Những thiệt hại gây ra bởi mã độc tống tiền tại Việt Nam ngày càng lớn hơn. Nếu như cách đây 2-3 năm có những vụ thiệt hại 40-50 tỉ, thì cuối năm ngoái, một ngân hàng trong Top 4 đã bị thiệt hại gần 200 tỉ đồng.
Đó là chia sẻ của Trung tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng quốc gia, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an, khi đề cập đến những thiệt hại mà mã độc tống tiền (ransomware) gây ra tại Việt Nam trong thời gian gần đây, tại tọa đàm “Phòng chống tấn công mã hóa dữ liệu tống tiền” do CLB Nhà báo CNTT tổ chức.
Khi dữ liệu bị mã hóa, khả năng giải mã bằng 0
Ông Thủy liệt kê một số trường hợp bị tấn công ransomware trong thời gian 2 năm trở lại đây, chẳng hạn như tháng 9/2022 có một đơn vị trong lĩnh vực truyền thông bị tấn công. Tháng 11/2023 một “tân binh” trong lĩnh vực năng lượng cũng đã bị tấn công mã hóa dữ liệu. Đến tháng 12/2023 là một ngân hàng trong Top 4 bị tin tặc xâm nhập, chuyển tiền trái phép.
Tháng 3/2024 vừa qua là trường hợp của một đơn vị trung gian thanh toán bị tin tặc chỉnh sửa CSDL và cũng trong tháng này là trường hợp của VnDirect, PVOIL và hai đơn vị cung cấp dịch vụ viễn thông.
Theo ông Lê Xuân Thủy, một khi hệ thống của các cơ quan, doanh nghiệp bị ransomware xâm nhập, mã hóa hết dữ liệu thì khả năng giải mã dữ liệu gần như bằng 0, các chuyên gia bảo mật giỏi cũng sẽ “bó tay”. Trừ phi tin tặc cung cấp chìa khóa (bộ giải mã), hoặc doanh nghiệp có một hệ thống sao lưu dữ liệu thường xuyên, đầy đủ (chưa bị tấn công mã hóa) thì mới có thể khôi phục được hệ thống.
Ông Thủy đánh giá từ trước tới nay nhiều doanh nghiệp chưa quan tâm đến việc bảo mật cho hệ thống CNTT, kể cả các doanh nghiệp lớn có tiềm lực về kinh tế. Quản trị hệ thống của nhiều tổ chức lơ là trong việc giám sát cũng như không thường xuyên cập nhật các bản vá lỗ hổng. Đặc biệt, ngân sách chi cho việc bảo mật hệ thống còn thấp.
Đồng tình với nhận định trên, ông Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty cổ phần Công nghệ An ninh mạng Quốc gia (NCS), Trưởng ban Nghiên cứu công nghệ Hiệp hội An ninh mạng quốc gia, cho biết qua khảo sát sơ bộ, ngân sách của nhiều doanh nghiệp chi cho bảo mật hệ thống chỉ chiếm khoảng 5% tổng ngân sách chi cho CNTT nói chung. Theo khuyến cáo của Bộ Thông tin và Truyền thông thì ngân sách này nên ở mức 15-20%.
Ông Sơn dẫn chứng Hệ thống đấu thầu của Cổng dịch vụ công quốc gia chỉ được đầu tư 56 tỉ đồng cho giám sát an ninh mạng. Để so sánh, một gói thầu thiết bị tường lửa hiện nay có giá 50 tỉ đồng. Có thể thấy mức độ chi cho bảo mật của hệ thống này chỉ tương đương với một gói thầu tường lửa.
Mất bò mới lo làm chuồng
Ông Vũ Ngọc Sơn nói thêm rằng nhiều doanh nghiệp rất chủ quan, lơ là trước những nguy cơ mất an toàn thông tin. “Việc biến từ nhận thức thành hành động có độ trễ khá cao”, ông Sơn nói và dẫn chứng về trường hợp gần đây của một doanh nghiệp.
Doanh nghiệp này đã từng bị tấn công vào hệ thống một lần, đã được cảnh báo về lỗ hổng trong tài khoản của lễ tân. Nhưng sau đó, doanh nghiệp này chủ quan nghĩ rằng tài khoản của lễ tân thì không quan trọng, không truy cập được vào mô đun của các phòng ban khác, nên đã không vá lỗ hổng. Kết quả là tin tặc từ lỗ hổng đó đã chui sâu trong hệ thống, đánh cắp dữ liệu, gây thiệt hại không nhỏ.
Do đó, ông Vũ Ngọc Sơn khuyến cáo các doanh nghiệp cần quan tâm sát sao đến việc bảo mật hệ thống CNTT, đừng để “mất bò mới lo làm chuồng”.
Bổ sung thêm cho ý kiến trên, ông Phạm Thái Sơn, Phó Giám đốc Trung tâm giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ Thông tin và Truyền thông), nói rằng việc nhận thức ở nhiều cơ quan, doanh nghiệp chưa tốt.
Ông Thái Sơn cho biết Chính phủ đã ban hành Nghị định 85 quy định về đảm bảo an toàn hệ thống thông tin ở các cơ quan, doanh nghiệp, tuy nhiên nhiều đơn vị chưa làm đúng quy trình. Chẳng hạn cách đây 1 tháng khi có một doanh nghiệp bị tấn công, khi lôi bản sao lưu ra để phục hồi thì thấy dữ liệu sao lưu mới nhất cách đây đã 1 năm.
Hacker bỏ cả triệu USD để mua thông tin lỗ hổng
Theo ông Vũ Ngọc Sơn, tin tặc luôn tìm cách rà quét các lỗ hổng trong hệ thống CNTT của các cơ quan, đơn vị để xâm nhập, đánh cắp dữ liệu, mã hóa dữ liệu để tống tiền.
Thậm chí, chúng còn bỏ ra một số tiền lớn, có thể lên tới cả triệu USD, để mua lại những phát hiện lỗ hổng từ các chuyên gia độc lập để khai thác. Về nguyên tắc, khi phát hiện một lỗ hổng, các chuyên gia độc lập thường thông báo cho đơn vị có lỗ hổng để nhận được một khoản chi phí cảm ơn, nhưng có trường hợp chuyên gia đó đã bán lại phát hiện của mình cho tin tặc để nhận được một khoản tiền lớn hơn.
“Việc này đã trở thành một ngành công nghiệp, rất sôi động trên chợ đen”, ông Sơn nói.
Khi đã đầu tư một số tiền lớn, chắc chắn tin tặc phải tìm cách thu lại được nhiều tiền hơn. Nếu như trước đây trong mỗi cuộc tấn công, tin tặc chỉ mã hóa 1-2 máy chủ, thì giờ đây chúng tấn công hết cả hệ thống CNTT của cơ quan, doanh nghiệp để mã hóa hết dữ liệu, nhằm buộc doanh nghiệp phải trả khoản tiền chuộc lớn.
Giám sát liên tục, sao lưu thường xuyên, đầu tư 3 trụ cột
Theo ông Phạm Thái Sơn, để tránh thiệt hại nặng nề khi bị mã hóa dữ liệu, các cơ quan, doanh nghiệp nên xây dựng một mô đun giám sát 24/7 để phát hiện ngay những hoạt động đáng ngờ trên hệ thống. Việc này có thể tự thực hiện hoặc thuê dịch vụ ngoài.
Cơ quan, doanh nghiệp cần thực hiện sao lưu dữ liệu thường xuyên theo tháng, theo tuần, thậm chí theo ngày. Ông Sơn gợi ý doanh nghiệp có thể thực hiện theo phương án 3-2-1, tức là sao lưu ít nhất 3 bản trên 2 định dạng khác nhau và có 1 bản offline.
“Nếu không tiến hành sao lưu thì khi bị mã hóa dữ liệu, các cơ quan, doanh nghiệp sẽ không còn gì để khôi phục dữ liệu. Đấy là hiện trạng của nhiều tổ chức khi bị dính ransomware”, ông Sơn nói.
Ông Lê Xuân Thủy đề xuất cơ quan, doanh nghiệp nên đầu tư đủ cả 3 trụ cột gồm con người, quy trình và công nghệ. Đặc biệt, mỗi doanh nghiệp cần xây dựng một quy trình xử lý sự cố, căn cứ theo Quy định 05/2017 về phương án ứng phó sự cố mà Bộ Thông tin và Truyền thông đã ban hành. Đối với các hệ thống CNTT quan trọng có tầm cỡ quốc gia, cần làm theo khuyến cáo của Bộ Công an.
T.P