Vào tháng 3/2020, Nhà Trắng đã công bố quyết định phát triển Chiến lược quốc gia về bảo mật 5G với hy vọng mở rộng việc sử dụng công nghệ hiện đại trong chính phủ liên bang. Tuy nhiên, quá trình này gặp phải những thách thức nhất định đối với các cơ quan, tổ chức, bởi những rào cản liên quan đến bề mặt tấn công có thể gia tăng sau khi triển khai 5G, hay điểm yếu của phần mềm và giảm khả năng hiển thị.
Ngày 17/7/2023, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã giới thiệu quy trình về bảo mật thiết kế, triển khai và khả năng phục hồi mạng 5G, cung cấp cho các cơ quan liên bang một kế hoạch chi tiết để bắt đầu và định hướng quy trình quản lý rủi ro để cấp phép cho hệ thống 5G.
5G đã trở thành ưu tiên hàng đầu vì đây là công nghệ không dây kết hợp khả năng kết nối và điện toán phổ biến. Bằng cách sử dụng nhiều băng thông hơn và tần số cao hơn, 5G thành công trong việc truyền tải nhiều dữ liệu hơn một cách nhanh chóng và hiệu quả. Loại mạng này sẽ rất quan trọng đối với các dự án trong các lĩnh vực như giao thông, quốc phòng và sản xuất công nghiệp. Công nghệ mạng 5G có điểm khác biệt ở chỗ nó cho phép người dùng chuyên môn hóa phạm vi phủ sóng của Internet of Things (IoT) hoặc các thiết bị thông minh cụ thể.
Mạng 5G sẽ biến đổi bối cảnh kỹ thuật số và đóng vai trò là chất xúc tác cho sự đổi mới, thị trường mới và tăng trưởng kinh tế. Khi hàng chục tỷ thiết bị được kết nối với Internet thông qua 5G, những kết nối này sẽ hỗ trợ một loạt các dịch vụ cơ sở hạ tầng quan trọng mới và nâng cao.
Chiến lược của CISA
Để chống lại các rủi ro về an ninh, CISA đã đưa ra một kế hoạch sáng kiến chiến lược để các cơ quan liên bang tuân theo, chiến lược được hướng dẫn bởi ba thành phần cốt lõi:
- Quản lý rủi ro: Thúc đẩy triển khai 5G an toàn và linh hoạt bằng cách dẫn đầu các nỗ lực xác định, phân tích, ưu tiên và quản lý rủi ro.
- Sự tham gia của các bên liên quan: Tích cực thu hút và sự tham gia phối hợp của các đối tác liên bang, tiểu bang, địa phương, vùng lãnh thổ, ngành, hiệp hội, học viện, đại học, tổ chức phi lợi nhuận và quốc tế để giải quyết các thách thức 5G.
- Hỗ trợ kỹ thuật: Cập nhật và phát triển các công cụ cũng như các khóa đào tạo để hỗ trợ các bên liên quan về các khía cạnh lập kế hoạch, quản trị, vận hành và kỹ thuật trong việc triển khai 5G an toàn.
Các sáng kiến chiến lược 5G của CISA bao gồm các mục tiêu liên quan nhằm đảm bảo có sẵn các khuôn khổ chính sách, pháp lý, an ninh và an toàn để tận dụng tối đa công nghệ 5G và đồng thời quản lý các rủi ro đáng kể, cụ thể:
Sáng kiến chiến lược 1: Hỗ trợ phát triển chính sách và tiêu chuẩn 5G bằng cách nhấn mạnh đến tính bảo mật và khả năng phục hồi. Phát triển chính sách, các biện pháp thực hành tốt nhất và tiêu chuẩn 5G tập trung đến tính bảo mật và khả năng phục hồi nhằm ngăn chặn các nỗ lực của các tác nhân đe dọa nhằm tác động đến thiết kế và kiến trúc của mạng 5G.
Sáng kiến chiến lược 2: Mở rộng nhận thức thực tế về rủi ro chuỗi cung ứng 5G. Giáo dục các bên liên quan về rủi ro chuỗi cung ứng 5G, đặc biệt là xung quanh các nhà cung cấp, thiết bị và mạng để thúc đẩy các biện pháp bảo mật hàng đầu trong khu vực công và tư nhân.
Sáng kiến chiến lược 3: Hợp tác với các bên liên quan để củng cố và bảo đảm cơ sở hạ tầng hiện có nhằm hỗ trợ triển khai 5G trong tương lai bằng cách đề xuất cải tiến cho cơ sở hạ tầng và mạng LTE 4G hiện có.
Sáng kiến chiến lược 4: Khuyến khích đổi mới trên thị trường 5G để thúc đẩy các nhà cung cấp 5G đáng tin cậy.
Sáng kiến chiến lược 5: Phân tích các trường hợp sử dụng 5G tiềm năng và chia sẻ thông tin về chiến lược quản lý rủi ro. Đánh giá các kỹ thuật giảm thiểu rủi ro đối với các trường hợp sử dụng 5G để chia sẻ và phổ biến các chiến lược tiếp tục bảo đảm các chức năng quan trọng của quốc gia.
Trong đó, một trong những mục tiêu chính của quá trình này là giúp các cơ quan vá các lỗ hổng bảo mật tiềm ẩn nếu họ tự mình áp dụng 5G. Các cơ quan nên sử dụng sáng kiến này để xác định các khuôn khổ mối đe dọa quan trọng, các cân nhắc về bảo mật hệ thống 5G, thông số kỹ thuật, tài liệu hướng dẫn bảo mật liên bang và các phương pháp liên quan để tiến hành đánh giá an ninh mạng của hệ thống 5G. Các tiêu chuẩn này cung cấp cách tiếp cận thống nhất và linh hoạt đối với 5G, đồng thời giúp các cơ quan liên bang đánh giá, hiểu rõ hơn và giải quyết vấn đề bảo mật cũng như khả năng phục hồi.
Quản lý rủi ro
CISA đang làm việc với các đối tác liên ngành và quốc tế để quản lý các rủi ro và thách thức đi kèm trong việc triển khai 5G một cách thích hợp, tăng cường tính bảo mật và khả năng phục hồi ở giai đoạn thiết kế cũng như giảm thiểu rủi ro an ninh quốc gia từ mạng 5G không đáng tin cậy. Mặc dù việc triển khai 5G mang lại cơ hội tăng cường bảo mật và tạo trải nghiệm người dùng tốt hơn nhưng vẫn có một số rủi ro cần được xem xét, chẳng hạn như:
Nỗ lực của các tác nhân đe dọa nhằm tác động đến thiết kế và kiến trúc của mạng 5G: 5G sẽ sử dụng nhiều thành phần công nghệ thông tin hơn các thế hệ mạng không dây trước đây. Các thành phố, công ty và tổ chức có thể xây dựng mạng 5G cục bộ của riêng họ, điều này có khả năng xuất hiện thêm các lỗ hổng. Thiết bị và mạng 5G được triển khai, cấu hình hoặc quản lý không đúng cách có thể dễ bị gián đoạn và thao túng từ các tác nhân đe dọa.
Tính nhạy cảm của chuỗi cung ứng 5G do có các lỗ hổng cố ý hoặc vô tình xuất hiện: Chuỗi cung ứng 5G dễ bị ảnh hưởng bởi các rủi ro cố ý hoặc vô ý như phần mềm và phần cứng độc hại, các thành phần giả mạo và thiết kế, quy trình sản xuất và quy trình bảo trì kém. Phần cứng, phần mềm và dịch vụ 5G do các tổ chức đáng tin cậy cung cấp có thể làm tăng nguy cơ bị xâm phạm tài sản mạng và ảnh hưởng đến tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu.
Việc triển khai 5G hiện tại tận dụng cơ sở hạ tầng cũ và các thành phần không đáng tin cậy có lỗ hổng đã biết: 5G được xây dựng dựa trên các thế hệ mạng không dây trước đây và hiện đang được tích hợp với mạng 4G LTE có chứa một số lỗ hổng cũ. Các lỗ hổng này, dù được chèn vô tình hay cố ý bởi các nhà cung cấp không đáng tin cậy, đều có thể ảnh hưởng đến thiết bị và mạng 5G, mặc dù đã tích hợp các cải tiến bảo mật bổ sung.
Sự cạnh tranh hạn chế trên thị trường 5G dẫn đến có nhiều giải pháp độc quyền hơn từ các nhà cung cấp không đáng tin cậy: Bất chấp sự phát triển của các tiêu chuẩn được thiết kế để khuyến khích khả năng tương tác, một số công ty, chẳng hạn như Huawei, vẫn xây dựng giao diện độc quyền vào công nghệ của họ. Điều này hạn chế sự lựa chọn của khách hàng trong việc sử dụng các thiết bị khác. Thiếu khả năng tương tác với các công nghệ và dịch vụ khác sẽ hạn chế khả năng cạnh tranh của các công ty đáng tin cậy trên thị trường 5G.
Công nghệ 5G có khả năng tăng bề mặt tấn công của các tác nhân độc hại bằng cách tạo ra các lỗ hổng mới: Việc triển khai các thành phần không đáng tin cậy vào mạng 5G có thể khiến cơ sở hạ tầng truyền thông tiếp xúc với phần cứng và phần mềm độc hại hoặc kém phát triển, đồng thời có thể làm tăng đáng kể nguy cơ xâm phạm tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu 5G.
Kích hoạt tính bảo mật và khả năng phục hồi
CISA làm việc với các nhà lãnh đạo, quản lý các ngành và cơ quan khu vực công để nâng cao nhận thức về rủi ro cơ sở hạ tầng quan trọng quốc gia, cũng như giáo dục và thúc đẩy thay đổi hành vi đối với mối quan hệ của chính phủ với công nghệ thông tin và các hệ thống quan trọng khác, bao gồm cả công nghệ 5G.
Các Bộ và cơ quan liên bang: Thông qua việc chia sẻ và phối hợp thông tin với các Bộ và cơ quan liên bang, CISA giúp thiết lập các chiến lược quản lý rủi ro chung nhằm hỗ trợ phát triển các khung chiến lược và chính sách quốc gia để triển khai 5G trong tương lai.
Cơ quan chính phủ SLTT: CISA tham gia với các cơ quan chính phủ tiểu bang, địa phương và lãnh thổ (SLTT) để hiểu các lỗ hổng phổ biến và chia sẻ đánh giá về rủi ro tiềm ẩn do công nghệ 5G gây ra. Ngoài ra, CISA làm việc với các bên liên quan của SLTT để thảo luận về các tác động chính sách, công nghệ và pháp lý cụ thể cản trở việc triển khai 5G an toàn.
Công nghiệp tư nhân: CISA dựa vào mối quan hệ hợp tác với khu vực tư nhân để hiểu và quản lý rủi ro đối với công nghệ 5G. Với tiềm năng về khả năng kết nối giữa hàng tỷ thiết bị IoT, điều quan trọng là CISA và bên liên quan phải hợp tác chặt chẽ để xác định các lỗ hổng và đảm bảo rằng an ninh mạng được ưu tiên trong quá trình thiết kế và phát triển công nghệ 5G. Bằng cách phối hợp với các nhà cung cấp mạng 5G, kỹ thuật viên viên cơ sở hạ tầng và các công ty viễn thông, CISA đang giúp đảm bảo rằng các kỹ thuật giảm thiểu rủi ro được áp dụng nhất quán trên mạng cho cả hoạt động triển khai 4G LTE hiện tại và 5G mới.
Các tổ chức phi chính phủ: Các sáng kiến nghiên cứu và phát triển (R&D) do các hiệp hội, học viện, đại học và tổ chức phi lợi nhuận thực hiện là vô giá đối với tính bảo mật và khả năng phục hồi của mạng 5G. Từ việc phân tích, thiết kế, thử nghiệm và phát triển các khả năng 5G mới, quan hệ đối tác với các đơn vị này sẽ cung cấp cả thông tin chi tiết về chủ đề và kiến thức chuyên môn nhằm thúc đẩy triển khai 5G an toàn.
Các đối tác quốc tế: Khi kết nối 5G trở thành hiện thực, có khả năng sẽ có sự gia tăng các nhà cung cấp, thiết bị và thiết bị không đáng tin cậy. Cho dù các lỗ hổng bảo mật là độc hại hay vô tình thì vẫn cần duy trì mối quan hệ bền chặt với các đối tác quốc tế để truyền đạt rủi ro và bảo vệ luồng thông tin.
Một tương lai tích cực
Mặc dù mọi tiến bộ công nghệ mới đều tiềm ẩn những điểm yếu nhưng chúng mang lại tiềm năng lớn hơn để đảm bảo an ninh quốc gia và nền kinh tế. Do đó, CISA giúp người dùng thêm 5G vào mạng của họ một cách thống nhất và linh hoạt, đồng thời khuyến khích các cơ quan, tổ chức cung cấp phản hồi về Quy trình đánh giá bảo mật 5G. Những nhận xét này sẽ được xem xét để điều chỉnh chiến lược và đảm bảo rằng các hướng dẫn sẽ hỗ trợ mọi cơ quan chính phủ trong hành trình thích ứng 5G một cách an toàn.