Tấn công mạng: Hiểm họa lớn đối với doanh nghiệp

Nhận định về những hiểm họa tiềm tàng đối với doanh nghiệp từ các cuộc tấn công mạng, nhật báo Le Figaro cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.

Một thiết bị lưu trữ dữ liệu sử dụng bộ nhớ flash (USB) được vận chuyển bằng dịch vụ chuyển phát để truyền tải những lệnh giao dịch giữa các phòng giao dịch tại New York. Đó là giải pháp duy nhất mà chi nhánh của ngân hàng ICBC tại Mỹ đã áp dụng vào tháng 11/2023 để giải quyết khẩn cấp các giao dịch liên quan đến nợ của Mỹ. Vụ tấn công vào hệ thống thông tin của họ đã làm đảo lộn thị trường trái phiếu Chính phủ Mỹ trong vài ngày.

Vào giữa tháng 12/2023, cuộc tấn công vào nhà cung cấp dịch vụ viễn thông hàng đầu của Ukraine là Kyivstar đã làm mất dịch vụ điện thoại di động và kết nối Internet của 24 triệu thuê bao, tạo ra hàng dài chờ đợi trước các cửa hàng của những nhà cung cấp dịch vụ cạnh tranh với Kyivstar.

Cho dù động cơ là tham vọng tiền bạc hay lợi ích địa chính trị, những cuộc tấn công mạng đã chứng tỏ rõ ràng khả năng gây bất ổn cho các doanh nghiệp và mạng lưới nhà cung cấp, khách hàng hoặc đối tác của họ. Tuy rủi ro mạng không phải là hiện tượng mới, nhưng điều này đang gia tăng và ngày càng nghiêm trọng hơn do quá trình số hóa ngày càng tăng của các doanh nghiệp, sự phức tạp ngày càng cao của hệ thống thông tin và sự phụ thuộc lẫn nhau ngày càng lớn.

Chuyên gia Raphaël Marichez, Giám đốc An ninh khu vực Pháp và miền Nam châu Âu của PaloAlto Networks nhận định: “Hoạt động kinh doanh của các công ty ngày càng phụ thuộc vào an ninh mạng và ảnh hưởng của những cuộc tấn công mạng đối với hoạt động kinh doanh của doanh nghiệp gần như ngay lập tức.  Đây là một vấn đề quan trọng, trong khi trước đây thường không bị ảnh hưởng nhiều”.

Thư điện tử (email), máy tính cá nhân, điện thoại thông minh, máy chủ, mạng, điện toán đám mây.... Những kẻ tấn công mạng luôn tìm kiếm sự kết hợp phù hợp giữa các lỗ hổng, cấu hình đám mây không tốt và đặc quyền nhận dạng để có thể xâm nhập vào các hệ thống máy tính. Diễn đàn Kinh tế Thế giới xếp hạng các cuộc tấn công mạng (phần mềm tống tiền, vi phạm dữ liệu, làm gián đoạn các hệ thống quan trọng, v.v.) là nguy cơ toàn cầu lớn thứ 5.

Đối với các công ty bảo hiểm như Axa hoặc Allianz, cũng như nhiều tổ chức quốc tế khác, rủi ro từ các cuộc tấn công mạng là nguy cơ hàng đầu mà doanh nghiệp và các tổ chức hiện nay phải đối mặt. Orange Cyberdéfense đã cảnh báo trong báo cáo nghiên cứu liên quan đến an ninh mạng mới nhất của mình về “tần suất, mức độ nghiêm trọng, độ phức tạp và hậu quả của các vụ việc ảnh hưởng đến lĩnh vực của chúng tôi đã đạt đến mức chưa từng thấy”.

Mỗi ngày, ngân hàng JPMorgan Chase của Mỹ phải đối mặt với vô số nỗ lực xâm nhập vào hệ thống thông tin của họ. Ngân hàng đầu tư 15 tỷ USD mỗi năm vào công nghệ, phần lớn trong số đó là để phòng chống tội phạm mạng. “Tội phạm ngày càng thông minh hơn, xảo quyệt hơn, nhanh nhẹn hơn. Đây là vấn đề khó khăn và sẽ ngày càng khó khăn hơn nữa’’, Giám đốc quản lý tài sản Mary Callahan Erdoes tại JPMorgan Chase đã phải thừa nhận điều này tại Diễn đàn Kinh tế Thế giới ở Davos. Theo công ty phần mềm bảo mật Sophos, số vụ tấn công mạng vào ngành tài chính đã tăng 64% vào năm ngoái, gấp đôi so với năm 2021.

Tình hình hiện tại rất nghịch lý. Với sự gia tăng của những cuộc tấn công mạng và nhận thức về hậu quả nghiêm trọng của chúng, các công ty hơn bao giờ hết hiểu rõ nguy cơ về an ninh mạng. Chủ đề này hiện đang được quản lý ở cấp độ của ban giám đốc, thậm chí là tại hội đồng quản trị. Tuy nhiên, khả năng bảo vệ "các điểm bị tấn công" của họ trở nên ngày càng khó khăn hơn. Phạm vi cần được bảo vệ đã trở nên phức tạp hơn, với các ứng dụng, cách sử dụng và đối tượng liên tục được kết nối với nhau, tạo ra nhiều điểm tiếp cận đến các hệ thống thông tin và cần được kiểm tra liên tục.

Nguy hiểm có thể đến từ bất kỳ đâu. Ngày 10/1, tài khoản chính thức của Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) trên Twitter đã bị hack. Cũng vào hôm đó, một quyết định được mong chờ từ lâu đối với thị trường tiền điện tử đã được đưa ra. Thông báo ‘‘giả mạo’’ về việc phê duyệt này đã có tác động ngắn hạn đến giá bitcoin. Cơ quan giám sát, mặc dù vừa mới thắt chặt các quy định về an ninh mạng cho các doanh nghiệp niêm yết, nhưng lại không kích hoạt xác thực hai yếu tố để bảo mật cho tài khoản truyền thông xã hội của mình một cách an toàn. Do không có ai kiểm tra, hacker đã lợi dụng điều đó.

Đối với doanh nghiệp vận tải công nghiệp khu vực Guyamier, công cụ cho cuộc tấn công mạng vào tháng 12/2023 là một máy in được lắp đặt tại một chi nhánh mà nhà cung cấp dịch vụ của họ chưa kiểm tra xem máy quét có được bảo vệ hay không. “Vấn đề đặt ra hiện nay là phải có các công cụ phù hợp để tạo ra một hệ thống giám sát hiệu quả nhất có thể và có khả năng đánh giá mọi rủi ro’’, chuyên gia Raphaël Marichez nhấn mạnh. Trong khi đó, ông Nicolas Villetelle, kỹ sư kinh doanh tại công ty phần mềm an ninh mạng TrendMicro, cho biết thêm tập đoàn của ông “đang hướng tới một phương pháp bảo mật phải là toàn diện nhất có thể”.

* AI giúp tăng tốc các cuộc tấn công

Sự phát triển nhanh chóng của công nghệ trí tuệ nhân tạo (AI) khiến chủ đề này càng trở nên gay gắt hơn. Giám đốc toàn cầu về bảo hiểm mạng tại Allianz Commercial Scott Sayce nhấn mạnh: “Tội phạm mạng đang tận dụng các công nghệ mới, như AI, để tự động hóa và tăng tốc các cuộc tấn công, tạo ra những công cụ lừa đảo và phần mềm độc hại ngày càng hiệu quả hơn”.

AI đã tăng cường khả năng của kẻ tấn công nhờ việc phát hiện các lỗ hổng trong hệ thống, tạo ra mã độc mà không cần kỹ năng phát triển nâng cao và cho phép các phương thức lừa đảo tinh vi hơn để bẫy nạn nhân. Ví dụ: Ngoài việc được cá nhân hóa hơn, các email và SMS còn có khả năng nhân bản giọng nói một cách hoàn hảo. Giám đốc AI tại HarfangLab Constant Bridon cho biết: “Các công nghệ AI mang tính sáng tạo có thể giúp giảm bớt rào cản gia nhập đối với những người không có trình độ kỹ thuật cao”.

Chuyên gia Ivan Kwiatkowki, nhà nghiên cứu mạng tại HarfangLab, giải thích: “Việc phát triển các công cụ tấn công phức tạp chưa bao giờ là vấn đề khó đối với những kẻ tấn công có kinh nghiệm. Các mô hình AI lớn hơn có thể giải quyết một vấn đề khác phức tạp hơn, có khả năng phân tích tốt hơn khối lượng lớn dữ liệu được lấy cắp’’.

Tuy nhiên, các công nghệ mới cũng mang lại lợi ích cho những người bảo vệ hệ thống, giúp tránh khỏi những cuộc tấn công mạng. Chuyên gia Bernard Montel, Giám đốc kỹ thuật EMEA và Nhà chiến lược an ninh mạng tại Tenable nhấn mạnh : “Việc sử dụng sức mạnh của AI giúp các nhóm quản lý an ninh mạng tìm kiếm và phân tích nhanh hơn, và trong tương lai, có thể ra quyết định nhanh hơn”.

Nhà nghiên cứu Ivan Kwiatkowki khẳng định: “Những người bảo vệ được hưởng lợi nhiều từ những tiến bộ gần đây trong AI cũng giống như những kẻ tấn công, nếu không muốn nói là nhiều hơn. Việc đánh giá mức độ nguy hiểm của một cuộc tấn công bằng một công cụ tự động cũng giúp xử lý nhiều trường hợp hơn. Điều này cũng cho phép các doanh nghiệp không có khả năng thuê những chuyên gia cần thiết vẫn có thể có một lớp bảo mật, thông qua việc sử dụng những công cụ tự động để đánh giá và xử lý các vấn đề bảo mật’’.

* Tăng cường các quy định quản lý

Sự phát triển nhanh chóng của những công nghệ này đặt ra một thách thức mới cho các doanh nghiệp và tổ chức, đó là sự phụ thuộc vào một số nhà cung cấp dịch vụ AI bên ngoài. Cuộc tấn công nền tảng phần mềm của doanh nghiệp phát triển phần mềm Solarwinds vào cuối năm 2020 hay cuộc tấn công vào công ty phát triển phần mềm Kaseya trong năm 2021 đã gián tiếp ảnh hưởng đến mạng máy tính của hàng chục nghìn cơ quan quản lý và những doanh nghiệp lớn trên thế giới.

“Xác định chính xác chuỗi cung ứng là bước không thể thiếu đối với một doanh nghiệp trong lĩnh vực an ninh mạng”, chuyên gia Raphaël Marichez lưu ý. Để nâng cao mức độ tổng thể của an ninh mạng, các cơ quan quản lý của nhiều quốc gia đã tăng cường những dự án của họ trong những năm gần đây. Tại Liên minh châu Âu, Đạo luật bảo đảm An ninh Mạng, sẽ có hiệu lực vào năm nay, tập trung vào việc yêu cầu nghiêm ngặt hơn về an ninh trong quá trình phát triển các sản phẩm số, phần mềm và phần cứng.

Đạo luật này bổ sung cho chỉ thị NIS 2 (An ninh mạng và thông tin), đang chờ chuyển thành luật của Pháp, nhằm tăng cường nghĩa vụ đảm bảo an ninh mạng đối với nhiều công ty và tổ chức hơn. Tại Mỹ, kể từ ngày 13/12, Ủy ban Chứng khoán và Giao dịch đã yêu cầu thông tin minh bạch và công khai về những cuộc tấn công mạng đã xảy ra, yêu cầu các công ty niêm yết phải nêu rõ trong báo cáo thường niên cách họ quản lý những nguy cơ bị tấn công mạng. Họ sẽ phải giải thích cách họ đánh giá những mối đe dọa, các biện pháp bảo vệ, những hậu quả vật chất tiềm ẩn của một cuộc tấn công thành công và mức độ giám sát của ban giám đốc đối với các vấn đề này.

Một tín hiệu khác về sự ưu tiên được dành cho chủ đề này là lần đầu tiên, Ngân hàng Trung ương châu Âu (ECB) sẽ tiến hành vào đầu năm nay một bài kiểm tra khả năng chống chịu liên quan đến an ninh mạng đối với 109 cơ quan tài chính lớn nhất của EU, nhằm xác định các điểm yếu của họ.

Giống như “những bài kiểm tra khả năng chống chịu” (Stress Test) được sử dụng để kiểm tra sự chống chọi của họ khi xảy ra một số sự kiện tấn công nghiêm trọng, ‘‘bài kiểm tra khả năng chống chịu về an ninh mạng’’ đầu tiên này chủ yếu đánh giá cách các ngân hàng phản ứng và hồi phục sau một cuộc tấn công mạng, thay vì khả năng phòng tránh nó, cơ quan này giải thích vào đầu tháng 1/2024.

Các kết quả chính phải được thông báo vào mùa Hè. Trong lĩnh vực ngân hàng, tài chính, bảo hiểm, chỉ có 21% các nhà quản lý an ninh hệ thống thông tin thường xuyên kiểm tra kế hoạch chống chịu, theo một cuộc khảo sát của Palo Alto Networks và IDC Research. “Những người chịu trách nhiệm cho việc này đang phải hoạt động trong bối cảnh khó khăn. Một mặt, những sự kiện địa chính trị và sự gián đoạn chuỗi cung ứng làm tăng thêm các mối đe dọa. Mặt khác, việc thiếu nguồn nhân lực và kiến thức chuyên môn phù hợp làm khó khăn cho việc triển khai các giải pháp và sự chuẩn bị để đối phó với những cuộc tấn công trong tương lai’’, chuyên gia Haider Pasha, Giám đốc an ninh mạng khu vực EMEA và châu Mỹ Latinh tại Palo Alto Networks, phân tích.

Nhà nghiên cứu Ivan Kwiatkowski lưu ý: “ Năm 2024 sẽ là một năm đầy căng thẳng, với nhiều sự kiện địa chính trị lớn. Càng có nhiều căng thẳng trên thế giới, nguy cơ về tấn công mạng càng gia tăng’’. Bà Gita Gopinath, Phó Giám đốc điều hành thứ nhất của Quỹ Tiền tệ Quốc tế (IMF), cũng cảnh báo tại Davos rằng: “Có nguy cơ một 'sự kiện lớn' sẽ xảy ra trước khi chúng ta thực sự tìm ra cách giải quyết nó”.

Ngay cả những công ty công nghệ mạnh nhất, được cho là đi đầu trong lĩnh vực an ninh mạng, cũng không tránh khỏi nguy cơ này.

Microsoft cho biết vào cuối tháng 11/2023, những kẻ tấn công đã thành công trong việc truy cập vào hòm thư của một số lãnh đạo cao cấp nhất của họ, bao gồm Chủ tịch Brad Smith và Giám đốc Tài chính Amy Hood, những người trao đổi về các vấn đề chiến lược với Giám đốc điều hành Satya Nadella. Tin tặc đã đánh cắp các email và tệp đính kèm. 

Sự xâm nhập rất tinh vi này chỉ mới được phát hiện. Thủ phạm là của nhóm Nobelium (còn được biết đến với tên APT29, Cosy Bear hay Midnight Blizzard), thường nhắm vào các quốc gia, tổ chức lớn, tổ chức phi chính phủ và nhà cung cấp dịch vụ công nghệ thông tin. Chính họ là kẻ đứng sau vụ tấn công “Solarwinds” vào tháng 12/2020.

Microsoft đang hợp tác chặt chẽ với Cơ quan An ninh mạng Mỹ (Cisa) và FBI để hiểu chính xác những gì đã xảy ra, đánh giá hậu quả và rút ra bài học để bảo vệ các thực thể khác. “Tại thời điểm này, chúng tôi không nhận thấy bất kỳ tác động nào đối với môi trường hoặc sản phẩm của khách hàng Microsoft”, công ty và các cơ quan chức năng khẳng định.