Ngăn chặn làn sóng tấn công “mã hóa dữ liệu” tống tiền

Theo đánh giá của các chuyên gia an ninh mạng, mã độc nằm vùng một thời gian và sau đó mã hóa dữ liệu tống tiền, lúc này không ai có thể lấy lại dữ liệu, buộc phải "chuộc" số tiền lớn để hacker trả khoá. Phần lớn họ sử dụng Bitcoin không thể tìm ra dấu vết. Nếu các doanh nghiệp không có giải pháp phòng vệ, sẽ còn gặp nhiều các tình huống tấn công như vậy trong tương lai.

Các giải pháp truyền thống không phù hợp.

Tính từ đầu năm 2023 đến nay, đã có hơn 13.750 cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam gây ra sự cố. Trong đó, tính riêng 3 tháng đầu năm nay, số sự cố tấn công mạng vào các hệ thống thông tin tại Việt Nam là 2.323 cuộc. Việc các tổ chức, doanh nghiệp Việt liên tiếp phải đối mặt với sự cố gần đây đang khiến nhiều cơ quan, đơn vị lo lắng.

Trước vấn đề này, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A 05 - Bộ Công an) đã chủ động chủ trì, phối hợp với Cục An toàn thông tin (Bộ TT&TT), các cơ quan liên quan điều phối điều tra, hướng dẫn các cơ quan, doanh nghiệp khẩn trương khắc phục, sớm đưa các hệ thống thông tin vận hành trở lại bình thường, hạn chế hậu quả thiệt hại xảy ra cho các cơ quan, doanh nghiệp. Kết quả điều tra xử lý các sự cố tấn công mã hóa dữ liệu cho thấy phương thức thủ đoạn của nhóm tội phạm này hết sức tinh vi, nguy hiểm, kịch bản tấn công của nhóm tin tặc có nhiều điểm tương đồng.

Việc tấn công hệ thống có thể gây ngừng toàn bộ hoạt động, giao dịch và khó có thể thu hồi được dữ liệu nhạy cảm đã rơi vào tay tin tặc. Trong đó, dữ liệu của các đơn vị này đóng vai trò hết sức quan trọng, mang tính chất quyết định trong hoạt động của tổ chức. Các dữ liệu này đòi hỏi phải được duy trì, bảo đảm tính sẵn sàng cao.

Trong khi đó, mặc dù Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an cùng các cơ quan liên quan đã nhiều lần cảnh báo, nhưng nhận thức về vai trò, tầm quan trọng của công tác bảo đảm an toàn, an ninh mạng của phần lớn chủ quản các hệ thống thông tin còn hạn chế; Năng lực ứng phó và khả năng xử lý, khắc phục sự cổ trước các cuộc tấn công mạng còn thấp, nhiều hệ thống công nghệ thông tin quan trọng đầu tư không đồng bộ, không được giám sát, kiểm tra, đánh giá định kỳ, thường xuyên, tồn tại điểm yếu kỹ thuật, lỗ hổng bảo mật; Việc chấp hành quy trình, quy định về bảo đảm an ninh mạng chưa nghiêm; Việc quan tâm đầu tư về nguồn lực phục vụ công tác bảo đảm an ninh hệ thống mạng còn hạn chế.

Bên cạnh việc đầu tư cho an toàn thông tin tại Việt Nam, theo Gartner có báo cáo phỏng vấn các CIO: thông lệ trước đây đầu tư cho ATTT khoảng 10-15% ngân sách đầu tư cho CNTT và nay đã tăng lên. Hiện Bộ TT&TT đã khuyến cáo nâng lên 20%. Với các tổ chức là doanh nghiệp vừa và nhỏ, tùy vào khẩu vị rủi ro, có doanh nghiệp không có ngân sách phải chấp nhận rủi ro, có những doanh nghiệp toàn bộ kinh doanh dựa trên hệ thống CNTT phải bảo vệ.

Cách đây 10 năm, chúng ta gần như tin tưởng các máy tính trong văn phòng. Ngày nay, cách tiếp cận đã thay đổi, ngay cả trong văn phòng cũng không an toàn. Máy tính của nhân viên lại là điểm yếu dễ bị khai thác, chiếm quyền. Phần mà chúng ta phải bảo vệ phức tạp hơn nhiều. Mức độ phức tạp an toàn thông tin đã thay đổi, rủi ro thay đổi và ngân sách cũng phải thay đổi.

Để cùng các chuyên gia phân tích, tìm nguyên nhân, cách thức ngăn chặn của tấn công mạng hiện nay, cũng như đưa ra các giải pháp, khuyến nghị cho tổ chức, doanh nghiệp, người dân để phòng, chống tấn công mã hóa dữ liệu đòi tiền chuộc (ransomware). Do Câu lạc bộ Nhà báo công nghệ thông tin Việt Nam (Vietnam ICT Press Club) phối hợp Hiệp hội An ninh mạng quốc gia tổ chức tọa đàm "Phòng chống tấn công mã hóa dữ liệu tống tiền" vào chiều 5/4/2024.

Kết hợp giữa con người, công nghệ và quy trình phòng vệ...

Chia sẻ tại cuộc tọa đàm, chuyên gia Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty Công nghệ an ninh mạng quốc gia (NCS), Trưởng ban Nghiên cứu công nghệ Hiệp hội An ninh mạng quốc gia cho biết: Khi bị mã hoá dữ liệu cần phải làm gì? Đầu tiên sự cố xảy ra cần phải cấp cứu, cách ly hệ thống bị tấn công rút phích cắm khỏi hệ thống. Điều này hacker không tấn công tiếp mà còn để cơ quan điều tra có chứng cứ. Nếu chúng ta làm gì đó quá sớm, sẽ ảnh hưởng đến các dấu vết để lại trên hệ thống. Và nếu chúng ta để máy, hacker có thể vào xoá dấu vết.

Hình thức tấn công của hacker tương đối giống nhau, đều là tấn công nằm vùng một thời gian và sau đó mã hóa dữ liệu tống tiền. Tuy vậy, kỹ thuật tấn công các vụ lại không giống nhau, do đó khả năng đây là các cuộc tấn công của những nhóm tội phạm mạng khác nhau. Chưa có bằng chứng cho thấy đây là một chiến dịch có tổ chức. Tuy nhiên, cũng không loại trừ khả năng này vì các vụ việc liên tiếp xảy ra trong một thời gian khá ngắn.

Thực tế, các nhóm tấn công có hệ thống rà quét liên tục 24/7, chỉ cần thấy những bề mặt tấn công mới thì chúng sẵn sàng lao vào ngay. Do đó, những biện pháp trên là những việc chúng ta cần phải chú trọng nhiều hơn. Song song với phát triển các hệ thống, phần mềm, chúng ta cũng cần phải rất chú trọng công tác đảm bảo an toàn thông tin mạng.

Hiện nay cho thấy đầu tư cho an toàn thông tin, bảo vệ dữ liệu của các doanh nghiệp còn khá thấp. Theo ước tính, việc đầu tư này chỉ chiếm khoảng 5%, các giải pháp truyền thống không phù hợp nữa. Khi hacker tấn công APT có chủ đích vào được quyền truy cập vào hệ thống, hacker thậm chí còn quản trị tốt hơn cả những người đang vận hành, bởi ngoài việc có tài khoản quản trị, họ còn biết quy trình vận hành, cách dòng tiền chạy trong hệ thống như thế nào. Lúc đó các giải pháp bảo vệ không có tác dụng với cuộc tấn công mã hoá dữ liệu sự cố vừa rồi tại VNDirect, PVOil, hacker vào sâu, khi đã vào sâu thì gần như không thể ngăn chặn nếu chúng ta không có giám sát.

>>>Hơn 77.000 máy tính tại Việt Nam bị mã hóa dữ liệu tống tiền

Chúng ta không phải quá hoang mang bởi số vụ tấn công mã hoá dữ liệu chưa đến mức 100% các công ty bị, mới chỉ đâu đó 1 vài công ty, ở những nơi có nhiều dữ liệu.Trước đây chúng ta đầu tư 80% vào việc ngăn chặn, tuy nhiên chỉ dành 15% cho giám sát theo dõi và 5% cho phản ứng. Ngày nay tư duy phải đều, kiềng 3 chân, mỗi cái 33%. Nếu chỉ đầu tư vào khoá cửa thì chưa đủ. Cách phòng chống hiện đại là phải ngăn chặn, theo dõi và có quy trình phản ứng.

Đồng thời, SOC ko phải là giải pháp cụ thể, mà gồm nhiều giải pháp khác nhau, kết hợp giữa con người, công nghệ và quy trình phòng vệ, phản ứng với sự cố. Đây là mô hình mà tất cả doanh nghiệp có dữ liệu quan trọng nên áp dụng ngay.

Trong đó, Bộ TT&TT cũng đã hướng dẫn về mô hình 4 lớp đảm bảo an toàn thông tin: Lực lượng tại chỗ; Giám sát bảo vệ chuyên nghiệp; Kiểm tra, đánh giá an toàn thông tin chuyên nghiệp; Kết nối chia sẻ thông tin với hệ thống kỹ thuật quốc gia.

Theo trung tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng quốc gia, Cục A05- (Bộ Công an) chính là người trực tiếp chỉ huy, điều phối các đơn vị liên quan tham gia ứng cứu sự cố cho VNDirect, PVOil và hàng loạt các doanh nghiệp bị tấn công gần đây. 

Tại nghị định 53 xác lập lực lượng chuyên trách của Bộ Công an, chịu trách nhiệm bảo vệ hệ thống thông tin quan trọng an ninh quốc gia. Các hệ thống này nếu không bảo vệ tốt, hậu quả không chỉ gây nên ở cơ quan chủ quản mà cả cộng đồng. Ví dụ, lưới điện quốc gia bị sập, việc mất điện không chỉ ảnh hưởng đến EVN hoặc máy bay bị tấn công không chỉ ảnh hưởng đến Vietnam Airlines, hay hệ thống chính quyền bộ ngành bị hack làm lộ bí mật nhà nước.

Chúng tôi đã tham gia khá nhiều hệ thống ứng phó an ninh mạng toàn quốc. Tình hình an ninh mạng của Việt Nam ngày càng phức tạp. Tần suất tấn công ngày càng dồn dập, thiệt hại ngày càng lớn. Cách đây 2-3 năm, tin tặc lấy đi 4-50 tỷ là rất lớn nhưng năm nay có những vụ lên tới 200 tỷ, Tháng 3/2024, một đơn vị trung gian thanh toán, VNDirect, PVOIl, hai nhà cung cấp dịch vụ viễn thông bị tấn công ransomware.

Thời gian gần đây, tần suất ngày càng dồn dập và nhằm vào các đơn vị có hệ thống trọng yếu. Trong khi đó, Việt Nam đang chuyển đổi số, nhưng các doanh nghiệp chưa quan tâm đúng mức đến an ninh mạng. Do đó, khi chuyển đổi số nở rộ, làm nhanh không cân bằng với an ninh mạng thì sẽ càng rủi ro, vì tập trung lớn vào một số hệ thống, gây trở ngại lớn cho quá trình chuyển đổi số quốc gia.

Thực tế khi xảy ra, sai lầm tương đối phổ biến là không xác định được nguyên nhân sự cố để khắc phục triệt để mà vội vàng dựng lên để chạy lại. Các đơn vị thấy máy chủ có dấu hiệu bị tấn công mã độc lại đem ra cài lại, cài xong lại bị tấn công tiếp. Chúng ta phải điều tra nguyên nhân gốc để xử lý triệt để. Phải tạo ra phân vùng mạng sạch để chuyển các hệ thống sang. Phải chuẩn bị phương án kịp thời ngăn chặn hoặc thay thế những gì bị phá hỏng.

Trong đó, trung tâm A05 có hệ thống giám sát an ninh mạng quốc gia, là đầu mối kết nối hệ thống giám sát an ninh mạng của các đơn vị trọng yếu. Qua đó có thể hỗ trợ chia sẻ thông tin tình báo an ninh mạng và hỗ trợ nếu có. Trong quá trình xử lý sự cố, cần chuẩn bị sẵn các phương án xử lý.

Theo ông Phạm Thái Sơn - Phó Giám đốc Trung tâm giám sát an toàn không gian mạng quốc gia (NCSC), Cục An toàn thông tin (Bộ TT&TT) chia sẻ: Nhiệm NCSC vụ là giám sát an toàn thông tin toàn bộ không gian mạng Việt Nam; thu thập thông tin, tổng hợp, phân tích, theo dõi và dự báo, cảnh báo sớm xu hướng về các hoạt động, xu hướng tấn công mạng, chúng tôi đã thống kê, trong quý I/2024, ghi nhận có hơn 150 triệu cảnh báo về các nguy cơ bảo mật. Sau khi phân tích và phát hiện, chúng tôi thấy có hơn 300.000 nguy cơ tấn công mạng nhắm vào các hệ thống thông tin trên toàn quốc.

Về các hành lang pháp lý, Chính phủ đã ban hành Luật An toàn thông tin mạng năm 2015, Nghị định 85 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ, và Quyết định 05 năm 2017 của Thủ tướng Chính phủ quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia. Theo đó, đã quy định rõ việc đảm bảo an toàn hệ thống thông tin theo cấp độ.

Thời gian tới chúng tôi sẽ tiếp tục đôn đốc để các cơ quan, tổ chức, doanh nghiệp thực thi các quy định pháp luật về an toàn thông tin mạng. Việc chuyển đổi nhận thức phải từ cấp lãnh đạo cao nhất. Nó cũng giống như để chuyển đổi số, cần thay đổi từ người đứng đầu, có như vậy mọi thứ mới chạy nhanh được. Với an toàn thông tin cũng vậy, nhận thức phải từ cấp cao nhất trở xuống.

Tới đây, Cục an toàn thông tin sẽ công bố cẩm nang về ứng phó sự cố tấn công ransomware. Sự cố có nhiều loại, lần này cẩm nang của chúng tôi sẽ tập trung vào ransomware, đưa ra những hướng dẫn cơ bản giúp doanh nghiệp ứng phó.

Ví dụ như nói về ransomware, với việc sao lưu dữ liệu có thể không thực hiện hàng ngày nhưng có thể sao lưu hàng tuần vào một ổ cứng di động, chưa cần phải đầu tư hệ thống backup chuyên nghiệp, ít nhất là đảm bảo khôi phục được dữ liệu khi có sự cố.

Thực tế, tùy từng câu chuyện của doanh nghiệp có năng lực triển khai đảm bảo an toàn cho phù hợp. Đối với chi phí đầu tư an ninh mạng cho doanh nghiệp vừa và nhỏ không đắt. Khi xây dựng hệ thống yêu cầu đầu tiên phải có giám sát, việc này rất quan trọng. Các doanh nghiệp làm về giám sát tại Việt Nam đều có giải pháp cho doanh nghiệp vừa và nhỏ với giá khá hợp lý. Các doanh nghiệp vừa và nhỏ có thể mua gói licence phần mềm. Quan trọng không phải chi phí mà ở nhận thức người đứng đầu, có sẵn sàng bỏ tiền hay không không.

Theo ông Nguyễn Văn Cường - Phó tổng giám đốc Công ty An ninh mạng CMC (CMC Cyber Security) cho rằng: Phải tuỳ quy mô của doanh nghiệp, mức độ quan trọng của dữ liệu mà họ đang triển khai đến đâu, từ đó đưa ra được mức độ hệ thống cần đảm bảo cụ thể. Nếu hệ thống vừa phải, mức độ quan trọng không quá lớn thì mức yêu cầu thấp. Nó sẽ theo từng cấp độ, 1 2 3 4, tuỳ từng mức sẽ có yêu cầu khác nhau. Đối với các doanh nghiệp SME, dữ liệu không quá quan trọng, hệ thống giám sát khá đơn giản, chỉ cần sử dụng dịch vụ cloud của doanh nghiệp giám sát, chi phí rất thấp.

Về giải pháp chống mã độc mang thương hiệu Made Việt Nam, các công ty an ninh mạng đã phát triển nhiều giải pháp trong nước, không thua kém thế giới. Các giải pháp này có thể đáp ứng và đảm bảo an toàn cho các cơ quan tổ chức. Tại thời điểm này các cơ quan, tổ chức nên đặc biệt quan tâm đến việc đầu tư cho an toàn thông tin để chống lại tin tặc trong môi trường số, tránh sự việc sảy ra rồi lúc đó các giải pháp bảo vệ không có tác dụng với cuộc tấn công mã hoá dữ liệu sẽ gây ra thiệt hại lớn cho doanh nghiệp.