Sự cố chứng khoán VNDirect: Hacker đã 'chọc thủng' hệ thống an ninh mạng thế nào?
Theo chuyên gia, với sự cố tấn công mạng của công ty chứng khoán VNDirect, việc một hacker có thể đi sâu vào hệ thống như vậy chỉ có thể giải thích là phải thông qua một lỗ hổng chưa ai biết.
Không thể chặn hết các cuộc tấn công mạng
Hệ thống của công ty chứng khoán VNDirect bị tấn công từ 10h ngày 24/3 khiến nhiều hoạt động của nhà đầu tư và đối tác bị gián đoạn. Đến nay chưa đánh giá được tác hại của vụ tấn công, tuy nhiên điều này cho thấy nguy cơ rủi ro từ việc các tài sản số của doanh nghiệp có ảnh hưởng trong nền kinh tế là rất lớn. Sau 3 ngày xảy ra sự cố, đến nay, hệ thống của Công ty cổ phần chứng khoán VNDirect (VNDirect) vẫn chưa truy cập được.
Trả lời báo chí, ông Nguyễn Vũ Long, Tổng giám đốc VNDirect cho biết hệ thống công ty bị tấn công bởi một nhóm tấn công chuyên nghiệp, làm mã hóa tất cả dữ liệu của công ty. Hiện công ty đã giải mã các dữ liệu bị mã hóa, tiếp tục bước tiếp theo là khắc phục hệ thống và dự kiến sẽ mất thêm một thời gian nữa.
Sau 3 ngày bị tấn công mạng, hệ thống công ty chứng khoán VNDirect vẫn chưa thể hoạt động.
Theo ông Vũ Thế Hải, Trưởng phòng Trung tâm giám sát và vận hành An toàn thông tin (SOC), công ty cổ phần An ninh mạng Việt Nam (VSEC), trong khoảng 5 năm gần đây, ngoài khối tài chính ngân hàng, các nhóm ngành khác chưa có mức độ đầu tư cao cho an toàn thông tin, tiềm ẩn nhiều rủi ro mất an toàn thông tin. Trong khi đó, trong môi trường hiện nay, việc ngăn chặn các cuộc tấn công mạng 100% là điều gần như không thể. Nên doanh nghiệp cần chuẩn bị cả các biện pháp bảo vệ và các biện pháp ứng phó, phục hồi.
Theo chuyên gia bảo mật Vũ Ngọc Sơn, Giám đốc công nghệ Công ty Công nghệ an ninh mạng Quốc gia Việt Nam, việc phục hồi hệ thống chậm cho thấy có thể cả hệ thống chính lẫn dự phòng đã bị tấn công đồng thời. Cần thêm thời gian để VNDirect có thể khắc phục sự cố cũng như đánh giá lại tổng thể thiệt hại. Công tác điều tra, truy vết hiện cũng đang được các cơ quan chức năng thực hiện. Tuy nhiên với một hệ thống lớn thì việc điều tra, phân tích cũng sẽ mất nhiều thời gian, đơn vị tính có thể là theo tuần, thậm chí là nhiều tháng.
Chuyên gia cho biết trên thế giới đã có thống kê về các vụ việc xâm nhập, thời gian giải quyết trung bình mất 100 - 200 ngày, cũng có thể hơn, phụ thuộc vào nhiều yếu tố. Các công việc cần thực hiện để truy vết có thể tóm gọn trong quá trình thu thập toàn bộ nhật ký hệ thống (log) của mọi thành phần; chuẩn hóa, tổ chức lại dữ liệu phục vụ quá trình lọc; tìm kiếm thông tin theo các dấu hiệu tấn công phổ biến.
Theo ông Vũ Ngọc Sơn, các chuyên gia bảo mật, an ninh mạng sẽ phải làm việc với toàn bộ log của hệ thống trước sự cố một thời gian đủ dài, vì thường hacker sẽ xâm nhập tìm hiểu thông tin hệ thống trước khi thực hiện mã hóa dữ liệu. Đây là lỗ hổng nhà sản xuất chưa biết. Hacker bằng cách nào đó đã tìm ra và khai thác vào. Việc một hacker có thể đi sâu vào hệ thống như vậy chỉ có thể giải thích là phải thông qua một lỗ hổng chưa ai biết. Với kiểu tấn công "zero day", tất cả hệ thống trên thế giới đều có thể bị tấn công.
Hiện tại, các chuyên gia bảo mật trong nước đều chưa đưa ra kết luận cụ thể cho vụ tấn công VNDirect mà chỉ dự đoán tình huống. Ông Vũ Ngọc Sơn cho rằng sự cố vừa qua là một tình huống tấn công mã độc mã hóa dữ liệu điển hình. "Hacker nhiều khả năng đã khai thác lỗ hổng zero-day trên hệ thống của VND, sau đó xâm nhập và thực hiện mã hóa dữ liệu", lãnh đạo NCS nhận định.
Biện pháp ngăn chặn tấn công mạng
Giám đốc công nghệ Công ty Công nghệ an ninh mạng Quốc gia Việt Nam nhận định, khi đưa vào vận hành một dịch vụ, đương nhiên đơn vị nào cũng sẽ phải tính đến việc dự phòng; có thể tại thời điểm đó chưa tính hết các khả năng dẫn tới hệ thống dự phòng bị tấn công đồng thời. Hiện VNDirect đã thông báo lấy được mã khóa (key). Đây là cuộc tấn công mã hóa dữ liệu và nếu có key thì sẽ khôi phục được toàn bộ dữ liệu. Nếu để dựng lại hệ thống thì không quá phức tạp. Tuy nhiên, bên cạnh đó còn nhiều vấn đề khác. Quan trọng nhất là tìm ra được lỗ hổng và bịt lỗ hổng mà hacker đã xâm nhập.
Thống kê trên thế giới cho thấy, các tổ chức tài chính luôn là đích ngắm của các hacker, vì khi tấn công vào các tổ chức tài chính, hacker sẽ thu được rất nhiều tiền. Đơn giản bởi dữ liệu rất nhiều và trong đó có cả các tài sản. Rõ ràng, các công ty chứng khoán dù có trang bị về công nghệ cũng như điều kiện về an ninh tốt hơn mặt bằng nhưng vẫn xảy ra các sự cố. Điều đó đặt ra yêu cầu các công ty chứng khoán và tổ chức tài chính cần có mức cao cấp về an ninh mạng mới có thể đảm bảo được.
Theo ông Vũ Thế Hải, doanh nghiệp cần nhận diện được các rủi ro cần giảm thiểu, cũng như các tài sản thông tin trong tổ chức cần bảo vệ. Sau đó thực hiện các biện pháp vào vệ và ngăn chặn tấn công. Các bước này thường được thực hiện bằng các giải pháp công nghệ và chính sách an toàn thông tin.
Bước tiếp theo sẽ là cần có các giải pháp phát hiện tấn công, sự cố an toàn thông tin, và các kế hoạch ứng phó và xử lý các sự cố đó. Cuối cùng là cần có sẵn phương án kỹ thuật và kế hoạch để phục hồi hệ thống trong trường hợp sự cố xảy ra. Ngay khi hệ thống hoạt động trở lại, người dùng cần đổi mật khẩu để đảm bảo tài khoản vẫn trong kiểm soát của mình...
Như vậy, sau 3 ngày kể từ khi bị tấn công mạng, hệ thống của VNDirect vẫn chưa thể hoạt động bình thường. Hàng trăm ngàn nhà đầu tư đang có tài khoản giao dịch tại công ty chứng khoán này như đang ngồi trên đống lửa. Bởi không truy cập được đồng nghĩa với nhà đầu tư bị "bó tay" khi không thể mua hay bán cổ phiếu. Thậm chí với nhiều người, dù tài khoản đang còn tiền và cần chi dùng thì cũng không thể nào thực hiện lệnh rút tiền về tài khoản ngân hàng...
