Có nên trả tiền chuộc nếu bị tấn công ransomware?

Trần Sỹ| 22/11/2021 09:18
Theo dõi ICTVietnam trên

Lựa chọn có trả tiền chuộc hay không là một thách thức và phải được cấp hội đồng quản trị công ty quyết định. Hiểu điều gì sẽ xảy ra nếu bạn trả tiền chuộc là chìa khóa để đưa ra quyết định đó.

Trở thành nạn nhân của một cuộc tấn công bằng mã độc tống tiền (ransomware) và bị đe dọa đòi tiền chuộc sẽ không bao giờ là một tình huống … xa lạ trong thời đại các vụ tấn công đang ngày càng gia tăng. Bạn sẽ bị buộc phải thực hiện một việc đầy thách thức, thường xuyên phải chịu áp lực cao và thời gian quyết định có hạn. Trong những tình huống như thế này, bạn phải làm gì và nên chuẩn bị như thế nào?

Bất chấp việc FBI và Bộ An ninh Nội địa (DHS) cảnh báo các công ty không nên trả tiền chuộc, Colonial Pipeline đã trả cho tin tặc 4,4 triệu USD tiền chuộc trong năm nay để có một công cụ giải mã phục hồi hoạt động khai thác dầu mỏ. Quyết định này vô cùng gây tranh cãi và Giám đốc điều hành của công ty sau đó đã được đưa ra trước Quốc hội Mỹ để làm chứng rằng những tác động gây suy yếu đến nguồn cung cấp nhiên liệu của đất nước là nguyên nhân dẫn đến quyết định “trả tiền chuộc” này.

Tình huống này, giống như nhiều trường hợp khác, gây ra một điểm đầy tranh cãi: Tổ chức của bạn sẽ xử lý như thế nào khi bị tấn công bằng ransomware? Bạn có nên trả tiền để lấy lại dữ liệu hoặc khôi phục hệ thống của mình không?

Lựa chọn có trả tiền chuộc hay không là một thách thức và một quyết định phải được đưa ra cẩn thận ở cấp hội đồng quản trị, không phải bởi các nhà lãnh đạo an ninh và rủi ro của công ty nữa - hiểu điều gì sẽ xảy ra nếu bạn trả tiền chuộc là chìa khóa để đưa ra quyết định đó.

Vì vậy, điều gì sẽ xảy ra nếu bạn trả tiền chuộc?

Theo giả thuyết, nếu một công ty đáp ứng khoản tiền chuộc và trả tiền, những kẻ tấn công sẽ cung cấp một công cụ giải mã và từ bỏ các mối đe dọa như công bố, “tung hê” những dữ liệu mà chúng đã đánh cắp. Tuy nhiên, thật không may, khoản thanh toán không đảm bảo rằng tất cả dữ liệu của bạn sẽ được khôi phục - những kẻ tấn công có thể chỉ cần lấy tiền rồi bỏ chạy. Do đó, các giám đốc điều hành phải xem xét kỹ lưỡng thực tế của tình huống bị ransomware tấn công, bao gồm:

Thông thường, chỉ 65% dữ liệu được khôi phục, chỉ 8% các tổ chức cố để khôi phục tất cả dữ liệu của họ.

Các tệp được mã hóa thường không thể khôi phục được. Các chương giải mã do kẻ tấn công cung cấp có thể bị lỗi hoặc không thành công, khiến các tệp bị mất vĩnh viễn. Trong trường hợp đó, nhóm bảo mật CNTT của bạn có thể cần xây dựng một công cụ giải mã mới bằng cách trích xuất chìa khóa (key) từ công cụ mà kẻ tấn công cung cấp.

Việc khôi phục dữ liệu có thể mất nhiều tuần hoặc nhiều tháng, đặc biệt nếu một lượng lớn dữ liệu đã được mã hóa.

Không có gì đảm bảo rằng tin tặc sẽ xóa dữ liệu mà chúng đã đánh cắp. Thay vào đó, chúng có thể bán hoặc thậm chí tiết lộ thông tin nếu nó có giá trị.

Thực tế của ransomware

Đối với tội phạm mạng, ransomware là một mô hình kinh doanh bền vững và sinh lợi - và nó khiến mọi tổ chức sử dụng công nghệ gặp rủi ro. Thay vì khôi phục từ các bản sao lưu, trong hầu hết các trường hợp, việc chỉ cần trả tiền chuộc sẽ là cách giải quyết dễ dàng hơn và rẻ hơn. Tuy nhiên, mặt trái của cách tiếp cận đó các tổ chức tiếp tục hỗ trợ mô hình kinh doanh của những kẻ tấn công, và sẽ chỉ dẫn đến nhiều vụ tấn công bằng ransomware hơn.

Nói chung, các cơ quan thực thi pháp luật khuyên các công ty không nên trả tiền nhằm ngăn cản loại hình hoạt động tội phạm này. Trong nhiều trường hợp, trả tiền chuộc cho tội phạm mạng sẽ là bất hợp pháp, do hành vi đó càng tài trợ cho các hoạt động tội phạm.

Mới đây, Australia đã công bố kế hoạch hành động ransomware, trong đó, Bộ trưởng Bộ Nội vụ của Australia cho biết: “Bất kỳ khoản thanh toán tiền chuộc nào, dù nhỏ hay lớn, đều góp phần thúc đẩy mô hình kinh doanh ransomware, khiến những người dân Australia và các tổ chức khác gặp rủi ro. Việc trả tiền chuộc cũng không đảm bảo quyền truy cập vào các hệ thống bị khóa hoặc đảm bảo an toàn cho dữ liệu nhạy cảm và có thể khiến nạn nhân tiếp tục lặp lại các cuộc tấn công. Chúng tôi cần đảm bảo rằng Úc là mục tiêu không hấp dẫn đối với tội phạm mạng và Australia không phải là miền đất hứa để chúng hoạt động”.

Trước khi tương tác hoặc đàm phán với những kẻ tấn công, cách tiếp cận tốt nhất là tham khảo ý kiến của cơ quan thực thi pháp luật, nhóm ứng phó sự cố chuyên nghiệp và các cơ quan quản lý.

Cần chuẩn bị ngay bây giờ

Không có cách nào ngăn chặn các cuộc tấn công ransomware xảy ra. Do đó, cách tiếp cận tốt nhất là giả định một lúc nào đó bạn sẽ là nạn nhân và thiết lập một khuôn khổ, kế hoạch khả thi để đảm bảo phản ứng nhanh chóng và hiệu quả.

Điều này sẽ bao gồm việc có các kịch bản mô phỏng và các bài tập về những gì sẽ xảy ra khi một cuộc tấn công bất ngờ ập đến và những cách ứng phó tốt nhất. Một số tổ chức đã thấy các kịch bản thực hành này hữu ích như thế nào, và nhấn mạnh sự cần thiết phải chuẩn bị trước cho những trường hợp này.

Ngoài ra, các tổ chức cần củng cố các bản sao lưu và kiểm tra khôi phục cho tất cả các hoạt động kinh doanh thiết yếu. Nếu các bản sao lưu hoạt động, chi phí khôi phục có thể sẽ luôn thấp hơn việc trả tiền chuộc cho một kết quả không chắc chắn.

Đáng tiếc, hầu hết các công ty không thường xuyên kiểm tra khả năng khôi phục của dữ liệu cho đến khi họ bị tấn công bằng ransomware, và lúc này đã quá muộn.

Hơn nữa, các giám đốc điều hành doanh nghiệp càng hiểu rõ và nhận thức được rủi ro, thì họ càng chuẩn bị tốt hơn để đưa ra quyết định có cơ sở và hợp lý hóa khi đối mặt với tình huống bị đe dọa.

Tiếp cận các vấn đề về ransomware cũng như một quyết định kinh doanh. Nếu vấn đề có thể thấy rõ trong toàn tổ chức và tất cả nhân viên đều được đào tạo để giải quyết, thì sai sót sẽ ít xảy ra hơn nếu bạn gặp sự cố./.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Có nên trả tiền chuộc nếu bị tấn công ransomware?
POWERED BY ONECMS - A PRODUCT OF NEKO