Có nên trả tiền chuộc nếu bị tấn công ransomware?
An toàn thông tin - Ngày đăng : 09:18, 22/11/2021
Trở thành nạn nhân của một cuộc tấn công bằng mã độc tống tiền (ransomware) và bị đe dọa đòi tiền chuộc sẽ không bao giờ là một tình huống … xa lạ trong thời đại các vụ tấn công đang ngày càng gia tăng. Bạn sẽ bị buộc phải thực hiện một việc đầy thách thức, thường xuyên phải chịu áp lực cao và thời gian quyết định có hạn. Trong những tình huống như thế này, bạn phải làm gì và nên chuẩn bị như thế nào?
Bất chấp việc FBI và Bộ An ninh Nội địa (DHS) cảnh báo các công ty không nên trả tiền chuộc, Colonial Pipeline đã trả cho tin tặc 4,4 triệu USD tiền chuộc trong năm nay để có một công cụ giải mã phục hồi hoạt động khai thác dầu mỏ. Quyết định này vô cùng gây tranh cãi và Giám đốc điều hành của công ty sau đó đã được đưa ra trước Quốc hội Mỹ để làm chứng rằng những tác động gây suy yếu đến nguồn cung cấp nhiên liệu của đất nước là nguyên nhân dẫn đến quyết định “trả tiền chuộc” này.
Tình huống này, giống như nhiều trường hợp khác, gây ra một điểm đầy tranh cãi: Tổ chức của bạn sẽ xử lý như thế nào khi bị tấn công bằng ransomware? Bạn có nên trả tiền để lấy lại dữ liệu hoặc khôi phục hệ thống của mình không?
Lựa chọn có trả tiền chuộc hay không là một thách thức và một quyết định phải được đưa ra cẩn thận ở cấp hội đồng quản trị, không phải bởi các nhà lãnh đạo an ninh và rủi ro của công ty nữa - hiểu điều gì sẽ xảy ra nếu bạn trả tiền chuộc là chìa khóa để đưa ra quyết định đó.
Vì vậy, điều gì sẽ xảy ra nếu bạn trả tiền chuộc?
Theo giả thuyết, nếu một công ty đáp ứng khoản tiền chuộc và trả tiền, những kẻ tấn công sẽ cung cấp một công cụ giải mã và từ bỏ các mối đe dọa như công bố, “tung hê” những dữ liệu mà chúng đã đánh cắp. Tuy nhiên, thật không may, khoản thanh toán không đảm bảo rằng tất cả dữ liệu của bạn sẽ được khôi phục - những kẻ tấn công có thể chỉ cần lấy tiền rồi bỏ chạy. Do đó, các giám đốc điều hành phải xem xét kỹ lưỡng thực tế của tình huống bị ransomware tấn công, bao gồm:
Thông thường, chỉ 65% dữ liệu được khôi phục, chỉ 8% các tổ chức cố để khôi phục tất cả dữ liệu của họ.
Các tệp được mã hóa thường không thể khôi phục được. Các chương giải mã do kẻ tấn công cung cấp có thể bị lỗi hoặc không thành công, khiến các tệp bị mất vĩnh viễn. Trong trường hợp đó, nhóm bảo mật CNTT của bạn có thể cần xây dựng một công cụ giải mã mới bằng cách trích xuất chìa khóa (key) từ công cụ mà kẻ tấn công cung cấp.
Việc khôi phục dữ liệu có thể mất nhiều tuần hoặc nhiều tháng, đặc biệt nếu một lượng lớn dữ liệu đã được mã hóa.
Không có gì đảm bảo rằng tin tặc sẽ xóa dữ liệu mà chúng đã đánh cắp. Thay vào đó, chúng có thể bán hoặc thậm chí tiết lộ thông tin nếu nó có giá trị.
Thực tế của ransomware
Đối với tội phạm mạng, ransomware là một mô hình kinh doanh bền vững và sinh lợi - và nó khiến mọi tổ chức sử dụng công nghệ gặp rủi ro. Thay vì khôi phục từ các bản sao lưu, trong hầu hết các trường hợp, việc chỉ cần trả tiền chuộc sẽ là cách giải quyết dễ dàng hơn và rẻ hơn. Tuy nhiên, mặt trái của cách tiếp cận đó các tổ chức tiếp tục hỗ trợ mô hình kinh doanh của những kẻ tấn công, và sẽ chỉ dẫn đến nhiều vụ tấn công bằng ransomware hơn.
Nói chung, các cơ quan thực thi pháp luật khuyên các công ty không nên trả tiền nhằm ngăn cản loại hình hoạt động tội phạm này. Trong nhiều trường hợp, trả tiền chuộc cho tội phạm mạng sẽ là bất hợp pháp, do hành vi đó càng tài trợ cho các hoạt động tội phạm.
Mới đây, Australia đã công bố kế hoạch hành động ransomware, trong đó, Bộ trưởng Bộ Nội vụ của Australia cho biết: “Bất kỳ khoản thanh toán tiền chuộc nào, dù nhỏ hay lớn, đều góp phần thúc đẩy mô hình kinh doanh ransomware, khiến những người dân Australia và các tổ chức khác gặp rủi ro. Việc trả tiền chuộc cũng không đảm bảo quyền truy cập vào các hệ thống bị khóa hoặc đảm bảo an toàn cho dữ liệu nhạy cảm và có thể khiến nạn nhân tiếp tục lặp lại các cuộc tấn công. Chúng tôi cần đảm bảo rằng Úc là mục tiêu không hấp dẫn đối với tội phạm mạng và Australia không phải là miền đất hứa để chúng hoạt động”.
Trước khi tương tác hoặc đàm phán với những kẻ tấn công, cách tiếp cận tốt nhất là tham khảo ý kiến của cơ quan thực thi pháp luật, nhóm ứng phó sự cố chuyên nghiệp và các cơ quan quản lý.
Cần chuẩn bị ngay bây giờ
Không có cách nào ngăn chặn các cuộc tấn công ransomware xảy ra. Do đó, cách tiếp cận tốt nhất là giả định một lúc nào đó bạn sẽ là nạn nhân và thiết lập một khuôn khổ, kế hoạch khả thi để đảm bảo phản ứng nhanh chóng và hiệu quả.
Điều này sẽ bao gồm việc có các kịch bản mô phỏng và các bài tập về những gì sẽ xảy ra khi một cuộc tấn công bất ngờ ập đến và những cách ứng phó tốt nhất. Một số tổ chức đã thấy các kịch bản thực hành này hữu ích như thế nào, và nhấn mạnh sự cần thiết phải chuẩn bị trước cho những trường hợp này.
Ngoài ra, các tổ chức cần củng cố các bản sao lưu và kiểm tra khôi phục cho tất cả các hoạt động kinh doanh thiết yếu. Nếu các bản sao lưu hoạt động, chi phí khôi phục có thể sẽ luôn thấp hơn việc trả tiền chuộc cho một kết quả không chắc chắn.
Đáng tiếc, hầu hết các công ty không thường xuyên kiểm tra khả năng khôi phục của dữ liệu cho đến khi họ bị tấn công bằng ransomware, và lúc này đã quá muộn.
Hơn nữa, các giám đốc điều hành doanh nghiệp càng hiểu rõ và nhận thức được rủi ro, thì họ càng chuẩn bị tốt hơn để đưa ra quyết định có cơ sở và hợp lý hóa khi đối mặt với tình huống bị đe dọa.
Tiếp cận các vấn đề về ransomware cũng như một quyết định kinh doanh. Nếu vấn đề có thể thấy rõ trong toàn tổ chức và tất cả nhân viên đều được đào tạo để giải quyết, thì sai sót sẽ ít xảy ra hơn nếu bạn gặp sự cố./.