Giám đốc Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ đã coi Apple là một ví dụ tích cực về trách nhiệm giải trình, và tính minh bạch đối với các hoạt động bảo mật của hãng trong bài phát biểu hôm 27/2 tại Đại học Carnegie Mellon. Ngược lại, Easterly chỉ ra tỷ lệ áp dụng thấp tại Microsoft và Twitter.
Quan chức an ninh mạng hàng đầu của Hoa Kỳ kêu gọi các doanh nghiệp phải gánh thêm gánh nặng bảo mật dịch vụ của họ cho khách hàng, và đề xuất rằng luật mới sẽ quy trách nhiệm cho họ trong việc tạo và duy trì phần mềm an toàn.
Jen Easterly nhấn mạnh rằng, 95% người dùng iCloud của Apple đã kích hoạt xác thực đa yếu tố (MFA), một biện pháp bảo mật được khuyến nghị cao yêu cầu người dùng nhập mã được gửi đến một thiết bị hoặc tài khoản khác trong khi đăng nhập để bảo vệ chống lại tin tặc. Easterly cho biết tỷ lệ chấp nhận cao này là kết quả của việc Apple đặt MFA làm mặc định.
Khi làm như vậy, Easterly cho biết: "Apple đang nắm quyền sở hữu các kết quả bảo mật của người dùng của họ". Ngược lại, Easterly cho biết tỷ lệ áp dụng MFA thấp tại Microsoft và Twitter. Cô ấy cho biết khoảng 1/4 khách hàng doanh nghiệp của Microsoft sử dụng MFA và ít hơn 3% người dùng Twitter sử dụng nó, điều này thật "đáng thất vọng". Tuy nhiên, cô ca ngợi các công ty vì sự minh bạch của họ trong việc tiết lộ các con số này.
"Bằng cách cung cấp sự minh bạch triệt để xung quanh việc áp dụng xác thực đa yếu tố (MFA), các tổ chức này đang giúp làm sáng tỏ sự cần thiết của bảo mật MFA theo mặc định", Easterly cho biết thêm.
"Hơn nữa mọi tổ chức nên yêu cầu sự minh bạch về các phương pháp và biện pháp kiểm soát được các nhà cung cấp công nghệ áp dụng, sau đó yêu cầu áp dụng các phương pháp đó làm tiêu chí cơ bản về khả năng chấp nhận trước khi mua sắm hoặc sử dụng".
Easterly gợi ý rằng, luật mới nên "ngăn các nhà sản xuất công nghệ nếu từ chối trách nhiệm pháp lý theo hợp đồng, thiết lập các tiêu chuẩn chăm sóc phần mềm cao hơn trong các thực thể cơ sở hạ tầng quan trọng cụ thể, và thúc đẩy sự phát triển của khuôn khổ bảo mật an toàn quy trách nhiệm pháp lý cho các công ty công nghệ cung cấp sản phẩm và dịch vụ".
Easterly cho biết: "Khi chúng ta tích hợp công nghệ vào gần như mọi khía cạnh trong cuộc sống của mình, chúng ta đã vô tình chấp nhận rằng công nghệ như vậy là nguy hiểm do thiết kế". Easterly gọi mối đe dọa xâm nhập an ninh mạng hiện nay là "nguy hiểm hơn rất nhiều" khi nhiều quả bóng khí cầu giám sát của Trung Quốc trôi dạt vào Mỹ đã thu hút rất nhiều sự chú ý vào đầu tháng này.
Ngoài ra, Easterly cũng chỉ ra gánh nặng gia tăng đối với người tiêu dùng Mỹ, những người phải cân nhắc các chủ đề phức tạp khi mua một thiết bị mới như điện thoại hoặc máy tính. "Người dân Mỹ đã chấp nhận thực tế rằng họ sẽ phải liên tục cập nhật phần mềm của mình", cô nói. "Gánh nặng được đặt lên vai bạn với tư cách là người dùng và đó là điều chúng ta phải cùng nhau ngăn chặn".
Việc Easterly thúc đẩy các nhà sản xuất phần mềm chịu trách nhiệm nhiều hơn đối với an ninh mạng của người Mỹ, diễn ra khi chính quyền Biden đang xem xét các động thái buộc lĩnh vực công nghệ phải gánh vác nhiều trách nhiệm hơn đối với sự an toàn kỹ thuật số của các ngành công nghiệp quan trọng của Hoa Kỳ. Chiến lược an ninh mạng quốc gia sắp tới được kỳ vọng rộng rãi sẽ đòi hỏi đầu tư nhiều hơn vào an ninh từ các ngành hỗ trợ các lĩnh vực như năng lượng, nước và chăm sóc sức khỏe.
Thật vậy, công nghệ làm nền tảng cho các dịch vụ quan trọng thường chứa đầy lỗ hổng và khó quản lý do nhu cầu về thời gian hoạt động liên tục làm hạn chế việc vá lỗi. Ngoài ra, việc số hóa cơ sở hạ tầng quan trọng ngày càng tăng sẽ bổ sung thêm nhiều hình thức tấn công mạng mới, nếu không được hoạch định cấu hình ứng phó đúng cách.
Easterly đã vẽ ra một kịch bản trong đó cuộc tấn công vào cơ sở hạ tầng quan trọng có thể gây ô nhiễm hệ thống nước của Hoa Kỳ, hoặc làm tê liệt hệ thống viễn thông để kích động sự hoảng loạn của công chúng và cuối cùng là ảnh hưởng đến chính sách và dư luận của Hoa Kỳ.
Easterly cho biết cô vẫn chưa liên hệ với các công ty công nghệ hoặc các nhà lập pháp liên quan đến kế hoạch mới này, nhưng mong đợi hướng dẫn tiếp theo cùng với Chiến lược không gian mạng quốc gia đã được mong đợi từ lâu của chính quyền Biden, tất cả sẽ phối hợp cùng nhau thực hiện.
"Tôi hy vọng thứ đó sẽ xuất hiện ở đây trong tuần tới hoặc lâu hơn một chút", Easterly lưu ý. Hiện phía Microsoft và Twitter đã không đưa ra bình luận ngay lập tức nào về phát ngôn này.