Chiều 5/4, tại buổi Tọa đàm về chủ đề “Phòng chống tấn công mã hóa dữ liệu tống tiền” do Hiệp hội An ninh mạng Quốc gia phối hợp với CLB ICT Việt Nam tổ chức, các chuyên gia khẳng định, một khi dữ liệu đã bị mã hóa thì cơ hội khôi phục gần như là bằng 0.
Trung tá Lê Xuân Thủy, Giám đốc Trung tâm an ninh mạng quốc gia - Bộ Công an, khẳng định: “Một khi dữ liệu đã bị mã hóa, gần như không còn cơ hội giải mã dữ liệu mã hóa. Tỷ lệ phục hồi rất thấp, gần như bằng không, hoàn toàn phụ thuộc vào hạ tầng đã được thiết kế để có khả năng phục hồi trong các tình huống như vậy hay chưa”.
Trung tá Lê Xuân Thủy cho biết, trong tháng 3/2024, một đơn vị ở Việt Nam đã phải trả tiền chuộc để khôi phục hệ thống. “Chúng tôi đã khuyến cáo điều này sẽ tạo tiền lệ xấu cho chính doanh nghiệp đó và doanh nghiệp khác trên thị trường”, ông Thủy nói.
Theo ông Thủy, Việt Nam đã tham gia sáng kiến chống ransomware thế giới cùng hơn 50 nước, trong đó đưa ra các giải pháp cũng như chính sách vận động không trả tiền, vì khi trả tiền sẽ có thể kích thích các nhóm tấn công mạng. "Nếu chúng ta kiên cường sẽ làm giảm động lực của tin tặc", ông nói. Ngược lại, việc doanh nghiệp chấp nhận yêu cầu của kẻ tấn công sẽ trở thành tiền lệ nguy hiểm cho chính doanh nghiệp đó và các đơn vị khác.
"Việt Nam chưa có quy định cụ thể về vấn đề này, nên đó là lựa chọn của doanh nghiệp", ông Thủy nói thêm.
Trung tá Lê Xuân Thủy, Giám đốc Trung tâm an ninh mạng quốc gia - Bộ Công an
Bên cạnh đó, phương án này được đánh giá không giải quyết triệt để vấn đề. "Có nhiều trường hợp trả tiền rồi nhưng không lấy được khóa, hoặc khóa không thể giải toàn bộ dữ liệu. Nếu không bịt đường vào sẽ còn bị tấn công lần nữa", Giám đốc Trung tâm an ninh mạng quốc gia khuyến cáo.
Ông Thủy cũng tiết lộ một trường hợp may mắn hi hữu: một đơn vị trong lĩnh vực năng lượng ở Thành phố HCM, sau khi phối hợp với cơ quan chức năng của Mỹ triệt phá được vào hạ tầng của nhóm ransomware, đã thu được key giải mã mà không cần trả tiền chuộc. “Không phải đơn vị nào cũng may mắn như vậy” – ông Thủy nói.
Theo ông Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty cổ phần Công nghệ an ninh mạng Quốc gia – NCS, Trưởng ban Nghiên cứu công nghệ Hiệp hội An ninh mạng Quốc gia, để bảo đảm an toàn 100% là khó, nhưng một trong những cách đầu tiên là sao lưu dữ liệu thường xuyên. Sao lưu ở đây không phải là sao lưu một cách đơn giản, mà là sao lưu có kế hoạch, phương án, theo quy trình, chẳng hạn như chiến thuật 3 – 2 – 1, tức là sao lưu ít nhất 3 bản, trên 2 định dạng khác nhau và ít nhất có 1 bản offline.
Ông Vũ Ngọc Sơn cũng nhấn mạnh tầm quan trọng của việc các đơn vị cần có biện pháp giám sát, giám sát liên tục: “Bây giờ, tấn công hiện hữu ở khắp nơi, và thường tấn công xảy ra lúc mọi người đi ngủ. Những kẻ tấn công cũng nhắm vào hành vi của chúng ta để phát động các cuộc tấn công. Ví dụ như cuộc tấn công vào PVOIL là vào 0h ngày 2/4, khi mọi người đã đi ngủ, hệ thống có cảnh báo thì cũng không có ai xử lý. Chúng ta cần có đội ngũ chuyên nghiệp, 24/7 để phát hiện sớm và xử lý các vấn đề, sự cố”.
Không chỉ vậy, ông Vũ Ngọc Sơn cho rằng cần phải liên tục rà soát những bề mặt tấn công mới để cảnh báo sớm: “Hiện nay chúng ta chuyển đổi số, mọi thứ đều đưa lên không gian mạng, bề mặt tấn công liên tục được mở rộng từng ngày từng giờ. Ngay quản trị hệ thống cũng không biết nay mở thêm cái gì, thêm cổng nào, dịch vụ nào. Chúng ta cần có những hệ thống bên ngoài giúp chúng ta giám sát liên tục các vấn đề và cảnh báo liên tục cho chúng ta nếu phát hiện thấy nguy cơ mới”.
“Giám sát liên tục và ngăn chặn từ sớm mới là giải pháp, chứ không phải chỉ là sao lưu dữ liệu”, ông Vũ Ngọc Sơn cảnh báo.
Nếu chúng ta không có yếu tố ngăn cách về mặt vật lý, thậm chí tốt hơn là địa lý, nếu để chung dữ liệu một chỗ thì không có ý nghĩa gì cả. Bởi hacker đã vào được thì họ cũng sẽ quản trị luôn cả hệ thống sao lưu dữ liệu. Lúc này hacker như một người quản trị, thậm chí như một “CTO”, họ biết rõ hệ thống có máy chủ nào, có tài khoản nào để quản trị, có phần mềm nào để bảo vệ, có phương án nào để sao lưu dữ liệu. Nó có thể mã hóa hết, khiến việc sao lưu không phát huy tác dụng.
Ông Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty cổ phần Công nghệ an ninh mạng Quốc gia – NCS, Trưởng ban Nghiên cứu công nghệ Hiệp hội An ninh mạng Quốc gia
"Các giải pháp bảo vệ có tác dụng không? Có. Tuy nhiên khi hacker đã vào sâu thì vô tác dụng. Hacker hoàn toàn có thể thay đổi cấu hình, việc này làm được bởi nó đã vào bên trong rồi. Khi hacker đã vào bên trong thì câu chuyện rất khác. Lúc đó chúng ta rất khó để ngăn chặn. Với cuộc tấn công mã hoá dữ liệu như vừa rồi, hacker vào sâu, khi đã vào sâu thì gần như không thể ngăn chặn nếu chúng ta không có giám sát" - ông Vũ Ngọc Sơn chia sẻ.
Còn theo Trung tá Lê Xuân Thủy, backup dữ liệu là yêu cầu tối thiểu, nhưng chỉ là một trong các tiêu chí khi xây dựng hệ thống. Nếu chỉ đầu tư hệ thống sao lưu, trong trường hợp tấn công leo thang, khôi phục hệ thống backup cũng phải mất thời gian, với nhiều hệ thống thì mất dữ liệu 1 ngày vẫn là quá nhiều, do đó không thể dựa vào hệ thống backup để sống sót. "Các tin tặc tấn công có chủ đích thường khai thác lỗ hổng zeroday chưa được công bố, dòng mã độc mới, các hệ thống phòng thủ hiện hữu đều không thể phát hiện và ngăn chặn được, vì vậy phải duy trì giám sát hệ thống 24/7. Nếu không làm tốt các khâu này vẫn có thể bị tấn công như bình thường chứ không phải đầu tư nhiều tiền bạc là đã là an toàn", ông Thủy nói.
Hàng nghìn cuộc tấn công ransomware và nguy cơ bùng phát hơn nữa khi trả tiền chuộc
Cuối tháng 3/2024, liên tiếp các hệ thống mạng máy tính của những doanh nghiệp lớn hàng đầu tại Việt Nam như Công ty Cổ phần Chứng khoán VNDirect và Tổng Công ty Dầu Việt Nam (PVOIL) bị tấn công bằng mã độc ransomware để tống tiền. Đó là những doanh nghiệp tên tuổi và thông tin được tiết lộ trên báo chí, còn theo thống kê, tính riêng 3 tháng đầu năm 2024, số sự cố tấn công mạng vào các hệ thống thông tin tại Việt Nam được ghi nhận lên tới 2.323 vụ. Riêng về ransomware, ông Phạm Thái Sơn - Phó Giám đốc Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC-Bộ TT-TT) cho biết: “Trong quý I/2024, chúng tôi đã ghi nhận hơn 13.750 sự kiện liên quan đến ransomware trên các hệ thống thông tin, thông qua hệ thống giám sát của NCSC”. Khi bị tấn công bằng mã độc tống tiền ransomware, kẻ tấn công yêu cầu nạn nhân phải trả tiền mới được cung cấp chìa khóa để mở mã khóa dữ liệu.Trung tá Lê Xuân Thủy, Giám đốc Trung tâm an ninh mạng quốc gia - Bộ Công an, khẳng định: “Một khi dữ liệu đã bị mã hóa, gần như không còn cơ hội giải mã dữ liệu mã hóa. Tỷ lệ phục hồi rất thấp, gần như bằng không, hoàn toàn phụ thuộc vào hạ tầng đã được thiết kế để có khả năng phục hồi trong các tình huống như vậy hay chưa”.
Trung tá Lê Xuân Thủy cho biết, trong tháng 3/2024, một đơn vị ở Việt Nam đã phải trả tiền chuộc để khôi phục hệ thống. “Chúng tôi đã khuyến cáo điều này sẽ tạo tiền lệ xấu cho chính doanh nghiệp đó và doanh nghiệp khác trên thị trường”, ông Thủy nói.
Theo ông Thủy, Việt Nam đã tham gia sáng kiến chống ransomware thế giới cùng hơn 50 nước, trong đó đưa ra các giải pháp cũng như chính sách vận động không trả tiền, vì khi trả tiền sẽ có thể kích thích các nhóm tấn công mạng. "Nếu chúng ta kiên cường sẽ làm giảm động lực của tin tặc", ông nói. Ngược lại, việc doanh nghiệp chấp nhận yêu cầu của kẻ tấn công sẽ trở thành tiền lệ nguy hiểm cho chính doanh nghiệp đó và các đơn vị khác.
"Việt Nam chưa có quy định cụ thể về vấn đề này, nên đó là lựa chọn của doanh nghiệp", ông Thủy nói thêm.
Bên cạnh đó, phương án này được đánh giá không giải quyết triệt để vấn đề. "Có nhiều trường hợp trả tiền rồi nhưng không lấy được khóa, hoặc khóa không thể giải toàn bộ dữ liệu. Nếu không bịt đường vào sẽ còn bị tấn công lần nữa", Giám đốc Trung tâm an ninh mạng quốc gia khuyến cáo.
Ông Thủy cũng tiết lộ một trường hợp may mắn hi hữu: một đơn vị trong lĩnh vực năng lượng ở Thành phố HCM, sau khi phối hợp với cơ quan chức năng của Mỹ triệt phá được vào hạ tầng của nhóm ransomware, đã thu được key giải mã mà không cần trả tiền chuộc. “Không phải đơn vị nào cũng may mắn như vậy” – ông Thủy nói.
Làm chuồng trước khi mất bò
Để tránh nguy cơ phải trả tiền chuộc để khôi phục dữ liệu, các chuyên gia đều khẳng định tầm quan trọng của việc xây dựng hạ tầng hệ thống sao cho có thể ngăn chặn tấn công từ sớm và khi bị tấn công thì có thể phục hồi.Theo ông Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty cổ phần Công nghệ an ninh mạng Quốc gia – NCS, Trưởng ban Nghiên cứu công nghệ Hiệp hội An ninh mạng Quốc gia, để bảo đảm an toàn 100% là khó, nhưng một trong những cách đầu tiên là sao lưu dữ liệu thường xuyên. Sao lưu ở đây không phải là sao lưu một cách đơn giản, mà là sao lưu có kế hoạch, phương án, theo quy trình, chẳng hạn như chiến thuật 3 – 2 – 1, tức là sao lưu ít nhất 3 bản, trên 2 định dạng khác nhau và ít nhất có 1 bản offline.
Ông Vũ Ngọc Sơn cũng nhấn mạnh tầm quan trọng của việc các đơn vị cần có biện pháp giám sát, giám sát liên tục: “Bây giờ, tấn công hiện hữu ở khắp nơi, và thường tấn công xảy ra lúc mọi người đi ngủ. Những kẻ tấn công cũng nhắm vào hành vi của chúng ta để phát động các cuộc tấn công. Ví dụ như cuộc tấn công vào PVOIL là vào 0h ngày 2/4, khi mọi người đã đi ngủ, hệ thống có cảnh báo thì cũng không có ai xử lý. Chúng ta cần có đội ngũ chuyên nghiệp, 24/7 để phát hiện sớm và xử lý các vấn đề, sự cố”.
Không chỉ vậy, ông Vũ Ngọc Sơn cho rằng cần phải liên tục rà soát những bề mặt tấn công mới để cảnh báo sớm: “Hiện nay chúng ta chuyển đổi số, mọi thứ đều đưa lên không gian mạng, bề mặt tấn công liên tục được mở rộng từng ngày từng giờ. Ngay quản trị hệ thống cũng không biết nay mở thêm cái gì, thêm cổng nào, dịch vụ nào. Chúng ta cần có những hệ thống bên ngoài giúp chúng ta giám sát liên tục các vấn đề và cảnh báo liên tục cho chúng ta nếu phát hiện thấy nguy cơ mới”.
“Giám sát liên tục và ngăn chặn từ sớm mới là giải pháp, chứ không phải chỉ là sao lưu dữ liệu”, ông Vũ Ngọc Sơn cảnh báo.
Nếu chúng ta không có yếu tố ngăn cách về mặt vật lý, thậm chí tốt hơn là địa lý, nếu để chung dữ liệu một chỗ thì không có ý nghĩa gì cả. Bởi hacker đã vào được thì họ cũng sẽ quản trị luôn cả hệ thống sao lưu dữ liệu. Lúc này hacker như một người quản trị, thậm chí như một “CTO”, họ biết rõ hệ thống có máy chủ nào, có tài khoản nào để quản trị, có phần mềm nào để bảo vệ, có phương án nào để sao lưu dữ liệu. Nó có thể mã hóa hết, khiến việc sao lưu không phát huy tác dụng.
"Các giải pháp bảo vệ có tác dụng không? Có. Tuy nhiên khi hacker đã vào sâu thì vô tác dụng. Hacker hoàn toàn có thể thay đổi cấu hình, việc này làm được bởi nó đã vào bên trong rồi. Khi hacker đã vào bên trong thì câu chuyện rất khác. Lúc đó chúng ta rất khó để ngăn chặn. Với cuộc tấn công mã hoá dữ liệu như vừa rồi, hacker vào sâu, khi đã vào sâu thì gần như không thể ngăn chặn nếu chúng ta không có giám sát" - ông Vũ Ngọc Sơn chia sẻ.
Còn theo Trung tá Lê Xuân Thủy, backup dữ liệu là yêu cầu tối thiểu, nhưng chỉ là một trong các tiêu chí khi xây dựng hệ thống. Nếu chỉ đầu tư hệ thống sao lưu, trong trường hợp tấn công leo thang, khôi phục hệ thống backup cũng phải mất thời gian, với nhiều hệ thống thì mất dữ liệu 1 ngày vẫn là quá nhiều, do đó không thể dựa vào hệ thống backup để sống sót. "Các tin tặc tấn công có chủ đích thường khai thác lỗ hổng zeroday chưa được công bố, dòng mã độc mới, các hệ thống phòng thủ hiện hữu đều không thể phát hiện và ngăn chặn được, vì vậy phải duy trì giám sát hệ thống 24/7. Nếu không làm tốt các khâu này vẫn có thể bị tấn công như bình thường chứ không phải đầu tư nhiều tiền bạc là đã là an toàn", ông Thủy nói.
