Một trong những chủ đề thảo luận quan trọng tại CIPR-2024 là phân tích lý do khiến các công ty Nga chuyển đổi sang mô hình bảo mật đám mây. Điều mà cách đây vài năm hầu hết họ coi là một kịch bản phi thực tế giờ đây đang trở thành xu hướng phát triển trong tương lai.
- Giới thiệu
- Các cuộc tấn công mạng vào cơ quan chính phủ đã trở thành mục tiêu chính
- Phân loại đối tượng CII
- Những mối nguy hiểm mà cơ sở CII phải đối mặt
- Bảo vệ CII và đám mây
- Nền tảng đám mây dành cho doanh nghiệp nhà nước
- kết luận
Giới thiệu
Hội nghị CIPR-2024, diễn ra những ngày này tại Nizhny Novgorod, đã quy tụ hơn 5,3 nghìn người tham gia. Chương trình phần kinh doanh bao gồm hơn 100 phiên khác nhau. Vào ngày đầu tiên, 29 người đã diễn ra và số lượng diễn giả là 220 người.
Một trong những điều thú vị nhất là phiên thảo luận về phát triển hệ thống bảo vệ CII khi được lưu trữ trên đám mây. Diễn giả chính là Evgeniy Khasin, quyền giám đốc cục an ninh mạng của Bộ Phát triển Kỹ thuật số.
Các bên tham gia thảo luận đã đề cập đến các chủ đề quan trọng như lựa chọn công cụ an ninh mạng phù hợp đáp ứng các cách tiếp cận của chương trình quốc gia “Kinh tế dữ liệu và Chuyển đổi số của Nhà nước”, tìm kiếm giải pháp xử lý và lưu trữ dữ liệu trên nền tảng đám mây quốc gia và thực hiện các biện pháp bảo vệ đối tượng CII trên đám mây.
Hình 1. Phiên về bảo mật CII trên đám mây tại CIPR-2024
Các cuộc tấn công mạng vào cơ quan chính phủ đã trở thành mục tiêu chính
Tất cả những người tham gia cuộc thảo luận đều lưu ý lý do chính dẫn đến nhu cầu về mô hình bảo mật đám mây cho các cơ sở CII là sự chuyển đổi từ các cuộc tấn công mạng quy mô lớn của những kẻ tấn công mạng sang các hoạt động có chủ đích. Theo các nhà phân tích, năm 2023 Nga nằm trong top 5 quốc gia thường xuyên bị tấn công mạng nhất.
Trong năm qua, hơn 6.000 cuộc tấn công mạng đã được thực hiện chỉ nhằm vào các cơ sở của CII. Những kẻ tấn công chủ yếu nhắm vào các tổ chức và doanh nghiệp chính phủ, công nghiệp và tài chính. Trong nhiều trường hợp, mục tiêu là làm mất ổn định hoạt động của họ chứ không chỉ đơn giản là tạo ra “hiệu ứng hình ảnh”.
Như Evgeny Khasin đã lưu ý, các mối đe dọa đánh cắp hoặc phá hủy thông tin quan trọng đã trở nên quan trọng không kém. Vào năm 2023, dữ liệu từ gần 400 công ty Nga và hơn 220 triệu số điện thoại của các thuê bao Nga đã được công khai. Các cuộc tấn công của hacker này cũng có tính chất phá hoại và nhằm mục đích vô hiệu hóa cơ sở hạ tầng của các đối tượng bị tấn công và phá hủy dữ liệu. Theo các chuyên gia, xu hướng này sẽ tiếp tục vào năm 2024.
Hình 2. Số vụ tấn công mạng đáng kể chống lại CII trong năm 2022–2023.
Nhìn chung, sự phân bổ các cuộc tấn công theo ngành như sau:
- cơ quan chính phủ – 23%;
- tổ chức y tế – 16%;
- công nghiệp – 15%;
- Công ty CNTT – 12%;
- tài chính – 9%.
Phân loại đối tượng CII
Đất nước tiếp tục quá trình phân loại các đối tượng cơ sở hạ tầng thông tin quan trọng. Các hoạt động này được thực hiện phù hợp với các yêu cầu quy định được chấp nhận. Tất cả những người tham gia cuộc thảo luận đều lưu ý rằng mặc dù danh sách luật rất rộng nhưng các hành vi pháp lý rõ ràng nhằm đạt được các mục tiêu an ninh CII thực sự.
Năm ngoái, Bộ Phát triển Kỹ thuật số đã xây dựng danh sách các đối tượng CII tiêu biểu. Mục tiêu là giúp các công ty giải quyết các vấn đề về phân loại. Công việc trong lĩnh vực này sẽ được thực hiện trong suốt năm 2024.
Hình 3. Pháp luật trong lĩnh vực bảo mật CII
Chủ đề về công việc phân loại tài chính đã được nêu ra. Vấn đề quan trọng là sự ưu tiên. Điều gì quan trọng hơn đối với công ty: thực hiện chất lượng cao các nhiệm vụ do cơ quan quản lý đặt ra hay tuân thủ thời hạn đã định (rất chặt chẽ)?
Trong số các vấn đề, cần lưu ý rằng nguồn tài chính để thực hiện các hoạt động phân loại thường không đủ. Điều này gây ra những khó khăn nhất định trong việc hoàn thành nhiệm vụ được giao.
Cơ quan quản lý chính trong lĩnh vực CII là FSTEC của Nga. Nó được giao phó các chức năng kiểm soát và áp dụng hình phạt trong trường hợp vi phạm. Nhiều người lo ngại về mức độ hoàn chỉnh của quá trình chuẩn bị quy định. Như Elena Torbenko, người đứng đầu bộ phận FSTEC của Nga, lưu ý, danh sách các ngành được phân loại là CII không có kế hoạch mở rộng.
Các nhà lập pháp của Cộng hòa Bashkortostan đưa ra đề xuất phân loại các lĩnh vực như giáo dục và lĩnh vực xã hội là CII. Theo quan điểm của FSTEC Nga, đề xuất này quá mơ hồ và thiếu chính xác. Tiêu chí chính ở đây là sự gắn kết của ngành với việc giải quyết vấn đề an ninh quốc gia nên sáng kiến này không được chính phủ ủng hộ.
Do FSTEC đã triển khai quy trình xác minh việc tuân thủ các yêu cầu quy định của các đơn vị CII nên đại diện của FSTEC đã được hỏi về khả năng gia tăng áp lực (tăng số tiền phạt) nếu phát hiện vi phạm. Elena Torbenko nhấn mạnh trong câu trả lời của mình rằng ban đầu FSTEC của Nga thậm chí không có kế hoạch phạt tiền các hành vi vi phạm và trông cậy vào ý thức của các đối tượng CII.
Hình 4. Danh sách các đối tượng CII điển hình
Tuy nhiên, những diễn biến tiếp theo cho thấy cần phải đưa ra trách nhiệm pháp lý nếu vi phạm các yêu cầu quy định. Các hình phạt được đưa ra sau đó thậm chí còn được thắt chặt hơn để khuyến khích các công ty cẩu thả hành động đúng hướng.
Số lượng tiền phạt được đưa ra hiện đã khá lớn. Năm 2023, xử phạt hơn 150 vụ việc hành chính. Dựa trên kết quả quý 1 năm 2024, đã có hơn 70 trường hợp như vậy.
Tuy nhiên, Elena Torbenko đảm bảo với những người tụ tập rằng ngày nay không có chuyện thắt chặt tiền phạt. Một vấn đề khác đang được thảo luận: khả năng mở rộng danh sách các quan chức có thể bị phạt tiền. Bây giờ nó chỉ bao gồm các nhà quản lý. Những người thực hiện (kỹ thuật) cụ thể có hành động vi phạm có thể được thêm vào danh sách.
Những mối nguy hiểm mà cơ sở CII phải đối mặt
Theo Vladimir Bengin, giám đốc phát triển sản phẩm tại Solar Group of Companies, số vụ tấn công có chủ đích đã tăng đáng kể vào năm 2023. Một số vụ trong số đó không bị phát hiện ngay cả với các công cụ bảo mật tiên tiến nhất. Theo Solar, chi phí trung bình để thực hiện một cuộc tấn công là khoảng 300 nghìn USD.
Mục tiêu chính của các cuộc tấn công có chủ đích là các lĩnh vực quan trọng của nền kinh tế Nga, dịch vụ kỹ thuật số của chính phủ, nhà điều hành trung tâm dữ liệu, nhà khai thác viễn thông và Internet cũng như các cơ sở CII.
Theo Vladimir Bengin, cường độ các cuộc tấn công có chủ đích vào năm 2024 cũng tăng lên. Trong quý đầu tiên, hầu như tuần nào cũng có báo cáo về các sự cố lớn.
Hình 5. Số lượng sự cố an ninh mạng tiếp tục gia tăng
Đồng thời, phần lớn các sự cố thành công đều liên quan đến các cuộc tấn công lừa đảo và kỹ thuật xã hội. Theo Vladimir Bengin, “họ luôn đạt được thành công”. Kỹ thuật xã hội được mệnh danh là điểm đau đớn nhất của CII ở Nga.
Người ta cũng cho biết rằng vào năm 2022, Solar đã đánh giá sức mạnh tối đa của các cuộc tấn công DDoS cần phải chống lại. Ước tính này được thực hiện để lập kế hoạch phát triển cơ sở hạ tầng và lên tới 3 Tbit/s. Như Vladimir Bengin đã lưu ý, trong quý đầu tiên của năm 2024, Solar đã đăng ký một cuộc tấn công DDoS với công suất 2,7 Tbit/s. Có vẻ như khả năng của những kẻ tấn công đang tiến đến điểm tới hạn.
Bảo vệ CII và đám mây
Mới gần đây, nhiều công ty nhà nước lớn thậm chí còn chưa tính đến khả năng chuyển cơ sở hạ tầng của họ lên đám mây. Nhưng hiện nay đây không còn chỉ là xu hướng ngày càng phát triển mà là một khuyến nghị được thể hiện trong các quy định.
Ví dụ, năm ngoái Luật Liên bang số 406-FZ đã được ban hành, trong đó tuyên bố rằng GIS có thể được lưu trữ trên trang web của các nhà cung cấp dịch vụ lưu trữ. Như Vladimir Bengin đã lưu ý, vấn đề này có thể được coi là đã được giải quyết. Nhưng sau đó, các yêu cầu tương tự sẽ được áp dụng đối với các trung tâm dữ liệu và nhà cung cấp dịch vụ lưu trữ cũng như đối với các cơ sở của CII. Trong trường hợp này, trách nhiệm đối với CII phải được thể hiện trong hợp đồng đã ký kết đối với tất cả các yếu tố, bao gồm cả trách nhiệm quản lý sự cố.
Vladimir Bengin cũng nhắc lại rằng chủ đề này cũng đã được nêu ra trong bài phát biểu của Mikhail Mishustin, Thủ tướng Liên bang Nga. Ông nói: “Đưa ra các tiêu chuẩn bắt buộc đối với các công ty nhà nước liên quan đến việc mua dịch vụ đám mây từ các nhà khai thác thương mại.”
Ưu tiên hàng đầu là phát triển hơn nữa cơ sở hạ tầng dịch vụ đám mây và xây dựng các trung tâm dữ liệu mới. Từ đó, Vladimir Bengin kết luận rằng sự phát triển của an ninh thông tin sẽ hướng tới đám mây. Điều này sẽ cho phép các công ty có được từ phía các nhà cung cấp đám mây một phần chuyên môn mà họ hiện đang thiếu.
Nền tảng đám mây dành cho doanh nghiệp nhà nước
Theo Alexey Suravikin, giám đốc bộ phận Sản phẩm nâng cao tại RTK-DPC, yếu tố quyết định chính trong việc phát triển cơ sở hạ tầng đám mây là độ tin cậy trong hoạt động của nó. Chính những vấn đề này mà RTC-DPC hiện đang quan tâm hàng đầu, hỗ trợ vận hành một số nguồn lực quan trọng của chính phủ.
Hình 6. Danh sách các dịch vụ chính phủ đám mây được công ty RTK-DPC hỗ trợ
Đánh giá triển vọng về sự hiện diện của các công ty nhà nước trên nền tảng đám mây, Alexey Suravikin lưu ý rằng các yêu cầu đối với CII sẽ trở nên nghiêm ngặt hơn. Động lực chính cho việc này sẽ là các yêu cầu pháp lý ngày càng tăng và sự thiếu chuyên môn của các công ty để nhanh chóng triển khai các chức năng liên quan. Điều này sẽ thúc đẩy các công ty nhà nước có cơ sở CII chuyển một phần chức năng bảo mật thông tin của họ sang đám mây.
Đánh giá sự gia tăng nhu cầu thực hiện các biện pháp bảo vệ đối với các đối tượng CII quan trọng trên đám mây, RTK-DPC đã chính thức công bố vào tháng 3 năm 2024 về việc tạo ra Đám mây CII thay thế hoàn toàn nhập khẩu. Người ta tuyên bố rằng đây là cơ sở hạ tầng đám mây được quản lý trong nước, tuân thủ đầy đủ các yêu cầu của Lệnh FSTEC số 239 của Nga và cung cấp mức độ tin cậy và bảo mật nhất định. Khách hàng tiềm năng đến từ khu vực B2G và B2B.
Hình 7. Cấu trúc trung tâm dữ liệu cấp III của công ty RTK-DPC
Anton Shmkov, giám đốc kỹ thuật của Tập đoàn Astra, nêu tên một số lý do bổ sung có thể thúc đẩy các công ty nhà nước chuyển sang bảo mật đám mây.
Hình 8. Điều kiện tiên quyết để chuyển các chức năng bảo mật thông tin lên đám mây (theo Astra)
Ông cũng trình bày chiến lược phát triển của Astra để hỗ trợ việc triển khai nền tảng đám mây của mình. Kế hoạch tương tác với người chơi bên thứ ba trên thị trường nền tảng đám mây cũng được vạch ra.
Hiện tại, Astra đã cung cấp cho khách hàng dịch vụ “Secure Cloud PAC”, cho phép chuyển đổi liền mạch sang triển khai đám mây. Có một số giai đoạn:
- Người khởi xướng (từ 3 đến 10 máy chủ);
- PreCloud (10–30 máy chủ);
- Đám mây (hơn 30 máy chủ).
Hình 9. Cách tiếp cận của Tập đoàn Astra trong việc triển khai “Đám mây CIS”
Vladimir Molodykh, giám đốc sản phẩm của tập đoàn Tsifra, nhận thấy khó khăn khi các vấn đề tổ chức liên quan đến việc chuyển đổi các công ty nhà nước sang đám mây vẫn chưa được nghiên cứu kỹ. Điều cản trở đầu tiên của các tập đoàn nhà nước là thói quen. Mặc dù đã có các giải pháp pháp lý nhưng thủ tục chuyển đổi và giải quyết các vấn đề liên quan đến bảo mật đám mây đối với các cơ sở CII vẫn chưa rõ ràng. Một lý do khác là sự thay đổi từ phụ thuộc vào nhà cung cấp giải pháp (vendor lock-in) sang phụ thuộc vào nhà điều hành đám mây (cloud lock-in).
kết luận
Việc chuyển một số chức năng bảo mật thông tin của các công ty nhà nước sang đám mây dường như đã bắt đầu. Hiện đã có nền tảng và dịch vụ đám mây để thực hiện các nhiệm vụ liên quan. Nhưng vẫn còn đó những câu hỏi; thị trường, cộng đồng và cơ quan quản lý sẽ phải giải quyết chúng.