Ngoài quy mô hệ thống nhỏ, một yếu tố quan trọng giúp PVOIL có thể nhanh chóng khắc phục sự tấn công của ransomware và hoạt động trở lại chỉ sau vài ngày chính là việc sao lưu dữ liệu.
Đây là bài học quan trọng cho nhiều doanh nghiệp, tổ chức tại Việt Nam
Hệ thống của Công ty Cổ phần Dầu khí Việt Nam (PVOIL) bị ransomware tấn công có chủ đích và bất hợp pháp dưới hình thức mã hóa dữ liệu vào lúc 0h ngày 2/4. Vừa nhanh chóng báo cáo sự việc cho cơ quan chức năng, PVOIL đã nhanh chóng triển khai giải pháp với sự hỗ trợ của Cục An toàn thông tin (Bộ Thông tin và Truyền thông) và A05 (Bộ Công an).
Thông tin từ PVOIL cho thấy, từ 15h ngày 3/4, PVOIL có thể phát hành hoá đơn điện tử, phiếu giao hàng thông qua hệ thống CNTT của đơn vị cung cấp dịch vụ. Hệ thống quản lý và phát hành hóa đơn điện tử của PVOIL, hệ thống website hoặc ứng dụng PVOIL Easy, PVOIL B2B… và các hệ thống, ứng dụng khác đã hoạt động trở lại từ ngày 4/4. Ngày 5/4, đại diện VNCERT/CC, Cục An toàn thông tin Bộ Thông tin và Truyền thông xác nhận, công tác khắc phục cuộc tấn công ransomware vào hệ thống PVOIL đã cơ bản hoàn thành.
Giống như sự cố VNDIRECT trước đó, câu chuyện về phản ứng của PVOIL trước cuộc tấn công ransomware cũng mang đến cho nhiều tổ chức, doanh nghiệp tại Việt Nam những bài học cần thiết để đảm bảo an ninh hệ thống trong thời đại kỹ thuật số.
nói chuyện với phóng viên vietnam.comÔng Vũ Thế Hải, Trưởng phòng giám sát an toàn thông tin của VSEC cho biết, PVOIL đã giải quyết được sự cố và hoạt động trở lại chỉ sau hai, ba ngày, đây là tín hiệu rất tích cực cho toàn bộ lĩnh vực an ninh thông tin hoặc rộng hơn. . , toàn bộ ngành CNTT. Ở góc độ kỹ thuật, việc điều tra và xử lý sự cố trong thời gian ngắn chứng tỏ đội ngũ kinh doanh đã làm tốt công tác quản lý rủi ro hoạt động.
“Cụ thể, doanh nghiệp có sự tính toán, phương án chuẩn bị trước khi xảy ra sự cố, khi xảy ra sự cố, các quy trình đều được triển khai ngay lập tức, từ khâu điều tra, giải quyết đến việc sao lưu và vận hành dịch vụ. Rõ ràng và có sự chuẩn bị tốt”, ông Vũ Thế Hải phân tích.
Ông Ngô Tuấn Anh, Giám đốc điều hành Công ty An ninh mạng thông minh-SCS cho biết, so với hệ thống VNDIRECT chỉ có 2 yếu tố: quy mô của hệ thống và thời gian tìm kiếm, vá các lỗ hổng mà hacker sử dụng để xâm nhập và tấn công hệ thống. Việc sao lưu dữ liệu thường xuyên của doanh nghiệp, tổ chức, đặc biệt là những dữ liệu quan trọng, cũng là yếu tố giúp tổ chức giảm thời gian phục hồi nếu bị tấn công bởi ransomware.
“Việc triển khai các biện pháp phòng thủ cho hệ thống thông tin sẽ giúp các cơ quan, tổ chức giảm thời gian khắc phục sự cố tấn công mạng và nhanh chóng khôi phục dữ liệu, vận hành hệ thống.””, ông Ngô Tuấn Anh nhấn mạnh.
Có hệ thống giám sát mạnh mẽ và thường xuyên sao lưu dữ liệu quan trọng
Tấn công ransomware được coi là vấn nạn chung của các tổ chức, doanh nghiệp trên toàn thế giới, đặc biệt là những tổ chức hoạt động trong các lĩnh vực quan trọng như tài chính, ngân hàng, năng lượng, chứng khoán, viễn thông. Tuy nhiên, thực tế gần đây về việc hỗ trợ các doanh nghiệp, tổ chức ứng phó với các cuộc tấn công mạng. Các chuyên gia cho rằng, nhiều đơn vị ở Việt Nam chưa chú ý đến việc đảm bảo an ninh cho hệ thống của mình, đây cũng là một trong những nguyên nhân khiến các đơn vị trong nước phải hứng chịu làn sóng tấn công.
Thống kê từ một tổ chức quốc tế cho thấy, sau khi một công ty bị ransomware tấn công, thời gian trung bình để doanh nghiệp bị gián đoạn hoặc ngừng hoạt động là 21 ngày. Trao đổi về vấn đề này, ông Nguyễn Thành Đạt, Phó tổng giám đốc Công ty VNCS, cho biết thời gian khôi phục hệ thống sau các đợt tấn công ransomware gần đây cũng có xu hướng lâu hơn. Bởi hiện tại, các nhóm tấn công ransomware thường mã hóa tất cả các máy chủ dữ liệu nên việc giải mã lại chúng (trong trường hợp key được đổi) hoặc khôi phục từ máy chủ dự phòng sẽ mất rất nhiều thời gian. Ngoài ra, nếu dữ liệu thiết bị trên máy chủ dự phòng được mã hóa thì việc khôi phục sẽ khó khăn và tốn thời gian hơn.
Ông Nguyễn Thành Đạt chia sẻ quan điểm về các giải pháp doanh nghiệp, tổ chức cần ưu tiên phòng ngừa, ứng phó trước các cuộc tấn công của ransomware. Ông phân tích: Có hai hướng để các đơn vị chống lại các cuộc tấn công mạng, đó là các cuộc tấn công ransomware xảy ra trên mạng. – trong Mạng và điểm cuối trên web – máy tính và thiết bị đầu cuối. Điều này cũng tương tự như việc bảo vệ một ngôi nhà, trong đó Network là hàng rào và đường xung quanh còn Endpoint là bảo vệ trực tiếp bên trong ngôi nhà. Hiện tại, việc ngăn chặn tấn công tại điểm cuối được coi là hiệu quả hơn nhờ sự can thiệp và hiểu biết sâu sắc hơn về hành vi tấn công.
“Đặc biệt với sự xuất hiện gần đây của các giải pháp Endpoint và EDR trên nền tảng đám mây, chúng là những công cụ hiệu quả để phát hiện kịp thời và phản ứng nhanh với các cuộc tấn công của ransomware. Công cụ này hoàn toàn độc lập với mạng và có thể được sử dụng để điều tra và ứng phó với các cuộc tấn công.” Ông Nguyễn Thành Đạt thông tin.
Dưới góc độ các đơn vị hỗ trợ kinh nghiệm, chuyên gia VSEC khuyến nghị 6 biện pháp giúp doanh nghiệp rút ngắn thời gian khôi phục hệ thống khi gặp phải các cuộc tấn công ransomware Đó là: Thường xuyên sao lưu dữ liệu theo nguyên tắc “3-2-1”, trong đó có việc duy trì 3 bản sao. data. , sử dụng 2 bản sao dữ liệu. Các phương thức lưu trữ khác nhau và duy trì 1 bản bên ngoài hạ tầng chính; Đội ngũ xử lý sự cố luôn duy trì tính sẵn sàng cao; Quy trình xử lý sự cố luôn được xây dựng và cập nhật nhanh chóng, ngắn gọn, quyết đoán. Thông tin thông minh được cập nhật thường xuyên; giải pháp bảo mật; luôn có đội ngũ người giám sát hệ thống để ngăn chặn và nhận diện sự cố sớm nhất khi chúng xảy ra.
“Đặc biệt việc duy trì đội ngũ nhân sự giám sát hệ thống – SOC, sẽ mang lại hiệu quả tốt nhất cho doanh nghiệp trong bối cảnh an toàn thông tin mạng phức tạp như hiện nay. SOC cung cấp cho doanh nghiệp khả năng bảo vệ 24/7 và phát hiện sớm các hoạt động tấn công, giúp ngăn chặn và xử lý kịp thời. giảm thiểu tổn thất của doanh nghiệp.”, chuyên gia VSEC nhấn mạnh.
Biên tập lại từ VNN
