Bài học lớn với nhiều doanh nghiệp, tổ chức tại Việt Nam

Hệ thống của Tổng công ty Dầu Việt Nam - CTCP (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu - ransomware vào 0h ngày 2/4. Cùng với việc nhanh chóng báo cáo về sự cố tới các cơ quan chức năng, PVOIL cũng đã gấp rút triển khai các giải pháp khắc phục, với sự hỗ trợ của Cục An toàn thông tin (Bộ TT&TT) và A05 (Bộ Công an).

Thông tin từ PVOIL, từ 15h ngày 3/4, PVOIL đã có thể phát hành hóa đơn điện tử và phiếu xuất kho qua hệ thống CNTT của một đơn vị cung cấp dịch vụ. Các hệ thống và ứng dụng của PVOIL như hệ thống quản lý và phát hành hóa đơn điện tử, hệ thống website hay các ứng dụng PVOIL Easy, PVOIL B2B… đã hoạt động trở lại từ ngày 4/4. Đến ngày 5/4, đại diện VNCERT/CC, Cục An toàn thông tin (Bộ TT&TT) đã xác nhận công tác khắc phục sự cố tấn công ransomware vào hệ thống PVOIL đã cơ bản hoàn thành.

Cùng với sự cố xảy ra với VNDIRECT ngay trước đó, câu chuyện ứng phó với tấn công ransomware của PVOIL cũng đưa lại những bài học kinh nghiệm cần thiết cho nhiều tổ chức, doanh nghiệp tại Việt Nam về đảm bảo an toàn cho các hệ thống trong kỷ nguyên số.

W-he-thong-pvoil-1-1-1.jpg
Chuyên gia VSEC nhận định việc PVOIL có thể khắc phục sự cố và hoạt động trở lại chỉ sau 2, 3 ngày là một dấu hiệu khá tích cực với lĩnh vực CNTT, an toàn thông tin tại Việt Nam. Ảnh minh họa: Huy Hùng

Trao đổi với phóng viên VietNamNet, ông Vũ Thế Hải, Trưởng phòng Giám sát an toàn thông tin, Công ty VSEC cho rằng, việc PVOIL có thể khắc phục sự cố và hoạt động trở lại chỉ sau 2, 3 ngày là một dấu hiệu khá tích cực với lĩnh vực bảo mật nói chung hay rộng hơn là cả ngành CNTT. Ở góc độ kỹ thuật, việc điều tra và xử lý sự cố trong thời gian ngắn chứng tỏ đội ngũ doanh nghiệp đã làm tốt khâu quản trị rủi ro vận hành.

“Cụ thể là, doanh nghiệp đã có những tính toán và kế hoạch chuẩn bị trước khi sự cố xảy ra. Và khi có sự cố, các quy trình của họ ngay lập tức được thực hiện từ điều tra, xử lý cho đến đưa dịch vụ hoạt động trở lại. Một điều nữa là doanh nghiệp đã nhận thức rõ ràng hơn rất nhiều về bảo mật hệ thống thông tin, từ đó có sự chuẩn bị kỹ lưỡng”, ông Vũ Thế Hải phân tích.

Theo ông Ngô Tuấn Anh, CEO Công ty An ninh mạng thông minh - SCS, so với hệ thống VNDIRECT, bên cạnh 2 yếu tố là quy mô hệ thống và thời gian tìm kiếm, vá các lỗ hổng mà hacker đã sử dụng để thâm nhập và tấn công hệ thống, việc doanh nghiệp, tổ chức có thực hiện sao lưu định kỳ dữ liệu, nhất là những dữ liệu quan trọng cũng là một yếu tố  giúp các đơn vị có thể rút ngắn thời gian khắc phục khi bị tấn công ransomware.

“Việc triển khai các biện pháp phòng vệ cho hệ thống thông tin sẽ giúp các cơ quan, tổ chức rút ngắn thời gian khắc phục sự cố tấn công mạng, nhanh chóng khôi phục lại dữ liệu và hoạt động của hệ thống”, ông Ngô Tuấn Anh nhấn mạnh.

Có hệ thống giám sát mạnh, định kỳ sao lưu dữ liệu quan trọng

Tấn công ransomware được coi là vấn nạn chung với các tổ chức, doanh nghiệp trên toàn cầu, nhất là những tổ chức hoạt động trong các lĩnh vực quan trọng như: tài chính, ngân hàng, năng lượng, chứng khoán, viễn thông... Tuy vậy, từ thực tế hỗ trợ các doanh nghiệp, tổ chức ứng phó với tấn công mạng thời gian gần đây, các chuyên gia cho rằng, việc nhiều đơn vị tại Việt Nam chưa quan tâm đảm bảo an toàn cho hệ thống thông tin một cách đầy đủ cũng là một nguyên nhân đưa đến làn sóng tấn công dồn dập vào các đơn vị trong nước.

Một thống kê của tổ chức quốc tế đã chỉ ra rằng, thời gian doanh nghiệp bị gián đoạn hoạt động, dừng nghiệp vụ kinh doanh khi bị tấn công ransomware trung bình là 21 ngày. Đề cập đến vấn đề này, ông Nguyễn Thành Đạt, Phó tổng giám đốc Công ty VNCS cho hay, thời gian khôi phục hệ thống sau các cuộc tấn công ransomware gần đây còn có xu hướng kéo dài hơn. Bởi lẽ, hiện nay các nhóm tấn công ransomware thường mã hóa  hết các máy chủ chứa dữ liệu, do vậy để giải mã lại (trường hợp chuộc được key) hoặc khôi phục từ các máy chủ backup sẽ mất khá nhiều thời gian. Hơn thế, trường hợp đơn vị bị mã hóa cả dữ liệu trên các máy chủ backup thì việc khắc phục càng khó khăn và tiêu tốn nhiều thời gian hơn.

W-an-toan-thong-tin-mang-viettel-1-1.jpg
Một hệ thống giám sát mạnh, hỗ trợ theo dõi liên tục 24/7 để phát hiện sớm các hành vi xâm nhập hệ thống là biện pháp được nhiều chuyên gia khuyến nghị. Ảnh minh họa: Nguyễn Uyên

Chia sẻ quan điểm về các giải pháp doanh nghiệp, tổ chức cần ưu tiên triển khai để phòng chống và ứng phó tấn công ransomware, ông Nguyễn Thành Đạt phân tích: Có 2 hướng để các đơn vị chống các cuộc tấn công mạng, trong đó có tấn công ransomware là tại Network - trên đường mạng và ở Endpoint - các máy tính và thiết bị đầu cuối. Điều này tương tự như việc để bảo vệ ngôi nhà, Network là hàng rào và đường xung quanh, còn Endpoint là bảo vệ trực tiếp trong nhà. Hiện tại, hướng phòng chống tấn công tại các Endpoint đang được nhận định hiệu quả hơn do can thiệp, nắm bắt được sâu các hành vi tấn công.

“Đặc biệt, gần đây có cả giải pháp Endpoint, EDR trên nền tảng Cloud là công cụ hữu hiệu để phát hiện kịp thời và phản ứng nhanh trước các cuộc tấn công ransomware. Công cụ này hoàn toàn độc lập với hệ thống mạng và có thể sử dụng để điều tra, phản ứng lại các cuộc tấn công ngay cả khi toàn bộ máy chủ của tổ chức bị mã hóa”, ông Nguyễn Thành Đạt thông tin.

Từ kinh nghiệm hỗ trợ các đơn vị, chuyên gia VSEC đặc biệt khuyến nghị 6 biện pháp giúp các doanh nghiệp rút ngắn thời gian khôi phục hệ thống khi gặp sự cố tấn công ransomware, đó là: Backup dữ liệu định kỳ theo nguyên tắc ‘3-2-1’ gồm duy trì 3 bản sao dữ liệu, dùng 2 phương thức lưu trữ khác nhau và duy trì 1 bản sao bên ngoài hạ tầng chính; Đội ngũ xử lý sự cố luôn được duy trì với tính sẵn sàng cao; Quy trình xử lý sự cố luôn được xây dựng và cập nhật theo hướng nhanh, gọn, dứt điểm; Thường xuyên cập nhật các thông tin ‘tình báo an toàn thông tin’; Chủ động xây dựng và cập nhật liên tục các giải pháp bảo mật; Luôn có đội ngũ nhân sự giám sát hệ thống để phòng ngừa cũng như xác định sớm nhất thời điểm sự cố xảy ra.

“Đặc biệt, việc duy trì đội ngũ nhân sự giám sát hệ thống - SOC sẽ mang lại hiệu quả tốt nhất cho doanh nghiệp trong bối cảnh an toàn thông tin mạng diễn biến phức tạp hiện nay. SOC cung cấp cho doanh nghiệp khả năng bảo vệ 24/7, phát hiện sớm các hoạt động tấn công và góp phần ngăn chặn kịp thời, giảm thiểu tối đa tổn thất cho doanh nghiệp”, chuyên gia VSEC nhấn mạnh.