AN TOÀN THÔNG TIN

ĐỘI ỨNG CỨU

SỰ CỐ
VAI TRÒ QUAN TRỌNG
TRONG ĐẢM BẢO AN TOÀN
THÔNG TIN MẠNG
1 BÙI THANH HÀ

Hơn ba mươi năm trước, việc đảm bảo

an toàn thông tin dựa chủ yếu vào
những nhân sự kỹ thuật riêng lẻ. Đến những
năm 1990, các công ty bắt đầu thành lập
các Trung tâm điều hành an ninh (Security
Operation Center- SOC) đầu tiên để tập trung nhân
sự và các công cụ bảo mật thành một lực lượng
chuyên trách. Tuy nhiên, các tấn công mạng
càng ngày càng gia tăng, các sự cố an ninh mạng
càng ngày càng phức tạp, và các SOC đã trở thành chưa đủ.
Họ cần làm gì đó để có thể phản ứng chủ động trước các mối đe
dọa tấn công mạng.
Số 3 - Tháng 3/2022 Số 3 - Tháng 3/2022

76 77
AN TOÀN THÔNG TIN
T
ừ đó, các đội ứng cứu sự cố máy tính, sự cố an toàn
thông tin mạng bắt đầu ra đời, trở thành lực lượng
chuyên nghiệp và bài bản trong đảm bảo an toàn
thông tin mạng. Đó là một nhóm các chuyên gia bảo
mật chịu trách nhiệm tiếp nhận, phân tích và ứng phó với
các sự cố bảo mật. Các nhóm này có thể trực thuộc vào SOC
hoặc không. Các đội này có thể hoạt động độc lập, có thể là
một tổ chức chính thức hoặc là một đội đặc nhiệm đặc biệt.
CERT/CSIRT đội đặc nhiệm thầm lặng
Đội (hoặc nhóm, hoặc trung tâm, hoặc tổ chức…) ứng cứu
sự cố an toàn thông tin mạng, hay ứng cứu sự cố máy tính, hay
ứng cứu khẩn cấp máy tính có tên gọi từ nguồn gốc tiếng Anh
là Computer Emergency Response Team (CERT) hoặc Cyber
Security Incident Response Team (CSIRT), hoặc IRT (Incident
Response Team); CIRT (Computer Incident Response Team);
SERT (Security Emergency Response Team).
Đây là một lực lượng có đối tượng phục vụ rõ ràng: đó có
thể là các khách hàng, các đối tác, các cá nhân, tổ chức mà
đội có trách nhiệm phải hỗ trợ để giúp phòng ngừa các tấn
công mạng và xử lý được các sự cố an toàn thông tin mạng.
Các hoạt động mà đội cung cấp cho các đối tượng phục
vụ đó được gọi là các “dịch vụ” (service). Các dịch vụ này
đa dạng, theo ENISA (Cơ quan An toàn thông tin Liên minh
châu Âu), có thể chia làm 3 nhóm chính: các dịch vụ ứng
cứu, các dịch vụ dự phòng chủ động và các dịch vụ quản lý
chất lượng1.
Đội ứng cứu sự cố an toàn thông tin mạng đầu tiên
trên thế giới được thành lập năm 1988 tại Trường Đại học
Carnegie Mellon, Hoa Kỳ và có tên là Trung tâm Ứng cứu
khẩn cấp máy tính (CERT), sau này là Trung tâm điều phối
Ứng cứu khẩn cấp máy tính (CERT/CC).
Và tại Việt Nam, đội ứng cứu đầu tiên chính là Trung tâm
Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) được thành
lập năm 2005 và đến nay đổi tên thành Trung tâm Ứng cứu
khẩn cấp không gian mạng Việt Nam (VNCERT/CC).
Theo thời gian, các đội, nhóm, trung tâm, tổ chức tương
tự ra đời và có các tên gọi đa dạng hơn như trên, với chức
năng, nhiệm vụ của mỗi đội tại mỗi quốc gia có thể có khác
nhau một phần nào đó; tuy nhiên, bản chất của một đội ứng
cứu sự cố máy tính hay sự cố không gian mạng, sự cố thông
tin mạng là không đổi.
Khi nói về đội, nhóm này, Liên minh Viễn thông Quốc
tế (ITU), tổ chức quốc tế lớn nhất thế giới về viễn thông và
công nghệ thông tin, dùng cụm từ CIRT. ITU đã có chiến dịch
mở rộng thực hiện đánh giá hiện trạng các tổ chức CIRT có
1. https://www.enisa.europa.eu/topics/csirt-cert-services
Số 3 - Tháng 3/2022
78
trách nhiệm điều phối quốc gia ở trên 80 nước, hỗ trợ xây
dựng CIRT ở 17 nước khác và đã triển khai một loạt dự án hỗ
trợ phát triển năng lực cho các tổ chức CIRT này.
ITU cũng đã ban hành nhiều tài liệu hướng dẫn, tham
khảo cho các quốc gia thành viên trong lĩnh vực ứng cứu sự
cố. Hàng năm, ITU ban hành bộ chỉ số về an toàn thông tin
có tên “Global Cybersecurity Index” (GCI) dựa trên khảo sát
toàn diện 5 khía cạnh: pháp lý, kỹ thuật, tổ chức, phát triển
năng lực và hợp tác. Trong đó, tiêu chí về đội ứng cứu sự cố
an toàn thông tin mạng chiếm tỷ trọng lớn của khía cạnh kỹ
thuật trong chỉ số đánh giá GCI2.
Còn trong bài viết này, đội ứng cứu sự cố nói trên sẽ được
gọi bằng từ CSIRT. So với CIRT thì CSIRT cũng là từ viết tắt
phổ biến hơn.
Chưa có con số tổng thể các CSIRT trên toàn cầu; tuy
nhiên, có thể nói, hiện nay, tất cả các nước đã có hoạt động
đảm bảo an toàn thông tin, tất cả các doanh nghiệp về công
nghệ thông tin trên thế giới đều có các đội CERT, CSIRT. Chỉ
riêng Diễn đàn các trung tâm an ninh và ứng cứu sự cố
(FIRST) đã có 612 thành viên từ 99 quốc gia và vùng lãnh thổ3.
Các đội ứng cứu sự cố có sứ mệnh từ khi sinh ra là để thực
thi các hoạt động hợp tác, phối hợp trong phòng chống các
tấn công mạng, để giảm thiểu thiệt hại, giảm thiểu rủi ro và
khôi phục nhanh nhất các hoạt động của tổ chức. Do vậy,
tại các khu vực từ nhỏ đến lớn đều có các mạng lưới liên kết
các CERT, CSIRT này.
Tại Việt Nam có Mạng lưới ứng cứu sự cố an toàn thông
tin mạng quốc gia được thành lập theo Quyết định số
05/2017/QĐ-TTg ngày 16/03/2017 của Thủ tướng Chính phủ
ban hành quy định về hệ thống phương án ứng cứu khẩn
cấp bảo đảm an toàn thông tin mạng quốc gia. Quyết định
này cũng quy định rõ về việc thành lập các đội ứng cứu sự
cố tại các đơn vị chuyên trách về ứng cứu sự cố an toàn
thông tin mạng của các tổ chức.
Với sự đồng thuận rất cao trên toàn cầu về mục đích, cơ
cấu, yêu cầu đối với một đội ứng cứu sự cố nên CSIRT ngày
càng xuất hiện nhiều, là một tổ chức kỹ thuật đơn thuần,
không phụ thuộc vào bất kể thể chế chính trị nào. Cũng vì
đặc điểm này, giống như thể thao, CSIRT đạt mức độ toàn cầu
hóa rất nhanh, là nơi tin cậy để liên lạc, trao đổi thông tin
nhằm xử lý nhanh nhất các sự cố mạng xảy ra trên diện rộng.
Mức độ trưởng thành của CSIRT
Trải qua hơn 30 năm phát triển, CSIRT được các chuyên
gia trên thế giới chuẩn hóa mô hình. Đã có rất nhiều tiêu
2. https://www.itu.int/itu-d/sites/cybersecurity/
3. https://www.first.org/
chuẩn được đưa ra để đối chiếu, so sánh và đánh giá nhằm
giúp các CSIRT có định hướng, kế hoạch, chiến lược phát
triển phù hợp. Mô hình phổ biến nhất hiện nay có tên
“Security Incident Management Maturity Model” (SIM3)-
Mô hình đánh giá mức độ trưởng thành trong quản lý sự cố
an toàn thông tin4.
SIM3 phù hợp nhất cho đánh giá các CSIRT điều phối quốc
gia. Tuy nhiên, một tổ chức CSIRT cơ bản thì dù có trách
nhiệm ở cấp độ nào cũng phải đạt các yêu cầu trụ cột để
có thể hoàn thành nhiệm vụ của mình. Do vậy, có thể dùng
SIM3 để đánh giá tất cả các CSIRT, chỉ thay đổi ở các thang
điểm đánh giá để linh hoạt với mức độ quan trọng của từng
yếu tố của các đội ứng cứu sự cố khác nhau. 4 nhóm trụ cột
đó là: tổ chức, con người, công cụ, quy trình.
Tiêu chí về tổ chức: Đây là tiêu chí đầu tiên để có một
CSIRT thành công. Khi một đội, nhóm hình thành có vị trí,
chức năng, nhiệm vụ cụ thể, có điều lệ hoạt động, cơ cấu tổ
chức rõ ràng sẽ là cơ sở cho sự gắn kết trong tổ chức. Các
quy định liên quan trách nhiệm và quyền hạn của đội đảm
bảo đội hoạt động đúng định hướng để đạt được các mục
tiêu đề ra. CSIRT là đội ngũ gắn liền với các sự cố an toàn
thông tin, các tấn công mạng, các lỗ hổng phần mềm… do
đó, việc phân loại sự cố, bảo mật thông tin, có các cơ chế
phối hợp trong và ngoài CSIRT là yếu tố tiên quyết để xây
dựng một tổ chức phát triển.
Tiêu chí về con người: Tài sản quan trọng nhất của một
đội ngũ chính là các thành viên của đội ngũ ấy. CSIRT có
đặc thù riêng, không làm việc theo các tiêu chuẩn dây
chuyền cứng nhắc của nhà máy. Công việc của đội ứng cứu
sự cố có chuyên môn cao, được thực hiện trong môi trường
thử thách và thường xuyên chịu áp lực về thời gian. Do đó,
tuyển dụng được các nhân sự phù hợp, thực hiện đào tạo và
giữ chân nhân tài được ít nhất một số năm để đạt hiệu quả
tối đa là điều quan trọng cho sự thành công của CSIRT.
Nhân sự làm việc tại CSIRT cần tuân thủ các quy tắc ứng
xử chuẩn mực, có cam kết đạo đức nghề nghiệp. An toàn
thông tin là lĩnh vực thuộc về an ninh, bảo vệ tài sản thông
tin và có ranh giới giữa chấp hành và vi phạm pháp luật rất
dễ bị phá vỡ. Người làm trong lĩnh vực này do vậy phải ý
thức được và tự tu dưỡng bản thân để có thể đảm bảo cam
kết về bảo vệ các quyền lợi của khách hàng, đối tác mà họ
phục vụ.
Trong đánh giá về năng lực và mức độ trưởng thành của
một CSIRT, thì khả năng dự phòng về nhân sự chủ chốt được
tính là yếu tố bắt buộc. Một CSIRT cần ít nhất 3 thành viên.
Khi trong đội có người có thể nghỉ phép, có người bị ốm thì
4. https://www.trusted-introducer.org
79
vẫn có một thành viên bao quát các nhiệm vụ cơ bản của
CSIRT. Các nhân sự tuyển dụng vào CSIRT cần có trình độ
và các kỹ năng theo quy định, phù hợp vị trí, việc làm, chức
danh cần có. Ngoài ra, trong quá trình hoạt động, CSIRT
cũng thực hiện đào tạo liên tục đội ngũ của mình: từ đào tạo
nội bộ, đến cho tham dự các khóa học bên ngoài tổ chức; từ
đào tạo kỹ thuật đến đào tạo về giao tiếp, về truyền thông.
Tiêu chí về công cụ: Trong lĩnh vực an toàn thông tin,
nếu không có công cụ thích hợp, CSIRT không thể hoàn
thành nhiệm vụ. Đặc biệt khi số lượng các sự cố tăng lên,
các công cụ, đặc biệt công cụ xử lý tự động đóng vai trò
chính trong xử lý các vấn đề. Các công cụ mà bất cứ CSIRT
nào cũng cần có là: danh sách tài nguyên CNTT, hệ thống
thư điện tử hợp nhất, hệ thống điện thoại, hệ thống theo dõi
sự cố, xử lý sự cố.
Tiêu chí về quy trình: Đó chính là các chính sách, kế
hoạch, quy trình, hướng dẫn cho mọi hoạt động của CSIRT,
được viết theo những cách ngắn gọn và đơn giản, đồng thời
dễ sử dụng. Nhiều CSIRT đưa các quy trình lên các trang
wiki nội bộ, vì vậy mọi thành viên của đội thể dễ dàng truy
cập. Một số quy trình tiêu biểu: quy trình phát hiện mối đe
dọa và sự cố, quy trình xử lý sự cố, quy trình xử lý thông
tin, quy trình cung cấp thông tin cho báo chí, truyền thông,
cung cấp cho các bên pháp lý, quy trình bảo mật nội bộ.
Hiện trạng các CSIRT tại Việt Nam
Hành lang pháp lý tại Việt Nam đã được xây dựng khá
đầy đủ và bài bản để thúc đẩy việc thành lập và phát triển
các đội CSIRT. Đối với các cơ quan nhà nước thì đây là nhiệm
vụ bắt buộc.
Hiện cả nước có khoảng gần 300 tổ chức đã có đội ứng cứu
sự cố trực thuộc các Bộ, các cơ quan ngang Bộ, cơ quan trực
thuộc Trung ương, các tỉnh, thành phố, các doanh nghiệp, tổ
chức. Phần lớn các CSIRT này đều đã tham gia Mạng lưới ứng
cứu sự cố an toàn thông tin mạng quốc gia được thành lập
theo Quyết định 05/2017/QĐ-TTg ngày 16/3/2017 đã nói ở trên.
Trong thực tế, nhiều CSIRT đã là tổ chức mạnh, hoạt động
bài bản, như CSIRT từ một số tập đoàn công nghệ thông tin
lớn, các công ty chuyên về an ninh, bảo mật. Nhưng phần
lớn, lực lượng này tại các địa phương đều là kiêm nhiệm và
thiếu trình độ, kỹ năng chuyên sâu để có thể làm tốt vai trò
của mình.
Một tổ chức CSIRT trưởng thành cần hoàn thiện cả bốn
khía cạnh về tổ chức, con người, công cụ, quy trình. Thì
tại Việt Nam, rất ít CSIRT đạt được điều này. Phần lớn các
CSIRT trong trạng thái bị động, chỉ hoàn thành các yêu cầu
tối thiểu khi được đề nghị. Trong nhiều trường hợp, sự cố
Số 3 - Tháng 3/2022
AN TOÀN THÔNG TIN
xảy ra, CSIRT cũng không hoàn thành được trách nhiệm mà
cần phải có sự hỗ trợ từ các cấp trung ương và từ các doanh
nghiệp bên ngoài.
Tại Hội thảo có tên “Cải thiện năng lực phòng thủ
thông qua hoạt động diễn tập thực chiến ATTT”
được tổ chức ngày 03/3/2022 tại Đà Nẵng
cho khu vực miền Trung và Tây Nguyên,
hầu hết lãnh đạo các Sở Thông tin và
Truyền thông đều nêu ra khó khăn này.
Việc tuyển dụng được nhân sự có trình
độ công nghệ thông tin khá giỏi đã
rất khó, tuyển dụng được các kỹ sư có
chứng chỉ về an toàn thông tin lại càng
vô cùng khó. Ngoài ra, việc giữ chân
các nhân sự này luôn là một thách
thức. Ý thức về tầm quan trọng của
lực lượng tại chỗ, phần lớn các Lãnh
đạo Sở đều đề xuất phải tổ chức đào
tạo chuyên ngành cho các lực lượng
địa phương, có kinh phí mua sắm các
công cụ công nghệ và có các định mức
chi cho an toàn thông tin để làm căn cứ triển
khai các hoạt động.
Việc hợp tác giữa các chuyên gia kỹ thuật cũng là mong
muốn của tất cả các đơn vị. Khi có các tấn công mạng xảy ra,
xuất hiện các sự cố an toàn thông tin thì mạng lưới này là nơi
để các kỹ thuật viên chia sẻ thông tin, kinh nghiệm, tư vấn,
hỗ trợ lẫn nhau để khắc phục. Hiện nay, hoạt động này cũng
chưa thực sự hiệu quả do một số tâm lý e ngại cá nhân trong
giao tiếp cũng như do bối cảnh, môi trường chưa thuận lợi
cho việc thúc đẩy các quan hệ kết nối này.
Khuyến nghị định hướng phát triển các CSIRT
tại Việt Nam
Quyết định số 1622/QĐ-TTg ngày 25/10/2017 phê duyệt đề
án đẩy mạnh hoạt động của Mạng lưới ứng cứu sự cố, tăng
cường năng lực cho các cán bộ, bộ phận chuyên trách ứng
Số 3 - Tháng 3/2022
80
cứu sự cố an toàn thông tin mạng trên toàn quốc đến năm cơ sở đó, tất cả các CSIRT trên toàn quốc có thể sử dụng bộ
2020, định hướng đến năm 20215; và Thông tư số 20/2017/ tiêu chí để rà soát lại hiện trạng tổ chức mình và đưa ra các
TT-BTTTT ngày 12/9/2017 quy định về điều phối, ứng cứu lời giải cho bài toán thiếu hụt nhân sự, công cụ, quy trình
sự cố an toàn thông tin mạng trên toàn quốc là hai văn bản của đơn vị. Qua đó, các cấp quản lý, các nhà lãnh đạo sẽ sâu
quan trọng đưa ra các định hướng phát triển cho các CSIRT. sát hơn trong chỉ đạo điều hành và đưa ra được các chính
Hiện tại, các hoạt động để phát triển các CSIRT tập trung sách phù hợp để thúc đẩy sự phát triển của mạng lưới các
vào hoạt động diễn tập, đào tạo là chính. CSIRT này.
Trước hết, cần có kế hoạch tổng thể về phát triển tổ chức Việc xây dựng và phát triển các CSIRT tại mỗi đơn vị,
trong ngắn hạn và dài hạn để làm rõ lộ trình phát triển của mỗi địa phương cần có các chính sách khuyến khích, hỗ trợ,
các CSIRT. Hiện nay, có khá nhiều các kế hoạch được đưa cần sự hướng dẫn của các đơn vị chuyên môn của Chính
ra nhưng mới chỉ dừng lại ở các kế hoạch triển khai từng phủ. Có thể coi mỗi CSIRT như một Ban chỉ huy quân sự của
nhiệm vụ cụ thể. Có thể dựa vào SIM3 để đưa ra kế hoạch địa phương hay của tổ chức. Mạng lưới Ban chỉ huy quân
tổng thể này và cần sự chung tay của tất cả các cấp lãnh sự này càng lớn mạnh thì việc đảm bảo an ninh trên không
đạo, quan lý, các doanh nghiệp và người dân cùng thống gian mạng cho người dân càng được thực hiện tốt. Do an
nhất triển khai. ninh mạng, an toàn thông tin
Trong lĩnh vực an toàn thông là lĩnh vực chuyên sâu, đòi hỏi
tin, Chính phủ đã có nhiều chỉ Mục tiêu của nhóm ứng phó sự cố là chuyên môn nghiệp vụ đặc biệt,
đạo cụ thể, có chiến lược triển điều phối và sắp xếp các nguồn lực nên CSIRT càng cần được chú
khai, có các dự án về tuyên chính và các thành viên trong nhóm trọng đầu tư để phát triển và
truyền nâng cao nhận thức, gánh vác trách nhiệm giúp đỡ
trong khi xảy ra sự cố an ninh mạng
về đào tạo nguồn lực an toàn cộng đồng.
để giảm thiểu tác động và khôi phục
thông tin, về giám sát, cảnh báo Bộ Nội vụ cần đưa ra biểu
sự cố với một nguồn ngân sách
hoạt động nhanh nhất có thể. Điều biên chế chính thức cho CSIRT
rất lớn. Tuy nhiên, đối với riêng này bao gồm các chức năng quan tại các cơ quan nhà nước từ
các CSIRT, chưa có các dự án cụ trọng sau: điều tra và phân tích, Trung ương đến địa phương.
thể, chưa có chỉ đạo cụ thể và truyền thông, đào tạo và nâng cao Các doanh nghiệp công nghệ,
chưa có nguồn kinh phí riêng nhận thức cũng như phát triển tài các doanh nghiệp kinh doanh
cho việc nâng cao năng lực của tham gia chuyển đổi số mạnh
liệu và dòng thời gian.
đội ngũ này. mẽ cũng cần có các CSIRT của
Hợp tác trong nội bộ, hợp tác riêng mình. Bộ Thông tin và
ngoài ngành, hợp tác khu vực, hợp tác quốc gia và quốc tế là Truyền thông cần tuyên truyền nâng cao nhận thức của
điều kiện cần thiết để phát triển CSIRT. Đây cũng là tiêu chí cộng đồng và hỗ trợ các tổ chức việc thành lập và phát
mà ITU tính điểm để đánh giá chỉ số an toàn thông tin của triển các CSIRT.
mỗi quốc gia. Vì vậy, hợp tác trong an toàn thông tin, chính Vai trò của đội ứng cứu sự cố an toàn thông tin mạng sẽ
là hợp tác của các CSIRT. Phát triển các quan hệ hợp tác này dần dần được nhận thức sâu sắc hơn tại Việt Nam. Trên thế
là định hướng phát triển quan trọng của các đội ứng cứu sự giới, trong các chiến lược an toàn mạng của tất cả các nước
cố an toàn thông tin mạng. phát triển nhất, vai trò này luôn được nhấn mạnh hàng đầu
Trong công cuộc chuyển đổi số hiện nay, sự phát triển và được giao các trọng trách đặc biệt. Mọi liên minh, hiệp
của chính phủ số, kinh tế số, xã hội số đòi hỏi lực lượng hội quốc tế liên quan công nghệ thông tin cũng dành những
tinh nhuệ về an ninh mạng, an toàn thông tin thì chính các phần nội dung lớn cho các thảo luận chuyên đề về vị trí,
CSIRT là hạt nhân đáp ứng được các yêu cầu này. Do vậy, trách nhiệm của CSIRT trong xây dựng một tương lai thịnh
việc thành lập các CSIRT cần được thực hiện song hành với vượng cho toàn cầu.
thiết lập các hệ thống công nghệ số. An toàn thông tin cần Để bắt đầu sự lớn mạnh của ngành an toàn thông tin,
được thực hiện từ khâu thiết kế, thì các CSIRT cần có mặt để xây dựng một Việt Nam hùng cường về an ninh mạng,
ngay khi vận hành các trung tâm kỹ thuật.
Dự kiến trong năm 2022, Bộ Thông tin và Truyền thông nhất, từ những CSIRT!n
sẽ ban hành Bộ tiêu chí đánh giá năng lực các CSIRT. Trên
C
hãy khởi động sự lớn mạnh từ những đội ứng cứu sự cố nhỏ
Số 3 - Tháng 3/2022
81