Kỳ 3.1 – Đối phó

Ransomware – Nỗi ám ảnh không của riêng ai

Nếu bạn là một IT kỳ cựu thì chắc hẳn ít nhất một lần trong cuộc đời làm nghề, bạn đã gặp phải sự cố vi-rút, Trojan, sâu hoặc một loại mã độc nào đó, đúng không? Nếu bạn là một IT chưa có nhiều trải nghiệm lắm hoặc bạn là một người quản lý một chức năng nghiệp vụ nào đó của doanh nghiệp, hay thậm chí là bản thân chủ doanh nghiệp, chắc chắn là bạn cũng đã từng nghe về việc tài khoản mạng xã hội, email của một ai đó bị xâm nhập, bị cướp hoặc bị giả mạo để thực hiện những hành vi xấu như lừa đảo, vay mượn tiền, v.v... Ransomware thực sự là một mối đe dọa mà hậu quả của nó gây ra ảnh hưởng thậm chí còn lớn hơn các mối đe dọa kể trên khá nhiều. Doanh nghiệp sẽ phải mất tiền (có thể là trả tiền cho tin tặc để chuộc khóa), mất công sức và thời gian (để khôi phục lại dữ liệu phục vụ cho hoạt động kinh doanh), mất uy tín với khách hàng, bị phạt do vi phạm các quy định bảo vệ quyền riêng tư dữ liệu cá nhân mà doanh nghiệp đang lưu trữ và xử lý, v.v… Những hình thức lừa đảo ngày càng tinh vi, tốc độ gia tăng các cuộc tấn công ngày càng trở nên nhanh hơn với tần suất và quy mô tấn công ngày càng lớn. Thực sự, đã đến lúc chúng ta phải coi Ransomware không còn là một vấn đề thuần túy về mặt kỹ thuật chỉ thuộc về bộ phận IT nữa, mà thay vào đó, Ransomware cần phải nhận được sự quan tâm nhiều hơn từ phía các nhà lãnh đạo và quản trị của doanh nghiệp cũng như từ các cơ quan chức năng, để có thể phát triển được một giải pháp hạn chế được sự hoành hành của Ransomware và bảo vệ được dữ liệu của doanh nghiệp một cách hiệu quả nhất có thể.

Kỳ 1: Ransomware – Trách nhiệm sau cùng thuộc về ai?

Kỳ 2 – Những phản ứng tâm lý thường gặp khi bị tấn công Ransomware và nỗi lo …… A4.exe

Kỳ 3.1 – Đối phó

Ngay khi bài đầu tiên của loạt bài này được công bố, chắc hẳn là một số bạn sẽ thắc mắc về Kỳ 3 – Đối phó, và Kỳ 6 – Một số biện pháp ứng phó. Và để làm rõ ràng và phân biệt giữa hai khái niệm ứng phó và đối phó này, mời các bạn tiếp tục theo dõi cho đến … Kỳ 6.

Việc đối phó với mối đe dọa từ Ransomware không chỉ là mua sắm và lắp đặt một số giải pháp bảo mật và phát hiện tấn công hay những phần mềm bảo mật thiết bị đầu cuối được quản lý tập trung, mà thay vào đó, doanh nghiệp cần xác định và triển khai một chiến lược bảo mật toàn diện, và quan trọng hơn hết, phù hợp với tình hình hoạt động kinh doanh thực tế của mình. Cụ thể, doanh nghiệp sẽ cần phải có:

1. Chiến lược dự phòng:

a. Một chiến lược dự phòng tốt sẽ đảm bảo được rằng doanh nghiệp sẽ:

i. Xác định, phân loại và thiết lập được thứ tự ưu tiên cho những tài sản liên quan đến thông tin và hệ thống thông tin của mình (và để ngắn gọn, trong loạt bài viết này, từ “tài sản” sẽ được ngầm hiểu là tài sản liên quan đến thông tin và hệ thống thông tin),

ii. Xác định, hiểu rõ được các rủi ro và các nguồn đe dọa tương ứng đối với mỗi loại tài sản, mức độ và khả năng xảy ra trên thực tế của từng mối đe dọa,

iii. Giúp doanh nghiệp hiểu rõ và công nhận tầm quan trọng của tài sản vô hình (thông tin, hệ thống thông tin, các quy trình nghiệp vụ, các sáng kiến, v.v…) đối với hoạt động kinh doanh của mình, thay vì chỉ tập trung vào những tài sản hữu hình (nhà cửa, văn phòng, máy móc thiết bị, v.v…) như trước kia,

iv. Căn cứ vào phân loại và ưu tiên tài sản, và rủi ro và nguồn đe dọa đã được xác định, doanh nghiệp có thể tập trung nguồn lực của mình vào việc bảo vệ những tài sản quan trọng nhất,

v. Đồng thời, doanh nghiệp sẽ áp dụng được những biện pháp dự phòng hiệu quả và phù hợp về mặt chi phí cho những tài sản quan trọng của mình,

b. Để có hiệu quả, một chiến lược dự phòng tốt sẽ phải:

i. Có khả năng được tích hợp với tất cả các quy trình nghiệp vụ kinh doanh khác của doanh nghiệp,

ii. Có tính toán và cân nhắc đến chi phí và nguồn lực triển khai và những biện pháp đánh đổi khác dựa trên quá trình xác định rủi ro/mối đe dọa, đánh giá và phân loại tài sản,

iii. Nhận được sự cam kết và hỗ trợ của các nhà lãnh đạo cấp cao của doanh nghiệp và được triển khai trên quy mô toàn doanh nghiệp,

iv. Đủ linh hoạt để thích ứng với sự thay đổi trong môi trường kinh doanh nhưng cũng phải đủ nghiêm ngặt để đảm bảo tính tuân thủ các tiêu chuẩn, quy định và luật lệ được đặt ra bởi các cơ quan chức năng khác,

v. Liên tục được giám sát, đo lường tính hiệu quả và được cải tiến dựa trên kết quả đo lường,

vi. Đảm bảo được cả tính dự phòng, tính sẵn sàng và tính toàn vẹn của tài sản được bảo vệ,

vii. Đáp ứng được cả những yêu cầu cụ thể về thời gian (RTO) để khôi phục và về thời điểm tối đa mà thông tin và hệ thống thông tin có thể được khôi (RPO), nhằm hạn chế tối đa những tác động tiêu cực đến hoạt động kinh doanh đang dựa trên thông tin và hệ thống thông tin.

2. Chương trình liên tục đào tạo và nâng cao nhận thức: Trong tất cả các chiến lược và giải pháp bảo vệ tài sản, con người luôn luôn là mắt xích yếu nhất. Họ có thể vô tình hoặc cố ý nhấp vào một liên kết hoặc tập tin độc hại được gửi qua email, có thể cố ý phá hoại bằng cách phát tán mã độc vào hệ thống, hoặc tìm cách vượt qua và không tuân thủ các quy định có liên quan đến bảo mật. Vì vậy, chắc chắn rằng đào tạo và nâng cao nhận thức về các mối đe dọa bảo mật sẽ luôn là một trong số ít các biện pháp đối phó hiệu quả và tương đối ít tốn kém hơn khi so với các giải pháp kỹ thuật. Một chương trình liên tục đào tạo và nâng cao nhận thức sẽ giúp doanh nghiệp:

a. Định hình và phát triển một văn hóa rủi ro trong doanh nghiệp, thông qua việc các thành viên của doanh nghiệp:

i. Nhận thức được và hiểu được các mối đe dọa, nguồn đe dọa, mức độ hậu quả có thể có khi mối đe dọa xảy ra trong thực tế,

ii. Nắm bắt, báo cáo và chia sẻ thông tin về các sự kiện đe dọa xảy ra trong quá trình thực hiện công việc của mình,

iii. Hiểu được và thực thi một cách có trách nhiệm những vai trò và trách nhiệm cá nhân trong việc đảm bảo an toàn cho tài sản của doanh nghiệp nói chung,

b. Giảm thiểu và/hoặc hạn chế được những rủi ro có thể có do lỗ hổng con người thông qua việc phổ biến và cung cấp những thông tin và kiến thức được cập nhật về bảo mật tài sản cho đội ngũ nhân viên,

c. Khuyến khích và tăng cường mức độ tuân thủ các quy định, hướng dẫn, tiêu chuẩn và luật lệ có liên quan đến tài sản,

d. Luôn được chuẩn bị sẵn sàng để ứng phó với các sự cố một cách hiệu quả, có cấu trúc và có hệ thống thông qua các kỳ diễn tập và kiểm tra định kỳ.

Để phát triển được một chương trình đào tạo và nâng cao nhận thức về bảo mật hiệu quả, doanh nghiệp – đặt biệt là các bộ phận IT/Bảo mật, Quản trị Nguồn Nhân lực và QA sẽ phải đảm bảo được những yếu tố dưới đây:

a. Chiến lược, kế hoạch và tài liệu đào tạo phải đầy đủ, chính xác, chi tiết, và rõ ràng,

b. Kho kiến thức được tổ chức theo cách có cấu trúc, dễ tiếp cận đối với đội ngũ nhân viên của doanh nghiệp,

c. Thông tin, kiến thức và tài liệu phải được viết bằng ngôn ngữ có thể hiểu được bởi đội ngũ, không phải bằng ngôn ngữ kỹ thuật thuần túy,

d. Thông tin và kiến thức phải luôn được cập nhật và điều chỉnh, ví dụ, thông qua các bản tin bảo mật định kỳ hoặc khi có mối đe dọa mới được phát hiện và công bố trên các diễn đàn bảo mật,

e. Tính hiệu quả của chương trình đào tạo và nâng cao nhận thức phải được đo lường thực tế, có thể thông qua tỷ lệ các vụ vi phạm bảo mật, các báo cáo tuân thủ, các báo cáo về sự kiện đáng ngờ, các sáng kiến cải tiến bảo mật được áp dụng thành công, v.v…

(còn tiếp)

3. Ngăn chặn các lỗ hổng bảo mật

4. Sẵn sàng ứng phó sự cố

Kỳ 4 – BCP và Ransomware

Kỳ 5 – Ransomware và các Case Study

Kỳ 6 – Ransomware và một số biện pháp ứng phó

Kỳ 7 – Kết