Soi kèo góc PSG vs Liverpool, 3h00 ngày 6/3

Hệ thống của Vietnam Airlines có thể đã bị hacker xâm nhập từ giữa 2014

Chiều ngày 1/8/2016, Hiệp hội An toàn thông tin Việt Nam (VNISA) đã phát ra thông cáo báo chí đánh giá tình tình an toàn thông tin tháng 7/2016.

VNISA nhận định, cuộc tấn công mạng của hacker vào hệ thống thông tin của Tổng Công ty Hàng không Việt Nam (Vietnam Airlines) và Cụm cảng hàng không sân bay Nội Bài và Tân Sơn Nhất chiều ngày 29/7/2016 là cuộc tấn công mạng có chuẩn bị công phu (sử dụng mã độc không bị nhận diện bởi các các phần mềm chống virus); xâm nhập cả chiều sâu (kiểm soát cả một số máy chủ quan trọng như cổng thông tin, cơ sở dữ liệu khách hàng) và chiều rộng (nhiều máy tính ở các bộ phận chức năng khác nhau, vùng miền khác nhau đều bị nhiễm); phát động tấn công đồng loạt và có liên quan tới các sự kiện kinh tế, chính trị.

Đặc biệt, thông cáo của VNISA cũng đưa ra nhận định, đến thời điểm này có thể khẳng định cuộc tấn công vào hệ thống Vietnam Airlines là dạng tấn công APT, có chủ đích rõ ràng, được chuẩn bị kỹ lưỡng, diễn tiến kéo dài trước khi bùng phát vào ngày 29/7/2016. “Có dấu hiệu cho thấy có thể hệ thống đã bị tin tặc xâm nhập từ giữa năm 2014. Tuy nhiên mã độc sử dụng trong đợt tấn công hoàn toàn mới, được thiết kế riêng cho cuộc tấn công ngày 29/7 và đã vượt qua được các công cụ giám sát an ninh thông thường (như các phần mềm chống virus)”, VNISA cho hay.

Theo phân tích của VNISA, cuộc tấn công diễn ra trên diện rộng với 2 điểm chính là cảng hàng không Nội Bài và Tân Sơn Nhất cùng với nhiều sân bay nhỏ khác cũng bị ảnh hưởng do hệ thống CNTT phục vụ khách hàng được kết nối liên thông với nhau. Ngoài ra, website của Vietnam Airlines và Hệ thống điều khiển màn hình, loa phát thanh của các sân bay trên cũng bị xâm nhập và thay đổi dữ liệu.

Thông cáo mới công bố của VNISA cho biết thêm: “Cần nói rõ là những dấu vết để lại hiện trường chưa đủ cơ sở để kết luận chính xác đối tượng tấn công là ai. Tuy nhiên có thể khẳng định đối tượng am hiểu hệ thống CNTT của các cụm cảng hàng không cả ở mức cấu trúc thông tin lẫn cơ chế vận hành thiết bị và có ý định khống chế vô hiệu hóa hoàn toàn dữ liệu hệ thống”.

Đại diện VNISA khẳng định, cùng với các cơ quan chức năng, các thành viên VNISA cùng với đội ngũ chuyên gia an ninh mạng của nhiều đơn vị, tổ chức ở Việt Nam vào cuộc đã bước đầu xác định được tác nhân chính (mã độc) phá hoại hệ thống, xác định cửa hậu backdoor đã bị khai thác từ khá lâu trước thời điểm phát động tấn công. Đội ngũ chuyên gia cũng đưa ra các phương án xử lý mã độc, khôi phục hoạt động hệ thống và từng bước đánh giá đề xuất các giải pháp ngăn chặn sự cố tương tự có thể xảy ra trong tương lai, tìm hiểu rà soát tổng thể hệ thống.

Đồng thời với công tác xử lý sự cố tại Vietnam Airlines, Trung tâm VNCERT thuộc Bộ TT&TT đã ra thông báo hướng dẫn khá cụ thể cho các tổ chức doanh nghiệp về những công việc cần thực hiện để nâng cao mức độ an toàn của mạng máy tính, đề phòng các tấn công tiếp theo có thể xảy ra.

VNISA cũng lưu ý, do công việc khá nhiều và không đơn giản khi thực thi, các tổ chức cần xem xét những khuyến cáo của VNCERT và dựa trên tình hình cụ thể của đơn vị mình để có kế hoạch thực hiện theo các mức độ ưu tiên khác nhau. Đây cũng là lúc chúng ta cần phải xác định rõ công tác đảm bảo An toàn thông tin là một công việc cần có sự tham gia trực tiếp của lãnh đạo cấp cao nhất của tổ chức, doanh nghiệp, chứ không chỉ là công tác thuần túy kỹ thuật của bộ phận CNTT vì chỉ với sự tham gia của lãnh đạo thì việc huy động nhân sự, thời gian, vật lực để thực hiện các biện pháp bảo vệ kỹ thuật và phi kỹ thuật mới có thể được thực thi.

Những bài học từ sự cố an ninh của hệ thống Vietnam Airlines

Mặt khác, VNISA cho rằng, qua bài học sự cố tại Vietnam Airlines và cụm cảng hàng không, các hệ thống thông tin tương tự Vietnam Airlines như hệ thống đảm bảo hạ tầng điện nước; hệ thống quản lý nhà nước có ứng dụng CNTT như hải quan, thuế, tài chính ngân hàng, dịch vụ công điện tử; giao thông vận tải và cấp thoát nước; các hệ thống viễn thông, … cần được rà soát qua nhằm tăng cường khả năng phát hiện sớm mã độc đang âm thầm hoạt động thông qua các hành vi bất thường.

Đừng ngồi một chỗ nhìn hacker tấn công

Theo ông Trần Nguyên Vũ, Giám đốc nhóm Các Dịch vụ Công nghệ Toàn cầu, IBM Việt Nam, vai trò của Giám đốc Bảo mật Thông tin - CISO (trong nhiều tổ chức, doanh nghiệp chính là Giám đốc CNTT - CIO) được ví như vai trò của cảnh sát trưởng đối với sự bình yên của một thành phố.

Hãy tưởng tượng nếu như những nhân viên cảnh sát chỉ ngồi một chỗ, đợi xem thành phố có sự cố nào xảy ra để xử lý thì khi đó tội phạm chắc chắn sẽ tăng và tiềm ẩn nhiều hiểm nguy. Để hạn chế rủi ro, cảnh sát phải chủ động đi tuần, hướng dẫn người dân cách bảo vệ ngôi nhà của họ để không bị trộm cắp xâm nhập…

“Trong bối cảnh các mối đe doạ về an ninh, bảo mật ngày một tăng, câu hỏi “Hệ thống của chúng ta có được bảo mật tuyệt đối không?” giờ không còn là câu hỏi phù hợp nữa, vì câu trả lời sẽ luôn luôn là “Không!””, ông Vũ nhấn mạnh, đồng thời cho rằng hiện nay tại các tổ chức, doanh nghiệp, trước câu hỏi “Hệ thống của chúng ta có được bảo mật tuyệt đối không?” thường dẫn đến những cuộc thảo luận, những báo cáo về các thông số kỹ thuật, các con số phần trăm, các bản ghi về thời gian… Tức là mới chỉ tập trung nhiều vào những hoạt động mà đội ngũ bảo mật thông tin của tổ chức, doanh nghiệp đã làm, chứ không phải là kết quả.

Vì vậy, ông Trần Nguyên Vũ cho rằng Giám đốc Bảo mật Thông tin và đội ngũ bảo mật thông tin phải giúp cho tổ chức quản lý những rủi ro liên quan đến an toàn, bảo mật thông tin ở mức độ chấp nhận được. Do đó, câu hỏi nên được đặt ra là “Những rủi ro nào về an toàn, bảo mật ở mức độ nào được chấp nhận với tổ chức?”, “Việc quản lý các rủi ro liên quan đến an toàn, bảo mật của tổ chức đã đạt mức độ chấp nhận được chưa?”.

Thước đo đối với hoạt động hiệu quả của Giám đốc Bảo mật Thông tin có thể tính toán thông qua ảnh hưởng của các sự cố liên quan đến bảo mật đến hoạt động kinh doanh hàng năm là gì? Có nằm trong biên độ rủi ro chấp nhận được của tổ chức không?

Nói cách khác, tổng đầu tư cho các sáng kiến liên quan đến an toàn, bảo mật và tổng thiệt hại đối với hoạt động kinh doanh hàng năm do các sự cố liên quan đến an toàn, bảo mật gây ra có thấp hơn so với ngưỡng rủi ro mà Ban lãnh đạo tổ chức sẵn sàng chấp nhận không?

Giám đốc Bảo mật Thông tin cần phải làm gì?