Kevin Stocklin
Một nhà tư vấn an ninh mạng cho biết: ‘Chúng ta đang mất đi khả năng phục hồi với tư cách là một quốc gia.’
Trong bối cảnh các công ty và cơ quan chính phủ trên khắp thế giới nỗ lực khôi phục hệ thống máy điện toán của họ sau vụ ngừng hoạt động toàn cầu vào tuần trước do một bản cập nhật phần mềm bị lỗi, người ta đang đặt ra các câu hỏi về việc liệu các giao thức cập nhật phù hợp có được tuân thủ hay không.
Đồng thời, các nhà phân tích công nghệ đang nêu lên mối lo ngại về mức độ phụ thuộc ngày càng tăng của Hoa Kỳ vào một thị trường độc quyền của các công ty điện toán đám mây.
Bản cập nhật phần mềm chống virus được phát hành hôm 19/07 bởi CrowdStrike, một trong những công ty an ninh mạng lớn nhất, đã khiến hơn một tỷ máy điện toán chạy hệ điều hành Windows gặp trục trặc, ảnh hưởng đến các hoạt động thiết yếu tại phi trường, bệnh viện, trung tâm 911, sở cảnh sát, xe lửa, nhà tù, và các dịch vụ đô thị khác cũng như các hoạt động của công ty.
Công ty CrowdStrike đã đưa ra nhiều lời xin lỗi kể từ sự kiện này và cam kết giải quyết các vấn đề. Nhiều vấn đề trong số đó không thể thực hiện được thông qua các bản cập nhật trên toàn hệ thống mà phải sửa lỗi trên từng máy điện toán.
Ông Shawn Henry, Giám đốc An ninh của CrowdStrike, đã tuyên bố trên một bài đăng trên LinkedIn: “Vào thứ Sáu, chúng tôi đã làm quý vị thất vọng và vì vậy, tôi vô cùng xin lỗi.”
“Niềm tin mà chúng tôi miệt mài xây dựng trong nhiều năm đã tan thành mây khói chỉ trong vài giờ và đó là một đòn rất đau,” ông Henry viết. “Nhưng điều này chẳng là gì so với thiệt hại mà chúng tôi đã gây ra cho khách hàng và đối tác của mình.”
Các chuyên gia an ninh mạng đã đặt ra câu hỏi về việc liệu CrowdStrike có thể đã không tuân theo các quy trình thực hiện tốt nhất hay không khi phát hành bản cập nhật ngày 19/07.
Ông Robert Thomas, chủ sở hữu của công ty an ninh mạng 180A Consulting và là một cựu nhân viên Bộ Quốc phòng, chia sẻ với The Epoch Times: “Đối với tôi, chuyện cảnh báo là những điều cơ bản—đối với các bản vá lỗi, bản cập nhật, và trên các hệ thống nghiệp vụ quan trọng, hãy dành 10 phút để chạy thử chúng.”
“Quý vị mất một phút để tải xuống bản vá lỗi; quý vị dành thêm một phút nữa để cài đặt bản vá lỗi trên hệ thống thử nghiệm; một phút nữa để khởi động lại hệ thống và sau đó chạy thử nghiệm các ứng dụng phần mềm nghiệp vụ quan trọng.”
Trung tâm An ninh Internet (CIS) và Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã tạo ra các giao thức tiêu chuẩn về cách tiến hành cập nhật phần mềm. Ông Thomas cho biết nếu những giao thức này được tuân thủ thì những sai sót trong bản cập nhật lẽ ra phải lộ rõ trước khi được phân phối tới người dùng.
Ông Tom Marsland, giám đốc đào tạo và dự án của Cloud Range và là tác giả cuốn sách “Unveiling the NIST Risk Management Framework” (tạm dịch: Tiết Lộ Khung Quản Lý Rủi Ro NIST), nói với The Epoch Times: “Theo phương pháp/giao thức tốt nhất, các bản cập nhật phần mềm phải trải qua nhiều giai đoạn thử nghiệm trước khi đến tay khách hàng.”
Ông Marsland cho biết: “Điều này sẽ bao gồm chạy thử đơn vị tự động đối với mã nguồn, đánh giá bảo mật, và thử nghiệm trong nội bộ nhóm CrowdStrike [và] chỉ khi những hành động đó được hoàn tất thì bản vá lỗi mới nên được đưa đến khách hàng.” Ngoài ra, lúc đầu nên khai triển các bản cập nhật cho một nhóm khách hàng nhỏ hơn và sau đó mở rộng ra, thay vì gửi đến tất cả khách hàng cùng một lúc.
Ông Marsland nói: “Trong trường hợp cập nhật phần mềm CrowdStrike hôm thứ Sáu, có vẻ như những thủ tục đó không được tuân thủ.”
Trong bản đánh giá sau vụ trục trặc được công bố hôm 24/07, CrowdStrike cho biết: “Do một lỗi kỹ thuật trong trình xác thực nội dung, một trong hai [bản cập nhật] đã vượt qua quá trình xác thực mặc dù chứa dữ liệu nội dung có vấn đề.”
Bản cập nhật bị lỗi gây ra ‘hiệu ứng tầng’
Theo đánh giá của CIS, ảnh hưởng của bản cập nhật bị lỗi đã trở nên rõ ràng ngay sau nửa đêm ngày 19/07 (theo giờ miền Đông Hoa Kỳ), khi các máy điện toán chạy hệ điều hành Windows của Microsoft khai triển các bản cập nhật từ phần mềm bảo mật CrowdStrike’s Falcon bị ngừng hoạt động.
Bản cập nhật này được lưu hành trong khoảng một tiếng rưỡi cho đến khi lỗ hổng được phát hiện và bản cập nhật được “thu hồi,” CIS cho biết. “Kể từ đó, CrowdStrike đã đưa ra một giải pháp khắc phục, yêu cầu điều chỉnh thủ công cho từng thiết bị bị ảnh hưởng.”
CrowdStrike nhanh chóng bảo đảm với khách hàng rằng vụ ngừng hoạt động này không phải là một cuộc tấn công an ninh mạng, nhưng các nhà phân tích công nghệ đã chỉ ra sự trớ trêu rằng một công ty được thuê để bảo vệ khách hàng khỏi những cuộc tấn công như vậy lại là bên gây ra thiệt hại.
“Họ nói rằng đây không phải là một cuộc tấn công an ninh mạng nhưng hậu quả thì giống như một cuộc tấn công an ninh mạng,” ông Rex Lee, cố vấn an ninh cho các công ty và chính phủ, nói với NTD News, một hãng truyền thông cùng hệ thống với Epoch Times. “Chúng ta đang nói về các cơ quan chính phủ, chúng ta đang nói về các doanh nghiệp Fortune 500, các hãng hàng không. … hiệu ứng dây chuyền của việc này thật không thể tin nổi.”
“Nếu quý vị nhìn vào những cơ sở hạ tầng quan trọng đang bị ảnh hưởng, điều này thực sự sẽ gây tổn thất và có thể có người bị thiệt mạng do vụ này, bởi vì các nhân viên ứng cứu đầu tiên đang bị ảnh hưởng, các bệnh viện cũng bị ảnh hưởng,” ông Lee nói. “Chúng ta sẽ không biết tổng thiệt hại từ toàn bộ vụ này, nhưng vụ việc sẽ đi vào lịch sử như là sai lầm và/hoặc sự kiện ngừng hoạt động lớn nhất trong lịch sử Internet.” Ad
Việc các công ty và cơ quan chính phủ chuyển đổi sang điện toán đám mây đã và đang diễn ra nhanh chóng và tiếp tục tăng tốc.
Vào tháng 11/2023, công ty phân tích công nghệ Gartner, Inc. đã đưa ra dự báo rằng chi tiêu toàn cầu cho các dịch vụ đám mây dự kiến sẽ tăng hơn 20% vào năm 2024,, tăng từ mức 563.6 tỷ USD vào năm 2023 lên tổng cộng 678.8 tỷ USD.
Ông Sid Nag, phó chủ tịch phân tích của Gartner, cho biết trong báo cáo: “[Công nghệ] đám mây về cơ bản đã trở nên không thể thiếu.”
Nhưng trục trặc ngừng hoạt động hồi tuần trước đã làm nổi bật ra điểm yếu của các công ty và xã hội, do mức độ kiểm soát dịch vụ điện toán đám mây của một số ít nhà cung cấp.
Một báo cáo hồi tháng Một của ông Stephan von Watzdorf, một chuyên gia an ninh mạng tại công ty bảo hiểm toàn cầu Swiss Re, đã nhấn mạnh điểm yếu của dịch vụ đám mây là việc dịch vụ này tập trung chủ yếu ở ba công ty.
“Một thập niên trước, các doanh nghiệp không chắc chắn liệu việc mở rộng điện toán đám mây của những đại công ty công nghệ như Google, Microsoft, và Amazon chỉ là xu hướng nhất thời hay là sự thay đổi lâu dài,” ông Von Watzdorf nói. “Hiện nay, các công ty trên toàn thế giới đã ngày càng sử dụng điện toán đám mây và công nhận đây là một phần quan trọng của quá trình chuyển đổi số thành công.”
“Tuy nhiên, việc tập trung các dịch vụ này với ba nhà cung cấp thống trị đã tạo ra những rủi ro mới liên quan đến ngành bảo hiểm/tái bảo hiểm,” ông nói. “Nếu các dịch vụ đám mây ngừng hoạt động, toàn bộ các rủi ro sẽ đè nặng lên các công ty bảo hiểm/tái bảo hiểm cung cấp các sản phẩm bảo hiểm mạng thương mại.”
Các rủi ro về an ninh quốc gia và xã hội
Các cơ quan chính phủ cũng đang đánh giá rủi ro từ điện toán đám mây và việc hợp nhất công nghệ.
Vào ngày ngừng hoạt động đó, một quan chức cấp cao của Tòa Bạch Ốc tuyên bố rằng “Tòa Bạch Ốc đã triệu tập các cơ quan để đánh giá tác động đến hoạt động của chính phủ Hoa Kỳ và các tổ chức trên khắp đất nước.”
Trong bối cảnh vội vã chuyển các hoạt động lên đám mây, vụ trục trặc ngừng hoạt động do CrowdStrike có thể sẽ thúc đẩy người dùng đánh giá lại mức độ phụ thuộc của họ vào một hoặc một số nhà cung cấp dịch vụ và khả năng dự đoán lỗi của nhà cung cấp.
“Chúng ta đang đạt đến điểm mà việc tập trung quá mức khiến chúng ta kém ‘khả năng chữa lành’ và phục hồi hơn,” ông Thomas nói. “Chúng ta đang mất đi khả năng phục hồi với tư cách là một quốc gia.”
Sau vụ ngừng hoạt động do CrowdStrike, các công ty và chính phủ hiện đang nhận ra những rủi ro cũng như lợi ích.
Ông Marsland nói: “Phụ thuộc hoàn toàn vào một nhà cung cấp duy nhất chắc chắn sẽ dẫn đến những rủi ro về xã hội và an ninh quốc gia, và tôi nghĩ những rủi ro đó đã được thể hiện rõ ràng trong 72 giờ qua khi chúng ta đình chỉ hầu hết các chuyến bay trên toàn quốc.”
“Cân nhắc giữa lợi ích và rủi ro của điện toán đám mây là điều mà mỗi tổ chức phải tự thực hiện,” ông Marsland nói. “Đối với các tổ chức đang tìm kiếm một tệp khách hàng rộng hơn, thì lợi ích thật sự lớn hơn rủi ro—nhưng các tổ chức này có đủ khả năng để thuê các chuyên gia về bảo mật đám mây.”
Ở cấp độ cá nhân, những cá nhân lưu trữ dữ liệu của họ trên đám mây cũng phải đối mặt với rủi ro.
Theo báo cáo năm 2023 của Văn phòng An ninh Thông tin tại Đại học Texas, những rủi ro đó bao gồm rủi ro bảo mật, rủi ro về quyền riêng tư, và rủi ro về độ tin cậy.
Báo cáo nêu rõ các rủi ro bảo mật bao gồm việc dữ liệu cá nhân bị lộ “do vi phạm bảo mật hoặc do sự thiếu năng lực của nhà cung cấp dịch vụ đám mây,” cũng như việc chia sẻ thông tin cá nhân của quý vị với các doanh nghiệp, cơ quan chính phủ, hoặc nhân viên khác của nhà cung cấp dịch vụ đám mây, và phần mềm độc hại hoặc lừa đảo có thể truy cập vào thông tin của quý vị.
Theo báo cáo, chính sách bảo mật của các nhà cung cấp dịch vụ đám mây “tất cả đều để lộ rằng nhà cung cấp, bất kể mọi tuyên bố ngược lại hoặc sử dụng mã hóa, đều có khả năng giải mã và truy cập bất kỳ dữ liệu được lưu trữ nào bất cứ khi nào họ thấy cần thiết.”
Đối với các công ty hiện đang tìm cách đưa hệ thống máy điện toán của họ kết nối trực tuyến trở lại, những rủi ro mới đã xuất hiện từ việc tin tặc đang tìm cách nắm bắt cơ hội mà vụ ngừng hoạt động này mở ra cho họ.
CIS tuyên bố: “Trong khi khắc phục các hệ thống bị ảnh hưởng, các tổ chức nên lưu ý rằng CIS đã phát hiện nhiều chiến dịch lừa đảo và tên miền giả mạo do các tác nhân đe dọa thiết lập nhằm cố gắng tấn công phi kỹ thuật và xâm phạm các tổ chức bị ảnh hưởng bởi vụ ngừng hoạt động.”
Theo báo cáo của Gartner, CrowdStrike đại diện cho khoảng 15% thị trường an ninh mạng, phục vụ cho các tổ chức lớn hơn và chỉ đứng sau Microsoft, công ty có thị phần xấp xỉ 40%. Giá cổ phiếu của CrowdStrike đã giảm hơn 25% kể từ vụ này.
Các dự đoán đang tập trung vào khả năng CrowdStrike vượt qua cuộc khủng hoảng hiện tại, giữ chân khách hàng, và tiếp tục phát triển hoạt động kinh doanh. Nhưng bên cạnh đó, CrowdStrike có thể phải đối mặt với những hóa đơn lớn từ nhóm khách hàng của mình.
Các công ty luật trên khắp nước Mỹ đã công bố các cuộc điều tra về thiệt hại do vụ trục trặc, có thể chỉ là khúc dạo đầu cho các vụ kiện tập thể.
CrowdStrike đã mất 1/5 giá trị cổ phiếu sau thảm họa này. Hôm 24/07, công ty đã hứa sẽ cải tổ cách phát hành các bản cập nhật nội dung quan trọng.
Cụ thể, công ty cho biết họ đang dự tính thực hiện một “chiến lược triển khai so le” cho các bản cập nhật trong tương lai, trước tiên chỉ gửi các bản cập nhật tới một số máy trước khi khai triển trên toàn cầu. Trong ngành, phương pháp này được gọi là “khai triển thử nghiệm” (canary deployment).
CrowdStrike cũng sẽ “tăng cường giải quyết các lỗi hiện có trong trình thông dịch nội dung,” vốn là một phần của Cảm biến Falcon.
CrowdStrike cũng hứa sẽ sử dụng con người để kiểm tra Nội dung phản hồi nhanh (Rapid Response Content), bổ sung các bước kiểm tra xác thực cho trình xác thực nội dung, và cung cấp cho khách hàng tùy chọn để quyết định thời điểm và địa điểm khai triển các bản cập nhật này.
Minh Đức biên dịch