Theo Hiệp hội An toàn thông tin Việt Nam (VNISA), cuộc tấn công của tin tặc vào hệ thống thông tin Vietnam Airlines (VNA) hôm 29-7 được chuẩn bị kỹ lưỡng, mã độc được sử dụng hoàn toàn mới, thiết kế riêng và đã vượt qua các công cụ giám sát an ninh thông thường (các phần mềm chống virus).
Thuê chuyên gia tìm mã độc
Sau khi phân tích một số mẫu mã độc nhận được từ một số thành viên, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cũng phát hiện một số dấu hiệu tấn công nguy hiểm từ 4 loại mã độc. Đây là những mã độc đặc biệt nguy hiểm, có thể đánh cắp thông tin và phá hủy hệ thống.
Vừa qua, một doanh nghiệp (DN) lớn trong nhóm hàng tiêu dùng báo cho một chuyên gia bảo mật về việc bị mất dữ liệu. Trong thời gian dài, hệ thống thông tin DN này bị rò rỉ, kế hoạch kinh doanh bị phát tán ra ngoài. Trước khi bị phát hiện, kẻ xâm nhập đã thực hiện xóa toàn bộ dữ liệu. Theo chuyên gia bảo mật này, thiệt hại ước tính lên đến vài chục tỉ đồng, riêng chi phí phục hồi dữ liệu đã trên 1 tỉ đồng (nhưng chưa chắc phục hồi 100%); DN rơi vào khủng hoảng nghiêm trọng, kéo dài trong nhiều tháng.
Đại diện một công ty bán hàng điện tử tại TP HCM cho biết: “Trước mắt, chúng tôi đang phân tích các loại mã độc, tìm cách nhận diện các mã độc mới. Sau đó, mẫu sẽ được gửi cho các công ty an ninh mạng cập nhật để các phần mềm tạo ra công cụ để rà quét. Toàn bộ hệ thống máy tính, website, máy chủ của công ty… đang được các chuyên gia rà quét để tìm mã độc. Chúng tôi cũng tiến hành sao lưu, quét lại hết các dữ liệu vì có nhiều thông tin của khách hàng liên quan đến thẻ tín dụng, tài khoản ngân hàng, email… Nếu bị mã độc cài cắm thì có nguy cơ mất dữ liệu”.
Số vụ tấn công mạng ngày càng tăng cả về quy mô và mức độ nghiêm trọng, gây nhiều thiệt hại. Theo thống kê của Bkav, tại Việt Nam, trung bình mỗi tháng có hơn 300 website của các DN, tổ chức trong nước bị tấn công. Nhiều ngân hàng cũng đã khóa tính năng thanh toán online của những tài khoản khách hàng đã bị lộ thông tin để đề phòng rủi ro.
Làm sạch hệ thống
Theo các chuyên gia bảo mật, khi có sự cố bị tấn công, hệ thống phải được rà soát, quét sạch virus trong các file dữ liệu để tránh tái lây nhiễm. Tin tặc khi rút đi sẽ cài nhiều virus backdoor (cửa hậu) trong hệ thống để dễ dàng trở lại. Tùy nhu cầu và nguồn lực mà DN thuê các chuyên gia để giám sát quá trình làm sạch hệ thống và gia cố bảo mật. Rất nhiều tổ chức và DN Việt Nam mua sắm nhiều thiết bị đắt tiền nhưng không có chuyên viên giỏi để vận hành. Các tổ chức lớn nên có CSO (giám đốc bảo mật) bên cạnh CIO (giám đốc công nghệ thông tin), trang bị thiết bị bảo mật mới nhất từ các hãng bảo mật uy tín. DN nên xây dựng một quy trình bảo mật, chú trọng nhận sự đứng đầu là CSO. Ông Ngô Trần Vũ, Giám đốc hãng bảo mật NTS Security, cảnh báo: “Nhiều DN đang an toàn không phải họ có hệ thống bảo mật tốt mà có thể do tài sản, lợi ích chưa hấp dẫn giới hacker. Khi họ “giàu” hơn thì nguy cơ bị tấn công sẽ cao”.
Ông Võ Đỗ Thắng, Giám đốc Trung tâm Đào tạo An ninh mạng Athena, khuyến cáo: “Cần xây dựng hệ thống cảnh báo, bảo vệ, phát hiện đánh cắp dữ liệu từ xa. Chi phí xây dựng không đáng kể so với mức thiệt hại nhưng giúp cảnh báo được rủi ro. Phải thường xuyên thực hiện kiểm tra, huấn luyện an ninh, an toàn và kế hoạch phòng ngừa rủi ro cho tất cả người tham gia hệ thống... Hiện nay, các hoạt động kinh doanh và quản trị DN điều dựa trên hệ thống mạng. Nhiều DN bảo vệ lơ là các bí mật kinh doanh của mình, không có kế hoạch phòng chống rủi ro. Khi có sự cố, việc khôi phục cực kỳ tốn kém và không thể được như ban đầu”.
Theo kinh nghiệm của Bkav, bên cạnh sự chuẩn bị tốt về nhân lực, trang thiết bị thì quy trình điều phối ứng phó an ninh mạng cũng cực kỳ quan trọng. Nhiều DN đầu tư mạnh về con người, thiết bị an ninh mạng nhưng khi xảy ra sự cố lại không huy động tối đa các nguồn lực và không có kịch bản để ứng phó. Cần thường xuyên tổ chức diễn tập với kịch bản cụ thể về phương án ứng cứu sự cố an ninh mạng, định kỳ thường niên. Đặc biệt, trong một dự án công nghệ thông tin, cần đầu tư ít nhất từ 5% đến 10% ngân sách cho an ninh mạng.
Phát hiện mã độc tấn công VNA trong nhiều doanh nghiệp
Ngày 8-8, Bkav công bố kết quả phân tích cho thấy mã độc tấn công VNA cũng xuất hiện tại nhiều cơ quan, DN khác. Mã độc có kết nối thường xuyên, gửi các dữ liệu về máy chủ điều khiển (C&C Server) thông qua tên miền name.dcsvn.org. Trong đó name là tên được sinh ra theo đặc trưng của cơ quan, doanh nghiệp mà mã độc nhắm tới. Mã độc có chức năng thu thập tài khoản mật khẩu, nhận lệnh cho phép hacker kiểm soát, điều khiển máy tính nạn nhân từ xa, thực hiện các hành vi phá hoại như xóa dấu vết, thay đổi âm thanh, hiển thị hình ảnh, mã hóa dữ liệu… Ngoài ra, mã độc còn có thành phần chuyên để thao tác, xử lý với cơ sở dữ liệu SQL.
