Doanh nghiệp không nên trả tiền chuộc cho hacker khi bị tấn công mã hóa dữ liệu

Trong kỷ nguyên số, các cơ quan, tổ chức, doanh nghiệp phải từng ngày, từng giờ đối mặt với các mối đe dọa, những nguy cơ mất an toàn, an ninh thông tin không ngừng gia tăng trên không gian mạng. Theo thống kê, tính từ đầu năm 2023 đến nay, đã có hơn 13.750 cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam gây ra sự cố. Trong đó, tính riêng 3 tháng đầu năm nay, số sự cố tấn công mạng vào các hệ thống thông tin tại Việt Nam là 2.323.

Liên tiếp trong thời gian gần đây, nhiều doanh nghiệp của Việt Nam như VNDIRECT, VPOIL… đã bị tấn công mã hóa dữ liệu (Ransomware). Cụ thể, tháng 11/2023, một đơn vị trong lĩnh vực năng lượng đã bị tấn công và mã hóa toàn bộ khoảng 1.000 máy chủ; tháng 12/2023, một đơn vị trong ngành tài chính ngân hàng bị tin tặc nằm vùng rất lâu và thông thạo quy trình, gây thiệt hại gần 200 tỷ đồng.

Mới đây, tháng 3/2024, một đơn vị trung gian thanh toán, rồi VNDirect, PVOil và hai nhà cung cấp dịch vụ viễn thông bị tấn công ransomware. Đáng chú ý, các vụ tấn công mã độc tống tiền gây thiệt hại nghiêm trọng cho tổ chức, doanh nghiệp. Nếu cách đây 2-3 năm, tin tặc tấn công đòi tiền chuộc với số tiền 40-50 tỷ đồng là rất lớn, thì gần đây, có những vụ đã lên tới 200 tỷ đồng. Thực tế cho thấy, tần suất tấn công mạng ngày càng dồn dập và nhằm vào các đơn vị có hệ thống trọng yếu.

Hiệp hội An ninh mạng quốc gia dự báo thời gian tới, các nhóm tin tặc gia tăng tấn công mạng bằng mã độc tống tiền, nhằm vào các cơ quan trọng yếu, các tổ chức kinh tế, tài chính, năng lượng tiếp tục diễn biến phức tạp, không loại trừ khả năng hoạt động tấn công mã độc đã được cài cắm sâu trong các hệ thống thông tin.

Chia sẻ về tấn công mã hóa dữ liệu trong thời gian qua, ông Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty cổ phần Công nghệ An ninh mạng Quốc gia (NCS), Trưởng ban Nghiên cứu công nghệ Hiệp hội An ninh mạng Quốc gia cho biết, hình thức tấn công của hacker trong thời gian vừa qua là tương đối giống nhau. Đó là đều nằm vùng một thời gian và sau đó mã hóa dữ liệu tống tiền. Tuy vậy, kỹ thuật được sử dụng của các vụ tấn công gần đây lại không giống nhau. Do đó khả năng đây là các cuộc tấn công của những nhóm tội phạm mạng khác nhau.

Trung tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng quốc gia (Cục A05, Bộ Công an) cho biết, Trong tháng 3/2024, một đơn vị ở Việt Nam đã phải trả tiền chuộc để khôi phục hệ thống. Chúng tôi đã khuyến cáo điều này sẽ tạo tiền lệ xấu cho chính doanh nghiệp đó và doanh nghiệp khác trên thị trường. Pháp luật hiện chưa có quy định cụ thể về việc này, nên đó vẫn là lựa chọn của doanh nghiệp.

Ảnh minh họa

Việc tấn công hệ thống có thể gây ngừng toàn bộ hoạt động, giao dịch và khó có thể thu hồi được dữ liệu nhạy cảm đã rơi vào tay tin tặc. Theo chuyên gia, một khi dữ liệu đã bị mã hóa, gần như không còn cơ hội giải mã dữ liệu mã hóa. Tỷ lệ phục hồi là rất thấp, gần như bằng không và điều này hoàn toàn phụ thuộc vào hạ tầng đã được thiết kế để có khả năng phục hồi trong các tình huống như vậy hay chưa. Mục tiêu chính mà các hacker hướng tới khi tấn công mã hóa dữ liệu là đòi tiền chuộc. Khi một hệ thống đã bị mã hóa dữ liệu, chỉ có 2 cách để bảo vệ dữ liệu là trả tiền chuộc cho hacker và sử dụng các dữ liệu đã được sao lưu dự phòng trước đó để khôi phục. Hiện nay chưa có cách nào để bẻ khóa thuật toán của hacker để tự mở dữ liệu.

Tuy nhiên, hiện nay, 90% nạn nhân các vụ tấn công mã hóa dữ liệu trên thế giới lựa chọn phương án không trả tiền cho hacker, ông Sơn thông tin. Hiện nay, sáng kiến quốc tế về chống mã độc tống tiền (CRI) do Mỹ khởi xướng đã đưa ra một tuyên bố chính sách chung giữa các nước, trong đó kêu gọi các nạn nhân không trả tiền chuộc cho tin tặc, nếu không sẽ tạo ra một tiền lệ xấu, đặc biệt nguy hiểm.

Các chuyên gia khuyến cáo khi bị tấn công phải báo cáo các cơ quan chức năng liên quan đển xử lý. Bên cạnh tìm cách khôi phục lại hệ thống, cần phải bảo vệ chứng cứ, xác minh điều tra yếu tố bên trong và bên ngoài, làm rõ trách nhiệm và có biện pháp răn đe để tránh xảy ra chuyện tương tự với cơ quan khác.

Ông Thủy nêu rõ, khi tham gia sáng kiến chống mã hóa tống tiền của thế giới đã thống nhất vận động không trả tiền vì tạo ra nhu cầu, kích thích các nhóm tấn công mạng tập trung tấn công. Nếu kiên cường trước các cuộc tấn công sẽ giảm động lực của các nhóm tin tặc tấn công mã hóa dữ liệu tống tiền.

Trong số những sự cố tấn công vừa qua, có đơn vị ở Việt Nam đã chọn cách phải trả tiền chuộc để khôi phục hệ thống. “Chúng tôi đã khuyến cáo điều này sẽ tạo tiền lệ xấu cho chính doanh nghiệp đó và doanh nghiệp khác trên thị trường”, Giám đốc Trung tâm an ninh mạng quốc gia nói.

Theo các chuyên gia, số tiền chuộc thu được khi nạn nhân trả sẽ tạo động cơ cho các hacker, đối tượng khác tiếp tục hướng tấn công vào các nạn nhân khác ở Việt Nam, đặc biệt là các nhóm tấn công đến từ thế giới với hy vọng thu được tiền từ những dữ liệu đã bị mã hóa.

Hiện nay chưa có quy định cụ thể về vấn đề này nên đó vẫn là lựa chọn của doanh nghiệp. Trong một số trường hợp như một đơn vị trong lĩnh vực năng lượng ở Tp.Hồ Chí Minh, sau khi phối hợp với cơ quan chức năng của Mỹ triệt phá được vào hạ tầng của nhóm ransomware, thu được key giải mã mà không cần trả tiền chuộc. Tuy nhiên, theo chuyên gia này, không phải đơn vị nào cũng may mắn như vậy.

Ngoài ra, phải chuẩn bị phương án phục hồi như sao lưu backup dữ liệu thường xuyên. Chuyên gia khuyến cáo nên lựa chọn chiến lược phù hợp với điều kiện, khả năng, ít nhất với dữ liệu quan trọng nên theo chiến thuật 3+2+1 (tức là sao lưu ít nhất 3 bản, trên 2 định dạng khác nhau và ít nhất có 1 bản offline). Cùng với đó các tổ chức doanh nghiệp cần phải có biện pháp giám sát liên tục…

An ninh mạng là cuộc chiến giữa con người với con người. Tấn công hiện nay sẽ nhắm đến các mục tiêu tổ chức có dữ liệu lớn, dữ liệu quan trọng. Vấn đề là giám sát và phát hiện sớm trước khi hacker mã hóa dữ liệu. Khi bị mã hóa dữ liệu, thiệt hại sẽ cao hơn rất nhiều đầu tư trang bị hệ thống an toàn, các chuyên gia nhấn mạnh.

Khánh Mai (t/h)