Tưởng tượng nếu một ngày nào đó, các hệ thống điện, nước, viễn thông của một quốc gia hoàn toàn bị cắt đứt khỏi thế giới bên ngoài và phải tự chiến đấu với các cuộc tấn công mạng liên tục trong hàng tuần, thậm chí hàng tháng. Cơ quan An ninh Hạ tầng và Mạng Mỹ (CISA) vừa ra mắt chương trình CI Fortify với đúng kịch bản đáng sợ như vậy. Đây không phải diễn tập hay lý thuyết suông, mà là lệnh khẩn cấp yêu cầu các nhà điều hành hạ tầng quan trọng chuẩn bị ngay lập tức cho một cuộc chiến mạng mang tính địa chính trị chưa từng có. Sự xuất hiện của CI Fortify đánh dấu bước ngoặt trong tư duy bảo vệ hạ tầng: từ phòng thủ thụ động chuyển sang khả năng sinh tồn độc lập.

Khi 'pháo đài số' trở thành chiến lược quốc gia

CI Fortify (Critical Infrastructure Fortify) là chương trình toàn diện nhằm biến các hệ thống OT (Operational Technology - công nghệ vận hành) của hạ tầng quan trọng thành những 'pháo đài số' có thể tự cung tự cấp. CISA đã phát hành bộ hướng dẫn chi tiết yêu cầu các nhà điều hành xây dựng môi trường OT có khả năng phục hồi cao, có thể hoạt động bình thường ngay cả khi bị cô lập hoàn toàn khỏi internet và các mạng bên ngoài trong thời gian dài. Điều đáng chú ý nhất là CISA lần đầu tiên công khai thừa nhận rằng các hệ thống này phải được thiết kế với giả định sẽ bị xâm nhập và phải tiếp tục hoạt động ngay cả khi một phần hệ thống đã bị đối thủ kiểm soát.

Chúng tôi cho rằng đây là sự thay đổi tư duy căn bản trong chiến lược an ninh mạng quốc gia Mỹ. Thay vì tập trung vào việc ngăn chặn tấn công, CI Fortify hướng tới việc đảm bảo hoạt động liên tục ngay cả trong điều kiện bị tấn công và cô lập. Điều này phản ánh nhận định của Washington rằng một cuộc xung đột mạng quy mô lớn không còn là khả năng xa vời mà có thể xảy ra bất cứ lúc nào. Bằng chứng là CISA đã sử dụng từ 'geopolitical cyber conflict' (xung đột mạng địa chính trị) - một thuật ngữ thường chỉ xuất hiện trong các kịch bản chiến tranh lai.

Công nghệ vận hành - điểm yếu chết người của hạ tầng

OT là hệ thống công nghệ kiểm soát trực tiếp các thiết bị vật lý như tua-bin điện, máy bơm nước, hệ thống điều khiển giao thông hay dây chuyền sản xuất. Khác với IT (Information Technology - công nghệ thông tin) thông thường, OT được thiết kế ưu tiên tính ổn định và hoạt động liên tục hơn là bảo mật. Đây chính là lý do tại sao các hệ thống OT trở thành mục tiêu ưa thích của các nhóm tấn công có sự bảo trợ của nhà nước (state-sponsored). Từ vụ tấn công Stuxnet năm 2010 nhắm vào các máy ly tâm hạt nhân Iran, đến vụ tấn công mạng điện Ukraine năm 2015 và 2016, thế giới đã chứng kiến sức tàn phá khủng khiếp khi OT bị thâm nhập.

Theo thống kê từ Dragos, một công ty chuyên về an ninh OT, số lượng nhóm tấn công chuyên nhắm vào hạ tầng quan trọng đã tăng từ 7 nhóm năm 2017 lên 15 nhóm năm 2023. Đáng báo động hơn, thời gian trung bình để phát hiện một cuộc tấn công vào hệ thống OT là 287 ngày - đủ thời gian để kẻ tấn công thiết lập căn cứ vững chắc và chuẩn bị cho những đòn phá hoại có tính chất chiến lược. Chúng tôi nhận định rằng việc CISA yêu cầu các hệ thống phải hoạt động ngay cả khi 'bị xâm nhập' thể hiện sự thực tế đau đớn: trong thời đại chiến tranh lai, việc ngăn chặn 100% các cuộc tấn công là bất khả thi.

Từ điện lực đến ngân hàng - ai sẽ chịu tác động?

CI Fortify nhắm vào 16 lĩnh vực hạ tầng quan trọng theo định nghĩa của Bộ An ninh Nội địa Mỹ, bao gồm điện lực, nước, viễn thông, giao thông, y tế, tài chính ngân hàng, và sản xuất hóa chất. Riêng ngành điện lực Mỹ với hơn 3.300 nhà cung cấp điện sẽ phải đầu tư hàng tỷ đô la để nâng cấp hệ thống theo yêu cầu mới. Các ngân hàng lớn như JPMorgan Chase, Bank of America cũng sẽ phải thiết kế lại hệ thống giao dịch để đảm bảo hoạt động ngay cả khi bị cắt kết nối internet hoặc bị tấn công có chủ đích. Tác động lan tỏa sẽ kéo theo cả các đối tác quốc tế, bao gồm nhiều doanh nghiệp Việt Nam có quan hệ kinh doanh với Mỹ.

Đối với Việt Nam, mặc dù không thuộc phạm vi trực tiếp của CI Fortify, nhưng các doanh nghiệp trong nước cần đặc biệt chú ý nếu có quan hệ đối tác với các tập đoàn Mỹ trong 16 lĩnh vực nói trên. Theo báo cáo của Trung tâm Giám sát An toàn Không gian mạng quốc gia (NCSC), Việt Nam ghi nhận trung bình 8.000 cuộc tấn công mạng mỗi ngày trong năm 2023, tăng 15% so với năm trước. Đặc biệt, các cuộc tấn công nhắm vào hạ tầng quan trọng như điện lực EVN, ngân hàng BIDV, Vietcombank đã xuất hiện với tần suất dày đặc hơn, cho thấy Việt Nam cũng đang trở thành mục tiêu của chiến tranh mạng có tổ chức.

Lộ trình phòng thủ - từ ngày hôm nay

CISA khuyến nghị các tổ chức thực hiện ngay các bước sau: Đầu tiên, tiến hành đánh giá toàn diện khả năng hoạt động độc lập của hệ thống OT trong ít nhất 30 ngày mà không cần kết nối bên ngoài. Thứ hai, xây dựng các kênh liên lạc dự phòng hoàn toàn tách biệt với internet công cộng, sử dụng các công nghệ như radio tần số thấp hoặc liên lạc vệ tinh chuyên dụng. Thứ ba, thiết lập khả năng phát hiện và cô lập các phân đoạn hệ thống bị xâm nhập trong vòng dưới 60 phút, đồng thời đảm bảo các phần còn lại tiếp tục hoạt động bình thường.

Đối với doanh nghiệp Việt Nam, chúng tôi khuyến nghị bắt đầu từ việc rà soát lại toàn bộ hệ thống SCADA (Supervisory Control and Data Acquisition - hệ thống điều khiển giám sát và thu thập dữ liệu) và các thiết bị IoT công nghiệp đang sử dụng. Hãy đảm bảo tất cả đều được cập nhật bản vá bảo mật mới nhất và thay đổi mật khẩu mặc định. Quan trọng hơn, cần xây dựng kế hoạch ứng phó sự cố mạng cụ thể cho từng phòng ban, với các kịch bản từ tấn công nhỏ lẻ đến cô lập hoàn toàn. Thời gian để chuẩn bị đang ngắn lại từng ngày - cuộc chiến mạng tiếp theo có thể bùng nổ bất cứ lúc nào.