Bài học lớn với nhiều doanh nghiệp, tổ chức tại Việt Nam
Hệ thống của Tổng công ty Dầu Việt Nam – CTCP (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu – ransomware vào 0h ngày 2/4. Cùng với việc nhanh chóng báo cáo về sự cố tới các cơ quan chức năng, PVOIL cũng đã gấp rút triển khai các giải pháp khắc phục, với sự hỗ trợ của Cục An toàn thông tin (Bộ TT&TT) và A05 (Bộ Công an). Thông tin từ PVOIL, từ 15h ngày 3/4, PVOIL đã có thể phát hành hóa đơn điện tử và phiếu xuất kho qua hệ thống CNTT của một đơn vị cung cấp dịch vụ. Các hệ thống và ứng dụng của PVOIL như hệ thống quản lý và phát hành hóa đơn điện tử, hệ thống website hay các ứng dụng PVOIL Easy, PVOIL B2B… đã hoạt động trở lại từ ngày 4/4.
Cùng với sự cố xảy ra với VNDIRECT ngay trước đó, câu chuyện ứng phó với tấn công ransomware của PVOIL cũng đưa lại những bài học kinh nghiệm cần thiết cho nhiều tổ chức, doanh nghiệp tại Việt Nam về đảm bảo an toàn cho các hệ thống trong kỷ nguyên số.
–
Công ty VSEC cho rằng, việc PVOIL có thể khắc phục sự cố và hoạt động trở lại chỉ sau 2, 3 ngày là một dấu hiệu khá tích cực với lĩnh vực bảo mật nói chung hay rộng hơn là cả ngành CNTT. Ở góc độ kỹ thuật, việc điều tra và xử lý sự cố trong thời gian ngắn chứng tỏ đội ngũ doanh nghiệp đã làm tốt khâu quản trị rủi ro vận hành. Cụ thể là, ngoài quy mô hệ thống không quá lớn, một yếu tố quan trọng để PVOIL có thể nhanh chóng khắc phục sự cố tấn công ransomware và khôi phục hoạt động chỉ sau vài ngày là nhờ có dữ liệu backup. Doanh nghiệp đã có những tính toán và kế hoạch chuẩn bị trước khi sự cố xảy ra. Và khi có sự cố, các quy trình của họ ngay lập tức được thực hiện từ điều tra, xử lý cho đến đưa dịch vụ hoạt động trở lại. Một điều nữa là doanh nghiệp đã nhận thức rõ ràng hơn rất nhiều về bảo mật hệ thống thông tin, từ đó có sự chuẩn bị kỹ lưỡng. So với hệ thống VNDIRECT, bên cạnh 2 yếu tố là quy mô hệ thống và thời gian tìm kiếm, vá các lỗ hổng mà hacker đã sử dụng để thâm nhập và tấn công hệ thống, việc doanh nghiệp, tổ chức có thực hiện sao lưu định kỳ dữ liệu, nhất là những dữ liệu quan trọng cũng là một yếu tố giúp các đơn vị có thể rút ngắn thời gian khắc phục khi bị tấn công ransomware.
Có hệ thống giám sát mạnh, định kỳ sao lưu dữ liệu quan trọng
Tấn công ransomware được coi là vấn nạn chung với các tổ chức, doanh nghiệp trên toàn cầu, nhất là những tổ chức hoạt động trong các lĩnh vực quan trọng như: tài chính, ngân hàng, năng lượng, chứng khoán, viễn thông… Tuy vậy, từ thực tế hỗ trợ các doanh nghiệp, tổ chức ứng phó với tấn công mạng thời gian gần đây, các chuyên gia cho rằng, việc nhiều đơn vị tại Việt Nam chưa quan tâm đảm bảo an toàn cho hệ thống thông tin một cách đầy đủ cũng là một nguyên nhân đưa đến làn sóng tấn công dồn dập vào các đơn vị trong nước.
Một thống kê của tổ chức quốc tế đã chỉ ra rằng, thời gian doanh nghiệp bị gián đoạn hoạt động, dừng nghiệp vụ kinh doanh khi bị tấn công ransomware trung bình là 21 ngày, thời gian khôi phục hệ thống sau các cuộc tấn công ransomware gần đây còn có xu hướng kéo dài hơn. Bởi lẽ, hiện nay các nhóm tấn công ransomware thường mã hóa hết các máy chủ chứa dữ liệu, do vậy để giải mã lại (trường hợp chuộc được key) hoặc khôi phục từ các máy chủ backup sẽ mất khá nhiều thời gian. Hơn thế, trường hợp đơn vị bị mã hóa cả dữ liệu trên các máy chủ backup thì việc khắc phục càng khó khăn và tiêu tốn nhiều thời gian hơn.
–
Chia sẻ quan điểm về các giải pháp doanh nghiệp, tổ chức cần ưu tiên triển khai để phòng chống và ứng phó tấn công ransomware. Có 2 hướng để các đơn vị chống các cuộc tấn công mạng, trong đó có tấn công ransomware là tại Network – trên đường mạng và ở Endpoint – các máy tính và thiết bị đầu cuối. Điều này tương tự như việc để bảo vệ ngôi nhà, Network là hàng rào và đường xung quanh, còn Endpoint là bảo vệ trực tiếp trong nhà. Hiện tại, hướng phòng chống tấn công tại các Endpoint đang được nhận định hiệu quả hơn do can thiệp, nắm bắt được sâu các hành vi tấn công. Đặc biệt, gần đây có cả giải pháp Endpoint, EDR trên nền tảng Cloud là công cụ hữu hiệu để phát hiện kịp thời và phản ứng nhanh trước các cuộc tấn công ransomware. Công cụ này hoàn toàn độc lập với hệ thống mạng và có thể sử dụng để điều tra, phản ứng lại các cuộc tấn công ngay cả khi toàn bộ máy chủ của tổ chức bị mã hóa.
Vina Aspire đặc biệt khuyến nghị 6 biện pháp giúp các doanh nghiệp rút ngắn thời gian khôi phục hệ thống khi gặp sự cố tấn công ransomware, đó là: Backup dữ liệu định kỳ theo nguyên tắc ‘3-2-1’ gồm duy trì 3 bản sao dữ liệu, dùng 2 phương thức lưu trữ khác nhau và duy trì 1 bản sao bên ngoài hạ tầng chính; Đội ngũ xử lý sự cố luôn được duy trì với tính sẵn sàng cao; Quy trình xử lý sự cố luôn được xây dựng và cập nhật theo hướng nhanh, gọn, dứt điểm; Thường xuyên cập nhật các thông tin ‘tình báo an toàn thông tin’; Chủ động xây dựng và cập nhật liên tục các giải pháp bảo mật; Luôn có đội ngũ nhân sự giám sát hệ thống để phòng ngừa cũng như xác định sớm nhất thời điểm sự cố xảy ra.
Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
