Ghi nhận từ Diễn tập quốc tế về phòng chống mã độc tống tiền
(ICTPress) - Chiều 25/5, cuộc diễn tập quốc tế về an ninh mạng với chủ đề 'Phòng chống tấn công tống tiền vào hệ thống thông tin quan trọng của các nước ASEAN và Nhật Bản' chính thức khai mạc.
Tại Việt Nam, có hơn 100 người là lãnh đạo đứng đầu bộ phận an ninh mạng, an toàn thông tin (tương đương với các chức danh CIO, CSO) thuộc các tổ chức trọng yếu của Việt Nam bước vào cuộc diễn tập quốc tế cùng với 9 quốc gia ASEAN khác và Nhật Bản.
Chủ đề của cuộc diễn tập chung ASEAN - Nhật Bản (ASEAN - Japan Cyber Exercise) năm nay là Phòng chống tấn công tống tiền vào hệ thống thông tin quan trọng của các nước ASEAN và Nhật Bản.
Phát biểu khai mạc buổi diễn tập, Thứ trưởng Bộ Thông tin và Truyền thông Nguyễn Thành Hưng đánh giá cuộc diễn tập an ninh mạng chung giữa ASEAN và Nhật Bản là sự kiện hết sức quan trọng.
"ASEAN là một cộng đồng hết sức năng động và hợp tác giữa các quốc gia ASEAN và Nhật Bản liên tục được đẩy mạnh. Hiện nay, các cuộc tấn công mạng không ngừng tăng lên do các lợi ích về kinh tế - chính trị. Việc chúng ta xử lý các sự cố như thế nào phụ thuộc vào các cuộc diễn tập này. Vì vậy, chúng ta nên tận dụng cơ hội diễn tập để trao đổi, học hỏi kinh nghiệm", Thứ trưởng Hưng nhấn mạnh.
Ngay sau phiên khai mạc, các thành viên đã tham gia thảo luận về tình huống giả định đầu tiên do phía Nhật Bản cung cấp.
Đã có 3 điểm cầu tại Việt Nam tham gia đợt diễn tập này. |
Tình huống được đưa ra như sau: Một nhóm hacker gửi email tống tiền đến hộp thư của một cơ quan chính phủ. Nội dung email chứa thông điệp: “Chúng tôi là một nhóm hacker có tên Anti-AJ-Collective. Chúng tôi đang lên kế hoạch mở một cuộc tấn công từ chối dịch vụ vào website của chính phủ của bạn để thu thập tiền phục vụ cho các hoạt động của chúng tôi. Nếu Chính phủ các bạn muốn tránh một cuộc tấn công như vậy hãy trả 100 Bitcoin (tương đương 42.000 USD)”.
Đối diện các tình huống trên, đại diện các đơn vị tham gia diễn tập đã cùng nhau thảo luận và đưa ra các biện pháp phòng chống, khắc phục sự cố. Nhiều ý kiến cho rằng các đơn vị cần có cơ chế về khai thác thông tin, trong đó quy định rõ tới từng vị trí nhân viên, từng cá nhân để tránh việc thông tin bị đe dọa tấn công gây hoang mang hoặc ảnh hưởng đến uy tín của tổ chức.
Các đơn vị tham gia diễn tập đang thảo luận tới vấn đề: để phòng tấn công DDoS theo như đe dọa của hacker thì ngắt kết nối với máy chủ. Nhưng trường hợp với những đơn vị không thể ngừng kết nối, ví dụ như hải quan, công tác xử lý sự cố sẽ phải theo hướng nào?
Sau rất nhiều thảo luận của đại diện Ngân hàng Nhà nước, Vietnam Airlines, Tổng cục Hải quan, VNNIC, Tập đoàn Điện lực và Viettel, thì các ý kiến đã "gặp nhau" ở điểm chung là ngay khi xảy nhận được email có nội dung như trên thì các đơn vị nên thực hiện theo các bước sau:
Bước 1: Phải đánh giá ngay tình huống, nguy cơ xấu nhất có thể xảy ra theo nguyên tắc đầu tư cho an toàn thông tin phải nhỏ hơn thiệt hại.
Bước 2: Xác định các mục tiêu cần bảo vệ, đề phòng. Lưu ý, nhiều đơn vị lầm tưởng tấn công DDoS chỉ liên quan đến vấn đề băng thông. Trên thực tế, bản chất của tấn công DDoS là làm cho website dịch vụ của đơn vị đó không thể truy cập được. Do vậy, có rất nhiều mục tiêu cần bảo vệ như dữ liệu, tài khoản, băng thông,…
Bước 3: Xây dựng kế hoạch phản ứng dựa trên chức năng của các tổ chức liên quan, xác định rõ chúng ta sẽ làm bước nào chứ không thể “gánh” tất cả. Trong đó, quy trình phản ứng phải lưu ý đến đến việc phối hợp giữa các bộ phận, các đơn vị bởi chậm trễ trong xử lý sẽ càng làm tăng mức độ thiệt hai. Thực tế đã cho thấy ở một số đơn vị, quy trình báo cáo trong nội bộ cũng phải khẩn trương, phải có người chịu trách nhiệm.
Các đại diện tham gia diễn tập ở đầu Hà Nội đang thảo luận phương án phòng chống tình huống giả định do phía Nhật Bản đặt ra. |
Các thành viên tham gia vào giả định diễn tập tiếp theo như sau: Các nhà cung cấp dịch vụ Internet hoặc các công ty dịch vụ tên miền nhận được một email tống tiền từ tổ chức Anti-AJ Collective. Đoạn email có nội dung: “Chúng tôi là Anti-AJ-Collective yêu cầu một khoản tiền từ các cơ quan chính phủ nhưng họ đã từ chối gửi cho chúng tôi. Bởi vậy, chúng tôi đã thay đổi mục tiêu sang các công ty viễn thông. Chúng tôi đã lập kế hoạch tấn công DDoS chống phá các ISP và nhà cung cấp dịch vụ tên miền để quấy rối người dùng ở đất nước này. Nếu muốn chúng tôi dừng tấn công, hãy trả 150 Bitcoin (tương đương 63.000 USD).
Trong các tình huống trên, hacker đều sử dụng phương pháp tấn công mới là mã hóa dữ liệu bằng thuật toán rất mạnh với mục đích "bắt cóc dữ liệu" trên máy để tống tiền nạn nhân.
Thậm chí, có vài trường hợp thì hacker còn giả mạo chính các địa chỉ thư điện tử của đơn vị, và điều này rõ ràng sẽ làm cho người dùng khó phát hiện các thư giả mạo dẫn đến số lượng các máy tính bị lây nhiễm mã độc mã hóa dữ liệu có thể tăng cao.
Ngoài việc tiếp tục thảo luận, các thành viên cũng tham khảo thêm kinh nghiệm của một số quốc gia khác. Sau khi tổng hợp các chia sẻ từ các thành viên tham gia diễn tập ở đầu cầu Việt Nam, các thành viên đã tham khảo kinh nghiệm phản ứng sự cố của các quốc gia khác tham gia diễn tập.
Trong đó, nổi lên kinh nghiệm của Nhật Bản. Đại diện Nhật Bản cho biết, quốc gia này có quy định rõ ràng cho việc gắn cờ đối với các email báo cáo, chia sẻ khi gặp sự cố.
Cụ thể, có 4 màu cờ khác nhau là Trắng, Xanh lá, Xanh dương và Đỏ theo mức độ chia sẻ hẹp dần để người nhận email ý thức được việc không để thông tin bị tấn công gây hoảng loạn hoặc ảnh hưởng đến uy tín của tổ chức.
Ngay sau đó, các đại diện của Văn phòng T.Ư Đảng, Tập đoàn Dầu khí, Bộ Tài chính tiếp tục có nhiều thảo luận sôi nổi về cách giải quyết các tình huống trên theo quan điểm của từng cá nhân.
Một số ý kiến trong đó cũng kiến nghị cơ quan nhà nước về ứng cứu cần có các văn bản hướng dẫn quy trình xử lý sự cố hay cần có các quy định cụ thể về chuẩn an ninh bảo mật đối với các sản phẩm, thiết bị công nghệ thông tin.
Đại diện đơn vị điều phối quốc gia về an toàn mạng. ông Nguyễn Khắc Lịch, Phó Giám đốc VNCERT, Trưởng ban tổ chức diễn tập cho biết ASEAN - Japan Cyber Exercise là hoạt động diễn tập thường niên được các nước ASEAN và Nhật Bản tổ chức chung hằng năm nhằm tăng cường hợp tác, chia sẻ thông tin, nâng cao hiệu quả việc chia sẻ thông tin sự cố đồng thời cải tiến chính sách, quy trình, quy định, giải pháp bảo vệ, phòng chống tấn công mạng của mỗi nước và giữa các nước thành viên.
Theo ghi nhận, các đơn vị trọng yếu như các Cơ quan nhà nước; Ngân hàng và các tổ chức tài chính lớn; Doanh nghiệp viễn thông; Cục Bưu điện Trung ương; Trung tâm VNNIC; Tổng công ty hàng không, Tập đoàn Điện lực Việt Nam đều rất quan tâm đến hoạt động diễn tập.
Các đơn vị đều cử các cán bộ là những người chịu trách nhiệm xây dựng thủ tục, quy trình và chính sách phản ứng sự cố và rủi ro tấn công mạng tại các đơn vị tham gia diễn tập. Thông qua diễn tập, mỗi quốc gia cũng như tổ chức của Việt Nam sẽ tìm ra một sơ đồ phản ứng nhanh và hiệu quả nhất với mỗi sự cố, đồng thời, tìm được các quy tắc chung khi phối hợp ứng cứu trên diện rộng.
Minh Anh