Chống tấn công mạng: ‘làm chuồng’ không đúng cách vẫn bị ‘mất bò’

Trước đây, các tổ chức, doanh nghiệp bị tấn công mạng gây tổn thất thì mới lo phòng vệ, kiểu “mất bò mới lo làm chuồng”. Hiện nay, ý thức đầu tư cho an ninh mạng đã tốt hơn, song các chuyên gia khuyến cáo nếu ‘làm chuồng” không đúng cách vẫn bị ‘mất bò’.

Đầu tư an ninh mạng còn thấp

Từ tháng 3 đến nay đã có nhiều vụ tấn công mạng nhằm vào các doanh nghiệp, tổ chức Việt Nam (như VNDirect, PVOil…) gây thiệt hại lớn. Các cuộc tấn công mã hóa dữ liệu này diễn biến phức tạp, khó lường.

Tại tọa đàm “Phòng chống tấn công mã hóa dữ liệu tống tiền” do Hiệp hội An ninh mạng quốc gia phối hợp với Câu lạc bộ nhà báo ICT Việt Nam vừa tổ chức, ông Vũ Ngọc Sơn, Trưởng ban Nghiên cứu công nghệ, Hiệp hội An ninh mạng quốc gia, ví von việc tấn công mạng phổ biến hiện nay giống như một siêu thị hằng ngày có nhiều người ra vào, trong đó có những đối tượng xấu tìm một nơi nào đó để ấn nấp. Việc này cũng giống như kẻ tấn công mạng (hacker) thâm nhập vào hệ thống và tìm hiểu xem ở đó có những mặt hàng giá trị nằm ở khu vực nào, két sắt mã số bao nhiêu…

Sau khoảng vài tháng theo dõi, hacker đã biết toàn bộ sơ đồ bố trí, mật khẩu, mã cửa ra vào… Và vào một buổi tối nào đó, khi các nhân viên siêu thị đã về, kẻ xấu sẽ thay khóa siêu thị. Lúc này người chủ cũng không vào được siêu thị vì kẻ xấu đã đổi khóa.

“Đây là hình thức tấn công mã hóa dữ liệu mà các đơn vị ở Việt Nam thời gian qua đã gặp phải. Các đối tượng đã xâm nhập từ lâu, sau đó mã hoá dữ liệu và đòi tiền chuộc. Lúc này doanh nghiệp không thể truy cập dữ liệu được nữa – chỉ có cách trả tiền để hacker cung cấp khoá để mở dữ liệu. Phần lớn hacker sẽ sử dụng thanh toán bằng tiền ảo nên không thể tìm ra”, ông Sơn nói.

Ông Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng quốc gia (Bộ Công an), tại tọa đàm nêu trên nhận xét: “Tình hình an ninh mạng của Việt Nam ngày càng phức tạp. Tần suất tấn công ngày càng dồn dập, thiệt hại ngày càng lớn. Cách đây 2-3 năm, tin tặc tấn công lấy đi của một tổ chức 40-50 tỉ đồng là rất lớn nhưng năm nay có những vụ lên tới 200 tỉ”.

Ngoài hai vụ tấn công mạng được nêu trên báo chí là VNDirect, PVOil, ông Thủy cho hay trong tháng 3 vừa qua có một đơn vị trung gian thanh toán, hai nhà cung cấp dịch vụ viễn thông bị tấn công mạng. Còn tháng 11-2023, một đơn vị trong lĩnh vực năng lượng đã bị tấn công và mã hóa toàn bộ 1.000 máy chủ. Tháng 12-2023, một đơn vị trong ngành tài chính ngân hàng bị hacker tấn công gây thiệt hại gần 200 tỉ đồng…

Ông Phạm Thái Sơn, Phó giám đốc Trung tâm Giám sát an toàn không gian mạng quốc gia, cho hay trong quí 1 vừa qua, theo thống kê của đơn vị này có hơn 150 triệu cảnh báo về các nguy cơ bảo mật. Có hơn 300.000 nguy cơ tấn công mạng nhắm vào các hệ thống thông tin trên toàn quốc. Nhiều hệ thống thông tin của các cơ quan, tổ chức, doanh nghiệp hiện là đích nhắm đến của hacker.

Ông Sơn cho hay, thời gian tới, trung tâm này sẽ tăng cường hơn nữa việc rà soát, đánh giá, phát hiện các lỗ hổng bảo mật trên các hệ thống thông tin của không chỉ cơ quan nhà nước mà cả các doanh nghiệp, tập đoàn – yêu cầu các cơ quan phải xử lý, thực hiện các biện pháp bảo vệ hệ thống thông tin theo đúng quy định pháp luật.

Nói về mức độ đầu tư cho an toàn thông tin tại Việt Nam, ông Thủy dẫn số liệu của Gartner cho thấy qua phỏng vấn các giám đốc công nghệ thì thông lệ trước đây đầu tư cho an toàn thông tin khoảng 10-15% ngân sách đầu tư cho công nghệ thông tin. Hiện Bộ Thông tin và Truyền thông đã khuyến cáo nâng mức này lên 20%.

Còn ông Vũ Ngọc Sơn cho hay hiện chưa có số liệu thống kê nào cho thấy tình hình đầu tư an ninh mạng của các tổ chức, doanh nghiệp tại Việt Nam. Mức đầu tư cho an ninh mạng hiện nay lý tưởng là 10%, tốt là 20% ngân sách đầu tư cho công nghệ thông tin. Tuy nhiên, với kinh nghiệm làm việc thực tế nhiều năm, ông Sơn cho rằng tại Việt Nam các doanh nghiệp, tổ chức chưa làm được như vậy, mức đầu tư hiện chỉ dưới 5%.

Đã cảnh báo nhưng vẫn bị tấn công

Ông Vũ Ngọc Sơn cho biết một một cuộc tấn công mã hoá dữ liệu gồm nhiều bước: hacker cố gắng tìm ra lỗ hổng trên hệ thống – việc dò tìm thường mất vài tháng. Trong thời gian hacker dò tìm, nếu các đơn vị giám sát tốt thì có thể ngăn chặn. Nếu để cho hacker chiếm quyền điều khiển máy chủ hoặc máy quản trị, máy người dùng thì giai đoạn này thường rất khó để ngăn chặn.

Tham gia xử lý hậu quả của nhiều cuộc tấn công mạng tại Việt Nam, ông Thủy cho biết, bên cạnh việc các hệ thống chưa được quan tâm đúng mức cho vấn đề bảo mật còn có việc thực hành không tốt về an ninh mạng. Theo ông, ngoài việc triển khai phương tiện, quy trình kỹ thuật tăng cường khả năng phòng thủ, các doanh nghiệp, tổ chức nên quan tâm đến đào tạo nhận thức cho tất cả người dùng. Bởi nhiều khi hệ thống bị tấn công từ mắt xích yếu nhất.

Vì sao các chuyên gia liên tục cảnh báo nhưng vẫn diễn ra hàng loạt vụ tấn công mạng, theo ông Vũ Ngọc Sơn, việc biến từ nhận thức thành hành động của các tổ chức còn độ trễ cao. Cách đây vài ngày, ông Sơn xử lý vụ việc của một tổ chức bị tấn công. Đáng lẽ đã ngăn chặn được nó vì trước đó ông đã gửi cảnh báo việc tài khoản lễ tân bị xâm nhập, cần xử lý, nhưng họ đã bỏ qua vì không nghĩ nó quan trọng.

Cùng chung quan điểm trên, ông Phạm Thái Sơn cho rằng nhận thức an toàn thông tin của một số cơ quan, tổ chức còn hạn chế. Sự cố xảy ra với VNDirect, PVOil vừa qua không chỉ là bài học với các doanh nghiệp này mà là bài học chung cho các cơ quan, tổ chức, doanh nghiệp tại Việt Nam. Khi sự cố xảy ra, các đơn vị phải mất nhiều công sức để khôi phục dữ liệu.

Ông Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng quốc gia (Bộ Công an) phát biểu tại tọa đàm “Phòng chống tấn công mã hóa dữ liệu tống tiền” do Hiệp hội An ninh mạng quốc gia phối hợp với Câu lạc bộ nhà báo ICT Việt Nam tổ chức.

Cần trang bị an ninh mạng thế nào?

Ông Lê Xuân Thủy cho hay, không chỉ tại Việt Nam, hiện cộng đồng quốc tế cũng thừa nhận trên môi trường mạng không ai có thể khẳng định 100% an toàn, nên các doanh nghiệp phải tính đến yếu tố đảm bảo khả năng phục hồi dữ liệu, hệ thống khi bị tấn công.

Các doanh nghiệp cần làm gì khi xảy ra tấn công mạng? “Khi phát hiện sự cố an ninh mạng, phải cách ly và ngay lập tức thông báo với cơ quan chức năng. Chúng tôi sẵn sàng giúp đỡ các tổ chức và điều phối các lực lượng, đơn vị cung cấp dịch vụ an ninh mạng để xây dựng kế hoạch vừa khôi phục nhanh nhất có thể, vừa đảm bảo các yếu tố thu thập dấu vết điều tra tội phạm”, ông Thủy nói.

Trong quá trình xử lý sự cố, theo ông Thủy, các tổ chức cần có phương án lưu trữ, dự phòng để đảm bảo khả năng phục hồi trong tình huống bị tấn công. Cần nhanh chóng phục hồi và không để mất dữ liệu quan trọng. Phải chuẩn bị sẵn các phương án xử lý, phương án kịp thời ngăn chặn hoặc thay thế những gì bị phá hỏng.

Khi doanh nghiệp bị tấn công, mã hoá dữ liệu, theo ông Vũ Ngọc Sơn, đầu tiên cần phải cách ly hệ thống bị tấn công. Nó không những để hacker không tấn công tiếp mà còn để cơ quan điều tra có chứng cứ. Tiếp theo, cần liên hệ với đơn vị phụ trách. Trung tâm An ninh mạng quốc gia là nơi điều phối các hoạt động ứng cứu và điều tra sự cố. Đơn vị này sẽ đánh giá nhanh dữ liệu có khả năng khôi phục không, dữ liệu bị mã hoá có khôi phục được từ dữ liệu sao lưu không… Sau khi “cấp cứu”, sẽ chuyển sang rà soát, tìm ra lỗ hổng hacker khai thác để thâm nhập vào hệ thống.

Ông Sơn cho rằng các doanh nghiệp cần có quy chế khẩn cấp để ứng phó với các sự cố. Quy chế này cần ban hành ngay để toàn bộ nhân viên, người tham gia hệ thống cần biết được tiếp theo nên làm gì, đảm bảo an ninh như thế nào. Cần luôn đầu tư nâng cấp hệ thống, đào tạo phổ biến kiến thức cho cán bộ nhân viên để vận hành an toàn hơn, rà soát xây dựng lại toàn bộ hệ thống quy trình.

Cũng nói về các biện pháp bảo vệ, ứng phó với các sự cố an ninh mạng, ông Phạm Thái Sơn cho rằng để đảm bảo an toàn 100% trên môi trường mạng là khó. Nên các doanh nghiệp cần sao lưu dữ liệu thường xuyên theo kế hoạch, phương án, quy trình. Cần sao lưu ít nhất 3 bản, trên 2 định dạng khác nhau và ít nhất có 1 bản không được kết nối internet.

“Bên cạnh đó các doanh nghiệp cần có biện pháp giám sát liên tục. Hiện các cuộc tấn công thường vào ban đêm nên cần có đội ngũ chuyên nghiệp, 24/7 để phát hiện sớm và xử lý các vấn đề, sự cố. Cần có những hệ thống bên ngoài giúp doanh nghiệp giám sát liên tục các vấn đề và cảnh báo liên tục nếu phát hiện thấy nguy cơ mới”, ông Phạm Thái Sơn nói.

Theo ông Nguyễn Văn Cường, Phó tổng giám đốc Công ty An ninh mạng CMC, đối với việc bảo vệ an toàn thông tin, các doanh nghiệp nên thuê các đơn vị chuyên nghiệp, có sẵn đội ngũ và nghiệp vụ bởi chi phí nuôi nhân lực cao, các giải pháp phải triển khai rất nhiều.

Nói về đầu tư các giải pháp an ninh mạng, ông Cường cho biết nếu không đầu tư thì không khác gì xây nhà mà không có khóa, ai cũng có thể vào. Còn khi đầu tư hệ thống khóa cửa thì khả năng xâm nhập của người ngoài sẽ khó hơn.

Ông Vũ Ngọc Sơn cho rằng, kể cả một doanh nghiệp đã đầu tư các giải pháp an ninh mạng thì cũng không chắc chắn sẽ không bị tấn công. Việc đầu tư chỉ có thể giảm thiểu thiệt hại. Các hệ thống giám sát giúp phát hiện ra sự cố chứ không thể ngăn chặn sự cố.