Hacker coi dữ liệu kim cương, cần tiêu chuẩn gì để bảo mật?

Video ông Nguyễn Minh Đức chia sẻ về cách thức phòng chống mã độc (ransomware) và tội phạm mạng

Trong bối cảnh các cuộc tấn công mạng vào các cơ quan, tổ chức và doanh nghiệp của Việt Nam ngày càng gia tăng, VietTimes đã có cuộc trao đổi với ông Nguyễn Minh Đức, kỹ sư hệ thống cấp cao của hãng Veeam Software, chuyên gia kỹ thuật có hơn 20 năm kinh nghiệm trong lĩnh vực sao lưu và bảo vệ dữ liệu, về cách thức đối phó với các cuộc tấn công mạng và ransomware.

Cuộc chơi bất cân xứng

- Gần đây, một số cơ quan và doanh nghiệp ở Việt Nam bị tấn công mã hóa hệ thống (ransomware). Theo ông, nguyên nhân là do đâu? Có phải vì khả năng bảo mật yếu kém của các đơn vị này không?

- Tấn công ransomware hiện nay rất phổ biến và ngày càng tinh vi. Không thể nói rằng các hệ thống của chúng ta yếu kém về kỹ thuật hay năng lực. Thời gian qua chúng ta cũng đã chứng kiến một sự cố lộ lọt dữ liệu rất lớn, các cơ quan chức năng đã vào cuộc phân tích và đưa ra kế hoạch phòng ngừa.

Điều quan trọng là khi chúng ta đưa ngày càng nhiều dữ liệu lên hệ thống, khi các dịch vụ, quy trình được tự động hóa mạnh mẽ, thì dữ liệu trở nên vô cùng giá trị. Chính vì thế, trong mắt hacker, đây chẳng khác nào một “mỏ vàng”, đúng hơn là “mỏ kim cương”. Và tất nhiên, đó luôn là mục tiêu để tội phạm mạng tìm cách khai thác.

Ransomware cũng ngày càng biến tướng. Trước đây, chúng thường chỉ mã hóa dữ liệu và đòi tiền chuộc để mở khóa. Nhưng nay, hacker có thể đánh cắp dữ liệu, rồi uy hiếp doanh nghiệp phải trả tiền để không công khai thông tin hoặc không bán cho bên thứ ba. Như vậy, không thể nói hệ thống yếu kém, mà bản chất là càng quý giá thì càng bị nhắm tới.

- Phải chăng nguyên nhân chính nằm ở việc thiếu một bộ tiêu chuẩn chung nên khi mỗi doanh nghiệp sử dụng thiết bị, phần mềm bảo mật khác nhau?

- Theo quan điểm của tôi, chuẩn hóa chỉ là một phần. Khi một tài sản có giá trị lớn, tội phạm sẽ tìm mọi cách để tấn công, bất kể có chuẩn hóa hay không. Chuẩn hóa tất nhiên có tác dụng tích cực khi tạo ra bộ khung để doanh nghiệp tham chiếu, giúp giảm rủi ro, tăng tính an toàn. Nhưng điều đó không đồng nghĩa với việc giảm số vụ tấn công.

Có một thực tế bất cân đối: để bảo vệ hệ thống, doanh nghiệp phải bỏ ra chi phí rất lớn, trong khi hacker chỉ cần bỏ ra chi phí nhỏ, nhưng nếu tấn công thành công thì lại thu về lợi nhuận khổng lồ. Đây là “cuộc chơi” mà bên phòng thủ luôn ở thế khó hơn nhiều so với bên tấn công.

- Với hơn 20 năm kinh nghiệm trong ngành công nghệ thông tin, ông đánh giá các doanh nghiệp Việt Nam đã áp dụng chuẩn an ninh mạng tương đương quốc tế hay chưa?

- Với trải nghiệm của mình, tôi thấy Việt Nam thường có độ trễ khoảng 2–3 năm so với các nước tiên tiến trong ứng dụng CNTT. Điều này có hai mặt: chúng ta đi sau, nhưng cũng có cơ hội học hỏi từ kinh nghiệm và cách ứng phó của họ.

Hiện nay, Việt Nam đã bắt đầu áp dụng một số tiêu chuẩn quốc tế, nhưng có điều chỉnh để phù hợp. Ví dụ, về quản lý tính liên tục hệ thống (BCMS), thế giới có chuẩn riêng thì Tổng cục Đo lường Chất lượng Việt Nam cũng đã xây dựng bộ TCVN dựa trên chuẩn đó. Về dữ liệu cá nhân, chúng ta tham chiếu GDPR của châu Âu, kết hợp với tiêu chuẩn của Mỹ, rồi nội địa hóa thành quy định phù hợp với thực tế Việt Nam.

Ông Nguyễn Minh Đức, chuyên gia trong lĩnh vực sao lưu và bảo vệ dữ liệu

Cần tổng công trình sư về an toàn, an ninh mạng

- Gần đây, người ta hay đề cập đến việc sử dụng AI và tự động hóa để bảo vệ an ninh cho hệ thống công nghệ thông tin. Theo ông đây có phải là lời giải cho bài toán về an ninh mạng không?

Cuối tuần vừa rồi, có sự cố ở các sân bay châu Âu, trong đó có Heathrow ở London – một trong những sân bay lớn nhất thế giới. Hành khách ùn tắc, chuyến bay bị trễ vì nhà cung cấp dịch vụ phần mềm check-in và boarding (làm thủ tục lên máy bay) cho các sân bay này bị hacker tấn công.

Khi các hệ thống bị đánh sập, sân bay buộc phải quay lại cách làm thủ công. Nhưng họ lại thiếu nhân lực để làm thủ công, dẫn đến hỗn loạn. Đây là mặt trái của tự động hóa - lợi ích thì rất lớn, nhưng đồng thời cũng mở ra cánh cửa cho tội phạm mạng.

- Với ransomware, khi đã "dính" thì không thể khôi phục dữ liệu nếu không có chìa khóa từ hacker. Theo ông, cách đối phó hiệu quả nhất là gì?

- Theo tôi, biện pháp hiệu quả và tiết kiệm nhất chính là con người. Chúng ta cần xây dựng nhận thức bảo mật ở tất cả các cấp: từ lãnh đạo đến nhân viên. Nhiều vụ tấn công ransomware bắt đầu từ phishing – kẻ xấu gửi email lừa đảo. Với sự hỗ trợ của AI, email phishing ngày càng tinh vi, cá nhân hóa theo từng đối tượng, khiến người dùng rất dễ mắc bẫy.

Nếu chúng ta thường xuyên đào tạo, nâng cao nhận thức, thì có thể lấp được lỗ hổng lớn nhất này. Đây là “lá chắn” vừa đơn giản, vừa hiệu quả nhất. Các giải pháp kỹ thuật vẫn vô cùng quan trọng, nhưng chúng không thể thay thế vai trò then chốt của yếu tố con người.

An ninh, an toàn hệ thống luôn là thành tố quan trọng của mỗi tổ chức, doanh nghiệp

- Theo ông, chúng ta có cần một “tổng công trình sư” để đưa ra tiêu chuẩn chung, hoặc hướng dẫn thực thi an toàn, an ninh mạng cho các cơ quan, doanh nghiệp không?

Tôi cho rằng điều này là cần thiết và cũng rất tốt. Trước đây, Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ) và Bộ Công an đều đã ban hành nhiều bộ tiêu chuẩn. Với các lĩnh vực thiết yếu như hàng không, điện… thì cần tiêu chuẩn rất cụ thể, bắt buộc doanh nghiệp phải tuân thủ để bảo đảm an toàn hệ thống.

Ngoài ra, khi có các bộ tiêu chuẩn thì ngay cả những doanh nghiệp không thuộc nhóm thiết yếu cũng có thể áp dụng để nâng cao mức độ an toàn, tạo niềm tin cho khách hàng. Tiêu chuẩn giúp họ rà soát, phát hiện những lỗ hổng còn thiếu, từ đó khắc phục để hệ thống vững chắc hơn.

- Xin cảm ơn ông về cuộc trao đổi này!

Đăng Khoa