Cơ quan an ninh mạng hàng đầu Mỹ quá tải khi nguy cơ Iran tấn công mạng gia tăng

“Xét về thời điểm, đây là lúc hành động hoặc không bao giờ. Theo nghĩa đó, mức độ nguy hiểm đã tăng lên đáng kể”, Pavel Gurvich, nhà sáng lập kiêm Giám đốc điều hành công ty khởi nghiệp an ninh mạng Tenzai (Mỹ), cho biết.

Pavel Gurvich nói rằng Iran có thể đã tích lũy sẵn năng lực tấn công và đang chờ thời điểm để ra đòn.

Sau các cuộc không kích của Mỹ và Israel cuối tuần qua, Iran đã gia tăng các đòn trả đũa, nhắm vào các căn cứ, đại sứ quán và đầu mối quan trọng của Mỹ, gồm cả Tel Aviv (Israel), Doha (thủ đô Qatar) và Dubai (UAE).

Mối đe dọa về một cuộc tấn công mạng có liên hệ với Iran đang đặt ra rủi ro nghiêm trọng cho Mỹ trong bối cảnh Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đang đối mặt với tình trạng chính phủ đóng cửa một phần, nhân viên bị cho nghỉ không lương và xáo trộn lãnh đạo. Đó là những yếu tố có thể làm suy giảm khả năng đối phó với một cuộc tấn công.

CISA được thành lập năm 2018 với nhiệm vụ chính là bảo vệ các hệ thống mạng, cơ sở hạ tầng trọng yếu và tài sản kỹ thuật số của Mỹ trước các mối đe dọa như tấn công mạng, gián điệp số, phần mềm độc hại và phá hoại hạ tầng. Cơ quan này chịu trách nhiệm giám sát và cảnh báo sớm các mối đe dọa an ninh mạng, hỗ trợ doanh nghiệp và chính quyền bang bảo vệ hệ thống CNTT, ứng phó và điều phối khi xảy ra sự cố an ninh mạng quy mô lớn, bảo vệ cơ sở hạ tầng trọng yếu như điện, nước, giao thông, tài chính và bệnh viện.

Nói đơn giản, CISA là đầu mối phòng thủ mạng quốc gia của Mỹ, tương tự “trung tâm điều phối an ninh mạng” ở cấp liên bang.

Khủng hoảng tại CISA

Tuần này, Bộ trưởng An ninh Nội địa Mỹ Kristi Noem cho biết Bộ An ninh Nội địa (DHS) đang phối hợp với các cơ quan tình báo và thực thi pháp luật liên bang để “giám sát chặt chẽ và ngăn chặn” bất kỳ mối đe dọa tiềm tàng nào với Mỹ.

Theo các báo cáo, CISA đã mất khoảng 1/3 nhân sự kể từ khi ông Trump nhậm chức Tổng thống Mỹ và Madhu Gottumukkala, giám đốc tạm quyền của cơ quan này, đã được điều chuyển sang một bộ phận khác của DHS tuần trước.

Trong thời gian tại nhiệm, Madhu Gottumukkala được cho là đã xung đột với nhân viên và chấm dứt các hợp đồng lớn, theo trang Politico. Madhu Gottumukkala cũng bị soi xét vì tải các tài liệu nhạy cảm lên ChatGPT và không vượt qua bài kiểm tra nói dối do nhân viên CISA thực hiện khi ông tìm cách tiếp cận hồ sơ.

Bob Costello, Giám đốc Công nghệ Thông tin CISA, tuần này thông báo trên LinkedIn rằng ông sẽ “rời khỏi công việc trong khu vực dịch vụ liên bang”. Trước đó, Politico đưa tin Bob Costello đã được yêu cầu từ chức hoặc nhận một vị trí khác trong DHS.

Tính đến chiều 3.3, website CISA cho biết lần cập nhật gần nhất là ngày 17.2 do “gián đoạn tài trợ liên bang” và hiện không được quản lý tích cực.

Hôm 17.2, DHS cho biết cơ quan này sẽ hủy các hoạt động đánh giá an ninh mạng cùng nhiều chương trình đào tạo và hoạt động phối hợp khác.

“Càng kéo dài tình trạng gián đoạn, việc CISA không tham gia vào các lĩnh vực then chốt này sẽ dẫn tới nguy cơ xuất hiện mối đe dọa trong tương lai hoặc gia tăng điểm yếu”, website của DHS nêu rõ.

Các nhà làm luật cũng bày tỏ lo ngại về mức độ sẵn sàng của Mỹ khi tình trạng đóng cửa kéo dài.

Tom Cole, Chủ tịch Ủy ban Phân bổ Ngân sách Hạ viện Mỹ, viết vào tháng trước rằng nhân sự CISA vốn đã “bị quá tải” và việc đóng cửa chính phủ sẽ làm suy giảm khả năng bảo vệ cơ sở hạ tầng trọng yếu lẫn bệnh viện của quốc gia.

Nguy cơ tấn công mạng gia tăng

Ngay cả trong bối cảnh Iran đang trải qua tình trạng gián đoạn internet, các chuyên gia an ninh mạng cho biết các nhóm hacker nước này vẫn có thể hoạt động thông qua proxy và VPN (mạng riêng ảo).

Proxy trong lĩnh vực mạng và an ninh mạng là máy chủ trung gian hoạt động giữa người dùng và internet, giúp chuyển tiếp các yêu cầu truy cập từ người dùng đến các trang web hoặc dịch vụ khác.

Adam Meyers, người phụ trách hoạt động đối phó đối thủ của CrowdStrike, hôm 3.3 cho biết hãng an ninh mạng Mỹ này đã ghi nhận sự gia tăng các tuyên bố về việc gây ra gián đoạn mạng và máy chủ từ các nhóm có liên hệ với Iran. Những nhóm đó có thể nhắm vào lĩnh vực tài chính và cơ sở hạ tầng trọng yếu.

John Hultquist, nhà phân tích trưởng của Nhóm Tình báo Mối đe dọa thuộc Google, nói với CNBC hôm 3.3 rằng dù Iran có tiền lệ phóng đại các cuộc tấn công và các tuyên bố cần được xem xét thận trọng, chúng vẫn có thể gây tác động nghiêm trọng tới doanh nghiệp.

Jamie Dimon, Giám đốc điều hành tập đoàn dịch vụ tài chính JPMorgan Chase, nói với CNBC rằng các ngân hàng có thể trở thành mục tiêu và ông dự đoán sẽ có sự gia tăng các cuộc tấn công mạng hoặc khủng bố trên toàn cầu.

“Chúng tôi luôn cố gắng ứng phó với điều đó”, Jamie Dimon nói, đồng thời cho biết ông coi an ninh mạng là “một trong những rủi ro lớn nhất mà các ngân hàng phải đối mặt”.

Iran đã chứng minh có thể xâm nhập các mục tiêu của Mỹ, và vào năm 2024 từng nhận trách nhiệm về việc xâm nhập email một số nhân viên liên quan đến chiến dịch tranh cử của Tổng thống Donald Trump.

Trong năm 2012 và 2013, Iran đứng sau một cuộc tấn công từ chối dịch vụ quy mô lớn nhắm vào các ngân hàng lớn khiến website bị sập, theo CNBC đưa tin.

John Hultquist cho biết mối đe dọa mạng từ Iran diễn ra theo một “mô hình quen thuộc”.

“Chúng tôi dự đoán Iran sẽ nhắm đến Mỹ, Israel và các nước thuộc Hội đồng Hợp tác Vùng Vịnh (GCC) bằng các cuộc tấn công mạng gây gián đoạn, tập trung vào các mục tiêu dễ bị tổn thương và cơ sở hạ tầng trọng yếu”, ông nói.

GCC gồm 6 quốc gia ở Vùng Vịnh Ả Rập, gồm Ả Rập Saudi, UAE, Qatar, Kuwait, Bahrain, Oman.

Sơn Vân