Trong nỗ lực mới nhất nhằm gióng lên hồi chuông cảnh báo, NCSC tiếp tục nhấn mạnh rằng Anh đang đánh giá thấp mức độ nghiêm trọng của nguy cơ từ các cuộc tấn công mạng, đồng thời đưa ra hướng dẫn cập nhật cho các đơn vị vận hành hạ tầng trọng yếu để tự bảo vệ.

Bất chấp những cảnh báo lặp lại, cả chính phủ và khu vực tư nhân vẫn chậm trễ trong việc triển khai ngay cả các biện pháp an ninh cơ bản. Như lãnh đạo NCSC từng phàn nàn hồi đầu năm, nhiều tổ chức vẫn không tuân thủ hướng dẫn và khuyến nghị an ninh mạng của cơ quan này.

Ảnh minh họa

Chính phủ hiện cũng đã trễ nhiều năm trong việc ban hành luật an ninh mạng nhằm tăng khả năng chống chịu của các lĩnh vực thuộc hạ tầng trọng yếu quốc gia, mặc dù NCSC đã nhiều lần kêu gọi xây dựng một chương trình chính sách chiến lược để khắc phục những thiếu sót.

NCSC hôm qua (6/8) đã công bố phiên bản cập nhật của Khung Đánh giá An ninh mạng — bộ hướng dẫn hỗ trợ “các dịch vụ thiết yếu trong các lĩnh vực như năng lượng, y tế, giao thông, hạ tầng kỹ thuật số và chính phủ.”

Bản cập nhật kêu gọi các tổ chức theo kịp các phương thức tấn công đang tiến hóa mà các tác nhân đe dọa sử dụng để tự bảo vệ, đồng thời sẵn sàng ứng phó và duy trì hoạt động nếu một cuộc tấn công vượt qua được hệ thống phòng thủ.

“Các mối đe dọa có thể đến từ nhiều nguồn, cả bên trong và bên ngoài tổ chức. Việc hiểu rõ bức tranh toàn cảnh về mối đe dọa và các lỗ hổng có thể bị khai thác là điều thiết yếu để xác định và quản lý rủi ro một cách hiệu quả,” NCSC cho biết.

“Thông tin này có thể đến từ các nguồn như NCSC, các mạng lưới chia sẻ thông tin liên quan đến lĩnh vực của tổ chức, cũng như các nguồn tin cậy từ chính phủ, thương mại và nguồn mở — tất cả đều có thể hỗ trợ quy trình đánh giá rủi ro của tổ chức. Các tổ chức cũng có thể đóng góp vào việc hiểu biết về mối đe dọa và lỗ hổng trong lĩnh vực của mình bằng cách tham gia các mạng lưới chia sẻ thông tin phù hợp và phối hợp với cơ quan chức năng khi cần thiết.”

Ngoài việc quản lý hệ thống của chính mình, các đơn vị vận hành hạ tầng trọng yếu quốc gia (CNI) cũng được yêu cầu phải nắm rõ hệ thống của các nhà cung cấp và nhà thầu phụ - những đối tượng có thể bị tin tặc lợi dụng để xâm nhập hệ thống CNI hoặc có sự cố gây tác động nghiêm trọng đến hệ thống CNI.

Dù tất cả các tổ chức ở Anh đều đang phải đối mặt với các cuộc tấn công mạng, các quan chức đặc biệt lo ngại về hiệu ứng dây chuyền mà một cuộc tấn công đơn lẻ vào lĩnh vực hạ tầng trọng yếu quốc gia có thể gây ra. Chính phủ Anh gần đây không công bố bất kỳ vụ tấn công nào như vậy, nhưng trên thế giới đã ghi nhận các trường hợp tấn công xảy ra tại Mỹ, Hà Lan và Singapore.

Mặc dù khung hướng dẫn này không phải là văn bản pháp lý, NCSC cho biết nó được xây dựng với kỳ vọng sẽ được sử dụng để hỗ trợ công tác quản lý. Chính phủ cũng cho biết sẽ ban hành các quy định mới cho hạ tầng trọng yếu thông qua Dự luật An ninh mạng và Khả năng chống chịu (Cyber Security and Resilience Bill) vào cuối năm nay.

Nguyễn Yến (theo The Record)