Thừa nhận rằng bạn có vấn đề là bước đầu tiên để giải quyết vấn đề một cách nghiêm túc. Đây dường như là lý do để Nhà Trắng mới đây đã công bố sáng kiến ”Tăng cường an ninh mạng của nước Mỹ”.
Nội dung của thông báo bao gồm một số tuyên bố mà bất kỳ ai đã từng đọc về an ninh mạng sẽ nghe nhiều lần: tăng khả năng phục hồi, nhận thức tốt hơn, chống lại các cuộc tấn công ransomware – danh sách tiếp tục.
Có một số khía cạnh mới trong văn bản, bao gồm nhận thức rằng an ninh mạng không phải là, chưa bao giờ và sẽ không bao giờ là điều gì đó có thể được giải quyết ở cấp quốc gia.
Nhà Trắng cũng chỉ ra các nhãn cảnh báo IoT như một giải pháp – và nhắc nhở tất cả chúng ta (và chúng ta cần nhắc nhở) về tầm quan trọng của giáo dục an ninh mạng. Chúng ta hãy xem xét.
Hợp tác quốc tế là rất quan trọng
Một điểm mấu chốt mà tuyên bố của Nhà Trắng nêu rất rõ ràng là các cuộc tấn công mạng không đối xứng theo nghĩa là các tác nhân đe dọa có thể hoạt động xuyên biên giới mà không bị trừng phạt. Trong khi đó, những người bào chữa thường sẽ bị hạn chế bởi các yêu cầu pháp lý không cho phép các phản ứng tương xứng.
Những kẻ tấn công cảm thấy có cảm giác được bảo vệ vì chúng được hưởng các biện pháp quản lý và thực thi nhẹ hơn tại nhà, trong khi chúng có thể nhắm mục tiêu vào các hệ thống hoạt động hầu như ở bất kỳ đâu trên hành tinh – bất kể luật được thực thi mạnh mẽ như thế nào tại quốc gia cư trú của mục tiêu.
Chừng nào vấn đề không được giải quyết ở cấp độ quốc tế, thì bất kỳ giải pháp nào được tìm thấy sẽ không thể tốt hơn các giải pháp hỗ trợ băng tần. Trong nhiều trường hợp, sáng kiến của Nhà Trắng khẳng định một cách chính xác rằng các đối tác và tổ chức quốc tế như NATO sẽ đóng một vai trò quyết định trong không gian an ninh mạng.
Đây không phải là một giải pháp lý tưởng. Đúng vậy, các đối tác quốc tế làm việc cùng nhau mở rộng bối cảnh quốc phòng đến một quy mô gần giống với quy mô của vấn đề. Tuy nhiên, đây vẫn là giải pháp chắp vá, hiệu quả hạn chế.
Những gì chúng ta cần là một cái gì đó giống như một hiệp ước toàn cầu thực thi luật an ninh mạng. Chẳng hạn, hãy nghĩ về tác động của luật hàng hải quốc tế.
Tuy nhiên, chia sẻ thông tin về các tác nhân đe dọa, phương pháp luận và kỹ thuật mới chắc chắn là lợi ích tốt nhất của mọi người và nếu được thiết lập đầy đủ, sẽ cho phép phản ứng nhanh hơn với các mối đe dọa mới.
Giáo dục an ninh mạng tiếp tục quan trọng
Một khía cạnh thú vị khác của sáng kiến Tăng cường An ninh mạng của Mỹ là tập trung vào việc thúc đẩy giáo dục an ninh mạng. Khi chúng tôi thường xuyên nhận thức rõ ràng và đau đớn, an ninh mạng trước hết là vấn đề của con người chứ không phải là vấn đề công nghệ.
Tăng cường hiểu biết về an ninh mạng và dạy mọi người những kiến thức cơ bản về cách ứng xử an toàn trực tuyến ở tất cả các giai đoạn của đời sống riêng tư và kinh doanh sẽ có tác động kép cả trong việc giảm thiểu rủi ro và giảm tác động của bất kỳ sự cố nào chắc chắn vẫn sẽ xảy ra.
Lấy ví dụ như Sáng kiến Quốc gia về Giáo dục An ninh Mạng (NICE) do NIST hỗ trợ. Với một khuôn khổ chính thức, các sự kiện thường xuyên và cập nhật bản tin, nó thực hiện một nỗ lực mạnh mẽ. Tất nhiên, không có giải pháp nào là hoàn hảo, nhưng tác động tích lũy của mọi sáng kiến sẽ tạo nên sự khác biệt.
Điều gì về nhãn rủi ro cho các thiết bị IoT?
Có một cuộc tranh luận sôi nổi xung quanh một sơ đồ nhãn rủi ro mới cho các thiết bị IoT. Nhãn an toàn mạng dành cho người tiêu dùng nhằm mục đích hoạt động như một lộ trình để tiết lộ, tương tự như cách nhãn thực phẩm liệt kê các thành phần và điểm dinh dưỡng.
Tuy nhiên, bồi thẩm đoàn vẫn chưa biết nhãn an ninh mạng dành cho người tiêu dùng sẽ hiệu quả như thế nào. Các lỗ hổng bảo mật mới xuất hiện liên tục, vì vậy độ chính xác của một nhãn được in cách đây nửa năm sẽ chính xác đến mức nào khi một thiết bị được lên kệ tại Best Buy là điều còn nhiều tranh cãi.
Ngoài ra, nếu không có sự hỗ trợ đầy đủ từ quốc tế, sáng kiến ghi nhãn có thể sẽ dẫn đến phân mảnh, giống như GDPR đã làm – vì một số trang web hiện chọn đơn giản là chặn tất cả khách truy cập từ các khu vực được bao phủ bởi GDPR thay vì cố gắng tuân thủ các yêu cầu của GDPR.
Cũng có một mối lo ngại rằng một nhãn có thể chỉ đơn giản là một thực đơn “gọi món” cho những kẻ tấn công. Nếu một nhãn chỉ định rõ ràng tất cả các biện pháp an ninh mạng mà một thiết bị có, điều đó chỉ giúp kẻ tấn công dễ dàng hơn vì họ có thể tiết kiệm thời gian bằng cách bỏ qua các chiến lược tấn công rõ ràng sẽ không hoạt động.
Đó là một quá trình từng bước
Nhãn an ninh mạng dành cho người tiêu dùng là một bước đi đúng hướng trong bối cảnh thường khó đạt được bất kỳ tiến bộ nào. Nếu được triển khai đúng cách, các nhãn an ninh mạng của người tiêu dùng có thể dẫn đến cải thiện tổng thể các điều kiện bảo mật trên Internet và các loại mạng của nó. Điều tương tự cũng xảy ra đối với số lượng ngày càng tăng của các sáng kiến giáo dục an ninh mạng.
Tuy nhiên, như họ nói, ma quỷ đang ở trong các chi tiết, và những điều đó vẫn còn phải được công bố. Điểm mấu chốt là chính phủ Hoa Kỳ đang thực hiện ít nhất một số nỗ lực để giúp các công dân và doanh nghiệp của nước này đối phó với cuộc khủng hoảng an ninh mạng.
Nó sẽ là đủ? Có lẽ là không, nhưng một số chuyển động sẽ tốt hơn là không có chuyển động nào cả.
Bài báo này được viết và tài trợ bởi TuxCare, công ty hàng đầu trong ngành tự động hóa linux cấp doanh nghiệp. TuxCare cung cấp mức độ hiệu quả vô song cho các nhà phát triển, nhà quản lý bảo mật CNTT và quản trị viên máy chủ Linux đang tìm cách nâng cao và đơn giản hóa các hoạt động an ninh mạng của họ một cách hợp lý. Bản vá bảo mật trực tiếp nhân Linux của TuxCare và các dịch vụ hỗ trợ tiêu chuẩn và nâng cao hỗ trợ bảo mật và hỗ trợ hơn một triệu khối lượng công việc sản xuất. Để duy trì kết nối với TuxCare, hãy theo dõi chúng tôi trên LinkedIn, Twitter, Facebook và YouTube.
