Mối đe dọa ngày càng tăngNgày 24/3, hệ thống thông tin của Công ty chứng khoán VNDirect bị tấn công dưới hình thức ransomware (tấn công mã hóa dữ liệu). Tin tặc đã xâm nhập vào hệ thống, cài đặt virus mã hóa dữ liệu và yêu cầu doanh nghiệp trả tiền chuộc dữ liệu. Phải đến một tuần sau, VNDirect mới khắc phục xong và mở lại hệ thống giao dịch chứng khoán. Dù khẳng định tài sản của khách hàng vẫn được đảm bảo song sự cố này vẫn gây thiệt hại không nhỏ đến công ty chứng khoán và nhà đầu tư.
Vụ việc đã thu hút nhiều sự chú ý bởi tầm cỡ và quy mô ảnh hưởng. “Trước đây đã xảy ra rất nhiều vụ tấn công mạng. Tuy nhiên, trường hợp của VNDirect đặc biệt nghiêm trọng bởi đây là công ty chứng khoán có quy mô top 3 thị trường, ảnh hưởng trong một khoảng thời gian rất dài, gây thiệt hại cho bản thân công ty chứng khoán, nhà đầu tư và thị trường với con số rất lớn”, ông Ngô Tuấn Anh, Tổng Giám đốc Công ty An ninh mạng SCS, nhận xét trong tọa đàm “Bảo mật thông tin trong lĩnh vực chứng khoán” do tạp chí Nhà đầu tư tổ chức vào ngày 9/4 vừa qua.
Ransomware là mối đe dọa lớn ở Việt Nam cũng như trên thế giới. “Theo khảo sát các lãnh đạo ở các quốc gia và tập đoàn lớn trên thế giới mà PwC đã thực hiện, họ nhận diện rủi ro về mã độc tống tiền là một trong năm rủi ro về an toàn thông tin mà họ sẽ phải đối mặt trong 12 tháng tiếp theo”, ông Trần Minh Quân, Chuyên gia cao cấp của PwC Việt Nam, cho biết. “Một số quốc gia như Singapore, Hồng Kông đều coi rủi ro về ransomware là một trong những nguy cơ mang tầm quốc gia, đặc biệt Mỹ còn coi tấn công ransomware như một hình thức khủng bố”.
Việc khôi phục những hệ thống bị tấn công ransomware rất phức tạp và tốn kém. “Về bản chất, tấn công ransomware cũng giống như kẻ xấu vào nhà, dùng chìa khóa của nó để khóa lại cái két của mình rồi cầm chìa khóa đi, yêu cầu phải trả tiền mới đưa chìa khóa. Ngoài đời, đánh một cái chìa khóa như vậy khá đơn giản. Nhưng trong một vụ tấn công ransomware, việc tạo ra một chiếc ‘chìa khóa’ như vậy có khi mất vài chục năm, hoàn toàn không khả thi. Lúc đấy chỉ có hai lựa chọn, một là chấp nhận trả tiền, hai là bỏ cái két đấy đi, chấp nhận mất dữ liệu và tài sản trong đó”, ông Ngô Tuấn Anh giải thích.
Dù có trả tiền chuộc, doanh nghiệp vẫn phải “trầy da tróc vảy” mới đưa hệ thống trở lại bình thường. “Quá trình khôi phục hệ thống gồm hai pha, thứ nhất là khôi phục dữ liệu đã bị ảnh hưởng, thứ hai là vá các lỗ hổng trước khi đưa hệ thống online trở lại”, ông Ngô Tuấn Anh cho biết. Trước khi cung cấp dịch vụ trở lại, chúng ta phải tìm xem tin tặc đã xâm nhập theo đường nào, nếu không vá được lỗ hổng đó, rất có thể tin tặc sẽ tấn công lần nữa. Công đoạn này tốn rất nhiều thời gian bởi các hệ thống công nghệ thông tin có rất nhiều kênh kết nối và máy chủ khác nhau nên rất khó điều tra. Ngoài ra, các tổ chức tội phạm chuyên nghiệp thường xóa dấu vết sau khi tấn công, dẫn đến những vụ không tìm được đường vào của hacker, doanh nghiệp phải xây dựng lại hệ thống từ đầu”.
Những vụ tấn công mã hóa đòi tiền chuộc đang trở thành xu hướng trong bối cảnh các cuộc tấn công mạng ngày càng gia tăng ở Việt Nam. Theo báo cáo tổng kết của Công ty An ninh mạng NCS vào năm 2023, trung bình mỗi tháng có 1160 vụ tấn công mạng ở Việt Nam, tổng số cả năm gần 14 nghìn vụ, tăng 9,5% so với năm 2022. “Các vụ tấn công mạng đã có sự dịch chuyển, thay vì ghi danh ghi điểm, tấn công mạng để tống tiền đang nở rộ trong thời gian qua qua. Đây không chỉ là câu chuyện của Việt Nam mà là vấn đề chung trên toàn thế giới”, ông Ngô Tuấn Anh nhận xét. Trước đây các nhóm tấn công mạng chủ yếu tấn công ghi danh ghi điểm, chẳng hạn tấn công vào một website rồi để lại thông tin trên đó. Nhưng bây giờ tấn công mạng trở thành một lĩnh vực thu được lợi nhuận rất dễ dàng và khó bị truy vết. Chẳng hạn như các vụ tấn công mã hóa đòi tiền chuộc, khi nạn nhân đồng ý trả tiền thì các giao dịch đều dựa trên nền tảng tiền điện tử, ẩn danh và không thể truy vết.
Thiếu nhân lực an ninh mạngViệc tăng cường các giải pháp bảo mật sẽ giúp doanh nghiệp phát hiện sớm các mối đe dọa. “Trong tấn công mạng có nhiều bước, một trong những bước đầu tiên là tấn công thăm dò. Giống như kẻ trộm thường dò xét quanh nhà xem có lỗ hổng nào để xâm nhập. Đó là những dấu hiệu bất thường. Các hệ thống giám sát an ninh mạng sẽ phát hiện ra những dấu hiệu bất thường đấy để cảnh báo cho người quản trị, từ đó có biện pháp ứng phó kịp thời”, ông Ngô Tuấn Anh nhận xét. Tất nhiên, việc triển khai các biện pháp giám sát vận hành hệ thống như vậy sẽ tốn kém, nhưng vẫn nhỏ hơn nhiều so với thiệt hại mà doanh nghiệp phải đối mặt trong trường hợp bị tấn công mạng.
Đây cũng là điểm yếu của các doanh nghiệp Việt Nam. “Theo khuyến cáo, trong một dự án công nghệ thông tin, doanh nghiệp nên dành khoảng 10% để đầu tư các giải pháp về an toàn bảo mật, con người vận hành và những quy trình đảm bảo”, ông Ngô Tuấn Anh cho biết. Tuy vậy, “thực tế vẫn cách xa kỳ vọng”. Lĩnh vực an toàn bảo mật không đem lại lợi ích ngay trước mắt, thế nên chuyện đầu tư bao nhiêu, như thế nào phụ thuộc rất nhiều vào quan điểm của người đứng đầu. Về mặt kinh doanh, doanh nghiệp luôn muốn tối đa hóa lợi nhuận từ các dự án, trong khi việc đầu tư cho an toàn bảo mật có thể ảnh hưởng đến mục tiêu lợi nhuận này.
Những giải pháp bảo mật chỉ mang lại hiệu quả nếu đi kèm với nguồn nhân lực chất lượng. “Trong câu chuyện về an toàn thông tin, con người là quan trọng nhất”, ông Lê Công Phú, Phó Giám đốc Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (Bộ TT&TT) nhận định. “Chúng ta trang bị những giải pháp bảo mật tiên tiến nhưng không có các chuyên gia lành nghề thì các giải pháp công nghệ không những không làm cho chúng ta an toàn hơn mà còn tăng rủi ro. Bởi vì tường lửa hay các thiết bị phòng chống xâm nhập, bản thân nó cũng là phần mềm, đã là phần mềm thì sẽ tồn tại lỗ hổng bảo mật. Hệ thống của chúng ta càng nhiều cấu phần mà con người lại không đủ năng lực vận hành hệ thống đấy thì chính các thiết bị bảo mật sẽ trở thành điểm yếu trong hệ thống”.
Thực tế không thiếu những trường hợp như vậy. “Tôi đã từng tham gia tư vấn cho một đơn vị cấp trung ương, vào giai đoạn đó, họ đầu tư các thiết bị bảo mật rất đắt tiền, lên tới hàng tỷ đồng. Nhưng sau khi triển khai hệ thống, chúng tôi phát hiện ra một điều là bạn quản trị ở đấy không biết cấu hình của thiết bị đó, nên bạn ấy đã lấy một cái dây lắp vòng qua đường firewall đấy. Vậy là lãnh đạo ở trên nghĩ rằng đã đầu tư những thiết bị, giải pháp rất đắt tiền, hiện đại để bảo vệ hệ thống, nhưng cuối cùng nó vẫn đi thẳng lên internet. Tức là không có bất kì một biện pháp bảo vệ nào cả”, ông Ngô Tuấn Anh kể lại.
Nhân lực an ninh mạng là một khoảng trống mà Việt Nam cũng như nhiều quốc gia trên thế giới vẫn luôn tìm cách lấp đầy. Theo một báo cáo do tổ chức phi lợi nhuận ISC2 công bố vào năm 2023, nhân lực an ninh mạng toàn cầu vẫn thiếu gần 4 triệu chuyên gia, hơn 40% công ty trên thế giới bị thiếu hụt nhân sự an ninh mạng chất lượng cao. Ở Việt Nam, theo Chi hội An toàn thông tin phía Nam (VNISA), tổng số nhân lực về an toàn thông tin trong nước năm 2023 là 3601, tăng 11,6% so với năm 2022 nhưng vẫn chỉ là “muối bỏ bể” so với nhu cầu thực tế.
Trong tọa đàm “Phòng chống tấn công mã hóa dữ liệu tống tiền” do Câu lạc bộ Nhà báo công nghệ thông tin Việt Nam tổ chức ngày 5/4, ông Vũ Ngọc Sơn, Giám đốc kỹ thuật Công ty cổ phần Công nghệ An ninh mạng Quốc gia (NCS) đã đưa ra bốn bước các doanh nghiệp cần làm sau khi bị tấn công ransomware, bao gồm: cấp cứu, rà soát, phục hồi, rút kinh nghiệm.
1. Cấp cứu: Cách ly hệ thống bị tấn công rồi liên hệ ngay với Trung tâm An ninh mạng quốc gia - nơi điều phối các hoạt động ứng cứu và điều tra sự cố, và các bên liên quan. Sau đó đánh giá khả năng sử dụng các dữ liệu đã sao lưu, thông báo cho các bên bị ảnh hưởng và đưa ra kế hoạch xử lý.
2. Rà soát: Tìm lỗ hổng và điểm yếu trên hệ thống. Dựng phân vùng mạng sạch, có hệ thống giám sát tiêu chuẩn. Rà soát kỹ từng máy chủ, xong máy nào đưa vào vùng sạch máy đó. Bổ sung các giải pháp phòng thủ nếu có điều kiện. Ban hành quy định về an ninh mạng để đối phó sự cố tương tự có thể xảy ra.
3. Phục hồi: Đưa từng phần của hệ thống vào hoạt động. Tuân thủ nghiêm ngặt các quy trình an ninh mạng đã đặt ra; Tăng cường giám sát 24/7.
4. Rút kinh nghiệm: Doanh nghiệp cần đầu tư nâng cấp các thành phần còn thiếu để đảm bảo an ninh, trong đó đặc biệt chú ý hệ thống sao lưu và giám sát. Cần chú trọng đào tạo, phổ biến kỹ năng an ninh mạng cho nhân lực quản trị lẫn người dùng, đồng thời rà soát, xây dựng lại toàn bộ quá trình vận hành.
|
Đề án phát triển nguồn nhân lực an toàn thông tin (Quyết định số 99/QĐ-TTg năm 2014) cách đây mười năm, cũng như kế hoạch phát triển 1000 nhân lực an toàn thông tin (Quyết định số 49/QĐ-BTTTT) vào năm 2022 là những nỗ lực nhằm khắc phục tình trạng này. Tuy nhiên, làm thế nào để đào tạo được đội ngũ nhân lực an ninh mạng đáp ứng được nhu cầu của doanh nghiệp là một câu chuyện dài. “Nhu cầu của doanh nghiệp so với thực tế đào tạo đâu đó vẫn có điểm vênh”, ông Ngô Tuấn Anh nhận xét. “Công nghệ trong thực tế thay đổi hằng ngày hằng tháng, các chương trình đào tạo của chúng ta khó có thể thay đổi kịp thời. Do vậy, hầu hết các doanh nghiệp sau khi tuyển dụng xong đều phải triển khai những chương trình đào tạo và nâng cấp nội bộ”.
Bài toán nhân lực an ninh mạng đòi hỏi sự tham gia của nhiều bên và không thể giải quyết trong “ngày một, ngày hai”. Vậy doanh nghiệp có thể làm gì để bảo vệ mình trước nguy cơ tấn công mạng? “Tôi nghĩ các doanh nghiệp có thể thuê các đơn vị cung cấp dịch vụ an toàn thông tin. Chúng ta sẽ tận dụng được đội ngũ chuyên gia giỏi của các công ty này với chi phí hợp lý. Có rất nhiều đơn vị ở Việt Nam đang cung cấp dịch vụ này. Đây là giải pháp trước mắt phù hợp với các doanh nghiệp chưa đủ điều kiện xây dựng đội ngũ nhân sự an toàn thông tin riêng. Còn về lâu dài, không gì bằng xây dựng được một đội ngũ nhân sự tốt.”, ông Lê Công Phú nói.