Tưởng tượng bạn là bác sĩ phát hiện dấu hiệu ung thư ở bệnh nhân nhưng luật lại cấm bạn làm thêm xét nghiệm để xác định giai đoạn. Đó chính là viễn cảnh mà các nhà nghiên cứu an ninh mạng Anh sắp phải đối mặt. Dự luật cải cách tội phạm mạng mới của nước này đang gây phẫn nộ trong cộng đồng bảo mật toàn cầu vì những quy định được cho là 'vô lý' và 'phản khoa học'. Theo các chuyên gia, luật này không chỉ không bảo vệ ai mà còn có thể tạo ra những lỗ hổng bảo mật khổng lồ không thể vá được. Chúng tôi cho rằng đây có thể là một trong những quyết định tồi tệ nhất trong lịch sử an ninh mạng quốc tế.

Quy định 'điên rồ' khiến cả cộng đồng bảo mật phản đối

Dự luật mới yêu cầu các nhà nghiên cứu bảo mật phải dừng mọi hoạt động ngay lập tức khi phát hiện ra một lỗ hổng bảo mật tiềm ẩn. Điều này có nghĩa họ không được phép tiến hành thêm bất kỳ bước nào để xác minh lỗ hổng đó có thật sự tồn tại hay không. Họ cũng không thể đánh giá mức độ nghiêm trọng của lỗ hổng - liệu nó chỉ gây rủi ro nhỏ hay có thể dẫn đến thảm họa mạng quy mô lớn.

Đặc biệt nghiêm trọng hơn, các researcher (nhà nghiên cứu) sẽ không được phép xác định tính khai thác (exploitability) của lỗ hổng. Điều này quan trọng vì chỉ khi biết được lỗ hổng có thể bị khai thác như thế nào, các chuyên gia mới có thể đưa ra các biện pháp phòng thủ phù hợp. Chúng tôi đánh giá đây giống như việc cấm bác sĩ chẩn đoán bệnh - họ chỉ được phép nói 'có vấn đề' nhưng không được tìm hiểu vấn đề đó nghiêm trọng thế nào.

Chuỗi nghiên cứu bảo mật sẽ bị đứt gãy nghiêm trọng

Để hiểu tại sao quy định này lại nguy hiểm, chúng ta cần nhìn vào quy trình nghiên cứu bảo mật tiêu chuẩn. Thông thường, khi phát hiện dấu hiệu bất thường trong một hệ thống, các nhà nghiên cứu sẽ tiến hành verification (xác minh) để chắc chắn đó thật sự là lỗ hổng chứ không phải false positive (cảnh báo giả). Tiếp theo là vulnerability assessment (đánh giá lỗ hổng) để xác định CVSS score (điểm số đánh giá lỗ hổng) từ 0-10, trong đó 10 là mức nghiêm trọng nhất.

Bước cuối cùng và quan trọng nhất là proof-of-concept (PoC) - tạo ra bản demo chứng minh lỗ hổng có thể bị khai thác như thế nào. Chính PoC này giúp các nhà cung cấp phần mềm hiểu rõ vấn đề và phát triển patch (bản vá) hiệu quả. Tuy nhiên, dự luật mới sẽ cắt đứt toàn bộ chuỗi này ngay từ bước đầu. Kết quả là chúng ta sẽ có vô số 'báo cáo ma' - những cảnh báo mơ hồ mà không ai có thể hành động cụ thể.

Tác động 'domino' đe dọa an ninh mạng toàn cầu

Hậu quả của luật này không chỉ dừng lại ở Anh mà có thể lan rộng toàn cầu. Nhiều công ty công nghệ lớn như Google, Microsoft, Meta đều có trung tâm nghiên cứu tại Anh. Nếu các nhà nghiên cứu của họ bị hạn chế, điều này có thể làm chậm việc phát hiện và vá các lỗ hổng zero-day (lỗ hổng chưa được biết đến) nguy hiểm. CVE database (cơ sở dữ liệu lỗ hổng bảo mật quốc tế) có thể sẽ thiếu hụt thông tin từ một trong những trung tâm công nghệ hàng đầu thế giới.

Với Việt Nam, tác động có thể thấy rõ qua việc chậm trễ trong việc nhận được cảnh báo về các lỗ hổng mới. Theo thống kê của NCSC Việt Nam, nước ta ghi nhận trung bình 3.000-4.000 cuộc tấn công mạng mỗi ngày. Nếu thiếu thông tin chi tiết về các lỗ hổng mới, các doanh nghiệp Việt Nam sẽ khó có thể cập nhật các biện pháp phòng thủ kịp thời.

Lời khuyên cho doanh nghiệp Việt Nam trong bối cảnh mới

Trước tình hình này, chúng tôi khuyến nghị các doanh nghiệp Việt Nam cần chủ động hơn trong việc bảo vệ hệ thống. Thứ nhất, hãy thiết lập kết nối với nhiều nguồn thông tin threat intelligence (thông tin tình báo mối đe dọa) khác nhau, không chỉ dựa vào các báo cáo từ Anh. Thứ hai, tăng cường đầu tư vào penetration testing (kiểm thử xâm nhập) và vulnerability scanning (quét lỗ hổng) nội bộ để chủ động phát hiện điểm yếu trong hệ thống.

Các CISO (Giám đốc An ninh Thông tin) cũng nên cân nhắc hợp tác với các công ty bảo mật khu vực Đông Nam Á hoặc Mỹ để đảm bảo vẫn nhận được thông tin đầy đủ về các mối đe dọa mới. Đồng thời, việc xây dựng incident response plan (kế hoạch ứng phó sự cố) chi tiết và thường xuyên diễn tập trở nên quan trọng hơn bao giờ hết khi thông tin về lỗ hổng có thể không còn đầy đủ như trước.