(CATP) Trong vụ đại án đăng kiểm, dữ liệu gốc tại máy đo ghi "không đạt" nhưng dữ liệu gửi về Cục Đăng kiểm lại thể hiện là "đạt". Hai nguồn sự thật mâu thuẫn tồn tại song song trong suốt nhiều năm mà hệ thống không hề phát cảnh báo. Còn tại vụ án xảy ra ở trạm quan trắc môi trường, thiết bị được dán niêm phong, có hệ thống camera để đảm bảo không ai can thiệp, nhưng trên thực tế, hàng trăm trạm đã bị điều chỉnh kết quả, thậm chí bị can thiệp từ xa qua internet. Đây không phải những sự cố ngẫu nhiên mà là thiếu sót trong các hệ thống công nghệ thông tin (CNTT). Qua các vụ này có thể thấy nhiều lỗ hổng cốt lõi cần vá để ngăn ngừa sai phạm.
Bất tuân nguyên tắc
Lỗ hổng căn bản nhất nằm ngay ở lớp đầu tiên của hệ thống là dữ liệu đưa vào được chấp nhận mà không cần chứng minh nguồn gốc. Trong vụ 168 trạm quan trắc, dữ liệu từ trạm đo được truyền về trung tâm qua kết nối internet nhưng không kèm chữ ký số hay mã băm (hash) từ thiết bị đầu cuối. Điều này có nghĩa là bất kỳ ai có quyền truy cập (dù là nhân viên vận hành hay kẻ tấn công từ bên ngoài) đều có thể ghi đè dữ liệu cảm biến trên đường truyền mà không để lại dấu vết kỹ thuật nào cho thấy dữ liệu đã bị thay đổi.
Trong hệ thống CNTT hiện đại, mỗi thiết bị đầu cuối - từ cảm biến đo khí thải đến máy kiểm định phương tiện - cần được trang bị một khóa mật mã riêng, thường được bảo vệ bởi phần cứng chuyên dụng. Mỗi gói dữ liệu gửi lên hệ thống trung tâm phải kèm chữ ký số từ khóa này. Hệ thống trung tâm phải từ chối mọi dữ liệu không có chữ ký hợp lệ. Đây là nguyên tắc ký số dữ liệu tại nguồn, đã được áp dụng rộng rãi trong lĩnh vực tài chính, ngân hàng từ nhiều năm nay. Nhưng trong các hệ thống quan trắc môi trường và đăng kiểm tại Việt Nam, nguyên tắc này gần như vắng mặt.
Cơ quan chức năng đang lấy mẫu nước tại Nhà máy xử lý nước thải tập trung KCN Quang Minh. Ảnh: CAHN
Trong bất kỳ hệ thống CNTT nào, nhật ký hoạt động (audit log) đóng vai trò như "hộp đen" máy bay - ghi lại mọi thao tác đọc, ghi, sửa, xóa dữ liệu để khi xảy ra sự cố, cơ quan chức năng có thể truy vết. Nhưng giá trị của nhật ký chỉ tồn tại khi nó không thể bị xóa hay chỉnh sửa bởi chính những người có quyền truy cập hệ thống.
Vụ sai phạm tại KCN Quang Minh là minh chứng rõ ràng nhất. Các kết quả phân tích thực tế không đạt quy chuẩn bị xóa bỏ và không được lưu giữ. Hệ thống lưu trữ nhật ký đúng chuẩn phải đặt trên một hạ tầng vật lý tách biệt mà ngay cả quản trị viên cũng không thể xóa. Mọi thao tác xóa kết quả cũ và thay thế bằng kết quả mới đều sẽ bị ghi lại và không thể xóa dấu vết. Khi nhật ký được lưu trên cùng máy chủ với dữ liệu nghiệp vụ, hoặc đơn giản là không tồn tại, kẻ gian lận có thể "dọn sạch hiện trường" sau khi sửa dữ liệu.
"Vừa đá bóng, vừa thổi còi" và...
Nguyên tắc phân tách nhiệm vụ là một trong những nền tảng cơ bản nhất của quản trị hệ thống. Người vận hành thiết bị không được có quyền sửa kết quả, người phê duyệt kết quả không được là người thực hiện đo đạc. Nhưng trong nhiều hệ thống CNTT nhà nước tại Việt Nam, ranh giới này bị xóa nhòa.
Trong vụ án đăng kiểm, nhân viên vừa vận hành thiết bị đo, vừa có quyền truy cập cơ sở dữ liệu kết quả, vừa là người cài phần mềm gian lận. Phần mềm cho phép nhập trực tiếp thông số mong muốn thay vì nhận kết quả từ thiết bị và chính nhân viên nội bộ là người triển khai. Tại KCN Quang Minh, Nguyễn Hữu Cường vừa là chuyên viên xử lý nước thải, vừa là người có quyền quyết định lập biên bản hay bỏ qua vi phạm, vừa trực tiếp nhận tiền từ doanh nghiệp. Khi quá nhiều quyền tập trung vào một vị trí, hệ thống phần mềm cần phải bắt buộc phân quyền cứng, nhưng điều này đã không được thiết kế từ đầu.
Các thiết bị sử dụng để can thiệp, chỉnh sửa dữ liệu quan trắc môi trường. Ảnh: VTV
Một hệ thống giám sát hiệu quả không bao giờ chỉ dựa vào một nguồn dữ liệu duy nhất. Trong vụ đăng kiểm, kết quả "không đạt" ở máy đo vật lý và kết quả "đạt" trong cơ sở dữ liệu trung tâm tồn tại cùng lúc nhưng hệ thống không có cơ chế so sánh tự động giữa hai nguồn. Nếu hệ thống được thiết kế để tự động đối chiếu mã băm (hash) giữa dữ liệu thô tại cảm biến và dữ liệu đã lưu trữ theo chu kỳ định kỳ, bất kỳ sự khác biệt nào cũng sẽ kích hoạt cảnh báo ngay lập tức.
Trong lĩnh vực quan trắc môi trường, dữ liệu từ trạm đo chỉ có một luồng duy nhất từ trạm lên trung tâm mà không có nguồn đối chiếu độc lập. Không có cơ chế so sánh với dữ liệu vệ tinh, với kết quả kiểm tra thực địa ngẫu nhiên, hay với các trạm lân cận trong cùng khu vực. Khi chỉ có một đường dữ liệu duy nhất và đường đó bị kiểm soát bởi chính đối tượng được giám sát, việc gian lận trở nên quá dễ dàng.
Ngay cả khi dữ liệu bị can thiệp thành công qua các lớp bảo vệ kỹ thuật, một hệ thống phân tích thống kê tự động vẫn có thể phát hiện dấu hiệu bất thường. Dữ liệu "quá sạch" trong thời gian dài - nghĩa là chỉ số ô nhiễm luôn nằm ngay dưới ngưỡng cho phép mà không có biến động tự nhiên - là một tín hiệu báo động đỏ rõ ràng. Một trạm đo đột ngột thay đổi chỉ số sau giờ hành chính, hoặc kết quả của một trung tâm khác biệt đáng kể so với các trung tâm lân cận trong cùng điều kiện thời tiết, cũng là những mẫu bất thường dễ nhận biết bằng thuật toán thống kê. Nếu lưu lượng nước thải tăng nhưng nồng độ chất ô nhiễm vẫn bằng 0 hoặc không thay đổi, hệ thống cần tự động phát cảnh báo nghi ngờ gian lận. Nhưng các hệ thống hiện tại không có lớp phân tích này. Dữ liệu được thu nhận và lưu trữ một cách thụ động, không có thuật toán nào liên tục quét tìm các mẫu đáng ngờ.
Bị can Nguyễn Hoài Thi, Giám đốc Công ty kỹ thuật môi trường Việt An (trái) và Lê Việt Cường, Phó tổng giám đốc Công ty Nhiệt điện Quảng Ninh. Ảnh: VTV
Nhà buôn kiêm quản lý
Trong vụ sai phạm tại 168 trạm quan trắc, cơ quan điều tra xác định các doanh nghiệp lắp đặt trạm đồng thời quản lý phần mềm điều khiển. Đây là xung đột lợi ích nghiêm trọng: doanh nghiệp được khách hàng là các nhà máy xả thải trả tiền để lắp đặt và vận hành trạm, đồng thời nắm giữ độc quyền phần mềm thu thập dữ liệu mà cơ quan nhà nước dựa vào để giám sát chính các khách hàng đó. Không có quy trình kiểm thử bảo mật độc lập (security audit) trước khi triển khai, không có cơ chế ký gửi mã nguồn (code escrow) với cơ quan quản lý và không có bên thứ ba nào kiểm tra xem phần mềm có "cửa hậu" (backdoor) cho phép can thiệp hay không.
Nhìn tổng thể, sáu lỗ hổng trên không phải lỗi kỹ thuật đơn thuần. Chúng phản ánh một triết lý thiết kế hệ thống mà giới an ninh mạng gọi là "tin tưởng nội bộ tuyệt đối". Hệ thống được xây dựng với giả định rằng tất cả người dùng bên trong, từ nhân viên vận hành trạm, đăng kiểm viên, đến cán bộ quản lý - đều hành động trung thực. Niêm phong và camera được lắp để ngăn "người ngoài", nhưng không có cơ chế nào ngăn chặn hay phát hiện khi chính "người trong cuộc" lạm dụng quyền truy cập.
Thực tế, mối đe dọa lớn nhất đến từ trong nội bộ, những người có quyền truy cập hợp pháp nhưng lạm dụng nó vì lợi ích kinh tế hoặc bị ép buộc. Vụ việc tại KCN Quang Minh cho thấy mạng lưới hối lộ kéo dài 8 năm với tổng số tiền tiêu cực lên tới hàng tỉ đồng. Vụ sai phạm tại 168 trạm quan trắc có sự tham gia của cả nguyên Cục trưởng Cục Môi trường hay vụ án đăng kiểm có dính líu hai đời Cục trưởng Cục Đăng kiểm. Khi người đứng đầu cơ quan quản lý cũng nằm trong mạng lưới gian lận, mọi biện pháp bảo vệ dựa trên "niềm tin nội bộ" đều sụp đổ.
Triết lý thay thế đã tồn tại và được áp dụng rộng rãi trên thế giới, được gọi là Zero Trust - không tin tưởng mặc định. Trong kiến trúc Zero Trust, không có "vùng an toàn" bên trong mạng nội bộ. Mọi kết nối, mọi yêu cầu truy cập - dù đến từ thiết bị trong cùng mạng nội bộ - đều phải được xác thực và ủy quyền riêng biệt. Mỗi thành phần chỉ được giao tiếp với đúng các thành phần cần thiết, và mọi thao tác đều được ghi nhật ký không thể sửa đổi.
(CATP) Tình trạng "phù phép", can thiệp và làm sai lệch dữ liệu quản lý từ hệ thống quan trắc môi trường đến đăng kiểm phương tiện giao thông là hành vi gian lận đặc biệt nguy hiểm, tạo ra những hệ lụy khôn lường. Nó tạo ra lá chắn ảo, che giấu các sai phạm kỹ thuật, phá vỡ công cụ giám sát của Nhà nước, hình thành lỗ hổng đe dọa trực tiếp đến an toàn cũng như sự phát triển bền vững của cộng đồng.