Một vài ngày qua, hệ thống công nghệ thông tin hàng không và một số trang mạng đồng loạt bị tin tặc tấn công. Nhiều chuyến bay bị ảnh hưởng, di chuyển của hàng ngàn hành khách bị chậm trễ. Đến nay, sự cố này đã được khắc phục, hệ thống thông tin đã hoạt động trở lại. Các đơn vị liên quan đã củng cố an ninh mạng, tránh xảy ra sự cố tương tự.
Liên quan sự cố nói trên, điều đáng nói là hệ thống phần mềm đảm bảo an toàn, an ninh mạng của các hãng hàng không đã không nhận diện, phát hiện được các mã độc cho đến khi có sự cố xảy ra.
Nhận diện nguyên nhân
Theo nhận định của các chuyên gia an toàn thông tin: Cuộc tấn công mạng những ngày qua nhằm vào công tác phục vụ bay tại các cảng hàng không Nội Bài, Tân Sơn Nhất đã được các tin tặc (hacker) chuẩn bị công phu. Các phần mềm chống virus không nhận diện được các mã độc chính là mấu chốt khiến hệ thống đảm bảo an toàn của Hãng hàng không quốc gia (Vietnam Airlines) không thể phát hiện cho đến khi có sự cố xảy ra.
Điều đó cho thấy, mã độc đã xâm nhập vào hệ thống ở cả chiều rộng lẫn chiều sâu. Một số máy chủ quan trọng của hệ thống như cổng thông tin, cơ sở dữ liệu khách hàng bị mất kiểm soát khi nhiễm virus. Mặc khác, virus đồng loạt tấn công trên hệ thống của Cảng hàng không quốc tế Nội Bài lẫn Tân Sơn Nhất. Nhiều sân bay khác cũng bị ảnh hưởng do hệ thống thông tin kết nối với nhau khiến hệ thống điều khiển màn hình, loa phát thanh của sân bay khác cũng bị xâm nhập và thay đổi dữ liệu.
Các chuyên gia công nghệ thông tin đã khẳng định, cuộc tấn công vừa qua là dạng tấn công APT (Advanced Persistent Threat – những mối nguy hiểm cao thường trực). Đây là hình thức mà hacker hay một nhóm hacker tấn công bền bỉ, có chủ đích nhắm vào tổ chức, doanh nghiệp cụ thể, vô hiệu hóa hệ thống dữ liệu, đánh cắp dữ liệu.
Qua điều tra của cơ quan chức năng cho thấy, trang chủ Vietnam Airlines bị chiếm quyền điều khiển và đối tượng tấn công chuyển website này ra nước ngoài để chuyển hướng tấn công. Đây là cuộc tấn công tinh vi, nguy hiểm, có tính chất phá hủy và nhằm vào Vietnam Airlines nói riêng và gây tổn hại cho hạ tầng thông tin của Việt Nam nói chung.
Trong phiên họp thường kỳ Chính phủ tháng 7, liên quan đến vụ việc tin tặc tấn công website của Tổng công ty Hàng Không Việt Nam, Bộ trưởng Thông tin và Truyền thông Trương Minh Tuấn cho biết, dấu hiệu để lại cho thấy, thủ phạm vụ tấn công được thực hiện bởi nhóm hacker 1937CN. Tuy nhiên, sau đó, nhóm này đã phủ nhận vụ tấn công trên.
Hiệp hội An toàn thông tin Việt Nam (VNISA) cho hay: Những dấu vết tại hiện trường có thể khẳng định đối tượng am hiểu hệ thống công nghệ thông tin của các cụm cảng hàng không cả ở mức cấu trúc thông tin lẫn cơ chế vận hành thiết bị và có ý định khống chế vô hiệu hóa hoàn toàn dữ liệu hệ thống.
Ông Nguyễn Trung Chính, Phó Chủ tịch Hiệp hội phần mềm và dịch vụ công nghệ thông tin Việt Nam (VINASA) nhận định, vụ tấn công này được coi là dấu hiệu cảnh báo về nguy cơ chiến tranh mạng...
Tăng cường đảm bảo an toàn thông tin mạng
Khi sự cố xảy ra, các đơn vị chức năng, đơn vị, tổ chức công nghệ thông tin ở Việt Nam như Cục An ninh mạng (Bộ Công an), Cục An toàn thông tin và Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thuộc Bộ Thông tin và Truyền thông, Công ty FPT và Viettel đã ngay lập tức cử các chuyên gia an ninh mạng đã vào cuộc.
Các chuyên gia đã giành quyền kiểm soát, khôi phục và khởi động lại các chương trình bị tấn công cũng như kiểm tra, rà soát các chương trình công nghệ thông tin khác để đảm bảo an toàn.
Lực lượng an ninh mạng cũng đã xác định được tác nhân chính phá hoại hệ thống, đồng thời xác định cửa hậu ( backdoor ) của hệ thống đã bị khai thác từ khá lâu trước thời điểm bị tấn công. Đội ngũ chuyên gia cũng đã x ử lý mã độc , có các giải pháp ngăn chặn sự cố tương tự có thể xảy ra trong tương lai.
Bộ Thông tin và Truyền thông đã đề nghị các cơ quan, tổ chức doanh nghiệp nghiêm túc, khẩn trương thực hiện các biện pháp đảm bảo an toàn thông tin. Trung tâm ứng cứu khẩn cấp máy tính Việt Nam cũng đã có hướng dẫn cụ thể cho các tổ chức, doanh nghiệp về việc cần thực hiện để nâng cao mức độ an toàn hệ thống công nghệ thông tin, đề phòng các cuộc tấn công tiếp theo có thể xảy ra.
Theo khảo sát của Bộ Thông tin và Truyền thông, có đến 55% các cơ quan, tổ chức chưa có quy trình chuẩn để phản ứng khi bị tấn công mạng. Do đó, Bộ Thông tin và Truyền thông đề nghị các bộ ngành, cơ quan phải xây dựng kế hoạch, tổ chức tập huấn, diễn tập an toàn thông tin một cách định kỳ, Bộ sẽ sớm xây dựng và trình Thủ tướng Chính phủ ban hành Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia trong thời gian sớm nhất.
Hiệp hội An toàn thông tin Việt Nam đã có hướng dẫn các tổ chức, doanh nghiệp đặc biệt là những t ổ chức có hệ thống mạng lớn, trải dài ở mức quốc gia thực hiện đảm bảo an toàn thông tin. Bước đầu, các đơn vị cần có nhân viên hoặc bộ phận chuyên trách giám sát hoặc thuê dịch vụ giám sát an ninh thông tin.
Các sự kiện hệ thống cần được lưu trữ tập trung thành hệ thống độc lập nhằm tạo thuận tiện cho việc theo dõi, lưu trữ thông tin cần thiết hỗ trợ cho việc truy vết sự cố, hạn chế việc tin tặc xâm nhập hệ thống sau đó cố tình xóa dấu vết. Các dữ liệu hệ thống của đơn vị cần được sao lưu đầy đủ và định kỳ.
Bản lưu trữ sẽ đảm bảo khả năng phục hồi dữ liệu trong tình huống xấu nhất khi hệ thống dữ liệu chính bị phá hủy hoàn toàn. Mặt khác, các chuyên gia cũng lưu ý, cần thay đổi thường kỳ mật khẩu đăng nhập của các tài khoản đặc quyền, tài khoản hệ thống có quyền hạn cao, tránh sử dụng chung các định danh truy cập hệ thống.
Về lâu dài, Hiệp hội An toàn thông tin Việt Nam cho rằng, các đơn vị, tổ chức, doanh nghiệp cần có q ui trình định kỳ thường xuyên rà soát các rủi ro có khả năng gây mất an ninh thông tin trên hệ thống để có phương án xử lý kịp thời. Đồng thời, các đơn vị cũng cần thường xuyên tiến hành các diễn tập , đào tạo để nâng cao tính sẵn sàng và tinh nhuệ của đội ngũ quản trị hệ thống công nghệ thông tin...
Hiệp hội An toàn thông tin Việt Nam cũng khuyến cáo: Trong trường hợp phát hiện hệ thống công nghệ thông tin có dấu hiệu bị tấn công thì cần nhanh chóng ghi nhận, cung cấp các hiện tượng, dấu hiệu ban đầu cho đơn vị chuyên trách xử lý sự cố an ninh thông tin.
Ví dụ: chụp màn hình thể hiện hệ thống bị nhiễm mã độc; nhanh chóng cách ly hệ thống có dấu hiệu bị tấn công, đồng thời giữ nguyên hiện trường hệ thống đang bị nhiễm, tạm thời sử dụng hệ thống máy chủ dự phòng cho các hệ thống chính. Các đơn vị cần thay đổi mật khẩu toàn hệ thống, đặc biệt là các hệ thống quan trọng …
Qua sự cố tại các cụm cảng hàng không và một số trang mạng vừa qua, các đơn vị có hệ thống thông tin cấu trúc tương tự như Vietnam Airlines cần được rà soát, tăng cường khả năng phát hiện sớm mã độc đang âm thầm hoạt động.
Trong đó, hệ thống đảm bảo hạ tầng điện nước; hệ thống quản lý nhà nước có ứng dụng công nghệ thông tin như hải quan, thuế, tài chính, ngân hàng, dịch vụ công điện tử; giao thông vận tải và cấp thoát nước; các hệ thống viễn thông … cần được ưu tiên tiến hành rà soát.
Các chuyên gia cũng khẳng định: Khi xảy ra sự cố, cần xử lý hoàn thiện từ dưới lên, từ cấp cơ sở đến cấp quốc gia. Để thực hiện được điều này, đội ngũ nhân viên công nghệ cần được chú trọng đào tạo kỹ năng xử lý sự cố, phân tích mã độc và điều tra số. Từ đó hình thành lực lượng ứng cứu ở nhiều nơi cùng các kỹ năng để xử lý sự cố ngay khi mới xảy ra...
TTXVN