Kỳ 2 – Những phản ứng tâm lý thường gặp khi bị tấn công Ransomware và nỗi lo
Last updated
Was this helpful?
Last updated
Was this helpful?
Ransomware – Nỗi ám ảnh không của riêng ai
Hơn hai thập kỷ trước, khi mới chập chững bước chân vào nghề, và lần đầu tiên đối diện với sự cố vi-rút máy tính trên thực tế, phản ứng của tôi khi đó … các bạn thử đoán xem? Và nếu không đoán được thì xin mời các bạn tiếp tục theo dõi Kỳ 2 dưới đây.
Kỳ 1: Ransomware – Trách nhiệm sau cùng thuộc về ai?
Kỳ 2 – Những phản ứng tâm lý thường gặp khi bị tấn công Ransomware và nỗi lo …… A4.exe
Như một phản ứng tự nhiên của con người trước một mối đe dọa, một hiểm họa hoặc một tình huống khẩn cấp, nếu gặp phải Ransomware, hầu hết, nếu không muốn nói là toàn bộ chúng ta, đặc biệt là anh em trong nghề IT, đều sẽ có những phản ứng tâm lý tự nhiên sau đây. Dĩ nhiên, không phải ai cũng đều gặp những phản ứng tâm lý này, nhưng đứng trước một sự kiện “khủng khiếp” như toàn bộ dữ liệu bị mã hóa hoặc một lượng lớn các máy chủ trở nên vô dụng do Ransomware, cực kỳ hiếm có ai có thể giữ được tâm trạng bình tĩnh để có thể nhớ lại và/hoặc tìm và đọc các thủ tục ứng phó sự cố (cá nhân tôi khi gặp phải vi-rút máy tính lần đầu tiên hơn 20 năm trước cảm giác còn tệ hơn, tay chân lạnh toát và cả người run lẩy bẩy, đầu óc trống rỗng, mồ hôi toát như mưa, mặt thì trắng bệch). Ransomware sẽ làm đảo lộn hầu như toàn bộ tâm trí và khiến cho tất cả suy nghĩ của chúng ta trở thành một mớ hỗn độn kiểu: “Thôi chết rồi, dữ liệu bay sạch sành sanh, giờ phải làm sao đây”, “Làm sao báo cáo chuyện này cho sếp Tổng đây?, hoặc “Nó đòi tiền chuộc tới mấy trăm triệu, giờ phải làm sao đây” và “Con này là ABC XYZ, trên mạng hình như có công cụ giải mã, phải lên tải về thử liền coi sao”, v.v… Đây là một điều hết sức bình thường và không có gì đáng bị chê trách hay cười nhạo ở đây cả. Do đó, điều quan trọng ở đây không phải là giữ tinh thần lạc quan hoặc lo lắng quá mức, mà bạn phải hiểu, biết và kiểm soát được những phản ứng tự nhiên dưới đây để có thể giữ được sự bình tĩnh nhằm tìm ra giải pháp tốt nhất có thể với tình huống hiện tại.
1. Lo lắng, căng thẳng và khủng hoảng tâm lý nghiêm trọng: Trong vai trò là một (hoặc một trong số) người quản lý thông tin và hệ thống thống tin, không có gì lạ khi bạn lo lắng tột độ khi có nguy cơ rằng toàn bộ dữ liệu có thể không cứu được, không giải mã được, dữ liệu có thể bị công khai trên thị trường chợ đen nếu không trả tiền chuộc cho những kẻ tấn công, bản sao lưu mới nhất được thực hiện cách đây … 1 tuần, 1 tháng, hoặc thậm chí chẳng có bản sao lưu nào hiện hành và hữu dụng. Phản ứng này có thể khiến cho một số anh em IT thậm chí sợ hãi quá mức và có thể dẫn đến bỏ nghề.
2. Nghi ngờ, giận dữ và thất vọng: Phản ứng này thường xảy ra khi anh em IT là những người rất cẩn thận, luôn cập nhật các bản vá lỗi phần mềm, phần cứng, firmware, ứng dụng, v.v… để khắc phục các lỗ hổng bảo mật đã được công bố trên các diễn đàn bảo mật thông tin. Tuy nhiên vì lý cho chủ quan hay khách quan nào đó, ransomware vẫn len lỏi qua được hàng rào phòng thủ và tấn công vào các hệ thống, khiến anh em IT bối rối, không hiểu được lý do tại sao và thậm chí nổi giận và nghi ngờ người dùng cuối đã cố tình bỏ qua các biện pháp kiểm soát bảo mật và mở ra một lỗ hổng cho kẻ tấn công.
3. Cảm giác bất lực: Do đặc thù ở các doanh nghiệp Việt Nam đa số là các doanh nghiệp vừa và nhỏ (SME) với nguồn ngân sách dành cho công nghệ thông tin khá hạn chế nên nhân viên IT thường là All-in-one – một nhân viên đồng thời đảm nhiệm rất nhiều vai trò và gánh nhiều trách nhiệm liên quan đến thông tin và hệ thống thông tin. Và rất đáng tiếc … bao gồm cả bảo mật, lĩnh vực vốn đòi hỏi phải được đào tạo về chuyên môn rất kỹ lưỡng và bài bản. Trong khi đó, với AIO của nhân viên IT tại các doanh nghiệp SME, phần lớn kiến thức về bảo mật thông tin chỉ được anh em học hỏi thông qua kinh nghiệm từ những anh em khác trong nghề, các bài viết, hướng dẫn bảo mật cho từng thành phần riêng lẻ của hệ thống. Và như một điều tất yếu, IT AIO này sẽ cảm thấy vô cùng bất lực đến mức không thể biết mình cần phải làm gì nếu bị ransomware tấn công hoặc tệ hơn, ứng phó theo bản năng và dẫn đến việc tình hình ngày càng trở nên tồi tệ hơn.
4. Lo sợ về tương lai công việc và … thất nghiệp: Đây có lẽ là điều mà anh em IT ở gần như tất cả các doanh nghiệp Việt Nam nghĩ đến đầu tiên khi bị ransomware tấn công, và cũng là lý do tôi đã trình bày cụ thể trong Phần 1 của loạt bài viết này (Ransomware – Trách nhiệm sau cùng thuộc về ai?). Đến mức trong giới IT truyền nhau câu nói vui nhưng đầy chua chát: “Muốn chống ransomware chỉ có A4.exe” (ngụ ý chỉ Đơn xin thôi việc hoặc Quyết định sa thải của công ty). Vì yếu tố AIO như đã nói trên, nên anh em IT thường có xu hướng tự trách và cho rằng do mình nên ransomware mới tấn công hoặc do mình không đủ kiến thức nên công ty mới phải trả tiền chuộc cho những kẻ tấn công mà quên hoặc có thể không biết rằng, cuộc tấn công của ransomware cũng chỉ là một trong số ít các rủi ro nghiêm trọng có ảnh hưởng đến hoạt động kinh doanh của doanh nghiệp. Mà đã là rủi ro thì … luôn luôn có biện pháp giải quyết (vì kể cả vô nghiệm vẫn là đáp án của một bài toán).
5. Lảng tránh trách nhiệm: Ngược lại với cảm giác ôm đồm trách nhiệm ở trên, có thể xảy ra phản ứng tiêu cực theo hướng lảng tránh trách nhiệm. Phản ứng này thường hay gặp nhất ở các doanh nghiệp có quy mô tương đối với những vai trò và trách nhiệm trong công nghệ và hệ thống thông tin đã được phân định rõ ràng. Và thế là trách nhiệm đối với vụ tấn công ransomware hầu như được dồn cho các vai trò SysAdmin, Network & Infrastructure và Security. Các vai trò khác có thể đùn đẩy trách nhiệm cho nhau, đổ cho lý do nọ kia, đặc biệt thậm chí còn có thể tìm cách xóa dấu vết nếu như cuộc tấn công xảy ra là do lỗi chủ quan của cá nhân.
6. Makeno: Từ các yếu tố 3 – 4 – 5 nêu trên, có thể dẫn tới một phản ứng dây chuyền khác (cũng khá hiếm gặp) kiểu như đằng nào mình cũng không biết và không thể làm gì nữa trong tình hình này, với lại có tờ A4.exe đang lơ lửng đó nên thôi, mặc kệ nó đi, tới đâu hay tới đó vậy. Có thể do thiếu kiến thức và kỹ năng hoặc bản thân doanh nghiệp mà anh em IT đang làm việc không/chưa có quy trình ứng phó sự cố bài bản, hoặc có thể tình huống gặp phải vượt quá khả năng kiểm soát, và cũng có thể A4.exe khiến cho đội ngũ IT mất hết động lực, choáng ngợp, bế tắc, buông xuôi và “rúc đầu xuống cát” như một chú đà điểu khi gặp phải mối đe dọa.
7. Nhanh nhảu đoảng: Đây là một trong số ít các phản ứng có thể gây ra hậu quả tệ hại nhất sau một cuộc tấn công bằng ransomware. Do quá bối rối và sợ hãi, có thể anh em IT đã liên tục tìm kiếm thông tin và công cụ nhằm cố gắng giải mã dữ liệu đã bị mã hóa hoặc cũng có thể cố gắng cô lập hệ thống đã bị lây nhiễm bằng cách tắt (shutdown) hoặc ngắt nguồn điện và khiến cho hệ thống gặp rủi ro kép khi có khả năng làm hư hỏng cấu trúc của dữ liệu hoặc bị lỗi phần cứng đột ngột khiến cho khu vực lưu trữ bị sự cố về mặt vật lý dẫn đến việc kể cả khi đã có được công cụ giải mã thì dữ liệu cũng đã trở nên vô dụng.
Những phản ứng trên là những phản ứng điển hình nhất khi anh em IT gặp phải một sự cố nghiêm trọng như bị ransomware tấn công. Nếu là bạn, bạn sẽ nhận thấy phản ứng của mình thuộc loại nào? Hy vọng rằng, với những điều này, chúng ta có thể biến tờ A4.exe đầy nguy hiểm nói trên thành một dạng A4.com khác, với các thủ tục và quy trình chính xác, đầy đủ và chi tiết với những vai trò, trách nhiệm và quyền hạn được quy định rõ ràng để ứng phó với ransomware một cách hiệu quả nhất có thể.
Kỳ 3 – Đối phó
Kỳ 4 – BCP và Ransomware
Kỳ 5 – Ransomware và các Case Study
Kỳ 6 – Ransomware và một số biện pháp ứng phó
Kỳ 7 – Kết
