Đó là quan điểm của chuyên gia bảo mật Bruce Schneier – người nhận giải Giải Lãnh đạo Doanh nghiệp về An ninh mạng (Business Leader in Cybersecurity Award) do Diễn đàn Toàn cầu Boston trao tặng năm 2015, người lo sợ cuộc sống sẽ bị biến mất trong một thảm họa mạng trừ khi các chính phủ nhanh chóng hành động.

Chuyên gia bảo mật Bruce Schneier

Các tiện ích thông minh hiện diện ở khắp mọi nơi. Các khả năng là bạn sở hữu chúng ở nơi làm việc, tại nhà của bạn, và có lẽ trên cả cổ tay của bạn. Theo ước tính từ hãng nghiên cứu Gartner, sẽ có hơn 11 tỷ thiết bị kết nối internet (ngoại trừ điện thoại thông minh và máy tính) được lưu hành trên toàn thế giới trong năm nay, gần gấp đôi con số chỉ vài năm trước đây.

Nhiều tỷ thiết bị kết nối internet hơn sẽ sớm được kết nối trực tuyến. Khả năng kết nối của chúng là những gì làm cho chúng trở nên hữu ích nhưng nó cũng là một cơn ác mộng đối với vấn đề an ninh mạng. Các tin tặc đã cho thấy rằng họ có thể làm hại mọi thứ từ những chiếc xe hơi được kết nối tới những thiết bị y tế, và các cảnh báo đang được nhấn mạnh hơn rằng vấn đề bảo mật hiện không được quan tâm đúng mực trong quá trình tự phát nhằm tung sản phẩm ra thị trường.

Trong một cuốn sách mới có tên là “Click Here to Kill Everybody – Nhấn vào đây để tiêu diệt tất cả mọi người”, Bruce Schneier lập luận rằng các chính phủ phải có hành động ngay bây giờ nhằm buộc các công ty phát triển các tiện ích kết nối đảm bảo an toàn quyền ưu tiên hơn là cách giải quyết đến sau. Tác giả của blog và bản tin bảo mật có ảnh hưởng, Schneier là thành viên tại Trung tâm Berkman Klein về Internet & Xã hội tại Đại học Harvard và là giảng viên về chính sách công tại Trường Harvard Kennedy. Ngoài ra, trong các vai trò khác, ông còn là thành viên của Quỹ Biên giới điện tử và là giám đốc công nghệ của IBM Resilient, đơn vị giúp các công ty chuẩn bị đối phó với các mối đe dọa tiềm ẩn trên mạng.

Schneier đã chia sẻ với tạp chí MIT Technology Review về những rủi ro mà con người sẽ phải đối mặt trong một thế giới được kết nối hơn bao giờ hết cũng như những chính sách mà ông cho là rất cần thiết để giải quyết chúng.

Tiêu đề cuốn sách của ông dường như cố ý gieo rắc nỗi hoang mang sợ hãi. Đó có phải chỉ là nỗ lực để đẩy mạnh việc bán sách hay không?

Nghe có vẻ giống như việc tạo ra clickbait nhưng tôi đang cố gắng trình bày nội dung rằng internet hiện ảnh hưởng đến thế giới theo cách trực tiếp, và điều đó làm thay đổi mọi thứ. Nó không còn là các vấn đề rủi ro cho dữ liệu mà là các rủi ro đối với sinh mạng và tài sản. Và tiêu đề cuốn sách thực sự chỉ ra rằng hiện tồn tại mối đe dọa vật lý ở đây, và rằng mọi thứ là khác biệt so với những gì chỉ cách đây 5 năm.

Sự dịch chuyển này đang làm thay đổi quan niệm về an ninh mạng của chúng ta như thế nào?

Các chiếc xe hơi của chúng ta, các thiết bị y tế của chúng ta, các thiết bị gia dụng của chúng ta, tất cả hiện là các máy tính với những thứ đi kèm. Chiếc tủ lạnh của bạn là một máy tính giữ mát cho mọi thứ, và cái lò vi sóng là một máy tính làm hâm nóng cho mọi thứ. Và chiếc xe của bạn là một chiếc máy tính sở hữu bốn bánh và một động cơ. Các máy tính hiện nay không còn đơn giản chỉ bao gồm một màn hình mà chúng ta bật lên và nhìn vào, và đó là sự thay đổi lớn. An ninh máy tính, lĩnh vực riêng biệt của máy tính, là gì và nó hiện là vấn đề bảo mật mọi thứ.

Ông đã đưa ra một thuật ngữ mới, “Internet +”, để gói gọn sự thay đổi này. Nhưng chúng ta đã có cụm từ “Internet vạn vật” để mô tả nó đúng không?

Tôi ghét phải tạo một thuật ngữ thông dụng khác bởi có quá nhiều thuật ngữ hiện nay. Nhưng “Internet vạn vật” lại quá hẹp. Thuật ngữ này đề cập đến các thiết bị được kết nối, các bộ điều chỉnh nhiệt và các tiện ích khác. Đó chỉ là một phần trong những gì chúng ta đang thảo luận ở đây. Nó thực sự là internet vạn vật cộng với các máy tính cộng với các dịch vụ cộng với các cơ sở dữ liệu lớn đang được xây dựng cộng với các công ty internet cộng với con người. Tôi chỉ rút gọn tất cả điều này thành “Internet +”.

Hãy tập trung vào thành phần “con người” trong phương trình đó. Ông nói trong cuốn sách rằng con người đang trở thành “các sinh vật cơ khí hóa ảo”. Vậy ý của ông là gì?

Con người đã liên kết mật thiết với các thiết bị như điện thoại, thứ mà con người xem nhiều lần trong ngày và các công cụ tìm kiếm giống như các bộ não trực tuyến của con người. Hệ thống điện của con người, mạng lưới giao thông của con người, hệ thống thông tin liên lạc của con người, đều có trên internet. Nếu Internet gặp sự cố, đến một mức độ rất thực tế mà xã hội không thể tiến hành được nữa vì con người hoàn toàn lệ thuộc vào Internet ở mọi cấp độ. Các máy vi tính hiện chưa được nhúng rộng rãi vào cơ thể con người nhưng chúng được nhúng sâu vào đời sống con người.

Có phải con người không thể tự ngắt kết nối để hạn chế rủi ro?

Điều đó càng ngày càng trở nên khó khăn hơn. Tôi đã cố gắng mua một chiếc xe hơi không kết nối với internet và tôi đã thất bại. Lý do không phải là không có chiếc xe nào có sẵn như thế này mà là những chiếc xe nằm trong danh mục tôi muốn mua tất cả đều có kết nối internet. Ngay cả khi chiếc xe có thể đã được tắt thì vẫn không có sự đảm bảo rằng các tin tặc không thể khởi động nó trở lại từ xa.

Các tin tặc cũng có thể khai thác lỗ hổng bảo mật ở một loại thiết bị để tấn công người khác, đúng không?

Có rất nhiều ví dụ về điều này. Botnet Mirai đã khai thác lỗ hổng trong các thiết bị gia đình như các DVR và webcam. Những điều này đã được các tin tặc thực hiện và được sử dụng để khởi động một cuộc tấn công trên một máy chủ tên miền, mà sau đó khiến một loạt các trang web phổ biến bị ngưng kết nối. Các tin tặc, đối tượng tấn công hệ thống của tập đoàn bán lẻ Target đã xâm nhập vào mạng thanh toán của đơn vị này thông qua lỗ hổng trong hệ thống CNTT của một nhà thầu làm việc cho một số cửa hàng của tập đoàn bán lẻ này.

Đúng vậy, nhưng những sự cố này không dẫn đến mất tính mạng hoặc tứ chi, và con người chưa từng thấy nhiều trường hợp liên quan đến tổn hại vật chất tiềm ẩn phải không?

Chúng tôi chưa từng thấy. Hầu hết các cuộc tấn công vẫn liên quan đến vi phạm dữ liệu, quyền riêng tư và tính bảo mật. Nhưng chúng ta đang bước vào một kỷ nguyên mới. Tôi rõ ràng lo ngại nếu ai đó đánh cắp hồ sơ y tế của tôi, và chuyện gì sẽ xảy ra nếu họ thay đổi nhóm máu của tôi trong cơ sở dữ liệu? Tôi không những không muốn ai đó hack kết nối Bluetooth của chiếc xe và nghe được các cuộc trò chuyện của tôi mà còn thực sự không muốn họ vô hiệu hóa tay lái của mình. Những cuộc tấn công này đánh vào tính toàn vẹn và sẵn có của hệ thống là những cuộc tấn công mà con người thực sự phải lo lắng trong tương lai vì chúng trực tiếp ảnh hưởng đến tính mạng và tài sản.

Đã có rất nhiều cuộc thảo luận diễn ra tại Hoa Kỳ trong năm nay về các mối đe dọa trên mạng đối với cơ sở hạ tầng quan trọng như lưới điện và các con đập. Những mối đe dọa này nghiêm trọng như thế nào?

Chúng ta biết rằng ít nhất hai lần, các tin tặc Nga đã ngắt nguồn điện, gây gián đoạn lưới điện của Ucraina như là một phần trong chiến dịch quân sự có quy mô rộng lớn hơn. Chúng ta biết rằng các tin tặc cấp quốc gia-nhà nước đã xâm nhập vào các hệ thống của một số công ty điện lực Hoa Kỳ. Những xâm nhập trái phép này là những cuộc do thám và không gây ra thiệt hại nhưng chúng ta biết có thể làm như vậy. Nếu có bất kỳ thù địch quân sự nào đối với Hoa Kỳ, chúng ta nên biết rằng những cuộc tấn công này sẽ được sử dụng. Và Hoa Kỳ sẽ sử dụng chúng chống lại các đối thủ của chúng ta chỉ vì chúng ta đã sử dụng các cuộc tấn công mạng để làm trì hoãn các chương trình hạt nhân ở Iran và Bắc Triều Tiên.

Tất cả điều này có quan hệ mật thiết gì đến cách tiếp cận bảo mật máy tính hiện nay của chúng ta, chẳng hạn như phát hành bản vá lỗi hoặc sửa lỗi cho các lỗi phần mềm?

Vá là một cách để lấy lại bảo mật. Chúng ta sản xuất các hệ thống không tốt lắm, sau đó tìm các lỗ hổng và vá chúng. Điều đó hoạt động tốt với điện thoại hoặc máy tính của bạn bởi chi phí không an toàn là tương đối thấp. Nhưng chúng ta có thể làm điều này với một chiếc xe hơi? Có tốt không khi đột nhiên nói một chiếc xe hơi không an toàn, một tin tặc có thể làm hỏng chiếc xe này nhưng đừng lo lắng vì sẽ có một bản vá được phát hành vào tuần tới? Chúng ta có thể làm điều đó với máy tạo nhịp tim được nhúng không? Vì các máy tính hiện nay ảnh hưởng đến thế giới theo cách trực tiếp nên chúng ta không thể chờ đợi các bản sửa lỗi.

Nhưng con người đã có các tiêu chuẩn bảo mật rất nghiêm ngặt đối với phần mềm được sử dụng trong các lĩnh vực vật lý mạng nhạy cảm như hàng không đúng không?

Đúng, nhưng nó rất đắt đỏ. Những tiêu chuẩn đó được xây dựng là do đã có quy định cứng rắn/nghiêm ngặt của chính phủ trong lĩnh vực này và một số ngành khác. Đối với hàng tiêu dùng, bạn không có mức độ an toàn và bảo mật đó, và điều đó sẽ phải thay đổi. Thị trường hiện tại không hề đảm bảo phần mềm bảo mật ở đây. Chỉ cần bạn, với tư cách là một công ty, không giành được thêm thị phần vì vấn đề bảo mật hơn, bạn sẽ không dành nhiều thời gian cho vấn đề này.

Vậy con người cần làm gì để làm cho kỷ nguyên Internet+ trở nên an toàn hơn?

Không có ngành nào được cải thiện về mức độ an toàn hoặc bảo mật mà không có sự bắt buộc từ phía chính phủ. Một lần nữa và một lần nữa, các công ty phớt lờ yêu cầu về bảo mật cho đến khi họ buộc phải chấp hành nó một cách nghiêm túc. Chúng ta cần chính phủ đẩy mạnh ở đây với sự kết hợp của những thứ nhắm tới các công ty phát triển các thiết bị kết nối internet. Chúng bao gồm các tiêu chuẩn linh hoạt, các quy tắc cứng nhắc và các luật trách nhiệm pháp lý khó khăn mà có hình phạt đủ mạnh để gây thiệt hại nghiêm trọng đến thu nhập của công ty.

Nhưng những thứ như các luật trách nhiệm pháp lý nghiêm ngặt sẽ không gây hiệu ứng sợ hãi tới sự đổi mới đúng không?

Đúng, chúng sẽ dội gáo nước lạnh vào sự đổi mới – nhưng đó là những gì cần thiết ngay bây giờ! Vấn đề là sự đổi mới trong thế giới Internet + có thể giết chết bạn. Chúng ta làm giảm động lực đổi mới trong những thứ như phát triển dược phẩm, thiết kế máy bay, và các nhà máy điện hạt nhân bởi chi phí khiến quá trình đổi mới bị chệch hướng là quá lớn. Chúng ta đã trình bày xong nội dung mà chúng ta cần thảo luận về quy định so với không quy định đối với những thứ được kết nối; chúng ta phải thảo luận về quy định thông minh so với quy định ngu xuẩn.

Tuy nhiên, hiện có sự căng thẳng cơ bản ở đây phải không? Các chính phủ cũng muốn khai thác các lỗ hổng về gián điệp, thực thi pháp luật và các hoạt động khác.

Các chính phủ chắc chắn vừa đóng vai trò như những người xâm phạm quyền lợi của người khác vừa là những người gác cửa. Tôi nghĩ rằng cuối cùng, chúng ta sẽ giải quyết tình trạng căng thẳng lâu dài này giữa sự vi phạm và sự bảo vệ nhưng nó sẽ là một hành trình lâu dài và đầy khó khăn để có thể giải quyết được điều đó.

Cuốn sách của ông chủ yếu tập trung vào Hoa Kỳ. Ông có nghĩ rằng Hoa Kỳ sẽ đi đầu trong lĩnh vực này?

Tôi tập trung vào Hoa Kỳ vì đó là nơi tập trung các công ty công nghệ lớn và đó là nơi có chế độ tôi nắm rõ nhất nhưng tôi cũng đề cập một chút đến châu Âu. Liên minh châu Âu là siêu cường pháp lý trên hành tinh này hiện nay. Tôi nghĩ rằng châu Âu sẽ tiến xa hơn và nhanh hơn so với Hoa Kỳ. Tại Hoa Kỳ, tôi quan tâm nhiều hơn đến các tiểu bang, và đặc biệt là Massachusetts, New York và California.

Tôi cũng nghĩ rằng sẽ có các hiệp ước và quy phạm quốc tế giúp một số cơ sở hạ tầng được kết nối của chúng ta hạn chế được các cuộc tấn công mạng quốc gia dân tộc, ít nhất là trong thời bình. Chúng ta cần khẩn trương hành động ở mọi cấp độ, từ cấp độ địa phương đến cấp độ quốc tế. Nỗi lo sợ lớn nhất của tôi là sẽ có thảm họa mạng xảy ra và rằng các chính phủ sẽ vội vã thực hiện các biện pháp, mà không suy nghĩ nhiều, điều đó sẽ không giải quyết được vấn đề.

Hoài Thu

Lược dịch theo MIT Technology Review


Tác giả Martin Giles: Trưởng chi nhánh San Francisco của MIT Technology Review, trước đó làm trong The Economist.