Hà NộiMột buổi sáng tại Trung tâm giám sát mạng máy tính, Cục Công nghệ thông tin, Bộ Công an, hàng chục chấm đỏ báo động bất ngờ nhấp nháy liên tục trên bản đồ điện tử.
Hệ thống cảnh báo cho thấy máy tính tại công an một số tỉnh bị máy chủ đặt ở nước ngoài gửi các truy vấn thông tin bất thường. Người mới thấy lần đầu có thể sẽ căng thẳng, choáng ngợp, nhưng với các chiến sĩ an ninh công nghệ thông tin, không tình huống nào có thể khiến bất ngờ. Nhịp làm việc không xáo trộn. Tất cả đã nằm trong các kịch bản xử lý sự cố.
Quy trình công tác lập tức được triển khai: khoanh vùng thiết bị nghi nhiễm, phân tích dữ liệu lưu lượng, đối chiếu với kho mẫu mã độc quốc tế và trong nước.
Các cán bộ mắt dán chặt vào màn hình, cả trung tâm lúc này chỉ có tiếng gõ phím, mọi thao tác diễn ra gọn gàng như đã lặp đi lặp lại hàng nghìn lần. Sau ít phút, kết quả phân tích hiện ra, cho thấy đây là một dạng mã độc có khả năng tự động lây lan ngang qua mạng nội bộ.
Các chiến sĩ tại Trung tâm giám sát mạng máy tính, H05 Bộ Công an trong ngày làm việc bình thường có thể nhận diện, phân loại, xử lý hàng trăm nghìn trường hợp sự cố, Ảnh: Phạm Dự
Quy trình phối hợp ngay sau đó được kích hoạt: thông báo cho lực lượng chuyên trách về công nghệ thông tin tại Công an tỉnh thực hiện (lực lượng điều phối, ứng cứu sự cố tại Công an tỉnh) cô lập mạng cục bộ, đồng thời từ trung tâm điều khiển chính sách “tường lửa” chặn toàn bộ kết nối đến máy chủ độc hại được kích hoạt.
Khoảng 5 phút sau, sự cố ở địa phương được khống chế hoàn toàn, hệ thống trở lại bình thường. Cán bộ địa phương vẫn truy cập hệ thống và giải quyết hồ sơ, thông suốt dịch vụ công, không ai biết là đã có một “cuộc chiến” vừa diễn ra âm thầm và được xử lý trôi chảy.
Không giống những mặt trận chống tội phạm khác, ở Cục Công nghệ thông tin, áp lực không đến từ những kẻ cầm vũ khí hay tiếng súng nổ bên tai. Nó đến từ nỗi lo, chỉ một “lỗ hổng” vượt tường, cả hệ thống dữ liệu, vận hành toàn ngành và các thủ tục hành chính công liên quan triệu người dân sẽ gặp nguy hiểm.
Trăm nghìn loại sự cố
Thượng tá Phạm Anh Tuân, Phó Giám đốc Trung tâm giám sát mạng máy tính, cho biết sự cố có thể xuất phát từ nhiều nguyên nhân, thậm chí đến từ một lỗi rất đơn giản do thao tác bất cẩn của người dùng. Điển hình có trường hợp mạng máy tính nội bộ của một đơn vị công an cấp huyện cũ đã vô tình kết nối với mạng Internet do thao tác của người dùng.
Sự cố tưởng nhỏ, nhưng có thể gây lộ, mất dữ liệu của ngành. Hệ thống giám sát của Trung tâm do đó đã lập tức kích hoạt chế độ cảnh báo. Cán bộ của Trung tâm đã nhanh chóng phối hợp với đơn vị để cách ly chiếc máy tính đó, đảm bảo an toàn cho cả hệ thống, bởi lúc này nguy cơ lây nhiễm cho các máy tính đang sử dụng mạng máy tính nội bộ rất cao.
Lãnh đạo Trung tâm cho hay, trước đây các sự cố sẽ được Cục Công nghệ thông tin hướng dẫn từ xa để địa phương tự xử lý. Nhưng với việc vận hành Trung tâm giám sát mạng máy tính, các sự cố, từ đơn vị công an cấp xã đều tự động được báo về và được tự động ngăn chặn từ xa thông qua hệ thống tự động hóa, điều phối và phản ứng nhanh để xử lý dứt điểm, thần tốc.
Thượng tá Phạm Anh Tuân, Phó giám đốc Trung tâm giám sát mạng máy tính. Ảnh: Phạm Dự
Thượng tá Tuân cho biết từng xảy ra nhiều vụ “tưởng nhỏ mà không nhỏ”, có thể chỉ vì một chiếc USB không bảo mật, mã độc sẽ lây sang cả chục máy. Nếu không phát hiện kịp sẽ làm cả mạng nội bộ của tỉnh đó phải tạm dừng. Những chi tiết này cho thấy chỉ một sai sót nhỏ cũng đủ tạo ra rủi ro lớn.
Hay có lần, một tỉnh báo cáo sự cố mạng diện rộng, khi kiểm tra, Trung tâm phát hiện nguyên nhân chỉ là sự cố mất điện tạm thời. Nhưng quy trình vẫn phải thực hiện đủ các bước. “Không được phép chủ quan, vì có khi kẻ tấn công lợi dụng đúng thời điểm ấy để cài cắm mã độc”, anh Tuân nói.
Theo một cán bộ Trung tâm, thời gian phản ứng tính bằng phút, thậm chí giây. Nếu chậm, mã độc có thể lan ra toàn quốc. Mọi hướng dẫn phải thật chính xác, rõ ràng, dễ hiểu, để địa phương làm đúng ngay lần đầu.
Các kịch bản ứng cứu được xây dựng sẵn, từ chặn tên miền độc hại ngay tại “tường lửa” địa phương cho tới ngắt kết nối mạng của máy tính bị nhiễm mã độc. Khi tình huống nghiêm trọng hơn, trung tâm trực tiếp điều khiển thiết bị, phối hợp địa phương xử lý tận gốc.
Trung tá Nguyễn Thị Hải, cán bộ Phòng kỹ thuật công nghệ thông tin và an toàn thông tin số, chia sẻ đơn vị luôn sẵn sàng các kịch bản để hóa giải “tính bằng giây” với các sự cố. Với tính chất đặc thù hơn so với một số lĩnh vực khác, H05 có nhiệm vụ bảo đảm an toàn thông tin cho hàng trăm hệ thống thông tin trong ngành Công an.
Trong kỷ nguyên số, khi “an ninh” thông tin được an toàn thì các công tác chỉ huy mới thông suốt. Chị nói rằng “hậu quả sẽ vô cùng nghiêm trọng” nếu hệ thống bị xâm nhập nên tất cả cán bộ phải tập trung cao độ.
Trung tá Hải đếm “sơ qua” đã thấy sự gia tăng và độ phức tạp của các mối đe dọa về thông tin mạng. Theo chị, các hình thức tấn công cũng ngày càng tinh vi, có chủ đích, quy mô lớn như APT, ransomwere (mã độc tống tiền). Hơn nữa, môi trường công nghệ thay đổi cũng khiến các cán bộ như chị phải “update bộ não” liên tục, học hỏi không ngừng để khắc phục điểm yếu mà tin tặc có thể tấn công.
Cùng với hệ thống giám sát, các hệ thống chống mã độc tập trung đã được triển khai trên mạng diện rộng ngành Công an, bảo vệ cho các hệ thống thông tin nội ngành. Nữ trung tá cũng không nhớ nổi đã phát hiện ra bao nhiêu hoạt động, thu thập thông tin của các tổ chức, cá nhân “xâm nhập vào mạng nội bộ ngành công an”. Đơn vị còn bóc gỡ nhiều loại mã độc nguy hiểm, trong đó có các dòng mã độc gián điệp Mustang Panda chuyên thu thập, mã hóa dữ liệu thuộc nhiều biến thể khác nhau.
Song tất cả, dù là biến thể mã độc đặc biệt nguy hiểm, đều bị “đẩy lùi từ ngoài cửa”, trung tá Hải nói.
‘Tường lửa’ 3 lớp phòng thủ
Tại phòng trực “sáng màn hình” 24/7, khoảng 10 chiến sĩ chia nhau hai ca trực và ứng phó với hàng trăm nghìn tình huống bất thường mỗi ngày. Nhưng khi được hỏi về công việc, thượng tá Phạm Anh Tuân chỉ nói “không có gì nhiều để kể”.
Trung tâm có nhiệm vụ giám sát 24/7 an toàn mạng của ngành Công an trên phạm vi toàn quốc; theo dõi, phát hiện mọi tín hiệu bất thường; phân loại sự cố từ nghi ngờ nhỏ đến tấn công lớn; ứng cứu, phối hợp xử lý và xây dựng các kịch bản phòng thủ, ứng phó từng loại tấn công…
Có ngày, hệ thống ghi nhận hàng trăm nghìn sự kiện “chấm đỏ báo động”, con số nghe có vẻ choáng ngợp, nhưng theo cán bộ Trung tâm, không phải “chấm đỏ” nào cũng là trường hợp nguy cấp.
Trung tâm giám sát vận hành theo ba lớp để lọc, phân loại các sự cố này. Đầu tiên, cán bộ giám sát mọi dấu hiệu bất thường, một địa chỉ IP liên tục ping ra ngoài, một máy tính kết nối tới tên miền, địa chỉ IP nằm trong danh sách đen, thông tin cảnh báo từ các hệ thống phát hiện xâm nhập, phòng chống mã độc, hay lượng truy vấn tăng đột biến… Dữ liệu được ghi nhận thành “sự kiện an toàn thông tin”.
Lớp thứ hai, phân tích, tiếp nhận các sự kiện phức tạp. Họ bóc tách log, thử nghiệm mẫu trong môi trường ảo, so sánh với cơ sở dữ liệu.
Lớp cuối cùng, chuyên sâu và là nơi đưa ra kết luận. Tại đây, các chuyên gia nghiên cứu lâu hơn, phân loại bản chất sự cố, bổ sung chính sách giám sát mới để lần sau hệ thống tự động nhận diện và xử lý, tiết kiệm thời gian, nhân lực.
Cán bộ tại Trung tâm giám sát mạng máy tính xác định, dù đỏ mắt với những ca trực ngày đêm, không bao giờ bỏ lọt sự cố. Ảnh: Phạm Dự
Nhằm đảm bảo an toàn thông tin mạng, Cục Công nghệ thông tin đang chủ trì xây dựng đề án nâng cao năng lực bảo đảm an toàn thông tin số cho toàn lực lượng Công an. Chỉ đạo trực tiếp và xuyên suốt là Trung tướng Dương Văn Tính, Cục trưởng Công nghệ thông tin.
“Dự kiến đây sẽ là bức tranh tổng thể về hiện trạng an toàn thông tin trong ngành công an. Đề án bao trùm từ chính sách đến con người, tổ chức bộ máy, công nghệ”, trung tá Hải chia sẻ. Mục tiêu hướng đến của đề án là để nâng cao năng lực bảo đảm an toàn thông tin số, chủ động phòng ngừa từ sớm, từ xa, sẵn sàng ứng phó với các nguy cơ gây mất an toàn thông tin trong công an nhân dân.
Đề án cũng nhằm “thay đổi căn bản về nhận thức” và cách làm để thích ứng một cách chủ động. Qua đó chuyển đổi từ mô hình bảo vệ phân tán sang bảo vệ tập trung. Từ bị động ứng cứu sự cố sang chủ động dự báo sớm, cảnh báo sớm để phòng ngừa và ứng phó hiệu quả.
Đề án còn hướng đến việc quy hoạch các hệ thống bảo đảm an toàn thông tin theo xu hướng chung của thế giới là Zero trust – không tin tưởng bất kỳ ai hoặc thiết bị nào mà không xác minh rõ ràng.
Bảo vệ an ninh, an toàn thông tin mạng, với các chiến sĩ thuộc Trung tâm giám sát mạng máy tính cũng là bảo vệ an ninh quốc gia. Công việc dù lặng lẽ, ít được biết đến nhưng họ luôn là “tường lửa” mang sứ mệnh sống còn, chặn đứng tin tặc ngay khi mới là những chấm đỏ lóe lên trên bản đồ.
“Dù đỏ mắt với những ca trực đêm, không bao giờ rời mắt khỏi màn hình. Không có ai kêu ca, vì mọi người đều hiểu đang giữ cho hệ thống toàn quốc thông suốt”, thượng tá Phạm Anh Tuân nói.
Phạm Dự – Hải Thư