nhớ những cách thức mà chúng ta chuẩn bị cho một cuộc tấn công hạt nhân. Rùa Bert đã dạy ta cách “cúi xuống và che đầu” (duck and cover),[1] và chúng ta cũng đã thực hành việc trốn dưới gầm bàn học ở trường. Hàng ngàn gia đình người Mỹ xây dựng nơi trú bụi phóng xạ ở sân sau và dự trữ lương thực cho nhiều tháng. Các bài tập thực hành đảm bảo rằng các thành viên của Quốc hội, Toà án tối cao và Tổng thống có thể sơ tán kịp thời đến những căn cứ dưới lòng đất, đảm bảo sự hoạt động liên tục của chính phủ.
Người ta gọi chung sự chuẩn bị như vậy là phòng vệ dân sự. Những vị Tổng thống Mỹ nhìn nhận phòng vệ dân sự như một phần trong cân bằng chiến lược với Liên Xô, và như một hình thức “bảo hiểm cho người dân” trong trường hợp xảy ra chiến tranh hạt nhân. May thay, hiệu quả của nó chưa bao giờ được kiểm chứng. Thế nhưng người Mỹ nhận thức được tầm quan trọng của phòng vệ dân sự vì thành thật mà nói, nguy cơ chiến tranh hạt nhân vẫn luôn hiện hữu và thật sự rất đáng sợ.
Ngày nay, hầu hết người Mỹ đều nhận thấy những công việc chuẩn bị như vậy đã lỗi thời, hay thậm chí là viển vông. Một thế hệ mới dần trưởng thành, thoát khỏi cái bóng của Chiến tranh Lạnh, và vẫn chưa xuất hiện một mối đe doạ quốc tế nào có thể thay thế được các tên lửa hay máy bay ném bom tầm xa của Liên Xô nhằm vào nước Mỹ. Ngay cả chủ nghĩa khủng bố theo sau cuộc tấn công 11/9 cũng không thể tạo nên mối đe doạ lớn như trong thời kỳ Chiến tranh Lạnh, mặc dù chủ nghĩa khủng bố đã len lỏi và tác động rất lớn đến mỗi đứa trẻ và mỗi gia đình.
Éo le thay, nước Mỹ hiện tại dường như mỏng manh, dễ bị ảnh hưởng bởi các cuộc tấn công gây rối hơn là trong thời kì Chiến tranh Lạnh. Tuy mức độ tàn phá về mặt con người và cấu trúc xã hội (của các cuộc tấn công gây rối loạn – disruptive attacks) thua xa một trận chiến hạt nhân mang tính chất “tận thế”, nhưng phạm vi tổn thương ở cấp độ quốc gia gần như không có giới hạn hoàn toàn là sự thật và những hậu quả để lại vẫn mang tính huỷ diệt rất lớn. Mối lo ngại về một trận “Trân Châu Cảng điện tử” (electronic Pearl Harbor) ngày một gia tăng kể từ cuối thập niên 1990 và tính dễ bị tổn thương này ngày một lớn hơn do khái niệm “Internet của vạn vật” mở rộng một cách nhanh chóng, kết nối hầu hết các yếu tố đời sống hằng ngày của chúng ta vào trong một mạng lưới Internet toàn cầu.
Như chúng tôi đã trình bày trong bài viết đầu tiên của mình trong chuyên mục Strategic Outpost, “hệ thống thần kinh trung ương của quốc gia đang gặp rủi ro nghiêm trọng”. Các cuộc tấn công ồ ạt vào những mạng lưới quan trọng (ví dụ như các mạng lưới giúp điều hành hệ thống tài chính, hệ thống kiểm soát không lưu và hệ thống điện) sẽ cản trở sự vận hành của toàn bộ xã hội Mỹ, khiến cho đất nước bị đình trệ. Quan trọng hơn nữa, các cuộc tấn công đó sẽ làm suy giảm một cách trầm trọng niềm tin mà nước Mỹ đang nắm giữ đối với toàn bộ hệ thống thương mại, giao thông vận tải, lưu trữ hồ sơ và quản trị.
Bất kể tính tổn thương to lớn như vậy, chỉ một vài doanh nghiệp Mỹ, một số chính quyền bang và địa phương hoặc một số người dân Mỹ có nhận thức – chứ chưa nói tới sự chuẩn bị – liên quan tới mối đe doạ này. Trong một chuyến viếng thăm tới Thung lũng Silicon gần đây, chúng tôi thường nghe một điệp khúc: “Có hai loại người trên thế giới này: những người đã bị xâm nhập (hacked), và những người còn lại không biết mình đã bị xâm nhập”. Và sự xâm nhập này hiện hữu dưới mọi hình thức, từ đơn giản như thăm dò máy tính để bàn ở nhà cho đến đánh cắp dữ liệu tài chính của ngân hàng, cài các phần mềm độc hại tiềm tàng trong hệ thống mạng của chính phủ. Sự lan rộng của những cuộc xâm nhập trên mạng diễn ra hằng ngày giờ đây đã vượt xa những gì mà người Mỹ có thể tưởng tượng.
Khả năng các phần mềm độc hại được cài vào các máy chủ của công ty bởi một nhóm hacker đối lập gây ra ít phản ứng sôi sục từ chính phủ và xã hội hơn là các hình ảnh vệ tinh chụp những tên lửa đạn đạo xuyên lục địa (ICBMs) của Liên Xô nằm trên bệ phóng. Mối hiểm hoạ trong hiện tại thường không mang một hình hài nhất định, không thể hiện qua một loại vũ khí cụ thể và không rõ ràng. Hậu quả là hầu hết mọi người Mỹ đều lơ là trong việc bảo vệ mạng lưới riêng đang bị xâm nhập hàng ngày của họ. Bên cạnh đó cũng có rất ít quan chức dân cử hiểu được vai trò của mình trong việc tạo ra các chính sách ứng phó hiệu quả.
Để điều chỉnh được vấn đề phức tạp này cần phải có một hình thức phòng vệ dân sự mới cho thế kỷ 21, với sự tham gia chủ động của công dân, khu vực tư nhân và quan chức chính phủ ở tất cả mọi cấp độ. Tuy nhiên, chính quyền liên bang vẫn đóng một vai trò độc nhất và quan trọng – không phải vì chính quyền có khả năng (hoặc nên) đưa ra các giải pháp, mà vì họ có thể thu hút sự chú ý đối với vấn đề quan trọng này và thông qua các điều luật, chính sách và khuyến nghị giúp củng cố sự bảo vệ tốt hơn trước các mối đe dọa trên không gian mạng.
Chúng tôi đưa ra năm bước quan trọng mà chính quyền Mỹ hiện nay có thể triển khai để từng bước tiếp cận mối hiểm hoạ an ninh quốc gia quan trọng này và xây dựng nền tảng cho phòng vệ dân sự trên mạng.
1. Giáo dục công chúng và sự lãnh đạo quốc gia. Nhà Trắng phải dẫn đầu một nỗ lực phối hợp nhằm công khai các mối đe dọa nghiêm trọng trong hiện tại đối với hệ thống mạng quốc gia. Công chúng Hoa Kỳ trong quá khứ đã từng được huy động thành công nhằm phản ứng lại các mối lo ngại về an ninh công cộng, từ phòng chống cháy rừng đến nạn lái xe khi say xỉn. Tuy nhiên, sự thiếu nhận thức trên diện rộng hiện nay về các mối đe dọa ngày một lớn đối với mạng lưới máy tính đã làm suy yếu các nỗ lực thực chất nhằm huy động một sự phản ứng thích đáng ở cấp độ quốc gia. Cơ quan hành pháp cần báo cáo cho các lãnh đạo quốc hội và ở cấp độ các bang và địa phương về phạm vi của mối đe dọa. Chiến dịch tăng cường nhận thức này là bước đi đầu tiên mang tính quyết định để thúc giục giới lãnh đạo cảnh báo cho công chúng Mỹ về mối hiểm nguy, và huy động sự hỗ trợ của họ đối với các biện pháp “làm sạch” hệ thống mạng ở cấp độ cá nhân.
2. Thiết lập rõ ràng vai trò và trách nhiệm bảo vệ mạng lưới. Vấn đề nền tảng trong việc giải quyết thách thức này chính là câu hỏi về trách nhiệm. Chính quyền – liên bang, bang và địa phương – sẽ nhận thức về trách nhiệm của mình ở vị trí nào? Các khu vực kinh doanh và tư nhân sẽ đảm trách những vai trò gì? Và vị trí của cá nhân sẽ nằm ở đâu trong phạm vi được đề cập? Chính phủ Mỹ là chủ thể duy nhất có khả năng khởi động một cuộc thảo luận quy mô toàn quốc về các vấn đề quan trọng này, từ đó thiết lập vai trò và trách nhiệm một cách rõ ràng. Chính quyền cũng nên kiểm tra lại Khuôn khổ Phản ứng Quốc gia, vốn quy định vai trò và trách nhiệm đối phó với thiên tai và các vấn đề khẩn cấp, nhằm xác định thời điểm và cách thức chính quyền đưa ra phản ứng trước các cuộc tấn công mạng.
3. Phát triển một bức tranh toàn diện về phạm vi và quy mô của của nguy cơ an ninh mạng. Việc hiện nay vẫn chưa tồn tại một cái nhìn toàn diện nào là một thực tế đáng ngạc nhiên và đáng báo động. Bộ An ninh Nội địa nên dẫn đầu một nỗ lực phối hợp để phác thảo toàn diện mức độ mối đe dọa hiện nay, qua đó hình dung tốt hơn về các mục tiêu chính phủ, doanh nghiệp và cá nhân bị tấn công mỗi ngày. Tuy nhiên, hoạt động này đòi hỏi quá trình báo cáo thông tin tốt hơn từ cả khu vực công lẫn tư nhân về các lỗi bảo mật tình nghi hoặc đã được xác nhận trong hệ thống mạng của các bên. Một doanh nghiệp chuyên an ninh mạng cho chúng tôi biết, hai phần ba các khách hàng của họ chỉ nhận ra mạng máy tính của họ bị xâm nhập sau khi đọc được các thông tin rò rỉ trên truyền thông. Mức độ bảo mật thấp như thế là không thể chấp nhận được.
Để có thể hiểu toàn diện các mối đe dọa an ninh mạng hiện tại và tương lai, chính quyền phải có khuyến nghị tốt hơn đối với các doanh nghiệp, nhằm tăng mức độ bảo mật và nhanh chóng báo cáo lại các lỗi bảo mật tình nghi. Một khuyến nghị khác là cải thiện chia sẻ thông tin hai chiều, do những doanh nghiệp thường xuyên báo cáo về các cuộc tấn công mạng phàn nàn rằng họ không nhận được thông tin phản hồi. Một số hình thức khuyến nghị khả thi khác cũng được thảo luận ở phần sau. Tuy nhiên, việc đơn thuần yêu cầu các doanh nghiệp báo cáo các thông tin quan trọng và nhạy cảm cho chính quyền ngay khi các cuộc tấn công xảy ra, nhưng lại không có hình thức khuyến khích nào, sẽ chỉ duy trì thái độ thờ ơ trước hiểm họa và làm tăng tính dễ tổn thương về dài hạn.
4. Xây dựng một khuôn khổ pháp lý để hình sự hoá việc xâm nhập và tấn công không gian mạng. Hầu hết các bộ luật tiểu bang và liên bang hiện nay đã cực kì lỗi thời trong một thế giới mà bọn tội phạm mạng có thể đánh cắp danh tính, thông tin cá nhân và hàng triệu đô la mà không cần rời khỏi nhà hay quán cà phê Internet nửa bước. Những tội lỗi do con người gây ra vốn bị trừng phạt đích đáng như cướp ngân hàng chẳng hạn, khi thực hiện thông qua hệ thống mạng lại chịu rất ít hoặc thậm chí không bị xử phạt ngay cả thi tìm thấy thủ phạm và có đủ thẩm quyền pháp lý (điều này không thường xuyên xảy ra). Việc này không chỉ khuyến khích bọn tội phạm chuyển sang hoạt động trực tuyến mà còn tăng tỉ lệ tội phạm nói chung vì những người không bao giờ vác súng đi cướp nhà băng có thể sẵn sàng xâm nhập hệ thống tài chính của ngân hàng và ăn trộm tiền ngay tại căn phòng khách của họ. Một luật sư nói với chúng tôi rằng các công tố viên thường dựa vào những lý thuyết pháp lý đầy sáng tạo để truy tố tội phạm mạng vì chúng thường không được đề cập trong các đạo luật hiện hành. Các hành động như xâm nhập mạng lưới mà không phải là trộm cắp hay xoá bỏ dữ liệu đều phải được xác định xem chúng đã bước qua ngưỡng cửa phạm tội hay chưa, và nếu như vậy thì bộ luật mới cần điều chỉnh cho phù hợp.
5. Đưa ra những hình thức khuyến khích mạnh mẽ và trao chứng nhận cho an ninh mạng. Chính phủ không nên đề ra những tiêu chuẩn an ninh mạng cụ thể để doanh nghiệp và cá nhân làm theo vì mối đe doạ diễn ra quá nhanh đến nỗi chính phủ khó có thể đối phó một cách hiệu quả. Tuy nhiên, chính phủ hoàn toàn có thể và rất nên thúc đẩy an ninh mạng tốt hơn thông qua các hình thức động viên, khích lệ và chứng nhận khác nhau. Ví dụ, những tổ chức như Underwriters Laboratory đã từ lâu cung cấp những bài kiểm tra an toàn và trao chứng nhận tiêu chuẩn cho một loạt các sản phẩm thương mại. Tương tự như vậy, chính phủ có thể thiết lập sở chứng nhận liên bang dành cho những phần mềm máy tính đạt những tiêu chuẩn an toàn nào đó và rồi đề nghị người tiêu dùng chỉ nên mua hoặc sử dụng những phần mềm đã được chứng nhận. Hoặc cũng có thể xem xét giảm thuế cho những công ty sử dụng phần mềm được chứng nhận.
Chính phủ có thể sử dụng những hình thức động viên, trao chứng nhận để loại bỏ rào cản giúp các công ty cải thiện hệ thống an ninh mạng của mình, chẳng hạn như mối đe doạ về trách nhiệm hay thiếu bảo hiểm. Lấy ví dụ sau vụ tấn công 11/9, Quốc hội thông qua Đạo luật về an ninh năm 2002 (2002 SAFETY Act) khuyến khích các công ty tư nhân phát triển công nghệ chống khủng bố bằng cách trao chứng nhận giúp họ tránh né các vấn đề liên quan đến trách nhiệm. Vào cuối tháng Tư, lần đầu tiên Bộ An ninh Nội địa trao giấy chứng nhận như thế cho công ty mạng FireEye và điều tương tự chắc chắn sẽ còn lặp lại rất nhiều lần trong tương lai. Về bản chất, trao giấy chứng nhận tạo nên một hình thức bảo hiểm không gian mạng miễn phí.
Mối đe doạ liên quan đến không gian mạng hiện nay, đối với Mỹ, tiềm tàng nhiều rủi ro nguy hiểm nhất mà quốc gia phải đối mặt kể từ khi kết thúc Chiến tranh Lạnh. May mắn là khủng bố hạt nhân đã phần nào được đẩy lùi thế nhưng mối đe doạ tiềm ẩn về sự đổ vỡ của một quốc gia hiện tại hầu như phụ thuộc hoàn toàn vào mạng lưới không gian mạng là có thật. Chính phủ Mỹ cần nâng cao nhận thức của quốc gia về mối hiểm hoạ ít người biết đến và hiểu rõ này, bắt đầu áp dụng luật pháp và các chính sách cần thiết để tránh những hậu quả tồi tệ nhất có thể xảy ra.
Trung tướng David W. Barno (đã nghỉ hưu) và Tiến sỹ Nora Bensahel là các chuyên gia thường trú tại Trường Ngoại giao (SIS) tại Đại học American University. Bài viết của họ xuất hiện trên trang War on the Rocks vào thứ ba hàng tuần.
—————–
[1] Rùa Bert là một nhân vật trong bộ phim hoạt hình có tên “Duck and Cover”, một bộ phim về phòng vệ dân sự mang tính tuyên truyền, giúp trẻ em có thể làm quen với những tình huống xảy ra trong một cuộc chiến tranh hạt nhân giả định với Liên Xô.