Một cuộc kiểm toán liên bang gay gắt đã phơi bày những thiếu sót nghiêm trọng về an ninh mạng ở trung tâm cơ sở hạ tầng hàng không của Mỹ, cho thấy Cục Hàng không Liên bang (FAA) đã để hàng chục hệ thống quan trọng nhất về an toàn bị bảo vệ không đầy đủ một cách nguy hiểm, làm tăng khả năng một cuộc tấn công mạng thảm khốc nhằm vào bầu trời quốc gia.

Văn phòng Tổng Thanh tra (OIG) thuộc Bộ Giao thông Vận tải đã công bố các kết quả đầu tháng này, sau khi tiến hành rà soát từ tháng 10/2024 đến tháng 1/2026. Cuộc kiểm toán đánh giá toàn bộ 45 hệ thống công nghệ thông tin có tác động lớn của FAA trong Hệ thống Không phận Quốc gia (NAS), xương sống của hàng không dân dụng Hoa Kỳ, bao gồm các đài điều hành không lưu, dẫn đường, thông tin liên lạc và cơ sở hạ tầng sân bay. Đây là những hệ thống mà Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) phân loại là có rủi ro nghiêm trọng hoặc thảm họa nếu bị xâm phạm.

Những gì cơ quan giám sát phát hiện được là đáng báo động.

{{AD}}

Báo cáo của OIG cho biết 15 trên 45 hệ thống của FAA vẫn tuân theo các tiêu chuẩn NIST đã lỗi thời, và FAA chưa thực hiện đầy đủ 1.836 trên 16.245 biện pháp kiểm soát an ninh bắt buộc, tương đương 11,3% tổng số. Các biện pháp kiểm soát bắt buộc này bao gồm kiểm thử xâm nhập, bảo vệ chuỗi cung ứng và quản lý truy cập — những cơ chế thiết kế để ngăn chặn các tác nhân thù địch.

OIG phát hiện tất cả các hệ thống hỗ trợ tự động hóa, truyền thông, dẫn đường và khả năng dự báo thời tiết có các lỗ hổng không được báo cáo, theo dõi và giảm thiểu trong hệ thống toàn bộ bộ, trong khi 14 trên 17 hệ thống giám sát cũng gặp vấn đề tương tự. 

Tệ hơn nữa, FAA đã hoàn toàn bỏ qua hệ thống theo dõi an ninh mạng chính thức của chính phủ. Thay vì sử dụng hệ thống đánh giá và quản lý an ninh mạng chủ chốt của bộ, FAA đã dùng một công cụ theo dõi nội bộ để ghi chép và quản lý các lỗ hổng, sau đó chuyển dữ liệu thủ công vào hệ thống liên bang, dẫn đến chậm trễ trong báo cáo. OIG nêu rất rõ ý nghĩa của việc này: 

"FAA is not providing transparency to the rest of DOT. Lack of transparency increases the risk that FAA and the Department may not be able to identify common threats and vulnerabilities or provide comprehensive IT weakness tracking and reporting." 

Cuộc kiểm toán cũng phát hiện rằng tài liệu của chính FAA không đáng tin cậy. Các kiểm toán viên cho biết một số biện pháp kiểm soát được đánh dấu là đã thực hiện ngay cả khi chúng không đáp ứng yêu cầu, khiến các quan chức không có thông tin đáng tin cậy về cách thức các biện pháp bảo vệ đang hoạt động thực sự. 

Mức độ rủi ro khó có thể lớn hơn. Vào tháng 1/2023, một tệp cơ sở dữ liệu bị hỏng trong hệ thống Notice to Air Missions (NOTAM) đã gây ra lệnh dừng toàn quốc đầu tiên kể từ ngày 11/9/2001, khiến gần 10.000 chuyến bay bị trì hoãn. Mặc dù sự cố đó do lỗi của nhà thầu chứ không phải một cuộc tấn công mạng, cuộc kiểm toán làm rõ rằng một cuộc xâm nhập có chủ ý khai thác các khoảng trống đã được ghi nhận có thể gây ra hậu quả tương đương hoặc còn lớn hơn. 

{{REC}}

Đây không phải là lần đầu tiên OIG lên tiếng cảnh báo này. Một cuộc kiểm toán của OIG năm 2021 lần đầu phát hiện FAA không đáp ứng các tiêu chuẩn an ninh của NIST sau khi tái phân loại NAS là hệ thống có tác động lớn. Một cuộc điều tra riêng của Government Accountability Office năm 2024 phát hiện 105 trên 138 hệ thống điều khiển không lưu của FAA “không bền vững.” Mô hình này rõ ràng, và phản hồi liên tục vẫn thiếu sót.

The FAA said that the governance gaps stem from funding limitations, technical constraints and operational complexities, noting that many of its existing systems would require significant technical modifications or entirely new procurements, leading to cost overruns and timeline delays. For critics, that explanation rings hollow given the scale of the risk involved.

Nếu không khắc phục, OIG cảnh báo rằng "FAA cannot ensure required safeguards are in place to protect the systems from being compromised, which may cause a severe impact on the NAS and the flying public." 

FAA, về phần mình, đã nhận trách nhiệm. "Dựa trên việc xem xét bản dự thảo báo cáo, chúng tôi đồng ý với bốn khuyến nghị như được nêu và dự định thực hiện đầy đủ trước ngày 31 tháng 12 năm 2026," FAA trả lời cuộc kiểm toán. 

Quốc hội đã hành động về vấn đề này. Thông qua Đạo luật Gia hạn ủy quyền FAA năm 2024, ký thành luật vào tháng 5/2024, Quốc hội đã trao cho FAA quyền ban hành quy định độc quyền về an ninh mạng hàng không và chỉ đạo cơ quan này thiết lập các quy trình quản lý mối đe dọa mạng cho NAS. Kể từ đó FAA đã phát hành một khảo sát thị trường an ninh mạng vào tháng 3/2026 nhằm xác định các nhà cung cấp có thể giúp hiện đại hóa an ninh của NAS, như một phần của cam kết rộng hơn để cung cấp hệ thống điều hành không lưu mới vào cuối năm 2028. 

{{AD}}

Trong số những cam kết mang tầm nhìn xa hơn của cơ quan, FAA cũng dự định chuyển cơ sở hạ tầng hệ thống NAS, ATC và CNTT sang mật mã hậu lượng tử (post-quantum cryptography), một khái niệm tập trung vào giảm thiểu các cuộc tấn công từ các máy tính lượng tử trong tương lai bằng cách áp dụng các phương pháp mã hóa mới. Cơ quan đã trình bày động thái này một cách rõ ràng trong yêu cầu thị trường của chính mình:

 “Nếu không có an ninh chống lượng tử và linh hoạt về mã hóa, NAS không thể đạt được độ tin cậy, hiệu suất, hay vị thế lãnh đạo quốc tế cần thiết trong những thập kỷ tới.”

Liệu những tham vọng đó có thể được hiện thực hóa trước khi một tác nhân đe dọa khai thác những gì OIG đã ghi nhận hay không vẫn là câu hỏi trung tâm và, đối với hàng triệu hành khách bay trên bầu trời Mỹ mỗi ngày, là một câu hỏi mở đầy gây lo lắng.