Tại sao sự kiệt sức của con người là mối đe dọa an ninh mạng lớn hơn nhiều so với mã máy tính phức tạp

Sự chuyển dịch từ các lỗ hổng kỹ thuật sang kỹ nghệ xã hội (social engineering) đã thay đổi hoàn toàn bối cảnh của các mối đe dọa kỹ thuật số. Trong nhiều năm, ngành an ninh mạng toàn cầu đã tập trung mạnh mẽ vào việc xây dựng các bức tường lửa cao hơn và triển khai phần mềm diệt virus tinh vi. Tuy nhiên, dữ liệu từ Báo cáo Chi phí Vi phạm Dữ liệu của IBM liên tục cho thấy các thông tin đăng nhập bị đánh cắp hoặc bị lộ, cùng với các thủ đoạn lừa đảo qua mạng (phishing), vẫn là những phương thức tấn công ban đầu phổ biến nhất. Tại Mỹ, Cơ quan An ninh Mạng và Cơ sở Hạ tầng đã nhiều lần cảnh báo rằng những kẻ tấn công bằng mã độc tống tiền (ransomware) phần lớn đang bỏ qua các hệ thống phòng thủ tiên tiến để nhắm vào mắt xích yếu nhất và mang yếu tố con người nhiều nhất. Chúng ta đã thấy điều này thể hiện rõ ràng vào năm 2018 khi thành phố Atlanta bị đình trệ hoàn toàn. Các tin tặc không sử dụng một vũ khí kỹ thuật số phức tạp đến mức không tưởng; chúng sử dụng một biến thể mã độc tống tiền quen thuộc mang tên SamSam để khai thác các mật khẩu yếu và các máy chủ hướng ra bên ngoài. Cuộc tấn công đã làm tê liệt các dịch vụ của thành phố, buộc nhân viên tòa thị chính phải viết báo cáo bằng tay và đẩy hệ thống tòa án địa phương vào tình trạng hỗn loạn, cuối cùng tiêu tốn của người nộp thuế hàng triệu đô la để khắc phục.

Nguyên nhân sâu xa của điểm yếu này nằm ở sự đứt gãy nguy hiểm giữa các công cụ mà xã hội sử dụng và những người được giao nhiệm vụ duy trì chúng. Trên khắp thế giới, cơ sở hạ tầng thiết yếu ngày càng được quản lý bởi các chính quyền địa phương, mạng lưới y tế khu vực và các học khu công lập. Những tổ chức này gắn bó chặt chẽ với đời sống hàng ngày, nhưng họ lại hoạt động với ngân sách eo hẹp và các hệ thống cũ kỹ lỗi thời. Trong khi các ngân hàng quốc tế và tập đoàn công nghệ đa quốc gia có thể chi trả cho những đội ngũ chuyên gia phân tích bảo mật để giám sát lưu lượng mạng suốt ngày đêm, thì một nhà máy xử lý nước của quận hoặc một bệnh viện khu vực lại không thể. Hơn nữa, không thể phủ nhận yếu tố mệt mỏi của con người. Các nhân viên trong những lĩnh vực công này thường xuyên bị yêu cầu làm nhiều việc hơn với nguồn lực ít hơn, phải xử lý hàng trăm email và yêu cầu kỹ thuật số mỗi ngày. Khi tội phạm mạng tận dụng trí tuệ nhân tạo để tạo ra những email lừa đảo được viết hoàn hảo, có tính cá nhân hóa cao, bắt chước giọng điệu của một cấp trên hoặc nhà cung cấp đáng tin cậy, thì một nhân viên mệt mỏi vào cuối ca làm việc dài tự nhiên sẽ rất dễ mắc bẫy. Đây là sự thất bại của môi trường làm việc, chứ không phải do trí thông minh của cá nhân.

Hậu quả của lỗ hổng mang tính cấu trúc này vượt xa khỏi những màn hình máy tính bị khóa và tiền điện tử bị tống tiền. Khi các mạng lưới dân sự và y tế sụp đổ, hệ lụy để lại là hữu hình, thực tế và vô cùng đáng báo động. Năm 2022, chính phủ Costa Rica đã phải tuyên bố tình trạng khẩn cấp quốc gia sau khi một làn sóng tấn công mã độc tống tiền dồn dập làm tê liệt bộ tài chính, đình trệ thương mại quốc tế tại các cửa khẩu và phá vỡ nghiêm trọng hệ thống y tế quốc gia. Người dân không thể nhận được chẩn đoán y tế kịp thời, và các doanh nghiệp xuất khẩu chịu tổn thất thảm khốc khi hàng hóa thối rữa trong các nhà kho. Tương tự, tại Mỹ, các cuộc tấn công bằng mã độc tống tiền vào mạng lưới y tế thường xuyên buộc các bệnh viện phải chuyển hướng xe cứu thương khỏi phòng cấp cứu và trì hoãn các ca phẫu thuật cứu người. Khi hồ sơ bệnh án đột ngột bị mã hóa và không thể truy cập, các bác sĩ buộc phải làm việc trong mù tịt, gây nguy hiểm nghiêm trọng đến sự an toàn của bệnh nhân. Không gian kỹ thuật số đã hoàn toàn xâm nhập vào thế giới thực, đồng nghĩa với việc một cuộc tấn công mạng vào bệnh viện địa phương không còn chỉ là một vụ rò rỉ dữ liệu, mà là mối đe dọa trực tiếp đối với sức khỏe cộng đồng và tính mạng con người.

Để đảo ngược xu hướng nguy hiểm này đòi hỏi một sự thay đổi sâu sắc trong cách xã hội tiếp cận vấn đề phòng thủ kỹ thuật số. Các chính phủ và tổ chức phải ngừng coi an ninh mạng đơn thuần là một khoản chi phí công nghệ thông tin, mà hãy bắt đầu xem nó như một trụ cột cốt lõi của an toàn công cộng. Điều này bắt đầu bằng việc chuyển đổi mô hình sang những gì các chuyên gia trong ngành gọi là "kiến trúc không tin cậy" (zero-trust architecture), một khuôn khổ mặc định rằng các mối đe dọa đã tồn tại sẵn trong mạng lưới và yêu cầu xác minh liên tục đối với bất kỳ người dùng nào cố gắng truy cập dữ liệu nhạy cảm. Tuy nhiên, chỉ riêng các khuôn khổ công nghệ là không đủ. Tuyến phòng thủ hiệu quả nhất phải lấy khả năng phục hồi của con người làm trung tâm. Các chính quyền thành phố và các nhà cung cấp dịch vụ y tế cần nguồn tài trợ mạnh mẽ, liên tục từ chính quyền liên bang hoặc quốc gia, được phân bổ dành riêng cho công tác đào tạo an ninh mạng và hiện đại hóa hệ thống. Thay vì bắt ép nhân viên xem các video tuân thủ nhàm chán mỗi năm một lần, các tổ chức phải nuôi dưỡng một văn hóa bảo mật, nơi người lao động cảm thấy được trao quyền để xác minh các yêu cầu đáng ngờ mà không sợ bị khiển trách vì làm chậm tiến độ công việc. Hơn nữa, hợp tác quốc tế là điều cần thiết để theo dõi và triệt phá các mạng lưới tài chính cho phép các băng đảng mã độc tống tiền rửa những khoản tiền chiếm đoạt được mà không bị trừng phạt.

Đã từ rất lâu, cuộc thảo luận công khai xung quanh vấn đề phòng thủ kỹ thuật số bị che lấp bởi các thuật ngữ chuyên môn và sự tập trung sai lệch vào giới tinh hoa công nghệ. Chúng ta đã xây dựng những pháo đài kỹ thuật số được trang bị các hệ thống báo động tốt nhất, nhưng lại mở toang cửa chính vì quên hỗ trợ chính những người đang nắm giữ chìa khóa. Khi cuộc sống hàng ngày trở nên hoàn toàn không thể tách rời khỏi các mạng lưới quản lý nguồn nước, sức khỏe và nền kinh tế của chúng ta, rủi ro là quá lớn để có thể phớt lờ yếu tố con người trong phòng thủ kỹ thuật số. Một tương lai an toàn sẽ không được đảm bảo chỉ bằng việc viết ra những phần mềm tốt hơn. Nó sẽ được bảo vệ bằng cách thừa nhận rằng cơ sở hạ tầng kỹ thuật số của chúng ta chỉ vững vàng khi các tổ chức con người và những nhân viên mệt mỏi được giao nhiệm vụ bảo trì nó đủ vững vàng. Chiến trường thực sự của an ninh mạng hiện đại không nằm ở một máy chủ xa xôi nào đó, mà nằm trong những công việc thường nhật của chính những người đang giữ cho xã hội này vận hành.