Thưa ông, ông đánh giá như thế nào về nguy cơ bị tấn công mạng của các doanh nghiệp khi hoạt động trên môi trường số hiện nay? Liệu có phải đang có làn sóng tấn công mạng vào các doanh nghiệp Việt Nam?
Hiện nay, tình hình tấn công mạng Việt Nam đang gia tăng, các vụ tấn công mã hoá dữ liệu liên tiếp xảy ra, nhất là sau khi hacker đã lấy được tiền chuộc từ một vụ tấn công mạng.
Ông Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty cổ phần Công nghệ An ninh mạng Quốc gia (NCS) - Trưởng ban Nghiên cứu công nghệ Hiệp hội An ninh mạng Quốc gia.
Việc lấy được tiền cũng là động lực khiến cho hacker (tin tặc), đặc biệt là các nhóm tội phạm quốc tế, đưa Việt Nam trở thành mục tiêu tiềm năng. Các cuộc tấn công mạng xảy ra liên tiếp trong thời gian vừa qua cho thấy các doanh nghiệp, nhất là doanh nghiệp tài chính tại Việt Nam, đang là đích nhắm của các hacker, nhất là các tổ chức xuyên biên giới.
Hình thức tấn công của hacker thời gian gần đây tương đối giống nhau, đều là tấn công nằm vùng một thời gian và sau đó mã hóa dữ liệu tống tiền. Tuy vậy, kỹ thuật tấn công các vụ lại không giống nhau, do đó khả năng đây là các cuộc tấn công của những nhóm tội phạm mạng khác nhau. Chưa có bằng chứng cho thấy đây là một chiến dịch có tổ chức. Tuy nhiên, cũng không loại trừ khả năng này vì các vụ việc liên tiếp xảy ra trong thời gian khá ngắn.
Ông đánh giá thế nào về thủ đoạn của các đối tượng tấn công mạng thời gian gần đây?
Thủ đoạn của hacker khi tấn công vào các hệ thống dữ liệu tại Việt Nam không phải mới. Các hacker thực hiện xâm nhập vào hệ thống từ trước, thường tối thiểu 6 tháng, có khi là cả năm. Sau đó, thực hiện thu thập thông tin để từ đó biết được đâu là các dữ liệu quan trọng đối với doanh nghiệp, tổ chức. Đến thời điểm thích hợp, hacker sẽ thực hiện mã hóa các dữ liệu này.
Khi bị mã hóa, các dữ liệu không có cách nào khôi phục lại. Để mở khoá, những đơn vị bị tấn công sẽ phải trả tiền để lấy lại khoá giải mã dữ liệu này. Một số tổ chức tại Việt Nam may mắn là có những bản lưu trữ từ trước. Tuy nhiên, những bản lưu trữ này không đầy đủ. Chính vì vậy, các tổ chức cũng sẽ mất nhiều thời gian để khôi phục lại dữ liệu mới bằng cách nhập lại thủ công các dữ liệu dựa trên các chứng từ, hoặc là những giấy tờ đã lưu lại được. Việc này cũng sẽ mất tương đối nhiều thời gian.
Theo ông, đâu là nguyên nhân khiến cho các hacker có thể tấn công một loạt các doanh nghiệp trong thời gian qua?
Việc phòng thủ của các doanh nghiệp, tổ chức hiện chưa tương xứng với mức độ quan trọng của dữ liệu. Đặc biệt là trong quá trình chuyển đổi số, các dữ liệu này đã được tập trung lại tại những server lưu trữ dữ liệu. Do đó, hacker có thể thông qua các lỗ hổng phần mềm hoặc lỗ hổng quy trình và thậm chí là lỗ hổng liên quan đến con người để thực hiện tấn công trực tiếp vào hệ thống này.
Sau khi khai thác được 1 máy chủ, chúng sẽ nằm vùng và thu thập các thông tin, đặc biệt là các thông tin liên quan đến quản trị của của hệ thống. Từ đó, tiếp tục leo thang tấn công vào các server có dữ liệu quan trọng.
Các vụ tấn công vừa rồi cho thấy hacker đã vào sâu trong hệ thống từ trước, chứ không phải là khi xảy ra sự cố là lúc đó harker tấn công. Thực tế, harker đã nằm vùng khá lâu và hiểu rõ hệ thống, đôi khi còn hiểu hơn cả quản trị hệ thống.
Mực đích các cuộc tấn công mạng là đòi tiền chuộc, vậy có nên đáp ứng yêu cầu của harker không, thưa ông?
Theo khuyến cáo của các tổ chức trên thế giới, việc trả tiền chuộc cho hacker là không nên. Bởi vì có tới 90% vụ việc khi trả tiền chưa chắc hacker đưa khoá dữ liệu. Bên cạnh đó, việc trả tiền chuộc tạo ra một tiền lệ xấu vì hacker sẽ tiếp tục tấn công vào các đối tượng, doanh nghiệp khác. Thậm chí, các nhóm hacker khác có thể tấn công vào chính doanh nghiệp vừa trả tiền.
Việc trả tiền đồng nghĩa với việc doanh nghiệp đó thừa nhận rằng các dữ liệu rất quan trọng và không có bản sao lưu. Từ đó, các nhóm tội phạm có tổ chức khác cũng sẽ lấy đó làm mục tiêu để tiến hành tấn công và tống tiền.
Thưa ông, đâu là giải pháp để khắc phục tình trạng bị tấn công mạng như trên?
Có rất nhiều các giải pháp mà doanh nghiệp, tổ chức cần phải thực hiện.
Đầu tiên, doanh nghiệp, tổ chức cần phải rà soát lại toàn bộ hệ thống để đảm bảo các lỗ hổng và các mã độc nằm vùng bị quét sạch ra khỏi hệ thống.
Tiếp theo, cần phải chuẩn hóa các quy trình về lưu trữ, bảo quản dữ liệu. Cụ thể, các doanh nghiệp phải xây dựng hệ thống sao lưu dữ liệu để trong các tình huống xấu thì đã có những dữ liệu sao lưu từ trước, từ đó có thể nhanh chóng phục hồi.
Một đơn vị làm về công tác bảo đảm an toàn thông tin, an ninh mạng tại Việt Nam.
Đặc biệt, doanh nghiệp, tổ chức cần phải đưa ngay các hệ thống, dữ liệu quan trọng vào việc giám sát 24/7. Việc giám sát sẽ giúp doanh nghiệp phát hiện ra những nguy cơ bất thường, đặc biệt là khi có hacker xâm nhập nằm vùng.
Nếu phát hiện sớm, doanh nghiệp sẽ ngăn chặn được các cuộc tấn công dữ liệu trước khi hacker có thể thực hiện.
Cuối cùng, phải nâng cao nhận thức từ đội ngũ quản trị cũng như những nhân viên của doanh nghiệp. Điều này sẽ giúp khắc phục những điểm yếu của con người để ngăn chặn hacker có thể khai thác điểm yếu này.
Theo ông, các doanh nghiệp có cần bố trí đội ngũ chuyên trách lĩnh vực về an ninh mạng không, thưa ông?
Theo các khuyến cáo mới nhất từ Bộ Thông tin và Truyền thông, chúng ta xây dựng một hệ thống bảo vệ nhiều lớp. Cụ thể, lớp đầu tiên sẽ xây dựng dựa trên những nguồn lực của nội bộ. Tức là doanh nghiệp, tổ chức sẽ có bộ phận chuyên trách, giải pháp an ninh để phòng vệ.
Tuy nhiên, doanh nghiệp, tổ chức sẽ phải kết hợp với đơn vị độc lập từ bên ngoài. Việc doanh nghiệp sử dụng một đơn vị giám sát độc lập từ bên ngoài sẽ giúp khắc phục điểm yếu nội bộ không phát hiện ra.
Đồng thời, việc giám sát độc lập sẽ có giá trị khách quan. Khi có xảy ra bất cứ một tình huống bất thường nào đó, nếu một nhóm không phát hiện được, nhóm còn lại sẽ phát hiện ra. Mô hình phòng thủ hai lớp này rất quan trọng với tất cả các hệ thống.
Ông đánh giá thế nào về việc các doanh nghiệp Việt Nam đầu tư cho hệ thống bảo mật, an toàn thông tin thời gian qua?
Tuỳ mức độ quan trọng của dữ liệu, các doanh nghiệp cũng có những đầu tư nhất định. Hiện chưa có số liệu thống kê nào cho thấy tình hình đầu tư an ninh mạng của các tổ chức, doanh nghiệp tại Việt Nam. Mức đầu tư cho an ninh mạng hiện nay lý tưởng là 10%, tốt là 20% ngân sách đầu tư cho công nghệ thông tin. Tuy nhiên, với kinh nghiệm làm việc thực tế nhiều năm, tại Việt Nam, các doanh nghiệp, tổ chức chưa làm được như vậy, mức đầu tư hiện chỉ dưới 5%.
Tuy nhiên, cũng có doanh nghiệp đầu tư lớn cho hệ thống bảo mật. Nhưng với các cuộc tấn công mạng theo hình thức mã hoá dữ liệu, hacker sẽ khai thác những lỗ hổng (zero day). Điều đó có nghĩa, kể cả khi chúng ta có trang bị một hệ thống tối tân bảo mật nhưng khi hacker đã phát hiện được lỗ hổng hệ thống thì sẽ dễ dàng vượt qua. Việc các doanh nghiệp đầu tư vào giải pháp mà không đầu tư vào hệ thống giám sát, đặc biệt là giám sát bằng con người, thì chưa thực sự hiệu quả.
Bằng chứng là các tổ chức tài chính luôn là đơn vị đầu tư thuộc loại mức cao ở Việt Nam. Tuy nhiên, các tổ chức tài chính vẫn bị tấn công.
Việc hacker xâm nhập luôn xác định là việc sẽ xảy ra. Do đó, các doanh nghiệp, tổ chức cần có quy trình, cũng như việc giám sát để sau khi hacker xâm nhập sẽ biết cách phải phản ứng ra sao.
Xin cám ơn ông!