Hầu hết các công ty sẽ không trả tiền chuộc cho tin tặc nếu phải công khai

Theo trang Techradar, hãng bảo mật Venafi đã tiến hành cuộc khảo sát 1.500 người có quyền ra các quyết định về vấn đề bảo mật CNTT, kết quả cho thấy hơn 1/3 (37%) sẽ trả tiền sau khi bị tấn công ransomware. Tuy nhiên, hơn một nửa (57%) thay đổi quyết định nếu họ phải khai báo công khai về khoản thanh toán.

Dù sao, Venafi lưu ý, có gần 1/4 (22%) cho biết việc trả tiền chuộc là "sai về mặt đạo đức". Trên thực tế, 2/3 (60%) tin rằng kiểu đe dọa này nên được ví như khủng bố.

Kevin Bocek tại Venafi cho biết: “Thực tế là hầu hết các chuyên gia bảo mật CNTT so sánh các vụ tấn công ransomware với khủng bố”.

“Thật không may, nghiên cứu của chúng tôi cho thấy mặc dù hầu hết các tổ chức rất quan tâm đến ransomware, nhưng họ lại sai lầm về khả năng ngăn chặn các cuộc tấn công tàn khốc này. Bởi vì, có quá nhiều tổ chức dựa vào các biện pháp kiểm soát bảo mật truyền thống như VPN và quét lỗ hổng bảo mật thay vì các biện pháp kiểm soát bảo mật hiện đại, như mã hóa, tích hợp vào các quy trình bảo mật và phát triển sản phẩm”.

Hơn 3/4 (77%) số người được hỏi tự tin rằng các công cụ được triển khai có thể giúp họ an toàn trước nguy cơ ransomware. Trong khi đó, số liệu cho thấy có đến 2/3 (67%) các công ty có hơn 500 nhân viên bị tấn công bằng ransomware trong 12 tháng qua.

Cuối cùng, nghiên cứu tuyên bố hầu hết các công ty không sử dụng các biện pháp kiểm soát bảo mật có khả năng ngăn chặn ransomware sớm trong chu kỳ tấn công. Mặc dù cho đến nay, lừa đảo qua email là kênh phân phối phần mềm độc hại lớn nhất, nhưng chỉ có 21% các công ty có quy định thực thi các giải pháp an toàn bảo mật.

Techradar cho biết nghiên cứu này được đưa ra khi Thượng viện Mỹ cố gắng hoàn thiện Ransomware Disclosure Act, đạo luật yêu cầu các công ty phải báo cáo về mọi khoản tiền chuộc đã trả cho tin tặc trong vòng 48 giờ.

Thượng nghị sĩ Elizabeth Warren cho biết dự luật có hai mục tiêu chính. Đầu tiên là giúp chính phủ Mỹ tìm hiểu cách thức hoạt động của các băng đảng ransomware. Tiếp theo, dự luật sẽ nâng cao kiến thức của họ về mối đe dọa ransomware lớn hơn.

Đặc biệt, nếu dự luật được thông qua, các tổ chức, công ty trả tiền chuộc cho tin tặc sẽ phải cung cấp thông tin chi tiết cho chính phủ trong vòng 48 giờ, bao gồm ngày mà nạn nhân nhận được yêu cầu nộp tiền chuộc, ngày mà họ thực hiện yêu cầu đó, số tiền được trả và trả bằng loại tiền nào.

Nếu được thông qua, Bộ An ninh Nội địa sẽ chịu trách nhiệm xóa thông tin nhận dạng khỏi các báo cáo thanh toán tiền chuộc. Các báo cáo về những giao dịch trả tiền chuộc sẽ được thống kê và các nhà chức trách Mỹ cũng sẽ tạo ra một trang web mà mọi người có thể báo cáo về các khoản thanh toán tiền chuộc.

Bộ An ninh Nội địa sẽ phân tích các hồ sơ thanh toán tiền chuộc và tìm ra các yếu tố phổ biến trong các vụ việc, chẳng hạn như việc tin tặc yêu cầu trả tiền chuộc bằng tiền điện tử. Sau đó, cơ quan chức năng sẽ đưa ra các khuyến nghị. Quá trình này được cho là sẽ giúp chính phủ Mỹ biết cách bảo vệ các hệ thống thông tin liên bang và tăng cường mức độ bảo mật./.