Làm gì để giảm thiệt hại trước “làn sóng” mã hóa dữ liệu tống tiền?

Đó cũng là lý do mà Hiệp hội An ninh mạng quốc gia phối hợp với Câu lạc bộ Nhà báo công nghệ thông tin Việt Nam tổ chức tọa đàm “Phòng, chống tấn công mã hóa dữ liệu tống tiền” để cùng phân tích, tìm nguyên nhân, cách thức của tấn công mạng hiện nay, cũng như đưa ra các giải pháp, khuyến nghị cho tổ chức, doanh nghiệp, người dân để phòng, chống tấn công mã hóa dữ liệu đòi tiền chuộc (ransomware).

Nguy cơ tấn công ransomware ngày càng nhiều

Theo ông Phạm Thái Sơn, Phó Giám đốc Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Cục An toàn thông tin, với chức năng, nhiệm vụ là giám sát an toàn thông tin trên không gian mạng Việt Nam, trong quý I-2024, NCSC đã ghi nhận có hơn 150 triệu cảnh báo về các nguy cơ bảo mật. Trong đó, có hơn 300.000 nguy cơ tấn công mạng nhắm vào các hệ thống thông tin trên toàn quốc; riêng liên quan đến ransomware là 13.000 nguy cơ.

Thông tin cụ thể về tấn công ransomware, Trung tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng quốc gia, Cục A05, Bộ Công an cho biết, tần suất tấn công ngày càng dồn dập, gây thiệt hại cho tổ chức, doanh nghiệp ngày càng lớn.

Cụ thể, tháng 11-2023, một đơn vị trong lĩnh vực năng lượng đã bị tấn công và mã hóa toàn bộ khoảng 1.000 máy chủ; tháng 12-2023, một đơn vị trong ngành tài chính ngân hàng bị tin tặc nằm vùng rất lâu và thông thạo quy trình, gây thiệt hại gần 200 tỷ đồng.

Mới đây, tháng 3-2024, một đơn vị trung gian thanh toán, rồi VNDirect, PVOil và hai nhà cung cấp dịch vụ viễn thông bị tấn công ransomware. Đáng chú ý, các vụ tấn công mã độc tống tiền gây thiệt hại nghiêm trọng cho tổ chức, doanh nghiệp.

Nếu cách đây 2-3 năm, tin tặc tấn công đòi tiền chuộc với số tiền 40-50 tỷ đồng là rất lớn, thì gần đây, có những vụ đã lên tới 200 tỷ đồng. Thực tế cho thấy, tần suất tấn công mạng ngày càng dồn dập và nhằm vào các đơn vị có hệ thống trọng yếu.

Việc các tổ chức, doanh nghiệp trong nước liên tiếp phải đối mặt với sự cố tấn công ransomware gần đây khiến dư luận lo lắng, phải chăng đang có một chiến dịch tấn công ransomware nhắm vào các hệ thống thông tin trong nước?

Trả lời câu hỏi này, Phó Giám đốc NCSC Phạm Thái Sơn cho rằng, nói là chiến dịch tấn công vào Việt Nam thì không hẳn, nhưng nó như một làn sóng tấn công đổ từ nơi này sang nơi khác. Với hệ thống của nhiều tổ chức, doanh nghiệp Việt Nam chưa được bảo đảm an toàn thông tin một cách đầy đủ, những kẻ tấn công có thể thấy đây là những mục tiêu dễ dàng hơn so với các đơn vị ở những nước phát triển hơn...

Ở góc độ của cơ quan an ninh, Trung tá Lê Xuân Thủy nhận định, để đánh giá có phải một chiến dịch tấn công mạng vào Việt Nam hay không cần phải xem xét động cơ, mục đích, công cụ. “Chúng tôi vẫn đang so khớp công cụ, phương thức tấn công và mục tiêu tại Việt Nam để có những đánh giá cụ thể”, ông Thủy cho biết.

Đây cũng là quan điểm của chuyên gia Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty Công nghệ an ninh mạng quốc gia (NCS) - Trưởng ban Nghiên cứu công nghệ của Hiệp hội An ninh mạng quốc gia. Theo ông Ngọc Sơn, cần phải có thêm các chứng cứ. Nếu có chiến dịch tấn công vào Việt Nam, nó phải bắt đầu 6-12 tháng. Các vụ việc vừa rồi đều là tấn công nằm vùng, sau đó mã hóa dữ liệu.

Tăng cường phòng thủ - Xử lý sự cố chuyên nghiệp

Các chuyên gia cũng cho rằng, Việt Nam đang tích cực chuyển đổi số, nhưng nhìn chung các tổ chức, doanh nghiệp chưa quan tâm đúng mức đến an ninh mạng. Do đó, khi chuyển đổi số nở rộ, làm nhanh không cân bằng với an ninh mạng thì sẽ càng rủi ro vì tập trung rủi ro vào một số hệ thống, gây trở ngại lớn cho quá trình chuyển đổi số quốc gia.

Theo Trung tá Lê Xuân Thủy, thực tế, khi xảy ra tấn công mạng, các đơn vị lúng túng dẫn đến nhiều hệ lụy. Tổ chức, doanh nghiệp không biết bắt đầu từ đâu, không báo cáo với cơ quan chức năng (dù đã thành lập đội chuyên trách để hỗ trợ). Đặc biệt, không có kế hoạch điều tra rõ ràng, vội vàng khôi phục hệ thống, vô hình chung làm mất dấu vết.

“Thay vì rút phích điện của thiết bị mạng lại rút luôn ổ điện máy chủ, mất sạch dấu vết hoặc gây hỏng hóc dữ liệu và gây trở ngại trong khôi phục, điều tra truy vết. Thậm chí, khi không xác định được nguyên nhân sự cố để khắc phục triệt để, vội vàng dựng lên để chạy dẫn đến việc lại bị tấn công tiếp…”, Giám đốc Trung tâm An ninh mạng quốc gia phân tích.

Các tổ chức cũng cần lưu ý ngay trong quá trình vận hành phải tính toán đến giám sát thu thập sự kiện an ninh mạng, có phương án lưu trữ, dự phòng để bảo đảm khả năng phục hồi trong tình huống bị tấn công. Đồng thời phải chuẩn bị phương án kịp thời ngăn chặn hoặc thay thế những gì bị phá hỏng.

Phó Giám đốc NCSC Phạm Thái Sơn cho biết, Cục An toàn thông tin đã nhận định, tấn công ransomware, đánh cắp dữ liệu và tấn công có chủ đích APT sẽ là các xu hướng tấn công vào các cơ quan, tổ chức trong thời gian tới. Do vậy, bên cạnh việc cảnh báo tới các công ty chứng khoán và các tổ chức, doanh nghiệp nhà nước, Cục An toàn thông tin sẽ tăng cường hơn nữa việc rà soát, đánh giá, phát hiện các lỗ hổng bảo mật trên các hệ thống thông tin của không chỉ cơ quan nhà nước mà cả các doanh nghiệp, tập đoàn. Đồng thời yêu cầu các doanh nghiệp, tập đoàn phải thực hiện các biện pháp bảo vệ hệ thống thông tin theo đúng quy định pháp luật.

Về các biện pháp bảo vệ, ứng phó với các sự cố, như sự cố ransomware, các chuyên gia đều nhận định, để bảo đảm an toàn 100% là khó, nhưng một trong những cách đầu tiên là sao lưu dữ liệu thường xuyên.

Về vấn đề này, chuyên gia an ninh mạng Vũ Ngọc Sơn nêu rõ, các đơn vị nên thực hiện sao lưu có kế hoạch, theo quy trình. Chẳng hạn, áp dụng như chiến thuật 3 - 2 - 1, tức là sao lưu ít nhất 3 bản, trên 2 định dạng khác nhau và ít nhất có 1 bản cứng (offline).

Các đơn vị cần có biện pháp giám sát, giám sát liên tục. Cần lưu ý, tấn công mạng hiện hữu ở khắp nơi và thường chọn thời điểm tấn công xảy ra vào ban đêm khi mọi người đi ngủ. Ví dụ như cuộc tấn công vào PVOil là vào 0h ngày 2-4, khi mọi người đã đi ngủ, hệ thống có cảnh báo thì cũng không có ai xử lý.

Điều này đòi hỏi tổ chức, doanh nghiệp cần có đội ngũ chuyên nghiệp, 24/7 để phát hiện sớm và xử lý các vấn đề, sự cố. Tiếp nữa là tổ chức, doanh nghiệp cần rà soát những bề mặt tấn công mới để cảnh báo sớm giúp phát hiện nguy cơ mới…