FCC lùi bước trước lệnh siết router ngoại, gia hạn cập nhật đến 2029 để tránh tạo ra “điểm mù” an ninh mạng

Ủy ban Truyền thông Liên bang Mỹ (FCC) đã âm thầm nới lại chính sách với router sản xuất ở nước ngoài, cho phép các thiết bị đã được cấp phép và đang hoạt động tại Mỹ tiếp tục nhận cập nhật phần mềm và firmware ít nhất đến ngày 1/1/2029. Trước đó, nếu không có động thái này, nhiều thiết bị có thể bị chặn cập nhật sớm từ năm 2027. Quyết định mới không mở cửa cho các mẫu router ngoại mới, nhưng giúp tránh một kịch bản nguy hiểm hơn: hàng triệu thiết bị mạng vẫn được sử dụng nhưng bị “đóng băng” về bảo mật.

Router là thiết bị định tuyến dữ liệu, đóng vai trò trung tâm kết nối internet trong gia đình và doanh nghiệp. Chính vì xử lý lưu lượng mạng, router thường là mục tiêu hấp dẫn của tin tặc. Các bản cập nhật firmware — tức phần mềm cấp thấp điều khiển trực tiếp phần cứng của thiết bị — thường chứa bản vá bảo mật để sửa các lỗ hổng mới bị phát hiện. Nếu router không còn nhận được các bản vá này, các lỗ hổng đã biết sẽ tiếp tục tồn tại, tạo điều kiện cho kẻ tấn công chiếm quyền kiểm soát thiết bị, theo dõi lưu lượng hoặc làm bàn đạp xâm nhập sâu hơn vào hệ thống.

Nguồn gốc của quy định đến từ lo ngại rằng router sản xuất ở nước ngoài có thể gây rủi ro an ninh mạng, đặc biệt khi chúng nằm trên đường đi của dữ liệu và có khả năng ảnh hưởng tới hạ tầng trọng yếu. Tháng 3, FCC đã cập nhật “Covered List” — danh sách các thiết bị và nhà cung cấp bị coi là rủi ro với an ninh quốc gia — để bổ sung toàn bộ router tiêu dùng sản xuất ở nước ngoài. Động thái này đồng nghĩa các mẫu mới khó được phê duyệt để bán tại Mỹ. Tuy nhiên, giới công nghiệp và chuyên gia bảo mật cho rằng cách tiếp cận đó có vấn đề, bởi phần lớn router tiêu dùng hiện nay đều được sản xuất ngoài nước Mỹ hoặc sử dụng linh kiện từ chuỗi cung ứng toàn cầu.

Nhiều ý kiến phản biện nhấn mạnh rằng lỗ hổng bảo mật không phân biệt địa lý. Sản phẩm từ bất kỳ thương hiệu hay quốc gia nào cũng có thể tồn tại lỗi thiết kế, lỗi phần mềm hoặc cấu hình yếu. Vì vậy, việc tập trung vào xuất xứ mà vô tình ngăn cản cập nhật bảo mật bị xem là một “pha phản lưới nhà” về chính sách. FCC hiện cũng thừa nhận quy định trước đó có thể cản trở cả các “permissive changes” Class I và Class II — thuật ngữ kỹ thuật chỉ các thay đổi được phép sau cấp phép, bao gồm một số cập nhật phần mềm, firmware hoặc điều chỉnh kỹ thuật không làm thay đổi bản chất tuân thủ của thiết bị.

Lo ngại của Washington không phải không có cơ sở. Router từng xuất hiện trong nhiều chiến dịch tấn công mạng lớn như Volt Typhoon, Flax Typhoon và Salt Typhoon. Đây là các nhóm hoặc chiến dịch bị cáo buộc liên quan đến hoạt động xâm nhập có chủ đích, trong đó thiết bị mạng bị lợi dụng để duy trì hiện diện lâu dài trong hệ thống, đánh cắp dữ liệu hoặc phá rối hạ tầng. Nói cách khác, router không chỉ là “cục phát Wi‑Fi”, mà còn là một điểm kiểm soát chiến lược trong toàn bộ luồng dữ liệu số.

Theo giới an ninh mạng, mối nguy lớn nhất trên thực tế không chỉ là ai sản xuất router, mà là liệu thiết bị đó còn được vá lỗi hay không. Khi cập nhật dừng lại, người dùng phổ thông gần như không thể tự bảo vệ thiết bị trước các lỗ hổng đã công khai. Việc FCC gia hạn miễn trừ đến 2029 vì thế được xem là bước đi thực dụng: thay vì để hàng triệu router đang triển khai trở thành “xác sống số” — vẫn hoạt động nhưng ngày càng dễ bị khai thác — cơ quan này chấp nhận duy trì kênh cập nhật để giảm thiểu rủi ro cho người dùng và mạng lưới.

Dù đã nới với thiết bị hiện có, FCC vẫn giữ lập trường cứng rắn với các mẫu router mới. Theo khuôn khổ “Conditional Approval”, các nhà cung cấp muốn được phê duyệt router mới phải trình kế hoạch thiết lập hoặc mở rộng năng lực sản xuất tại Mỹ, đồng thời báo cáo tiến độ hàng quý. Đây là điểm gây tranh cãi lớn, bởi giả định rằng các hãng công nghệ có thể nhanh chóng chuyển dây chuyền sang Mỹ không hề đơn giản. Trong ngành điện tử, việc dịch chuyển sản xuất liên quan đến chuỗi cung ứng, linh kiện, lao động tay nghề cao, chứng nhận và chi phí đầu tư, nên khó có thể thực hiện trong thời gian ngắn.

Việc gia hạn cập nhật cho router đã được cấp phép mang lại một thắng lợi ngắn hạn cho an ninh mạng Mỹ: thiết bị đang tồn tại trên thị trường sẽ không bị bỏ mặc trước các lỗ hổng mới. Tuy nhiên, tranh cãi lớn hơn vẫn còn nguyên: liệu Mỹ đang xây dựng chính sách an ninh mạng dựa trên rủi ro kỹ thuật thực tế, hay đang pha trộn mục tiêu an ninh với chính sách công nghiệp nhằm kéo sản xuất về nội địa. Trong ngắn hạn, người dùng có thể yên tâm hơn vì router của họ chưa bị cắt đường vá lỗi. Nhưng về dài hạn, cuộc tranh luận giữa bảo mật, thương mại và năng lực sản xuất quốc gia chắc chắn vẫn sẽ tiếp tục nóng lên.