CSIRT là đội ngũ gắn liền với các sự cố an toàn thông tin, các tấn công mạng, các lỗ hổng phần mềm… do đó, việc phân loại sự cố, bảo mật thông tin, có các cơ chế phối hợp trong và ngoài
Trang 1ĐỘI ỨNG CỨU
SỰ CỐ
VAI TRÒ QUAN TRỌNG
TRONG ĐẢM BẢO AN TOÀN
THÔNG TIN MẠNG
1 BÙI THANH HÀ
Hơn ba mươi năm trước, việc đảm bảo
an toàn thông tin dựa chủ yếu vào
những nhân sự kỹ thuật riêng lẻ Đến những
năm 1990, các công ty bắt đầu thành lập
các Trung tâm điều hành an ninh (Security
Operation Center- SOC) đầu tiên để tập trung nhân
sự và các công cụ bảo mật thành một lực lượng
chuyên trách Tuy nhiên, các tấn công mạng
càng ngày càng gia tăng, các sự cố an ninh mạng
càng ngày càng phức tạp, và các SOC đã trở thành chưa đủ
Họ cần làm gì đó để có thể phản ứng chủ động trước các mối đe
dọa tấn công mạng.
Trang 2chuẩn được đưa ra để đối chiếu, so sánh và đánh giá nhằm giúp các CSIRT có định hướng, kế hoạch, chiến lược phát triển phù hợp Mô hình phổ biến nhất hiện nay có tên
“Security Incident Management Maturity Model” (SIM3)-
Mô hình đánh giá mức độ trưởng thành trong quản lý sự cố
an toàn thông tin4
SIM3 phù hợp nhất cho đánh giá các CSIRT điều phối quốc gia Tuy nhiên, một tổ chức CSIRT cơ bản thì dù có trách nhiệm ở cấp độ nào cũng phải đạt các yêu cầu trụ cột để
có thể hoàn thành nhiệm vụ của mình Do vậy, có thể dùng SIM3 để đánh giá tất cả các CSIRT, chỉ thay đổi ở các thang điểm đánh giá để linh hoạt với mức độ quan trọng của từng yếu tố của các đội ứng cứu sự cố khác nhau 4 nhóm trụ cột
đó là: tổ chức, con người, công cụ, quy trình
Tiêu chí về tổ chức: Đây là tiêu chí đầu tiên để có một
CSIRT thành công Khi một đội, nhóm hình thành có vị trí, chức năng, nhiệm vụ cụ thể, có điều lệ hoạt động, cơ cấu tổ chức rõ ràng sẽ là cơ sở cho sự gắn kết trong tổ chức Các quy định liên quan trách nhiệm và quyền hạn của đội đảm bảo đội hoạt động đúng định hướng để đạt được các mục tiêu đề ra CSIRT là đội ngũ gắn liền với các sự cố an toàn thông tin, các tấn công mạng, các lỗ hổng phần mềm… do
đó, việc phân loại sự cố, bảo mật thông tin, có các cơ chế phối hợp trong và ngoài CSIRT là yếu tố tiên quyết để xây dựng một tổ chức phát triển
Tiêu chí về con người: Tài sản quan trọng nhất của một
đội ngũ chính là các thành viên của đội ngũ ấy CSIRT có đặc thù riêng, không làm việc theo các tiêu chuẩn dây chuyền cứng nhắc của nhà máy Công việc của đội ứng cứu
sự cố có chuyên môn cao, được thực hiện trong môi trường thử thách và thường xuyên chịu áp lực về thời gian Do đó, tuyển dụng được các nhân sự phù hợp, thực hiện đào tạo và giữ chân nhân tài được ít nhất một số năm để đạt hiệu quả tối đa là điều quan trọng cho sự thành công của CSIRT
Nhân sự làm việc tại CSIRT cần tuân thủ các quy tắc ứng
xử chuẩn mực, có cam kết đạo đức nghề nghiệp An toàn thông tin là lĩnh vực thuộc về an ninh, bảo vệ tài sản thông tin và có ranh giới giữa chấp hành và vi phạm pháp luật rất
dễ bị phá vỡ Người làm trong lĩnh vực này do vậy phải ý thức được và tự tu dưỡng bản thân để có thể đảm bảo cam kết về bảo vệ các quyền lợi của khách hàng, đối tác mà họ phục vụ
Trong đánh giá về năng lực và mức độ trưởng thành của một CSIRT, thì khả năng dự phòng về nhân sự chủ chốt được tính là yếu tố bắt buộc Một CSIRT cần ít nhất 3 thành viên
Khi trong đội có người có thể nghỉ phép, có người bị ốm thì
vẫn có một thành viên bao quát các nhiệm vụ cơ bản của CSIRT Các nhân sự tuyển dụng vào CSIRT cần có trình độ
và các kỹ năng theo quy định, phù hợp vị trí, việc làm, chức danh cần có Ngoài ra, trong quá trình hoạt động, CSIRT cũng thực hiện đào tạo liên tục đội ngũ của mình: từ đào tạo nội bộ, đến cho tham dự các khóa học bên ngoài tổ chức; từ đào tạo kỹ thuật đến đào tạo về giao tiếp, về truyền thông
Tiêu chí về công cụ: Trong lĩnh vực an toàn thông tin,
nếu không có công cụ thích hợp, CSIRT không thể hoàn thành nhiệm vụ Đặc biệt khi số lượng các sự cố tăng lên, các công cụ, đặc biệt công cụ xử lý tự động đóng vai trò chính trong xử lý các vấn đề Các công cụ mà bất cứ CSIRT nào cũng cần có là: danh sách tài nguyên CNTT, hệ thống thư điện tử hợp nhất, hệ thống điện thoại, hệ thống theo dõi
sự cố, xử lý sự cố
Tiêu chí về quy trình: Đó chính là các chính sách, kế
hoạch, quy trình, hướng dẫn cho mọi hoạt động của CSIRT, được viết theo những cách ngắn gọn và đơn giản, đồng thời
dễ sử dụng Nhiều CSIRT đưa các quy trình lên các trang wiki nội bộ, vì vậy mọi thành viên của đội thể dễ dàng truy cập Một số quy trình tiêu biểu: quy trình phát hiện mối đe dọa và sự cố, quy trình xử lý sự cố, quy trình xử lý thông tin, quy trình cung cấp thông tin cho báo chí, truyền thông, cung cấp cho các bên pháp lý, quy trình bảo mật nội bộ
Hiện trạng các CSIRT tại Việt Nam
Hành lang pháp lý tại Việt Nam đã được xây dựng khá đầy đủ và bài bản để thúc đẩy việc thành lập và phát triển các đội CSIRT Đối với các cơ quan nhà nước thì đây là nhiệm
vụ bắt buộc
Hiện cả nước có khoảng gần 300 tổ chức đã có đội ứng cứu
sự cố trực thuộc các Bộ, các cơ quan ngang Bộ, cơ quan trực thuộc Trung ương, các tỉnh, thành phố, các doanh nghiệp, tổ chức Phần lớn các CSIRT này đều đã tham gia Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia được thành lập theo Quyết định 05/2017/QĐ-TTg ngày 16/3/2017 đã nói ở trên Trong thực tế, nhiều CSIRT đã là tổ chức mạnh, hoạt động bài bản, như CSIRT từ một số tập đoàn công nghệ thông tin lớn, các công ty chuyên về an ninh, bảo mật Nhưng phần lớn, lực lượng này tại các địa phương đều là kiêm nhiệm và thiếu trình độ, kỹ năng chuyên sâu để có thể làm tốt vai trò của mình
Một tổ chức CSIRT trưởng thành cần hoàn thiện cả bốn khía cạnh về tổ chức, con người, công cụ, quy trình Thì tại Việt Nam, rất ít CSIRT đạt được điều này Phần lớn các CSIRT trong trạng thái bị động, chỉ hoàn thành các yêu cầu tối thiểu khi được đề nghị Trong nhiều trường hợp, sự cố
Từ đó, các đội ứng cứu sự cố máy tính, sự cố an toàn
thông tin mạng bắt đầu ra đời, trở thành lực lượng
chuyên nghiệp và bài bản trong đảm bảo an toàn
thông tin mạng Đó là một nhóm các chuyên gia bảo
mật chịu trách nhiệm tiếp nhận, phân tích và ứng phó với
các sự cố bảo mật Các nhóm này có thể trực thuộc vào SOC
hoặc không Các đội này có thể hoạt động độc lập, có thể là
một tổ chức chính thức hoặc là một đội đặc nhiệm đặc biệt
CERT/CSIRT đội đặc nhiệm thầm lặng
Đội (hoặc nhóm, hoặc trung tâm, hoặc tổ chức…) ứng cứu
sự cố an toàn thông tin mạng, hay ứng cứu sự cố máy tính, hay
ứng cứu khẩn cấp máy tính có tên gọi từ nguồn gốc tiếng Anh
là Computer Emergency Response Team (CERT) hoặc Cyber
Security Incident Response Team (CSIRT), hoặc IRT (Incident
Response Team); CIRT (Computer Incident Response Team);
SERT (Security Emergency Response Team)
Đây là một lực lượng có đối tượng phục vụ rõ ràng: đó có
thể là các khách hàng, các đối tác, các cá nhân, tổ chức mà
đội có trách nhiệm phải hỗ trợ để giúp phòng ngừa các tấn
công mạng và xử lý được các sự cố an toàn thông tin mạng
Các hoạt động mà đội cung cấp cho các đối tượng phục
vụ đó được gọi là các “dịch vụ” (service) Các dịch vụ này
đa dạng, theo ENISA (Cơ quan An toàn thông tin Liên minh
châu Âu), có thể chia làm 3 nhóm chính: các dịch vụ ứng
cứu, các dịch vụ dự phòng chủ động và các dịch vụ quản lý
chất lượng1
Đội ứng cứu sự cố an toàn thông tin mạng đầu tiên
trên thế giới được thành lập năm 1988 tại Trường Đại học
Carnegie Mellon, Hoa Kỳ và có tên là Trung tâm Ứng cứu
khẩn cấp máy tính (CERT), sau này là Trung tâm điều phối
Ứng cứu khẩn cấp máy tính (CERT/CC)
Và tại Việt Nam, đội ứng cứu đầu tiên chính là Trung tâm
Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) được thành
lập năm 2005 và đến nay đổi tên thành Trung tâm Ứng cứu
khẩn cấp không gian mạng Việt Nam (VNCERT/CC)
Theo thời gian, các đội, nhóm, trung tâm, tổ chức tương
tự ra đời và có các tên gọi đa dạng hơn như trên, với chức
năng, nhiệm vụ của mỗi đội tại mỗi quốc gia có thể có khác
nhau một phần nào đó; tuy nhiên, bản chất của một đội ứng
cứu sự cố máy tính hay sự cố không gian mạng, sự cố thông
tin mạng là không đổi
Khi nói về đội, nhóm này, Liên minh Viễn thông Quốc
tế (ITU), tổ chức quốc tế lớn nhất thế giới về viễn thông và
công nghệ thông tin, dùng cụm từ CIRT ITU đã có chiến dịch
mở rộng thực hiện đánh giá hiện trạng các tổ chức CIRT có
trách nhiệm điều phối quốc gia ở trên 80 nước, hỗ trợ xây dựng CIRT ở 17 nước khác và đã triển khai một loạt dự án hỗ trợ phát triển năng lực cho các tổ chức CIRT này
ITU cũng đã ban hành nhiều tài liệu hướng dẫn, tham khảo cho các quốc gia thành viên trong lĩnh vực ứng cứu sự
cố Hàng năm, ITU ban hành bộ chỉ số về an toàn thông tin
có tên “Global Cybersecurity Index” (GCI) dựa trên khảo sát toàn diện 5 khía cạnh: pháp lý, kỹ thuật, tổ chức, phát triển năng lực và hợp tác Trong đó, tiêu chí về đội ứng cứu sự cố
an toàn thông tin mạng chiếm tỷ trọng lớn của khía cạnh kỹ thuật trong chỉ số đánh giá GCI2
Còn trong bài viết này, đội ứng cứu sự cố nói trên sẽ được gọi bằng từ CSIRT So với CIRT thì CSIRT cũng là từ viết tắt phổ biến hơn
Chưa có con số tổng thể các CSIRT trên toàn cầu; tuy nhiên, có thể nói, hiện nay, tất cả các nước đã có hoạt động đảm bảo an toàn thông tin, tất cả các doanh nghiệp về công nghệ thông tin trên thế giới đều có các đội CERT, CSIRT Chỉ riêng Diễn đàn các trung tâm an ninh và ứng cứu sự cố (FIRST) đã có 612 thành viên từ 99 quốc gia và vùng lãnh thổ3
Các đội ứng cứu sự cố có sứ mệnh từ khi sinh ra là để thực thi các hoạt động hợp tác, phối hợp trong phòng chống các tấn công mạng, để giảm thiểu thiệt hại, giảm thiểu rủi ro và khôi phục nhanh nhất các hoạt động của tổ chức Do vậy, tại các khu vực từ nhỏ đến lớn đều có các mạng lưới liên kết các CERT, CSIRT này
Tại Việt Nam có Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia được thành lập theo Quyết định số 05/2017/QĐ-TTg ngày 16/03/2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia Quyết định này cũng quy định rõ về việc thành lập các đội ứng cứu sự
cố tại các đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng của các tổ chức
Với sự đồng thuận rất cao trên toàn cầu về mục đích, cơ cấu, yêu cầu đối với một đội ứng cứu sự cố nên CSIRT ngày càng xuất hiện nhiều, là một tổ chức kỹ thuật đơn thuần, không phụ thuộc vào bất kể thể chế chính trị nào Cũng vì đặc điểm này, giống như thể thao, CSIRT đạt mức độ toàn cầu hóa rất nhanh, là nơi tin cậy để liên lạc, trao đổi thông tin nhằm xử lý nhanh nhất các sự cố mạng xảy ra trên diện rộng
Mức độ trưởng thành của CSIRT
Trải qua hơn 30 năm phát triển, CSIRT được các chuyên gia trên thế giới chuẩn hóa mô hình Đã có rất nhiều tiêu
2 https://www.itu.int/itu-d/sites/cybersecurity/
Trang 3cứu sự cố an toàn thông tin mạng trên toàn quốc đến năm
2020, định hướng đến năm 20215; và Thông tư số 20/2017/
TT-BTTTT ngày 12/9/2017 quy định về điều phối, ứng cứu
sự cố an toàn thông tin mạng trên toàn quốc là hai văn bản quan trọng đưa ra các định hướng phát triển cho các CSIRT
Hiện tại, các hoạt động để phát triển các CSIRT tập trung vào hoạt động diễn tập, đào tạo là chính
Trước hết, cần có kế hoạch tổng thể về phát triển tổ chức trong ngắn hạn và dài hạn để làm rõ lộ trình phát triển của các CSIRT Hiện nay, có khá nhiều các kế hoạch được đưa
ra nhưng mới chỉ dừng lại ở các kế hoạch triển khai từng nhiệm vụ cụ thể Có thể dựa vào SIM3 để đưa ra kế hoạch tổng thể này và cần sự chung tay của tất cả các cấp lãnh đạo, quan lý, các doanh nghiệp và người dân cùng thống nhất triển khai
Trong lĩnh vực an toàn thông tin, Chính phủ đã có nhiều chỉ đạo cụ thể, có chiến lược triển khai, có các dự án về tuyên truyền nâng cao nhận thức,
về đào tạo nguồn lực an toàn thông tin, về giám sát, cảnh báo
sự cố với một nguồn ngân sách rất lớn Tuy nhiên, đối với riêng các CSIRT, chưa có các dự án cụ thể, chưa có chỉ đạo cụ thể và chưa có nguồn kinh phí riêng cho việc nâng cao năng lực của đội ngũ này
Hợp tác trong nội bộ, hợp tác ngoài ngành, hợp tác khu vực, hợp tác quốc gia và quốc tế là điều kiện cần thiết để phát triển CSIRT Đây cũng là tiêu chí
mà ITU tính điểm để đánh giá chỉ số an toàn thông tin của mỗi quốc gia Vì vậy, hợp tác trong an toàn thông tin, chính
là hợp tác của các CSIRT Phát triển các quan hệ hợp tác này
là định hướng phát triển quan trọng của các đội ứng cứu sự
cố an toàn thông tin mạng
Trong công cuộc chuyển đổi số hiện nay, sự phát triển của chính phủ số, kinh tế số, xã hội số đòi hỏi lực lượng tinh nhuệ về an ninh mạng, an toàn thông tin thì chính các CSIRT là hạt nhân đáp ứng được các yêu cầu này Do vậy, việc thành lập các CSIRT cần được thực hiện song hành với thiết lập các hệ thống công nghệ số An toàn thông tin cần được thực hiện từ khâu thiết kế, thì các CSIRT cần có mặt ngay khi vận hành các trung tâm kỹ thuật
Dự kiến trong năm 2022, Bộ Thông tin và Truyền thông
sẽ ban hành Bộ tiêu chí đánh giá năng lực các CSIRT Trên
cơ sở đó, tất cả các CSIRT trên toàn quốc có thể sử dụng bộ tiêu chí để rà soát lại hiện trạng tổ chức mình và đưa ra các lời giải cho bài toán thiếu hụt nhân sự, công cụ, quy trình của đơn vị Qua đó, các cấp quản lý, các nhà lãnh đạo sẽ sâu sát hơn trong chỉ đạo điều hành và đưa ra được các chính sách phù hợp để thúc đẩy sự phát triển của mạng lưới các CSIRT này
Việc xây dựng và phát triển các CSIRT tại mỗi đơn vị, mỗi địa phương cần có các chính sách khuyến khích, hỗ trợ, cần sự hướng dẫn của các đơn vị chuyên môn của Chính phủ Có thể coi mỗi CSIRT như một Ban chỉ huy quân sự của địa phương hay của tổ chức Mạng lưới Ban chỉ huy quân
sự này càng lớn mạnh thì việc đảm bảo an ninh trên không gian mạng cho người dân càng được thực hiện tốt Do an
ninh mạng, an toàn thông tin
là lĩnh vực chuyên sâu, đòi hỏi chuyên môn nghiệp vụ đặc biệt, nên CSIRT càng cần được chú trọng đầu tư để phát triển và gánh vác trách nhiệm giúp đỡ cộng đồng
Bộ Nội vụ cần đưa ra biểu biên chế chính thức cho CSIRT tại các cơ quan nhà nước từ Trung ương đến địa phương Các doanh nghiệp công nghệ, các doanh nghiệp kinh doanh tham gia chuyển đổi số mạnh
mẽ cũng cần có các CSIRT của riêng mình Bộ Thông tin và Truyền thông cần tuyên truyền nâng cao nhận thức của cộng đồng và hỗ trợ các tổ chức việc thành lập và phát triển các CSIRT
Vai trò của đội ứng cứu sự cố an toàn thông tin mạng sẽ dần dần được nhận thức sâu sắc hơn tại Việt Nam Trên thế giới, trong các chiến lược an toàn mạng của tất cả các nước phát triển nhất, vai trò này luôn được nhấn mạnh hàng đầu
và được giao các trọng trách đặc biệt Mọi liên minh, hiệp hội quốc tế liên quan công nghệ thông tin cũng dành những phần nội dung lớn cho các thảo luận chuyên đề về vị trí, trách nhiệm của CSIRT trong xây dựng một tương lai thịnh vượng cho toàn cầu
Để bắt đầu sự lớn mạnh của ngành an toàn thông tin,
để xây dựng một Việt Nam hùng cường về an ninh mạng, hãy khởi động sự lớn mạnh từ những đội ứng cứu sự cố nhỏ nhất, từ những CSIRT!nC
xảy ra, CSIRT cũng không hoàn thành được trách nhiệm mà cần phải có sự hỗ trợ từ các cấp trung ương và từ các doanh nghiệp bên ngoài
Tại Hội thảo có tên “Cải thiện năng lực phòng thủ thông qua hoạt động diễn tập thực chiến ATTT”
được tổ chức ngày 03/3/2022 tại Đà Nẵng cho khu vực miền Trung và Tây Nguyên, hầu hết lãnh đạo các Sở Thông tin và Truyền thông đều nêu ra khó khăn này
Việc tuyển dụng được nhân sự có trình
độ công nghệ thông tin khá giỏi đã rất khó, tuyển dụng được các kỹ sư có chứng chỉ về an toàn thông tin lại càng
vô cùng khó Ngoài ra, việc giữ chân các nhân sự này luôn là một thách thức Ý thức về tầm quan trọng của lực lượng tại chỗ, phần lớn các Lãnh đạo Sở đều đề xuất phải tổ chức đào tạo chuyên ngành cho các lực lượng địa phương, có kinh phí mua sắm các công cụ công nghệ và có các định mức chi cho an toàn thông tin để làm căn cứ triển khai các hoạt động
Việc hợp tác giữa các chuyên gia kỹ thuật cũng là mong muốn của tất cả các đơn vị Khi có các tấn công mạng xảy ra, xuất hiện các sự cố an toàn thông tin thì mạng lưới này là nơi
để các kỹ thuật viên chia sẻ thông tin, kinh nghiệm, tư vấn,
hỗ trợ lẫn nhau để khắc phục Hiện nay, hoạt động này cũng chưa thực sự hiệu quả do một số tâm lý e ngại cá nhân trong giao tiếp cũng như do bối cảnh, môi trường chưa thuận lợi cho việc thúc đẩy các quan hệ kết nối này
Khuyến nghị định hướng phát triển các CSIRT tại Việt Nam
Quyết định số 1622/QĐ-TTg ngày 25/10/2017 phê duyệt đề
án đẩy mạnh hoạt động của Mạng lưới ứng cứu sự cố, tăng cường năng lực cho các cán bộ, bộ phận chuyên trách ứng
Mục tiêu của nhóm ứng phó sự cố là điều phối và sắp xếp các nguồn lực chính và các thành viên trong nhóm trong khi xảy ra sự cố an ninh mạng
để giảm thiểu tác động và khôi phục hoạt động nhanh nhất có thể Điều này bao gồm các chức năng quan trọng sau: điều tra và phân tích, truyền thông, đào tạo và nâng cao nhận thức cũng như phát triển tài liệu và dòng thời gian.