Thừa nhận rằng bạn có vấn đề là bước đầu tiên để giải quyết vấn đề một cách nghiêm túc. Đây dường như là lý do khiến Nhà Trắng gần đây công bố sáng kiến "Tăng cường an ninh mạng của Mỹ".
Văn bản của thông báo chứa một số tuyên bố mà bất kỳ ai đã từng đọc về an ninh mạng sẽ nghe nhiều lần: tăng khả năng phục hồi, nhận thức tốt hơn, chống lại các cuộc tấn công ransomware - danh sách vẫn tiếp tục.
Cũng có một số khía cạnh mới lạ đối với văn bản, bao gồm nhận ra rằng an ninh mạng không phải là, chưa bao giờ có, và sẽ không bao giờ là thứ có thể được giải quyết ở cấp quốc gia-nhà nước.
Nhà Trắng cũng chỉ ra các nhãn cảnh báo IoT như một giải pháp - và nhắc nhở tất cả chúng ta (và chúng ta cần nhắc nhở) về tầm quan trọng của giáo dục an ninh mạng. Chúng ta hãy xem xét.
Hợp tác quốc tế là rất quan trọng
Một điểm quan trọng mà tuyên bố của Nhà Trắng cho thấy rất rõ ràng là các cuộc tấn công mạng không đối xứng theo nghĩa là các tác nhân đe dọa có thể hoạt động xuyên biên giới mà không bị trừng phạt. Trong khi đó, những người bảo vệ thường sẽ bị hạn chế bởi các yêu cầu pháp lý không cho phép phản ứng tương xứng.
Những kẻ tấn công cảm thấy được bảo vệ vì chúng được hưởng các biện pháp quản lý và thực thi nhẹ hơn ở nhà, trong khi chúng có thể nhắm mục tiêu vào các hệ thống hoạt động hầu như ở bất cứ đâu trên hành tinh - bất kể luật pháp được thực thi mạnh mẽ như thế nào tại quốc gia cư trú của mục tiêu.
Miễn là vấn đề không được giải quyết ở cấp độ quốc tế, bất kỳ giải pháp nào được tìm thấy sẽ không tốt hơn băng hỗ trợ. Trong nhiều trường hợp, sáng kiến của Nhà Trắng tuyên bố chính xác rằng các đối tác và tổ chức quốc tế như NATO sẽ đóng vai trò quyết định trong không gian an ninh mạng.
Đây không phải là một giải pháp lý tưởng. Đúng vậy, các đối tác quốc tế làm việc cùng nhau sẽ mở rộng bối cảnh quốc phòng đến một kích thước gần giống với quy mô của vấn đề hơn. Tuy nhiên, đây vẫn là một giải pháp chắp vá với hiệu quả hạn chế.
Những gì chúng ta cần là một cái gì đó giống như một hiệp ước toàn cầu thực sự thực thi luật an ninh mạng. Ví dụ, chỉ cần nghĩ về tác động của luật hàng hải quốc tế.
Tuy nhiên, việc chia sẻ thông tin về các tác nhân đe dọa, phương pháp luận và kỹ thuật mới chắc chắn là vì lợi ích tốt nhất của mọi người và, nếu được thiết lập đầy đủ, sẽ cho phép phản ứng nhanh hơn với các mối đe dọa mới.
Giáo dục an ninh mạng tiếp tục quan trọng
Một khía cạnh thú vị khác của sáng kiến Tăng cường an ninh mạng của Hoa Kỳ là tập trung vào việc thúc đẩy giáo dục an ninh mạng. Như chúng ta liên tục và đau đớn nhận thức được, an ninh mạng trước hết là vấn đề con người hơn là vấn đề công nghệ.
Nâng cao kiến thức về an ninh mạng và dạy mọi người những kiến thức cơ bản về cách cư xử an toàn trực tuyến ở tất cả các giai đoạn của cuộc sống cá nhân và doanh nghiệp sẽ có tác động kép cả trong việc giảm thiểu rủi ro và giảm tác động của bất kỳ sự cố nào chắc chắn sẽ vẫn xảy ra.
Lấy ví dụ như Sáng kiến Quốc gia về Giáo dục An ninh mạng (NICE) do NIST hỗ trợ. Với một khuôn khổ chính thức, các sự kiện thường xuyên và cập nhật bản tin, nó tạo ra một nỗ lực mạnh mẽ. Tất nhiên, không có giải pháp nào là hoàn hảo, nhưng hiệu ứng tích lũy của mọi sáng kiến sẽ tạo ra sự khác biệt.
Còn nhãn rủi ro cho các thiết bị IoT thì sao?
Có một cuộc tranh luận sôi nổi xung quanh sơ đồ nhãn rủi ro mới cho các thiết bị IoT. Nhãn an ninh mạng của người tiêu dùng nhằm mục đích hoạt động như một con đường để tiết lộ, tương tự như cách nhãn thực phẩm liệt kê các thành phần và điểm dinh dưỡng.
Tuy nhiên, ban giám khảo vẫn chưa biết nhãn an ninh mạng của người tiêu dùng sẽ hiệu quả như thế nào. Các lỗ hổng mới xuất hiện mọi lúc, vì vậy mức độ chính xác của nhãn được in cách đây nửa năm sẽ là khi một thiết bị đang nằm trên kệ tại Best Buy vẫn còn gây tranh cãi.
Ngoài ra, nếu không có sự hỗ trợ quốc tế đầy đủ, sáng kiến ghi nhãn có thể sẽ dẫn đến sự phân mảnh, giống như GDPR đã làm - vì một số trang web hiện chọn cách đơn giản là chặn tất cả khách truy cập khỏi các khu vực được GDPR bao phủ thay vì cố gắng tuân thủ các yêu cầu của GDPR.
Cũng có một mối lo ngại rằng một nhãn hiệu có thể chỉ đơn giản là một menu "gọi món" cho những kẻ tấn công. Nếu một nhãn chỉ định rõ ràng tất cả các biện pháp an ninh mạng mà một thiết bị có sẵn, nó chỉ giúp kẻ tấn công dễ dàng hơn vì chúng có thể tiết kiệm thời gian bằng cách bỏ qua các chiến lược tấn công rõ ràng sẽ không hoạt động.
Đó là quy trình từng bước
Nhãn an ninh mạng của người tiêu dùng là một bước đi đúng hướng trong bối cảnh mà thường rất khó để đạt được bất kỳ tiến bộ nào. Nếu được triển khai đúng cách, nhãn an ninh mạng của người tiêu dùng có thể dẫn đến sự cải thiện tổng thể các điều kiện bảo mật trên Internet và các loại mạng của nó. Điều tương tự cũng xảy ra với số lượng ngày càng tăng của các sáng kiến giáo dục an ninh mạng.
Nhưng, như họ nói, ma quỷ nằm trong các chi tiết, và những điều đó vẫn sẽ được công bố. Bài học rút ra là chính phủ Hoa Kỳ đang thực hiện ít nhất một số nỗ lực để giúp người dân và doanh nghiệp của đất nước nắm bắt được cuộc khủng hoảng an ninh mạng.
Liệu nó có đủ không? Có lẽ là không, nhưng một số chuyển động tốt hơn là không có chuyển động nào cả.