Trả tiền chuộc có thể gây bùng nổ mã độc tống tiền tại Việt Nam

Từ cuối tháng 3, Việt Nam ghi nhận ít nhất ba vụ tấn công mã hóa dữ liệu (ransomware) quy mô lớn gồm VnDirect, PVOil và một nhà cung cấp dịch vụ viễn thông, bên cạnh sự cố của những doanh nghiệp nhỏ hơn. Tại tọa đàm chiều 5/4 ở Hà Nội, Trung tá Lê Xuân Thủy, Giám đốc Trung tâm an ninh mạng quốc gia – Bộ Công an, cho biết thời gian qua có đơn vị tại Việt Nam đã phải trả tiền chuộc để khôi phục dữ liệu hệ thống sau khi bị mã hóa tống tiền.

“Chúng tôi đã khuyến cáo việc này sẽ tạo ra tiền lệ và có thể nổ ra các cuộc tấn công khác. Và thực tế vừa qua đã có cuộc tấn công như vậy”, ông Thủy nói.

Theo ông, Việt Nam đã tham gia sáng kiến chống ransomware thế giới cùng hơn 50 nước, trong đó đưa ra các giải pháp cũng như chính sách vận động không trả tiền, vì khi trả tiền sẽ có thể kích thích các nhóm tấn công mạng. “Nếu chúng ta kiên cường sẽ làm giảm động lực của tin tặc”, ông nói. Ngược lại, việc doanh nghiệp chấp nhận yêu cầu của kẻ tấn công sẽ trở thành tiền lệ nguy hiểm cho chính doanh nghiệp đó và các đơn vị khác.

“Việt Nam chưa có quy định cụ thể về vấn đề này, nên đó là lựa chọn của doanh nghiệp”, ông Thủy nói thêm.

Bên cạnh đó, phương án này được đánh giá không giải quyết triệt để vấn đề. “Có nhiều trường hợp trả tiền rồi nhưng không lấy được khóa, hoặc khóa không thể giải toàn bộ dữ liệu. Nếu không bịt đường vào sẽ còn bị tấn công lần nữa”, Giám đốc Trung tâm an ninh mạng quốc gia khuyến cáo.

Trên thế giới, việc trả tiền cho các hacker tấn công ransomware cũng là vấn đề tranh cãi. Trả lời VnExpress, ông Thành Nguyễn, nhà sáng lập công ty bảo mật Verichains, cho biết tại một số quốc gia, việc đưa tiền cho tội phạm mạng thậm chí có thể gây ra hậu quả pháp lý nghiêm trọng cho doanh nghiệp vì “gửi đi một thông điệp rằng tấn công ransomware là một phương thức kiếm tiền hiệu quả, từ đó khuyến khích các nhóm tội phạm mạng”.

Theo Purestorage, quyết định trả hay không trả còn phụ thuộc nhiều yếu tố, như mức độ ảnh hưởng của dữ liệu đến hoạt động kinh doanh, đội ngũ nhân viên của công ty, và nguy cơ lộ lọt sau tấn công. Nhiều vụ ransomware thường là “tống tiền kép”, bao gồm cả việc đe dọa công khai dữ liệu nhạy cảm trong hệ thống.

“Nếu trả tiền thực sự là lựa chọn duy nhất, nên thuê một nhóm ứng phó sự cố có kinh nghiệm để hỗ trợ đàm phán và thanh toán”, trang này khuyến nghị.

“Doanh nghiệp lúng túng khi bị mã hóa dữ liệu tống tiền”

Quy trình chuẩn khi bị tấn công ransomware thường gồm bốn bước, gồm: Cấp cứu, rà soát, phục hồi, rút kinh nghiệm. Trong đó, giai đoạn cấp cứu gồm việc như cách ly ngay hệ thống tấn công, liên hệ cơ quan chức năng và các bên liên quan, đánh giá khả năng sử dụng dữ liệu đã sao lưu và đưa ra kế hoạch xử lý.

“Quy trình ai cũng nắm rõ. Nhưng thực tế khi xảy ra, đơn vị rất lúng túng dẫn đến nhiều hệ lụy”, ông Thủy nói.

Các sai lầm thường gặp, theo ông Thủy, là chậm trễ trong việc thông báo tới cơ quan chức năng và không có kế hoạch điều tra, ứng phó. “Nhiều đơn vị vội vàng khôi phục hệ thống, làm mất dấu vết tấn công, gây khó trong xác định nguyên nhân”, ông nói. “Việc không xác định được nguyên nhân sẽ làm tăng nguy cơ tái diễn các cuộc tấn công sau này”.

Theo các chuyên gia, sao lưu dữ liệu là phương án tốt nhất để phòng ngừa tấn công mã hóa dữ liệu, nhưng phải đúng cách. Khi có bản sao lưu tốt, doanh nghiệp có thể dễ dàng khôi phục hoạt động mà không phải trả tiền chuộc.

Ông Phạm Thái Sơn, đại diện Trung tâm Giám sát an toàn không gian mạng quốc gia, cho rằng cần sao lưu theo mô hình 3-2-1, tức có ít nhất ba bản, ở hai định dạng khác nhau và có ít nhất một bản offline. “Nếu không tách rời hạ tầng, có chiến thuật rõ ràng, rất có thể sẽ không còn gì để khôi phục”, ông Sơn nói.

Còn theo ông Thành Nguyễn, các sự cố gần đây đã chứng tỏ tin tặc có khả năng tấn công cả hệ thống chính đang hoạt động lẫn hệ thống sao lưu, làm cho việc khôi phục dữ liệu đã sao lưu trở nên bất khả thi. “Do vậy, cần có giải pháp sao lưu đặc thù, chẳng hạn đưa lên dịch vụ cloud có giải pháp và cơ chế vận hành độc lập để phòng chống rủi ro này”, ông nói.

Ngoài ra, ông Vũ Ngọc Sơn, Trưởng ban nghiên cứu công nghệ – Hiệp hội An ninh mạng quốc gia, cho rằng các đơn vị cũng cần có hệ thống theo dõi, giám sát và phản ứng để xử lý ngay khi bị tấn công. Việc phòng chống mã hóa dữ liệu cần thực hiện theo chiến lược “kiềng ba chân”, gồm ngăn chặn, theo dõi giám sát và phản ứng.

“Nếu làm sớm, chi phí sẽ nhỏ hơn rất nhiều so với số tiền phải bỏ ra để mua lại dữ liệu”, ông Sơn nói.

Lưu Quý