.Quê hương & đất nước. Tạp pín lù
2.Tôn Giáo
3.Công Nghệ Thông TIn
4.Nghiên cứu quốc tế
5.Về chúng tôi

Kỳ 1: Ransomware – Trách nhiệm sau cùng thuộc về ai?

Ransomware – Nỗi ám ảnh không của riêng ai

Chỉ trong vòng hai tuần ngắn ngủi từ 24/3 đến 7/4/2024, giới IT Việt Nam (danh từ chung để chỉ những cá nhân đang làm việc trong các lĩnh vực liên quan đến công nghệ thông tin và hệ thống thông tin) xôn xao và hoang mang trước những cuộc tấn công bằng ransomware (một dạng mã độc tống tiền) vào những tổ chức và doanh nghiệp lớn của Việt Nam và nước ngoài. Số tiền chuộc chỉ tính riêng cho hai vụ tấn công mới đây vào Công ty Cổ phần Chứng khoán VNDirect và Tổng Công ty Dầu Việt Nam (PVOil) đã lên đến hàng trăm tỷ đồng. Và nếu tính toàn bộ thiệt hại do việc bắt buộc phải ngừng hoạt động kinh doanh đối với hai tổ chức nói trên, con số thiệt hại tính bằng tiền còn lớn hơn rất nhiều, có thể lên đến hàng nghìn tỷ đồng, bao gồm các chi phí cho việc khôi phục – kiểm tra lại các hệ thống sau khi bị tấn công, bị phạt hoặc thanh toán lãi phạt cho những khách hàng có liên quan, chi phí kiểm nghiệm – kiểm toán lại toàn bộ hệ thống, v.v…

Ngoài những thiệt hại có thể dễ dàng đo đếm nêu trên, còn có rất nhiều thiệt hại vô hình khác do hậu quả của vụ tấn công, ví dụ, khách hàng mất lòng tin và rời bỏ, danh tiếng bị thiệt hại dẫn đến giá cổ phiếu niêm yết trên các thị trường chứng khoán bị sụt giảm, đội ngũ nhân viên mất tinh thần dẫn đến việc “chảy máu nhân tài”, các nhà lãnh đạo của tổ chức không còn tin tưởng vào hệ thống bảo vệ hiện tại dẫn đến việc phải đầu tư nhiều hơn nữa vào một hệ thống có khả năng không thể đảm bảo 100% hiệu quả trước tất cả các cuộc tấn công, hoặc tệ hơn nữa, trong những trường hợp tổ chức từ chối trả tiền chuộc, những kẻ tấn công có thể cố ý phát tán những thông tin cá nhân đang được tổ chức lưu giữ và xử lý hoặc những bí mật kinh doanh của tổ chức mà chúng đã đánh cắp được. Và chính những thiệt hại vô hình này – kết hợp với những thiệt hại về tài chính, dĩ nhiên – có khả năng khiến cho một tổ chức, doanh nghiệp, tập đoàn, v.v… không thể gượng dậy và phá sản hoàn toàn.

Một cách ngắn gọn, từ góc nhìn kỹ thuật, bị tấn công ransomware nghĩa là thông tin/dữ liệu và/hoặc các hệ thống đang lưu trữ, xử lý những thông tin/dữ liệu đó bị những kẻ tấn công xâm nhập và chuyển thành những “bí mật” mà chỉ có thể được đọc và giải đáp bởi những kẻ tấn công.

Dễ hiểu hơn, mã hóa tương tự như việc toàn bộ hoặc một phần của tòa nhà chứa những tài sản liên quan đến hoạt động kinh doanh của tổ chức bị thay bằng những ổ khóa KHÔNG THỂ MỞ ĐƯỢC với các phương pháp hiện tại (không có chìa nào vừa, hoặc việc dò tìm và làm lại chìa khóa mất rất rất nhiều thời gian…) trong khi chiếc chìa khóa duy nhất trên thế giới có thể mở được lại đang nằm trong tay những kẻ tấn công.

Để có thể đi vào tòa nhà và sử dụng lại được các tài sản của mình, tổ chức buộc phải:

(i) trả tiền để mua lại chìa khóa,

(ii) khôi phục lại các tài sản của mình tại một địa điểm khác,

(iii) chấp nhận mua lại những tài sản hoàn toàn mới,

(iv) tự mình làm lại chìa khóa hoặc

(v) … đóng cửa và ngừng tất cả hoạt động kinh doanh của mình.

Và bất kể phương án nào được chọn, đi kèm theo đó luôn luôn là những đánh đổi tốn kém cả về tiền bạc, thời gian lẫn công sức và tinh thần của rất nhiều người.

Việc tìm hiểu sâu hơn về những kỹ thuật, công nghệ và các công cụ, thuật toán, phương pháp mã hóa, v.v… thuộc về chuyên môn của ngành mật mã học (cryptography), và mục đích của loạt bài viết này không phải để bàn sâu về những kiến thức chuyên môn cụ thể liên quan đến mã hóa và giải mã đó.

Điều quan trọng nhất là với những ý kiến từ loạt bài viết này, hy vọng rằng ransomware sẽ không còn là câu chuyện chỉ của riêng ngành Công nghệ Thông tin và Hệ thống Thông tin mà trở thành mối quan tâm của toàn xã hội để từ đó, chúng ta sẽ cùng nhau cộng tác nhằm:

(i) cố gắng hạn chế tối đa sự phát triển của ransomware,

(ii) nâng cao nhận thức bảo mật của tất cả mọi người,

(iii) giảm thiểu thiệt hại gây ra từ các cuộc tấn công bằng ransomware,

(iv) phát triển và phổ biến cho cộng đồng những phương pháp thực tế phù hợp để chống lại ransomware và các cuộc tấn công bảo mật khác,

(v) chuẩn bị sẵn sàng cho những tình huống khi cuộc tấn công đã thực sự xảy ra và dữ liệu đã bị mã hóa.

Kỳ 1: Ransomware – Trách nhiệm sau cùng thuộc về ai?

Hầu hết chúng ta đều cho rằng trách nhiệm sau cùng trong một vụ tấn công bằng ransomware luôn thuộc về ……, và đúng như những gì các bạn đang nghĩ đến, bộ phận IT! Tuy nhiên trên thực tế, điều này không hoàn toàn chính xác và công bằng. Nguyên nhân cốt lõi của việc này nằm ở đâu? Hãy cùng điểm qua một số lý do dưới đây:

  1. Trước tiên, bộ phận IT ở đa số các doanh nghiệp Việt Nam, do quy mô, văn hóa, nguồn ngân sách và nhiều yếu tố khác nữa, phần lớn chỉ giới hạn ở công việc cung cấp sự hỗ trợ trực tiếp cho người dùng, quản lý và khắc phục các sự cố máy tính, mạng và các ứng dụng phần mềm thông dụng. Tại các doanh nghiệp lớn hơn, bộ phận IT bắt đầu phát triển và phân thành các chức năng phụ khác, chẳng hạn như IT Support, System Administrator, Database Administrator, Network Administrator, v.v…, nhưng các nhà lãnh đạo vẫn tiếp tục quy toàn bộ trách nhiệm khi bị ransomware tấn công cho IT.

  2. Chiến lược kinh doanh của doanh nghiệp và các kế hoạch phát triển công nghệ thông tin và hệ thống thông tin chưa thực sự được liên kết một cách chặt chẽ với nhau, mặc dù các yêu cầu liên quan đến IT đều xuất phát từ nhu cầu kinh doanh. Đa phần, bộ phận IT đều chạy theo và tập trung vào mua sắm thiết bị, cài đặt phần mềm hoặc triển khai giải pháp khi được yêu cầu bởi cấp lãnh đạo, thiếu hoặc không có một chiến lược phát triển công nghệ và thông tin tổng thể, bao gồm cả bảo mật và quản lý rủi ro, xuất phát từ và được liên kết với các mục tiêu cấp chiến lược của doanh nghiệp.

  3. Thực trạng chung ở phần lớn các doanh nghiệp Việt Nam vẫn chưa chú trọng và dành đủ nguồn lực thích hợp cho các hoạt động đánh giá và quản lý rủi ro liên quan đến hoạt động kinh doanh (suy cho cùng, ransomware cũng chỉ là một trong số các rủi ro mà tất cả chúng ta đều có thể sẽ gặp phải, với tần suất ngày càng cao và mức độ tác động ngày càng lớn). Hay nói cách khác, quản lý rủi ro chưa được tích hợp thành một quy trình nghiệp vụ của doanh nghiệp. Từ đó, khi rủi ro thực sự xảy ra, mức độ thiệt hại ở các doanh nghiệp Việt Nam có thể lớn hơn nữa do sự lúng túng hoặc ứng phó sai với tình huống.

  4. Đa phần các doanh nghiệp tại Việt Nam chưa đánh giá đúng mức tầm quan trọng của TOÀN BỘ hệ thống thông tin trong đời sống kinh doanh của mình, cũng như không lường trước được những hậu quả pháp lý và các hình phạt có thể phải gánh chịu khi dữ liệu hoặc thông tin bị đánh cắp, bị lạm dụng, rò rỉ hoặc công bố trái phép. “À, có sao đâu, bị mã hóa thì … cài lại Windows là xong!!!” hoặc “Dữ liệu của bên anh có gì quan trọng đâu”. Họ cũng chưa hình dung và ước tính được hết những khoản thiệt hại có thể có khi bị tấn công, ngoài khoản chi phí bắt buộc để khôi phục lại các hệ thống. Chính tư duy này đã khiến dữ liệu và các hệ thống thông tin của doanh nghiệp Việt đang trở thành miếng mồi ngon cho những kẻ tấn công tống tiền.

  5. Như một quy tắc bất di bất dịch, sức mạnh của một hệ thống bất kỳ bằng chính sức mạnh của mắt xích yếu nhất trong hệ thống đó. Điều này có nghĩa rằng, trong bất kỳ hệ thống thông tin nào, người dùng cuối sẽ luôn luôn là một Điểm Đơn Lỗi (Single-point-of-failure), một điểm mà nếu khi bị lỗi hoặc xảy ra sự cố có thể khiến cho toàn bộ hệ thống bị sụp đổ. Và đáng tiếc thay, công tác đào tạo và nâng cao nhận thức về rủi ro khi sử dụng máy tính và các hệ thống thông tin có liên quan vẫn chưa được quan tâm đầy đủ tại phần lớn các doanh nghiệp Việt, đặc biệt liên quan đến các vấn đề bảo mật, tấn công và ứng phó sự cố từ mã độc.

  6. Do bị ảnh hưởng bởi rất nhiều yếu tố khác nhau, mức chi phí mà các doanh nghiệp đầu tư vào việc bảo vệ các hệ thống thông tin quan trọng của mình còn cực kỳ hạn chế, dẫn đến tình trạng “giật gấu vá vai” – chủ yếu mang tính đối phó thụ động khi sự cố thực sự xảy ra. Nghĩa là đợi đến khi phát bệnh rồi mới đi gặp bác sĩ, thay vì chủ động thăm khám thường xuyên để phát hiện các triệu chứng khác thường và tiến hành khắc phục ngay từ sớm. Việc các doanh nghiệp sử dụng những thiết bị và công nghệ cũ kỹ, lạc hậu với rất nhiều lỗ hổng bảo mật ở Việt Nam là điều cực kỳ phổ biến, khiến cho các hệ thống rất dễ bị tổn thương trước các cuộc tấn công.

  7. Do triết lý và đạo đức kinh doanh, một các doanh nghiệp chuyên cung cấp các sản phẩm và dịch vụ CNTT thường tập trung vào lợi nhuận và bỏ qua khâu đào tạo chuyên môn kỹ thuật, đặc biệt là bảo mật, cho đội ngũ nhân viên, và chuyện để nguyên mật khẩu mặc định cho các tài khoản có đặc quyền quản trị hoặc mở các cổng nổi tiếng trên các máy chủ hoặc cơ sở dữ liệu, thậm chí để lại một cổng hậu trong các ứng dụng phần mềm cho mục đích dễ hỗ trợ sau này, là chuyện xảy ra khá thường xuyên. Điều này đã đặt các hệ thống thông tin của doanh nghiệp đang sử dụng dịch vụ được thuê ngoài vào những tình huống gặp phải nguy cơ bị tấn công cực kỳ lớn.

  8. Việt Nam là một trong số các quốc gia vi phạm bản quyền và sở hữu trí tuệ thuộc hàng tốp đầu trên thế giới. Phần mềm lậu, phần mềm không bản quyền hoặc phần mềm được bẻ khóa là chuyện … rất bình thường. Vi-rút, trojan, keylogger, và những mã độc khác tha hồ xâm nhập qua các phần mềm lậu. Và khi đã được cài đặt trên các hệ thống, chúng trở thành mối đe dọa từ trong nội bộ (insider threat), vốn rất khó để phát hiện và đối phó.

  9. Sự phát triển của công nghệ và AI khiến cho mã độc ngày càng tinh vi hơn, phức tạp hơn, khó phát hiện hơn, và thậm chí, có những hệ thống cũ hoàn toàn vô dụng trong việc nhận diện và ngăn chặn chúng. Nếu muốn có khả năng phòng vệ hữu hiệu, doanh nghiệp bắt buộc phải đầu tư vào các công nghệ, thiết bị, công cụ và giải pháp tiên tiến và dĩ nhiên, phải tốn tiền, trở thành một gánh nặng chi phí đáng kể cho doanh nghiệp.

  10. Bất kể quá trình diễn ra như thế nào, doanh nghiệp – hoặc các nhà lãnh đạo doanh nghiệp – chính là người chịu trách nhiệm giải trình (trách nhiệm về kết quả sau cùng) cho mọi quyết định và hoạt động liên quan đến quá trình kinh doanh của doanh nghiệp. Họ sẽ phải là những người cung cấp những thông tin minh bạch, đầy đủ và chính xác về kết quả của hoạt động kinh doanh, các kết quả tài chính và rất nhiều vấn đề có liên quan khác. Và dĩ nhiên, bị tấn công và ứng phó lại với ransomware chỉ là một trong số rất nhiều hoạt động xoay quanh hành trình kinh doanh của doanh nghiệp.

Trên đây chỉ là một vài trong số rất nhiều yếu tố liên quan đến bảo vệ các hệ thống công nghệ và thông tin trước các mối đe dọa từ mã độc.

Hơn một nửa trong số đó chắc chắn không thuộc về thẩm quyền quyết định của IT.

Vậy tại sao bộ phận IT lại phải gánh chịu toàn bộ MỌI TRÁCH NHIỆM khi sự cố tấn công ransomware xảy ra???

.................

Kỳ 2 – Những phản ứng thường gặp khi bị tấn công Ransomware

Kỳ 3 – Đối phó Kỳ 4 – BCP và Ransomware

Kỳ 5 – Ransomware và các Case Study

Kỳ 6 – Ransomware và một số biện pháp ứng phó K

ỳ 7 – Kết

PreviousITTalk 1102 - Section 4 - tại Biên Hòa, Đồng Nai - Vào thứ 7 ngày 29/06/2024.NextKỳ 2 – Những phản ứng tâm lý thường gặp khi bị tấn công Ransomware và nỗi lo

Last updated

Was this helpful?