Bài học kinh nghiệm về an toàn thông tin từ đại dịch Covid-19

09:21 | 12/01/2022

Covid-19 đã đặt thế giới vào vô vàn thử thách mới chưa từng có trước đây. Trong hai năm qua, thế giới vừa căng mình chống dịch vừa phải tìm cách thích nghi và phát triển. Chuyển đổi số, ứng dụng công nghệ số được xem là chìa khóa quan trọng để vượt qua đại dịch.

 

Đại dịch đã làm thay đổi cách con người sinh sống, làm việc và tương tác. Với gần 4 tỷ người tại gần 100 quốc gia phải ở nhà (stay-at-home) theo các quy định giãn cách, công nghệ số đã trở thành phương thức chính để thế giới kết nối, giao dịch. Tuy nhiên, điều này làm tăng nguy cơ mất an toàn thông tin (ATTT) đối với hầu hết các cơ quan, tổ chức, doanh nghiệp và người dân.

Theo báo cáo của Nexusguard (trụ sở chính tại Singapore), trong thời gian đại dịch, các hình thức tấn công mạng đều gia tăng, đặc biệt là sự gia tăng của mã độc tống tiền và lừa đảo trực tuyến; riêng số lượng tấn công từ chối dịch vụ (DDoS) tăng gấp 5 lần.

Với khoảng 5 tỷ người dùng Internet và 1,9 tỷ website, không gian mạng đã trở thành môi trường sống mới, nhưng không an toàn khi trung bình mỗi ngày phát hiện 40 lỗ hổng bảo mật, đến nay đã có hơn 155 nghìn lỗ hổng tồn tại.

Khi đại dịch Covid-19 ập đến, nhiều vấn đề về ATTT bộc lộ, biểu hiện rõ hơn khi nhiều tổ chức, doanh nghiệp và ngay cả chính phủ của một số quốc gia chưa  được trang bị hoặc sẵn sàng để làm việc, điều hành từ xa. Thực tế, sau gần 2 năm diễn ra đại dịch đã chỉ ra một số vấn đề ATTT như sau:

Thứ nhất: ATTT trong phát triển phần mềm

Nhiều ứng dụng, nền tảng số được phát triển nhưng chưa chú trọng đến vấn đề ATTT. Theo Gartner (Hoa Kỳ), chỉ 60% dự án phần mềm trên thế giới hiện nay áp dụng quy trình DevSecOps (Phát triển-ATTT-Vận hành). Ở Việt Nam, con số này chỉ vào khoảng 10%. Những lỗi nhỏ, sơ đẳng trong phát triển phần mềm đều có thể gây mất an toàn thông tin nghiêm trọng.

Đại dịch Covid-19 đã cho thấy rõ hơn điều này khi chính quyền ở nhiều quốc gia phải sử dụng các ứng dụng truy vết Covid-19 khác nhau để giúp ngăn chặn đại dịch. Tuy nhiên, sự vội vàng trong việc giới thiệu các công nghệ mới, bỏ qua các quy trình luôn tiềm ẩn các nguy cơ mất ATTT trong thực tế.

Đáng kể đến là tại Mỹ đã xảy ra lộ lọt thông tin cá nhân, trong đó có thông tin về tiêm chủng vắc xin Covid-19 của 38 triệu người. Hay tại Indonesia, thông tin của 1,3 triệu người (gồm cả Tổng thống) của 2 ứng dụng truy vết Covid-19 do chính phủ phát triển đã bị rò rỉ.

Thứ hai: ATTT trong học tập, làm việc trực tuyến

Đại dịch thu hẹp ranh giới giữa công việc và cuộc sống riêng. Thiết bị, máy móc được sử dụng đồng thời cho cả mục đích cá nhân và công việc. Các tổ chức yêu cầu nhân viên làm việc tại nhà nhưng vẫn cần phải thực hiện bảo mật ở cấp độ doanh nghiệp, điều này đối mặt với các vấn đề từ phía người sử dụng như: Nhận thức, kỹ năng ATTT còn hạn chế; Các thiết bị kết nối mạng không an toàn, nhiều lỗ hổng; Mạng gia đình có thể trở thành điểm phát động cho các cuộc tấn công mạng.

Làm việc trực tuyến bắt buộc các tổ chức, doanh nghiệp phải đối mặt với môi trường làm việc hỗn hợp, đặt ra các vấn đề ATTT mới như: Quyền kiểm soát dữ liệu; Thách thức mất an toàn thông tin trong việc chuyển dịch sang sử dụng dịch vụ điện toán đám mây và triển khai các công cụ mới; Quá trình thu thập và lưu trữ dữ liệu lớn từ nhiều nguồn để đáp ứng nhu cầu mở rộng - những dữ liệu này là mục tiêu lớn của tội phạm mạng; Nguy cơ mất an toàn thông tin ATTT từ các công cụ hỗ trợ điều hành, hội họp, làm việc trực tuyến.

Thứ ba: Gia tăng lừa đảo trực tuyến

Việc giãn cách khiến người dân sử dụng Internet nhiều hơn, đặc biệt là sự quan tâm đến các vấn đề về dịch bệnh dẫn đến dễ bị lợi dụng lừa đảo khi nhận thức người dân còn hạn chế.

Theo thống kê, thế giới hiện có hơn 2 triệu website lừa đảo, tăng 27% so với năm 2020 (1,6 triệu). Các cuộc tấn công email lừa đảo liên quan đến Covid-19 trong Quý I/2020 tăng 600%. Theo số liệu được ghi nhận vào giữa năm 2020, số lượng email rác và lừa đảo trên mạng chiếm 91,5% số lần phát hiện các mối đe dọa liên quan đến Covid-19. 

Tại Việt Nam, từ tháng 12/2020 đến tháng 11/2021, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) đã phát hiện và xử lý 816 website lừa đảo giả mạo ngân hàng. Ngoài ra, có một số trường hợp giả mạo trạm BTS nhắn tin lừa đảo qua mạng 2G. Chiến dịch tán phát 23 phần mềm độc hại liên quan đến Covid-19 cũng đã được phát hiện trong năm 2020. Các tập tin độc hại được ẩn dưới vỏ bọc của tệp pdf, mp4 và docx về virus SARS-CoV-2.

Quan sát trong thời gian diễn ra đại dịch, có thể nhận thấy giữa Covid-19 và ATTT có nhiều điểm tương đồng thú vị. Covid-19 là một dòng virus mới, có thể biến đổi theo thời gian, với các triệu chứng khác nhau, lây từ người này sang người khác. Tương tự, các mối đe dọa ATTT có thể có nhiều hình thức và thay đổi theo thời gian. Bất chấp sự thay đổi bản chất của các mối đe doạ, vẫn có những hành động bảo vệ giúp giảm thiểu rủi ro.

Một điểm tương đồng nổi bật khác giữa Covid-19 và ATTT là các bên bị ảnh hưởng có thể không có triệu chứng, hậu quả của việc lây nhiễm có thể không dễ dàng quan sát được. Ngoài ra, có thể có những ảnh hưởng lâu dài. Với Covid-19, có thể bị tổn thương cơ quan vĩnh viễn, trong khi với ATTT, một hệ thống có thể không bao giờ khôi phục được hoàn toàn sau một cuộc tấn công.

Covid-19 là một thảm hoạ toàn cầu nhưng nó để lại những bài học về ATTT giá trị:

Thứ nhất, mỗi giây đều có giá trị

Có sự chậm trễ đáng kể giữa thời điểm lần đầu tiên xác định được virus Corona với thời điểm đưa ra cảnh báo cho cộng đồng và bắt đầu hành động để ngăn chặn lây lan. Tương tự như vậy, các tổ chức thường không báo cáo các sự cố an toàn thông tin vì sợ nó sẽ ảnh hưởng đến danh tiếng, uy tín. Tuy nhiên, sự chậm chễ trong phát hiện và cảnh báo đều có thể để lại hậu quả khôn lường. Một tổ chức bị tấn công mạng chậm công bố, đưa ra cảnh báo thì có thể hàng ngàn, hàng vạn tổ chức khác sẽ bị tấn công theo cách tương tự. Vì vậy, cần phải tăng cường hợp tác, chia sẻ thông tin và có cách tiếp cận và cảnh báo một cách kịp thời, hiệu quả nhất.

Thứ hai, không đợi thảm họa đến rồi mới hành động

Lúc thảm hoạ chưa xảy ra là lúc tốt nhất để chuẩn bị, cần luôn chuẩn bị tinh thần, đề phòng và sẵn sàng cho điều tồi tệ nhất. Vương quốc Anh là quốc gia hàng đầu thế giới trong việc chuẩn bị cho đại dịch. Tuy nhiên, Chính phủ Vương quốc Anh trở nên tự mãn và nguồn tài trợ cho Chiến lược Y tế toàn cầu được đưa ra vào năm 2008 đã cạn kiệt. Kết quả dẫn đến việc Vương quốc Anh chưa có sự chuẩn bị tốt, nếu không muốn nói là tệ hơn phần còn lại của thế giới trong việc đối phó với đại dịch. Bài học có thể học được từ điều này là luôn chuẩn bị tinh thần và đề phòng điều tồi tệ nhất. Trong ATTT, cần chủ động kế hoạch ứng phó, diễn tập thực chiến để cọ sát, có kinh nghiệm thực tiễn và đầu tư một nguồn lực tương xứng.

Thứ ba, đảm bảo rằng mọi người đều nhận thức được các dấu hiệu và cách ứng phó

Trong đại dịch, chính quyền công bố các triệu chứng bệnh. Người dân có thể dễ dàng nhận biết, kịp thời cách ly, xử lý. Trong ATTT, mọi người dân, tổ chức cần được tuyên truyền để nhận thức nguy cơ, mối đe dọa, các dấu hiệu bị tấn công, được phổ cập công cụ, dịch vụ cơ bản để tự bảo vệ. Khi vượt qua khả năng tự bảo vệ thì sẽ có các tổ chức, doanh nghiệp chuyên trách hỗ trợ.

Khi nói đến sự cố ATTT, các dấu hiệu mà người dùng cần chú ý có thể bao gồm hoạt động bất thường của tệp và thư mục, đăng nhập không thành công, lưu lượng mạng truyền tải đáng ngờ, tốc độ Internet chậm bất thường,... Người dùng cần được thường xuyên nâng cao nhận thức và kỹ năng để có thể nhận biết và đối phó với các nguy cơ mất ATTT liên tục thay đổi.

Thứ tư, biết và tuân thủ các quy tắc

Tại giai đoạn đầu, Covid-19 lây lan nhanh chóng với các cách thức khó lường. Người dân được tuyên truyền và yêu cầu tuân thủ nguyên tắc 5K - Điều này mang lại hiệu quả rất tốt. Nhưng nhiều tổ chức, cá nhân đang triển khai ATTT không có hoặc có mà không biết, không tuân thủ quy trình, quy tắc. Một ví dụ đơn giản là không “đeo khẩu trang”cho hệ thống thông tin hay thiết bị. Ở đây, khẩu trang chính là giải pháp bảo đảm ATTT. Chúng ta cần xây dựng và tuân thủ quy trình, quy tắc an toàn thông tin. Giai đoạn hiện nay, mô hình “không tin tưởng” (Zero-Trust) là một quy tắc quan trọng mà mọi tổ chức, cá nhân cần biết và áp dụng. Về cơ bản, Zero-Trust tức là các tổ chức không nên tự động tin tưởng bất cứ thứ gì bên trong hoặc bên ngoài khi liên quan đến ATTT.

Thứ năm, mối đe dọa luôn thay đổi

Virus SARS-CoV-2 phát triển nhiều chủng, biến thể khác nhau trong thời gian ngắn là việc khó lường, khiến thế giới rất vất vả. Đặc biệt là khi các chủng mới còn mạnh hơn chủng gốc. Người ta cho rằng, một khi vắc-xin được sản xuất và công dân đã tiêm, thì virus cuối cùng sẽ bắt đầu biến mất. Trong ATTT, sai lầm của các tổ chức là khi họ đã xác định, ngăn chặn và loại bỏ một sự cố và coi vấn đề đã được giải quyết một cách hiệu quả, do đó không cần phải chú ý thêm nữa.

Tương tự, tấn công mạng hay mã độc cũng không ngừng thay đổi phương thức, sự tinh vi phức tạp. Sử dụng trí tuệ nhân tạo (AI) trong tấn công mạng cũng như một loại virus tự biến đổi gen. Nhưng chưa bao giờ nhân loại lại tạo ra vắc xin nhanh như vậy nhờ vào công nghệ gen và siêu máy tính. ATTT cũng cần có những công nghệ mới nhất để tạo ra vắc xin.