Đình trệ hoạt động vì mất an toàn thông tin do bị tin tặc tấn công
Thời gian qua, thị trường kinh doanh chứng kiến hàng loạt cuộc tấn công mạng hướng vào doanh nghiệp, mà trong đó, các doanh nghiệp thuộc lĩnh vực chứng khoán, tài chính, ngân hàng, điện lực bị nhắm đến nhiều nhất. Các cuộc tấn công độc hại này đã gây ra nhiều phiền toái, ảnh hưởng không nhỏ đến hoạt động kinh doanh của doanh nghiệp.
Một trong những vụ việc nghiêm trọng là vụ tin tặc tấn công mã hóa hệ thống công nghệ của VNDirect vào cuối tháng 3 khiến hệ thống giao dịch của VNDirect tê liệt suốt một tuần và chỉ trở lại hoạt động sau nỗ lực của của các cơ quan chức năng cùng đội ngũ chuyên gia an toàn, an ninh mạng đến từ các doanh nghiệp an toàn, an ninh mạng lớn của Việt Nam.
Ngay sau đó, thời điểm đầu tháng 4, thị trường kinh doanh lại một phen lo lắng trước vụ PVOIL bị tấn công, gây gián đoạn hoạt động toàn bộ hệ thống công nghệ thông tin của PVOIL, trong đó có hệ thống phát hành hóa đơn điện tử phục vụ bán hàng tạm thời không thể thực hiện được.
Theo thông tin được chia sẻ tại họp báo thường kỳ tháng 5 của Bộ TT&TT mới đây, trong quý I/2024, Trung tâm Giám sát an toàn không gian mạng quốc gia thuộc Cục An toàn thông tin (Bộ TT&TT) đã ghi nhận hơn 150 triệu cảnh báo về các nguy cơ bảo mật, phát hiện 13.000 sự kiện liên quan đến mã độc ransomware trên các hệ thống thông tin.
An ninh mạng đang là vấn đề hết sức quan trọng đối với doanh nghiệp hiện nay |
Đánh giá tình hình chuyển đổi số quốc gia trong Quý I vừa qua, Bộ TT&TT, cơ quan thường trực Ủy ban Quốc gia về chuyển đổi số nhận xét, một trong những tồn tại, hạn chế thời gian qua là một số ngành, lĩnh vực chưa quán triệt, ưu tiên nguồn lực triển khai bảo đảm an toàn thông tin, để xảy ra sự cố gây mất an toàn thông tin mạng và tiềm ẩn nguy cơ ảnh hưởng đến an toàn không gian mạng Việt Nam. Trong đó, các cuộc tấn công ransomware vào hệ thống của VNDIRECT, PVOIL… đã gây gián đoạn hoạt động và thiệt hại về vật chất, hình ảnh của đơn vị cũng như hoạt động bảo đảm an toàn không gian mạng quốc gia.
Lý giải về cách thức mà tin tặc tấn công vào người dùng cá nhân, doanh nghiệp thường gặp hiện nay, ông Trương Đức Lượng, Chủ tịch Công ty Cổ phần An ninh mạng Việt Nam (VSEC) chia sẻ, hiện các cuộc tấn công thường bắt đầu bằng hình thức lừa đảo (phishing) email, mạng xã hội, tin nhắn,… Trong đó email là phổ biến nhất vì khả năng gửi thông điệp rộng rãi và chi phí thấp. Tiếp đến là tin tặc dựa trên các lỗ hổng bảo mật đang tồn tại trên hệ thống của khách hàng, hệ thống công nghệ có lõi là các phần mềm khác nhau và qua thời gian thì sẽ có các lỗi bảo mật được khám phá ra. Khai thác lỗi bảo mật có thể giúp kẻ tấn công vào sâu bên trong hệ thống của khách hàng.
Cần nâng cao ý thức về an toàn thông tin đối với cá nhân, doanh nghiệp
Có thể thấy, hậu quả của những tấn công mạng là đặc biệt nghiêm trọng. Bên cạnh việc bị thất thoát dữ liệu, gián đoạn các dịch vụ, doanh nghiệp bị tấn công ransomware còn bị ảnh hưởng không nhỏ đến uy tín cũng như phần nào gây mất niềm tin đối với khách hàng. Theo nhận định của các chuyên gia, để dẫn đến sự cố nói trên, ngoài sự manh động, táo tợn của tin tặc, một nguyên nhân lớn cần phải mổ xẻ là những “lỗ hổng” về an ninh mạng tồn tại trong hoạt động kinh doanh của các doanh nghiệp hiện nay.
Phân tích các lỗi bảo mật phổ biến hiện nay, ông Trương Đức Lượng của VSEC cho rằng, hiện doanh nghiệp đang có các lỗi như: Lỗi bảo mật ở các website do đây là thành phần công nghệ tương tác trực tiếp với bên ngoài nên dễ bị kẻ tấn công chú ý; Lỗi bảo mật ở trên các hệ điều hành phổ biến như Windows và bảo mật ở trên các thiết bị internet như camera.
Các lỗ hổng thường thấy của doanh nghiệp là không kiểm soát bảo mật kỹ các phần mềm tự phát triển nên có các lỗi logic tồn tại trong quá trình xử lý. Nguyên do quan trọng thứ hai là không cập nhật bản vá lỗi kịp thời. Nguyên nhân thứ ba, cực kì quan trọng là việc doanh nghiệp không tuân thủ các quy định và hướng dẫn của nhà nước hoặc về an toàn thông tin.
Về hành lang pháp lý cho công tác ATTT, Thạc sĩ, Luật sư Nguyễn Thúy Hạnh – Đoàn Luật sư Thành phố Hà Nội cho biết, Nghị định số 13/2023/NĐ-CP ngày 17/04/2023 Chính phủ về bảo vệ dữ liệu cá nhân là văn bản pháp lý đầu tiên tại Việt Nam có những quy định trực tiếp bảo vệ dữ liệu cá nhân và chính thức luật hóa định nghĩa về dữ liệu cá nhân và nghĩa vụ bảo vệ dữ liệu cá nhân đối với các chủ thể có hoạt động thu thập, xử lý dữ liệu cá nhân giúp người dân Việt Nam được bảo vệ dữ liệu cá nhân một cách toàn vẹn.
Theo đó, cá nhân được quyền biết, được cung cấp thông tin về hoạt động liên quan xử lý dữ liệu, quyền khiếu nại và quyền yêu cầu bồi thường thiệt hại. Thêm vào đó, các doanh nghiệp có trách nhiệm phải công khai các biện pháp bảo vệ dữ liệu cá nhân của người dùng, củng cố hệ thống thông tin cấp độ bảo mật cao hơn.
Vào tháng 4 vừa qua, Thủ tướng Phạm Minh Chính ra công điện yêu cầu bộ, ngành, địa phương rà soát, đánh giá tình hình bảo đảm an toàn thông tin mạng đã tạo ra những hành lang pháp lý nhằm bảo vệ dữ liệu cá nhân tại Việt Nam.
Mặc dù các quy định hiện nay đã khá hoàn chỉnh, nhưng LS Thúy Hạnh cho rằng, nhận thức của các cá nhân, doanh nghiệp hiện nay về bảo mật vẫn còn hạn chế.
Bên cạnh đó, pháp luật hiện hành chưa có những quy định cụ thể, chi tiết để người dân và doanh nghiệp dễ dàng triển khai. Đồng thời, các cơ quan nhà nước nên có thêm các buổi tập huấn, triển khai về dữ liệu cá nhân đối với người dân, doanh nghiệp để chính người dân cũng có thể tự nâng cao ý thức bảo vệ dữ liệu cá nhân của chính bản thân mình trên không gian mạng.
Ông Trương Đức Lượng, Chủ tịch Công ty cổ phần An ninh mạng Việt Nam (VSEC): Doanh nghiệp cần dự phòng mức ngân sách phù hợp để triển khai các phương án đảm bảo an ninh thông tin. Tiếp theo là thực hiện đào tạo nhận thức cho toàn bộ nhân sự theo nhiều cấp khác nhau và nội dung tích hợp. Trang bị các giải pháp công nghệ để phát hiện và ngăn chặn tấn công như tường lửa nhiều cấp. Hoặc, hiệu quả hơn là thuê các đơn vị cung cấp dịch vụ bảo mật MSSP, vừa theo dõi giám sát vừa ứng cứu sự cố cho doanh nghiệp.
Ngoài ra, doanh nghiệp cũng cần tổ chức diễn tập thường xuyên hàng quý và hàng năm để các lãnh đạo nhận thức được mức độ nguy hiểm, các cán bộ phụ trách thực hành chuyên sâu kỹ thuật an ninh thông tin.
Ông Trương Đức Lượng, Chủ tịch Công ty cổ phần An ninh mạng Việt Nam (VSEC) chia sẻ về vấn đề bảo mật thông tin trước tình trạng tấn công mạng |
Thạc sĩ, Luật sư Nguyễn Thúy Hạnh – Đoàn Luật sư Thành phố Hà Nội: Theo quy định tại Điều 9, Luật An ninh mạng ban hành năm 2018, các hành vi xâm nhập, sửa đổi nội dung thông tin của tổ chức, cá nhân khác trên môi trường mạng có thể bị xử phạt vi phạm hành chính với mức phạt tiền từ 30 tới 50 triệu đồng theo quy định tại điểm b khoản 2 điều 80 của Nghị định 15/2020/NĐ-CP ban hành ngày 03/02/2020.
Luật sư Nguyễn Thúy Hạnh cho biết các hành vi tấn công mạng sẽ bị xử lý nghiêm theo quy định của pháp luật |
Trong trường hợp hành vi tấn công mạng có đủ dấu hiệu cấu thành tội phạm mạng thì có thể bị truy cứu trách nhiệm hình sự theo các tội được quy định tại Mục 2 (điều 285-điều 294) Bộ Luật Hình sự 2015, sửa đổi bổ sung 2017, Chương XXI các tội về xâm phạm an toàn công cộng, trật tự công cộng.