Mối đe dọa từ Iran phơi bày điểm yếu tiềm ẩn của các ông lớn công nghệ

Điều đó rất quan trọng vì thế giới hiện nay vận hành dựa trên một số ít nền tảng kỹ thuật số tư nhân. Một mối đe dọa nhắm vào “các công ty công nghệ” không chỉ dừng lại ở trụ sở chính của họ ở California. Nó lan truyền qua các vùng đám mây, các đường truyền viễn thông, các nhà cung cấp bên ngoài, các mạng phân phối nội dung, các kho ứng dụng và hệ thống định danh. Cho đến khi người dùng bình thường nhận ra, áp lực có thể đã đi qua nhiều lớp cơ sở hạ tầng.

Có lý do chính đáng để xem xét rủi ro này một cách nghiêm túc. Các cơ quan chính phủ Mỹ đã liên tục cảnh báo rằng các nhóm tin tặc mạng có liên quan đến nhà nước Iran vẫn đang hoạt động và có đủ năng lực. Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), FBI và NSA trong nhiều năm qua đều đã công bố các khuyến cáo. Họ mô tả các nhóm Iran sử dụng tấn công giả mạo (phishing), tấn công dò mật khẩu hàng loạt (password spraying), khai thác các lỗ hổng phần mềm đã biết và các cuộc tấn công gây rối nhắm vào các mạng lưới công và tư. Trong năm 2023 và 2024, các quan chức Mỹ cũng tiếp tục cảnh báo rằng các nhóm tin tặc nhà nước nước ngoài, bao gồm cả những nhóm có liên quan đến Iran, đang thăm dò cơ sở hạ tầng quan trọng và các hệ thống kết nối Internet.

Iran đã có nhiều hoạt động trong lĩnh vực này. Các quan chức Mỹ và các công ty an ninh mạng tư nhân đã xác định các nhóm tin tặc liên quan đến Iran đứng sau các chiến dịch tấn công từ chối dịch vụ phân tán (DDoS) nhắm vào các tổ chức tài chính của Mỹ vào đầu những năm 2010, các hoạt động phá hoại nhắm vào các công ty ở vùng Vịnh, và các hoạt động gián điệp liên tục nhắm vào các mạng lưới chính phủ, viễn thông, hàng không vũ trụ và công nghệ. Microsoft, Mandiant, Check Point và các công ty bảo mật lớn khác đã ghi nhận các nhóm Iran không chỉ tập trung vào gián điệp cổ điển mà còn vào các hoạt động gây ảnh hưởng và các cuộc tấn công lợi dụng những thời điểm căng thẳng chính trị. Kịch bản này rất quen thuộc: khi căng thẳng gia tăng, các hoạt động trên không gian mạng thường trở thành một trong những công cụ rẻ nhất và dễ chối bỏ trách nhiệm nhất.

Lịch sử đó làm thay đổi ý nghĩa của một lời đe dọa nhắm vào các hãng công nghệ Mỹ. Điều đó không có nghĩa là một cuộc tấn công ngoạn mục duy nhất chắc chắn sẽ xảy ra. Nó có nghĩa là rủi ro lan rộng trên một bề mặt tấn công lớn. Các công ty công nghệ lớn là mục tiêu hấp dẫn vì họ đứng ở trung tâm của rất nhiều hoạt động kinh tế. Một nhà cung cấp dịch vụ đám mây có thể cùng lúc lưu trữ các công cụ của chính phủ, bệnh viện, phần mềm hậu cần, hệ thống trả lương và các ứng dụng tiêu dùng. Một nhà cung cấp dịch vụ định danh có thể ảnh hưởng đến việc ai được truy cập vào hệ thống làm việc của hàng nghìn tổ chức. Một cuộc xâm nhập thành công vào một nhà cung cấp phần mềm hoặc nhà cung cấp dịch vụ quản lý có thể lan ra nhiều khách hàng cùng một lúc.

Đây chính là điểm yếu tiềm ẩn. Các cuộc tranh luận công khai thường tập trung vào việc liệu một công ty cụ thể có thể tự bảo vệ mạng lưới của mình hay không. Câu hỏi sâu hơn là liệu toàn bộ chuỗi cung ứng kỹ thuật số có thể chống chọi được áp lực hay không. Các nghiên cứu liên tục cho thấy tại sao điều đó lại khó khăn. Báo cáo Chi phí của một vụ rò rỉ dữ liệu hàng năm của IBM đã luôn chỉ ra rằng các vụ vi phạm liên quan đến chuỗi cung ứng và thông tin đăng nhập bị đánh cắp đặc biệt tốn kém và chậm được ngăn chặn. Báo cáo Điều tra vi phạm dữ liệu của Verizon cũng nhiều lần cho thấy lỗi của con người, các biện pháp bảo vệ thông tin đăng nhập yếu kém và các thiết bị kết nối mạng chưa được vá lỗi vẫn là những điểm xâm nhập phổ biến. Nói cách khác, ngay cả các công ty rất lớn với ngân sách bảo mật nghiêm túc cũng thường phụ thuộc vào các đối tác, nhà thầu và các hệ thống cũ kỹ kém an toàn hơn nhiều.

Sự tập trung của dịch vụ đám mây làm tình hình tồi tệ hơn. Internet hiện đại có khả năng phục hồi ở một số khía cạnh, nhưng cũng tập trung một cách bất thường ở các khía cạnh khác. Chỉ một số ít công ty thống trị lĩnh vực điện toán đám mây, các kênh quảng cáo, hệ điều hành di động, phần mềm làm việc cho doanh nghiệp và phân phối nội dung toàn cầu. Mô hình đó đã mang lại tốc độ và quy mô. Nhưng nó cũng tạo ra các dạng rủi ro hệ thống mới. Nếu các nhóm thù địch không thể phá được cửa chính của một nền tảng lớn, họ có thể nhắm vào các cửa phụ: các công cụ hỗ trợ của bên thứ ba, các nhà mạng viễn thông khu vực, các giao diện lập trình ứng dụng (API) bị lộ, hoặc các nhân viên bị tấn công tâm lý (social engineering).

Những hậu quả có thể xảy ra rộng hơn nhiều so với những gì độc giả hình dung. Người tiêu dùng có thể nghĩ đây là vấn đề của các đội bảo mật doanh nghiệp, không liên quan đến cuộc sống bình thường. Nhưng nếu các hãng công nghệ lớn của Mỹ phải đối mặt với áp lực thù địch kéo dài, các ảnh hưởng có thể lan đến việc đặt lại mật khẩu, các kênh hỗ trợ khách hàng, các bản vá phần mềm, định tuyến internet, độ trễ của dịch vụ đám mây và các hệ thống xác minh tài khoản. Các doanh nghiệp nhỏ sẽ cảm nhận được điều đó rất nhanh. Các chính quyền địa phương, trường học và bệnh viện phụ thuộc vào cùng các nền tảng đó cũng vậy. Trong những năm gần đây, mã độc tống tiền và các sự cố phần mềm đã cho thấy cuộc sống hàng ngày gắn chặt với các hệ thống kỹ thuật phụ trợ như thế nào. Một sự gián đoạn vì động cơ chính trị cũng sẽ khai thác chính sự phụ thuộc đó.

Cũng có nguy cơ phản ứng thái quá. Các công ty bị đe dọa công khai có thể vội vã thực hiện các biện pháp an ninh bề nổi và hạn hẹp, trong khi bỏ qua các bản sửa lỗi mang tính cấu trúc khó khăn hơn. Họ có thể siết chặt các thông điệp công khai, tăng cường giám sát tạm thời và đưa ra tuyên bố, nhưng vẫn để quyền truy cập của nhà cung cấp bị kiểm soát lỏng lẻo hoặc không giảm thiểu được các điểm yếu đơn lẻ. Các nhà nghiên cứu bảo mật từ lâu đã cho rằng khả năng phục hồi cũng quan trọng như việc phòng ngừa. Nói một cách đơn giản, các công ty cần phải giả định rằng một số cuộc tấn công sẽ lọt qua và xây dựng các hệ thống có khả năng chịu lỗi tốt hơn.

Điều đó có nghĩa là cần có một số bước đi cụ thể. Các công ty công nghệ lớn nên giảm sự tập trung không cần thiết trong quyền truy cập đặc biệt, phân đoạn mạng nội bộ một cách quyết liệt hơn và rút ngắn chu kỳ vá lỗi cho các hệ thống kết nối Internet. Họ nên diễn tập ứng phó sự cố cùng với các nhà cung cấp dịch vụ viễn thông, khách hàng đám mây và các nhà cung cấp quan trọng, thay vì coi một vụ vi phạm là một sự kiện nội bộ riêng tư. Xác thực đa yếu tố, khóa bảo mật phần cứng và các biện pháp kiểm soát chặt chẽ hơn đối với quyền truy cập của nhà thầu giờ đây là những nhu cầu cơ bản, không phải là các tính năng cao cấp. Việc ghi lại nhật ký hoạt động tốt hơn trên các môi trường đám mây, nơi nhiều tổ chức vẫn còn những điểm mù, cũng là điều cần thiết.

Chính phủ cũng có vai trò của mình. Các cơ quan công quyền nên chia sẻ thông tin tình báo về mối đe dọa nhanh hơn và bằng ngôn ngữ đơn giản hơn với các doanh nghiệp nhỏ hơn. Những doanh nghiệp này phụ thuộc vào các nền tảng lớn nhưng lại thiếu các đội bảo mật tinh nhuệ. Các quy định về mua sắm có thể thúc đẩy các nhà cung cấp hướng tới các biện pháp bảo mật mặc định mạnh mẽ hơn. Các cơ quan quản lý nên chú ý nhiều hơn đến rủi ro từ sự tập trung kỹ thuật số, vì sự phụ thuộc quá nhiều vào một vài công ty có thể biến một cuộc tấn công vào doanh nghiệp thành một vấn đề xã hội.

Người dùng cũng không hề bất lực. Các công ty và cá nhân có thể giảm thiểu thiệt hại bằng cách phân tán các chức năng quan trọng trên nhiều dịch vụ khác nhau nếu có thể, giữ các bản sao lưu ngoại tuyến, sử dụng trình quản lý mật khẩu, bật xác thực mạnh và cảnh giác với các tin nhắn khẩn cấp liên quan đến tài khoản. Đây là những hành động khiêm tốn, nhưng chúng rất quan trọng khi kẻ tấn công dựa vào sự hoảng loạn và nhầm lẫn.

Quan niệm sai lầm lớn nhất là cho rằng những mối đe dọa như thế này thuộc về một thế giới xa xôi của gián điệp và phô trương quân sự. Trên thực tế, chúng chỉ ra một điều gì đó cá nhân hơn nhiều. Các thiết bị trong tay chúng ta và các công cụ đám mây hỗ trợ công việc của chúng ta giờ đã là một phần của cơ sở hạ tầng địa chính trị. Khi một tổ chức quân sự nước ngoài đe dọa các hãng công nghệ lớn, vấn đề không chỉ là an ninh quốc gia. Vấn đề là liệu các hệ thống kỹ thuật số mà mọi người tin tưởng hàng ngày có được xây dựng để chống chọi được với áp lực mà không âm thầm gây hại cho họ hay không. Đây không còn là một câu chuyện bên lề về kỹ thuật. Nó là một trong những câu hỏi trọng tâm vì lợi ích cộng đồng của Internet hiện đại.