Theo một dự luật mới, các công ty công nghệ Mỹ sẽ phải tiết lộ nếu cho phép các đối thủ như Nga và Trung Quốc xem xét các hoạt động bên trong phần mềm bán cho quân đội Mỹ, Reuters trích lời nhân viên Thượng viện Mỹ hôm 24/5.

Dự luật được Ủy ban Quân vụ Thượng viện Mỹ phê chuẩn hôm 24/5, một năm sau cuộc điều tra của Reuters cho thấy các công ty sản xuất phần mềm của Mỹ đã cho phép một cơ quan phòng vệ của Nga, săn tìm những lỗ hổng trong phần mềm được cài đặt tại một số các cơ quan ‘nhạy cảm’ nhất của chính phủ Mỹ, bao gồm Lầu Năm Góc, Cục Điều tra Liên bang (FBI), và các cơ quan tình báo.

Các chuyên gia an ninh nói rằng việc cho phép chính quyền Nga tiến hành đánh giá các hướng dẫn phần mềm nội bộ, được gọi là mã nguồn, có thể giúp Nga tìm ra lỗ hổng, và dễ dàng tấn công các hệ thống quan trọng bảo vệ Mỹ.

Theo nhân viên của Thượng nghị sĩ đảng Dân chủ Jeanne Shaheen, các quy tắc tiết lộ mã nguồn mới đã được nêu trong phiên bản của Thượng viện về Đạo luật Ủy quyền Quốc phòng, và trong dự luật chi tiêu của Lầu Năm Góc.

Trong một tuyên bố, bà Shaheen yêu cầu các công ty công nghệ có nhiệm vụ giúp bảo vệ các hệ thống phần mềm liên bang.

“Đây là lý do tại sao Bộ Quốc phòng và các cơ quan liên bang khác, nên biết về bất kỳ lỗ hổng tiềm ẩn nào liên quan đến hoạt động kinh doanh của công ty đối tác ở nước ngoài”, bà Shaheen nhận xét.

Chi tiết của dự luật, được Ủy ban thông qua hôm 25/2, vẫn chưa được công khai. Dự luật vẫn cần được toàn bộ Thượng viện bỏ phiếu, và sẽ được làm cho tương thích với phiên bản dự luật của Hạ viện, trước khi được Tổng thống Donald Trump ký thành luật.

Nhân viên của Thượng nghị sĩ Shaheen nói với hãng Reuters rằng nếu được thông qua thành luật, đạo luật sẽ yêu cầu các công ty kinh doanh với quân đội Mỹ, phải tiết lộ mọi sự xem xét đối với mã nguồn phần mềm, được thực hiện bởi các đối thủ. Nếu Lầu Năm Góc cho rằng một sự xem xét nào đó là có rủi ro, các quan chức quân đội và công ty phần mềm sẽ cần phải đồng ý về cách ngăn chặn mối đe dọa, ví dụ như có thể chỉ cho phép sử dụng phần mềm đối với những công việc không có tính bí mật.

Nhân viên của thượng nghị sĩ Shaheen cho biết các chi tiết của các đánh giá mã nguồn nước ngoài, và bất kỳ biện pháp nào mà công ty công nghệ đồng ý thực hiện để giảm đi rủi ro, sẽ được lưu trữ trong một cơ sở dữ liệu mà các quan chức quân đội Mỹ có thể truy cập. Đối với hầu hết các sản phẩm, thông báo quân sự sẽ chỉ áp dụng cho các quốc gia bị xác định là mối đe dọa an ninh mạng, chẳng hạn như Trung Quốc và Nga.

Hồi tháng 3/2018, tờ Financial Times đưa tin rằng Bộ An ninh Quốc gia Trung Quốc, một cơ quan tình báo, đã ra lệnh cho các tin tặc Trung Quốc phải báo cáo trực tiếp mọi lỗ hổng mà họ phát hiện cho Bộ. Công ty an ninh mạng FireEye (của Mỹ) phát hiện ra rằng các tin tặc Trung Quốc đứng đằng sau những khám phá về những lỗ hổng tại một số công ty công nghệ đa quốc gia có trụ sở tại Mỹ như Google, Apple và Microsoft.

Ngoài ra, theo Reuters, để có thể bán tại thị trường Nga, các công ty công nghệ bao gồm Hewlett Packard, SAP và McAfee, đã cho phép một cơ quan phòng vệ Nga quét mã nguồn phần mềm, để tìm ra những lỗ hổng.

Trong nhiều trường hợp, Reuters nhận thấy các công ty phần mềm Mỹ trước đây đã không thông báo cho các cơ quan Mỹ về việc chính quyền Nga đã được phép tiến hành các đánh giá mã nguồn.

[Cho đến nay], trong hầu hết các trường hợp, quân đội Mỹ không yêu cầu đánh giá mã nguồn có thể so sánh được, trước khi mua phần mềm, Reuters trích lời các chuyên gia mua sắm trong quân đội Mỹ.

Phạm Duy, theo Đại Kỷ Nguyên tiếng Anh