Tại sao khi người Mỹ vừa khai tử Cyber Incident Review Board - hội đồng điều tra các vụ tấn công mạng, thì Úc lại quyết định ra mắt một cơ quan y hệt? Chính phủ Australia vừa công bố thành lập Cyber Incident Review Board (CIRB), một cơ quan chuyên điều tra các cuộc tấn công mạng nghiêm trọng nhằm vào cơ quan chính phủ và doanh nghiệp. Điểm đặc biệt của CIRB là áp dụng nguyên tắc 'no-fault review' - không tìm người chịu trách nhiệm mà tập trung vào rút kinh nghiệm hệ thống.

Khi người Mỹ bỏ cuộc, người Úc lại bắt đầu

Quyết định này của Úc diễn ra đúng thời điểm Mỹ đang cân nhắc giải tán cơ quan tương tự do thiếu hiệu quả. Cyber Incident Review Board của Mỹ được thành lập năm 2021 nhưng chỉ công bố 2 báo cáo lớn trong suốt 3 năm hoạt động. Chúng tôi cho rằng Úc đã học hỏi từ thất bại của Mỹ và quyết định áp dụng một mô hình linh hoạt hơn.

CIRB của Úc sẽ không có cơ cấu thường trực như bản gốc Mỹ. Thay vào đó, họ sẽ triệu tập các chuyên gia theo từng vụ việc cụ thể, bao gồm cả nhân sự từ khu vực tư nhân. Cách tiếp cận này hứa hẹn sẽ linh hoạt và tiết kiệm chi phí hơn so với việc duy trì một bộ máy quan liêu cồng kềnh.

Nguyên tắc 'không quy lỗi' - Con dao hai lưỡi?

Điểm nhấn của CIRB là nguyên tắc 'no-fault review' - tức là không tìm cách quy lỗi cho cá nhân hay tổ chức nào. Thay vào đó, họ tập trung vào việc phân tích các lỗ hổng hệ thống và đưa ra khuyến nghị cải thiện. Về mặt lý thuyết, cách tiếp cận này sẽ khuyến khích các nạn nhân hợp tác một cách cởi mở hơn.

Tuy nhiên, chúng tôi cũng lo ngại rằng việc không quy trách nhiệm có thể tạo ra tâm lý chủ quan. Khi biết rằng sẽ không bị truy cứu, các tổ chức có thể không đầu tư nghiêm túc vào an ninh mạng. Kinh nghiệm từ ngành hàng không - nơi áp dụng thành công mô hình tương tự - cho thấy cần có sự cân bằng giữa việc khuyến khích hợp tác và duy trì trách nhiệm.

Tác động đến bối cảnh an ninh mạng châu Á

Việc Úc thành lập CIRB có ý nghĩa quan trọng đối với khu vực châu Á - Thái Bình Dương. Úc hiện là một trong những quốc gia dẫn đầu về an ninh mạng trong khu vực, với ngân sách 9.9 tỷ USD cho an ninh mạng giai đoạn 2020-2030. Các báo cáo từ CIRB có thể trở thành tài liệu tham khảo quan trọng cho các quốc gia khác.

Đối với Việt Nam, đây là cơ hội học hỏi kinh nghiệm từ một quốc gia có nền tảng pháp lý và công nghệ phát triển. Theo thống kê của Cục An toàn thông tin, Việt Nam ghi nhận trung bình 8,000-10,000 cuộc tấn công mạng mỗi tháng. Việc thiết lập một cơ chế điều tra chuyên nghiệp có thể giúp nâng cao khả năng ứng phó của chúng ta.

Lộ trình bảo vệ cho doanh nghiệp Việt

Doanh nghiệp Việt Nam cần chủ động chuẩn bị cho xu hướng điều tra post-incident (sau sự cố) đang trở thành chuẩn mực quốc tế. Bước đầu, các tổ chức nên xây dựng incident response plan (kế hoạch ứng phó sự cố) chi tiết, bao gồm quy trình ghi nhận, phân tích và báo cáo. Việc lưu trữ log hệ thống ít nhất 6 tháng là điều kiện tiên quyết để có thể phân tích forensic (điều tra số) hiệu quả.

Chúng tôi khuyến nghị các doanh nghiệp nên thiết lập partnership (quan hệ đối tác) với các công ty bảo mật uy tín để có thể hỗ trợ khi xảy ra sự cố. Đồng thời, việc tham gia các chương trình chia sẻ thông tin về mối đe dọa như CERT-VN sẽ giúp nâng cao khả năng phòng thủ tập thể của cả cộng đồng doanh nghiệp Việt Nam.