AN TỒN THƠNG TIN ĐỘI ỨNG CỨU SỰ CỐ VAI TRỊ QUAN TRỌNG TRONG ĐẢM BẢO AN TỒN THƠNG TIN MẠNG BÙI THANH HÀ Hơn ba mươi năm trước, việc đảm bảo an tồn thơng tin dựa chủ yếu vào nhân kỹ thuật riêng lẻ Đến năm 1990, công ty bắt đầu thành lập Trung tâm điều hành an ninh (Security Operation Center- SOC) để tập trung nhân công cụ bảo mật thành lực lượng chuyên trách Tuy nhiên, công mạng ngày gia tăng, cố an ninh mạng ngày phức tạp, SOC trở thành chưa đủ Họ cần làm để phản ứng chủ động trước mối đe dọa công mạng Số - Tháng 3/2022 76 77 Số - Tháng 3/2022 AN TỒN THƠNG TIN T đó, đội ứng cứu cố máy tính, cố an tồn thông tin mạng bắt đầu đời, trở thành lực lượng chuyên nghiệp đảm bảo an tồn thơng tin mạng Đó nhóm chun gia bảo mật chịu trách nhiệm tiếp nhận, phân tích ứng phó với cố bảo mật Các nhóm trực thuộc vào SOC khơng Các đội hoạt động độc lập, tổ chức thức đội đặc nhiệm đặc biệt CERT/CSIRT đội đặc nhiệm thầm lặng Đội (hoặc nhóm, trung tâm, tổ chức…) ứng cứu cố an tồn thơng tin mạng, hay ứng cứu cố máy tính, hay ứng cứu khẩn cấp máy tính có tên gọi từ nguồn gốc tiếng Anh Computer Emergency Response Team (CERT) Cyber Security Incident Response Team (CSIRT), IRT (Incident Response Team); CIRT (Computer Incident Response Team); SERT (Security Emergency Response Team) Đây lực lượng có đối tượng phục vụ rõ ràng: khách hàng, đối tác, cá nhân, tổ chức mà đội có trách nhiệm phải hỗ trợ để giúp phòng ngừa công mạng xử lý cố an tồn thơng tin mạng Các hoạt động mà đội cung cấp cho đối tượng phục vụ gọi “dịch vụ” (service) Các dịch vụ đa dạng, theo ENISA (Cơ quan An tồn thơng tin Liên minh châu Âu), chia làm nhóm chính: dịch vụ ứng cứu, dịch vụ dự phòng chủ động dịch vụ quản lý chất lượng1 Đội ứng cứu cố an tồn thơng tin mạng giới thành lập năm 1988 Trường Đại học Carnegie Mellon, Hoa Kỳ có tên Trung tâm Ứng cứu khẩn cấp máy tính (CERT), sau Trung tâm điều phối Ứng cứu khẩn cấp máy tính (CERT/CC) Và Việt Nam, đội ứng cứu Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thành lập năm 2005 đến đổi tên thành Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) Theo thời gian, đội, nhóm, trung tâm, tổ chức tương tự đời có tên gọi đa dạng trên, với chức năng, nhiệm vụ đội quốc gia có khác phần đó; nhiên, chất đội ứng cứu cố máy tính hay cố không gian mạng, cố thông tin mạng khơng đổi Khi nói đội, nhóm này, Liên minh Viễn thông Quốc tế (ITU), tổ chức quốc tế lớn giới viễn thông công nghệ thông tin, dùng cụm từ CIRT ITU có chiến dịch mở rộng thực đánh giá trạng tổ chức CIRT có https://www.enisa.europa.eu/topics/csirt-cert-services Số - Tháng 3/2022 trách nhiệm điều phối quốc gia 80 nước, hỗ trợ xây dựng CIRT 17 nước khác triển khai loạt dự án hỗ trợ phát triển lực cho tổ chức CIRT ITU ban hành nhiều tài liệu hướng dẫn, tham khảo cho quốc gia thành viên lĩnh vực ứng cứu cố Hàng năm, ITU ban hành số an tồn thơng tin có tên “Global Cybersecurity Index” (GCI) dựa khảo sát toàn diện khía cạnh: pháp lý, kỹ thuật, tổ chức, phát triển lực hợp tác Trong đó, tiêu chí đội ứng cứu cố an tồn thơng tin mạng chiếm tỷ trọng lớn khía cạnh kỹ thuật số đánh giá GCI2 Còn viết này, đội ứng cứu cố nói gọi từ CSIRT So với CIRT CSIRT từ viết tắt phổ biến Chưa có số tổng thể CSIRT tồn cầu; nhiên, nói, nay, tất nước có hoạt động đảm bảo an tồn thơng tin, tất doanh nghiệp công nghệ thông tin giới có đội CERT, CSIRT Chỉ riêng Diễn đàn trung tâm an ninh ứng cứu cố (FIRST) có 612 thành viên từ 99 quốc gia vùng lãnh thổ3 Các đội ứng cứu cố có sứ mệnh từ sinh để thực thi hoạt động hợp tác, phối hợp phịng chống cơng mạng, để giảm thiểu thiệt hại, giảm thiểu rủi ro khôi phục nhanh hoạt động tổ chức Do vậy, khu vực từ nhỏ đến lớn có mạng lưới liên kết CERT, CSIRT Tại Việt Nam có Mạng lưới ứng cứu cố an tồn thơng tin mạng quốc gia thành lập theo Quyết định số 05/2017/QĐ-TTg ngày 16/03/2017 Thủ tướng Chính phủ ban hành quy định hệ thống phương án ứng cứu khẩn cấp bảo đảm an tồn thơng tin mạng quốc gia Quyết định quy định rõ việc thành lập đội ứng cứu cố đơn vị chuyên trách ứng cứu cố an tồn thơng tin mạng tổ chức Với đồng thuận cao tồn cầu mục đích, cấu, yêu cầu đội ứng cứu cố nên CSIRT ngày xuất nhiều, tổ chức kỹ thuật đơn thuần, không phụ thuộc vào thể chế trị Cũng đặc điểm này, giống thể thao, CSIRT đạt mức độ tồn cầu hóa nhanh, nơi tin cậy để liên lạc, trao đổi thông tin nhằm xử lý nhanh cố mạng xảy diện rộng Mức độ trưởng thành CSIRT Trải qua 30 năm phát triển, CSIRT chuyên gia giới chuẩn hóa mơ hình Đã có nhiều tiêu chuẩn đưa để đối chiếu, so sánh đánh giá nhằm giúp CSIRT có định hướng, kế hoạch, chiến lược phát triển phù hợp Mơ hình phổ biến có tên “Security Incident Management Maturity Model” (SIM3)Mơ hình đánh giá mức độ trưởng thành quản lý cố an tồn thơng tin4 SIM3 phù hợp cho đánh giá CSIRT điều phối quốc gia Tuy nhiên, tổ chức CSIRT dù có trách nhiệm cấp độ phải đạt yêu cầu trụ cột để hồn thành nhiệm vụ Do vậy, dùng SIM3 để đánh giá tất CSIRT, thay đổi thang điểm đánh giá để linh hoạt với mức độ quan trọng yếu tố đội ứng cứu cố khác nhóm trụ cột là: tổ chức, người, cơng cụ, quy trình Tiêu chí tổ chức: Đây tiêu chí để có CSIRT thành cơng Khi đội, nhóm hình thành có vị trí, chức năng, nhiệm vụ cụ thể, có điều lệ hoạt động, cấu tổ chức rõ ràng sở cho gắn kết tổ chức Các quy định liên quan trách nhiệm quyền hạn đội đảm bảo đội hoạt động định hướng để đạt mục tiêu đề CSIRT đội ngũ gắn liền với cố an tồn thơng tin, cơng mạng, lỗ hổng phần mềm… đó, việc phân loại cố, bảo mật thơng tin, có chế phối hợp CSIRT yếu tố tiên để xây dựng tổ chức phát triển Tiêu chí người: Tài sản quan trọng đội ngũ thành viên đội ngũ CSIRT có đặc thù riêng, không làm việc theo tiêu chuẩn dây chuyền cứng nhắc nhà máy Công việc đội ứng cứu cố có chun mơn cao, thực môi trường thử thách thường xuyên chịu áp lực thời gian Do đó, tuyển dụng nhân phù hợp, thực đào tạo giữ chân nhân tài số năm để đạt hiệu tối đa điều quan trọng cho thành công CSIRT Nhân làm việc CSIRT cần tuân thủ quy tắc ứng xử chuẩn mực, có cam kết đạo đức nghề nghiệp An tồn thơng tin lĩnh vực thuộc an ninh, bảo vệ tài sản thơng tin có ranh giới chấp hành vi phạm pháp luật dễ bị phá vỡ Người làm lĩnh vực phải ý thức tự tu dưỡng thân để đảm bảo cam kết bảo vệ quyền lợi khách hàng, đối tác mà họ phục vụ Trong đánh giá lực mức độ trưởng thành CSIRT, khả dự phịng nhân chủ chốt tính yếu tố bắt buộc Một CSIRT cần ít nhất 3 thành viên Khi đội có người nghỉ phép, có người bị ốm https://www.itu.int/itu-d/sites/cybersecurity/ https://www.first.org/ 78 https://www.trusted-introducer.org có thành viên bao quát nhiệm vụ CSIRT Các nhân tuyển dụng vào CSIRT cần có trình độ kỹ theo quy định, phù hợp vị trí, việc làm, chức danh cần có Ngồi ra, q trình hoạt động, CSIRT thực đào tạo liên tục đội ngũ mình: từ đào tạo nội bộ, đến cho tham dự khóa học bên ngồi tổ chức; từ đào tạo kỹ thuật đến đào tạo giao tiếp, truyền thông Tiêu chí cơng cụ: Trong lĩnh vực an tồn thơng tin, khơng có cơng cụ thích hợp, CSIRT khơng thể hồn thành nhiệm vụ Đặc biệt số lượng cố tăng lên, công cụ, đặc biệt cơng cụ xử lý tự động đóng vai trị xử lý vấn đề Các cơng cụ mà CSIRT cần có là: danh sách tài nguyên CNTT, hệ thống thư điện tử hợp nhất, hệ thống điện thoại, hệ thống theo dõi cố, xử lý cố Tiêu chí quy trình: Đó sách, kế hoạch, quy trình, hướng dẫn cho hoạt động CSIRT, viết theo cách ngắn gọn đơn giản, đồng thời dễ sử dụng Nhiều CSIRT đưa quy trình lên trang wiki nội bộ, thành viên đội thể dễ dàng truy cập Một số quy trình tiêu biểu: quy trình phát mối đe dọa cố, quy trình xử lý cố, quy trình xử lý thơng tin, quy trình cung cấp thơng tin cho báo chí, truyền thơng, cung cấp cho bên pháp lý, quy trình bảo mật nội Hiện trạng CSIRT Việt Nam Hành lang pháp lý Việt Nam xây dựng đầy đủ để thúc đẩy việc thành lập phát triển đội CSIRT Đối với quan nhà nước nhiệm vụ bắt buộc Hiện nước có khoảng gần 300 tổ chức có đội ứng cứu cố trực thuộc Bộ, quan ngang Bộ, quan trực thuộc Trung ương, tỉnh, thành phố, doanh nghiệp, tổ chức Phần lớn CSIRT tham gia Mạng lưới ứng cứu cố an tồn thơng tin mạng quốc gia thành lập theo Quyết định 05/2017/QĐ-TTg ngày 16/3/2017 nói Trong thực tế, nhiều CSIRT tổ chức mạnh, hoạt động bản, CSIRT từ số tập đồn cơng nghệ thơng tin lớn, công ty chuyên an ninh, bảo mật Nhưng phần lớn, lực lượng địa phương kiêm nhiệm thiếu trình độ, kỹ chuyên sâu để làm tốt vai trị Một tổ chức CSIRT trưởng thành cần hoàn thiện bốn khía cạnh tổ chức, người, cơng cụ, quy trình Thì Việt Nam, CSIRT đạt điều Phần lớn CSIRT trạng thái bị động, hoàn thành yêu cầu tối thiểu đề nghị Trong nhiều trường hợp, cố 79 Số - Tháng 3/2022 AN TỒN THƠNG TIN xảy ra, CSIRT khơng hồn thành trách nhiệm mà cần phải có hỗ trợ từ cấp trung ương từ doanh nghiệp bên Tại Hội thảo có tên “Cải thiện lực phịng thủ thông qua hoạt động diễn tập thực chiến ATTT” tổ chức ngày 03/3/2022 Đà Nẵng cho khu vực miền Trung Tây Nguyên, hầu hết lãnh đạo Sở Thơng tin Truyền thơng nêu khó khăn Việc tuyển dụng nhân có trình độ cơng nghệ thơng tin giỏi khó, tuyển dụng kỹ sư có chứng an tồn thơng tin lại vơ khó Ngồi ra, việc giữ chân nhân thách thức Ý thức tầm quan trọng lực lượng chỗ, phần lớn Lãnh đạo Sở đề xuất phải tổ chức đào tạo chuyên ngành cho lực lượng địa phương, có kinh phí mua sắm cơng cụ cơng nghệ có định mức chi cho an tồn thơng tin để làm triển khai hoạt động Việc hợp tác chuyên gia kỹ thuật mong muốn tất đơn vị Khi có cơng mạng xảy ra, xuất cố an toàn thơng tin mạng lưới nơi để kỹ thuật viên chia sẻ thông tin, kinh nghiệm, tư vấn, hỗ trợ lẫn để khắc phục Hiện nay, hoạt động chưa thực hiệu số tâm lý e ngại cá nhân giao tiếp bối cảnh, môi trường chưa thuận lợi cho việc thúc đẩy quan hệ kết nối Khuyến nghị định hướng phát triển CSIRT Việt Nam Quyết định số 1622/QĐ-TTg ngày 25/10/2017 phê duyệt đề án đẩy mạnh hoạt động Mạng lưới ứng cứu cố, tăng cường lực cho cán bộ, phận chuyên trách ứng Số - Tháng 3/2022 80 cứu cố an tồn thơng tin mạng tồn quốc đến năm sở đó, tất CSIRT tồn quốc sử dụng 2020, định hướng đến năm 20215; Thông tư số 20/2017/ tiêu chí để rà sốt lại trạng tổ chức đưa TT-BTTTT ngày 12/9/2017 quy định điều phối, ứng cứu lời giải cho tốn thiếu hụt nhân sự, cơng cụ, quy trình cố an tồn thơng tin mạng tồn quốc hai văn đơn vị Qua đó, cấp quản lý, nhà lãnh đạo sâu quan trọng đưa định hướng phát triển cho CSIRT sát đạo điều hành đưa Hiện tại, hoạt động để phát triển CSIRT tập trung sách phù hợp để thúc đẩy phát triển mạng lưới vào hoạt động diễn tập, đào tạo CSIRT Trước hết, cần có kế hoạch tổng thể phát triển tổ chức Việc xây dựng phát triển CSIRT đơn vị, ngắn hạn dài hạn để làm rõ lộ trình phát triển địa phương cần có sách khuyến khích, hỗ trợ, CSIRT Hiện nay, có nhiều kế hoạch đưa cần hướng dẫn đơn vị chun mơn Chính dừng lại kế hoạch triển khai phủ Có thể coi CSIRT Ban huy quân nhiệm vụ cụ thể Có thể dựa vào SIM3 để đưa kế hoạch địa phương hay tổ chức Mạng lưới Ban huy quân tổng thể cần chung tay tất cấp lãnh lớn mạnh việc đảm bảo an ninh không đạo, quan lý, doanh nghiệp người dân thống gian mạng cho người dân thực tốt Do an triển khai ninh mạng, an tồn thơng tin Trong lĩnh vực an tồn thơng lĩnh vực chun sâu, địi hỏi Mục tiêu nhóm ứng phó cố tin, Chính phủ có nhiều chun mơn nghiệp vụ đặc biệt, đạo cụ thể, có chiến lược triển nên CSIRT cần điều phối xếp nguồn lực khai, có dự án tuyên trọng đầu tư để phát triển và thành viên nhóm truyền nâng cao nhận thức, gánh vác trách nhiệm giúp đỡ xảy cố an ninh mạng đào tạo nguồn lực an toàn cộng đồng để giảm thiểu tác động khôi phục thông tin, giám sát, cảnh báo Bộ Nội vụ cần đưa biểu hoạt động nhanh Điều cố với nguồn ngân sách biên chế thức cho CSIRT bao gồm chức quan lớn Tuy nhiên, riêng quan nhà nước từ trọng sau: điều tra phân tích, CSIRT, chưa có dự án cụ Trung ương đến địa phương thể, chưa có đạo cụ thể Các doanh nghiệp công nghệ, truyền thông, đào tạo nâng cao chưa có nguồn kinh phí riêng doanh nghiệp kinh doanh nhận thức phát triển tài cho việc nâng cao lực tham gia chuyển đổi số mạnh liệu dòng thời gian đội ngũ mẽ cần có CSIRT Hợp tác nội bộ, hợp tác riêng Bộ Thơng tin ngồi ngành, hợp tác khu vực, hợp tác quốc gia quốc tế Truyền thông cần tuyên truyền nâng cao nhận thức điều kiện cần thiết để phát triển CSIRT Đây tiêu chí cộng đồng hỗ trợ tổ chức việc thành lập phát mà ITU tính điểm để đánh giá số an tồn thơng tin triển CSIRT quốc gia Vì vậy, hợp tác an tồn thơng tin, Vai trị đội ứng cứu cố an tồn thơng tin mạng hợp tác CSIRT Phát triển quan hệ hợp tác nhận thức sâu sắc Việt Nam Trên định hướng phát triển quan trọng đội ứng cứu giới, chiến lược an toàn mạng tất nước cố an tồn thơng tin mạng phát triển nhất, vai trị ln nhấn mạnh hàng đầu Trong công chuyển đổi số nay, phát triển giao trọng trách đặc biệt Mọi liên minh, hiệp phủ số, kinh tế số, xã hội số đòi hỏi lực lượng hội quốc tế liên quan công nghệ thông tin dành tinh nhuệ an ninh mạng, an tồn thơng tin phần nội dung lớn cho thảo luận chuyên đề vị trí, CSIRT hạt nhân đáp ứng yêu cầu Do vậy, trách nhiệm CSIRT xây dựng tương lai thịnh việc thành lập CSIRT cần thực song hành với vượng cho tồn cầu thiết lập hệ thống cơng nghệ số An tồn thơng tin cần Để bắt đầu lớn mạnh ngành an tồn thơng tin, thực từ khâu thiết kế, CSIRT cần có mặt để xây dựng Việt Nam hùng cường an ninh mạng, vận hành trung tâm kỹ thuật khởi động lớn mạnh từ đội ứng cứu cố nhỏ Dự kiến năm 2022, Bộ Thông tin Truyền thông nhất, từ CSIRT!n ban hành Bộ tiêu chí đánh giá lực CSIRT Trên C 81 Số - Tháng 3/2022 ... thống phương án ứng cứu khẩn cấp bảo đảm an tồn thơng tin mạng quốc gia Quyết định quy định rõ việc thành lập đội ứng cứu cố đơn vị chuyên trách ứng cứu cố an toàn thông tin mạng tổ chức Với.. .AN TỒN THƠNG TIN T đó, đội ứng cứu cố máy tính, cố an tồn thơng tin mạng bắt đầu đời, trở thành lực lượng chuyên nghiệp đảm bảo an toàn thơng tin mạng Đó nhóm chun gia bảo mật chịu... chức có đội ứng cứu cố trực thuộc Bộ, quan ngang Bộ, quan trực thuộc Trung ương, tỉnh, thành phố, doanh nghiệp, tổ chức Phần lớn CSIRT tham gia Mạng lưới ứng cứu cố an tồn thơng tin mạng quốc