Vụ tấn công vào hệ thống máy tính của Sony xảy ra trước ngày lễ Tạ ơn, gây mất dữ liệu nhân viên, các email tranh cãi giữa các nhà quản lý cao cấp, thông tin nội bộ về chiến lược của công ty và những bộ phim đang chuẩn bị phát hành đã trở thành sự kiện tồi tệ nhất về mất an toàn thông tin trong lịch sử công ty.
Điểm đặc biệt đầu tiên là ở tính chất phức tạp của cuộc tấn công. Theo Joseph M. Demarest Jr., trợ lý giám đốc đơn vị an ninh mạng của FBI, nhóm tin tặc có tên Những người gìn giữ Hòa bình (the Guardians of Peace) tuyên bố nhận trách nhiệm đã thực hiện vụ tấn công (chứ không phải Triều Tiên). Mã độc được sử dụng phức tạp đến mức“có thể qua mặt 90% hệ thống phòng vệ mạng hiện nay trong tất cả các tổ chức, doanh nghiệp tư nhân và thách thức hệ thống của các cơ quan chính quyền bang”.
Thứ hai, dữ liệu mà Sony bị rò rỉ cũng khác biệt ở chỗ mã độc thuộc loại “wiper” (xóa sạch) nghĩa là ngoài việc lấy cắp dữ liệu, nó còn xóa hết tài liệu hủy hoại máy tính, khiến cho việc phục hồi dữ liệu trở nên cực kỳ khó khăn. Bởi vậy, các chuyên gia cho rằng đây là cuộc tấn công được tài trợ ở tầm quốc gia và như tờ Thời báo tài chính chỉ ra, Triều Tiên bị cho là thuộc diện tình nghi hàng đầu khi Sony có kế hoạch công chiếu bộ phim “The Interview” với nội dung đang bị Triều Tiên phản đối.
Nhưng điều thực sự khiến cho cuộc tấn công này khác biệt hẳn so với những vụ tấn công khác là nó không chỉ làm tiết lộ những thông tin nhạy cảm của doanh nghiệp mà còn có xâm hại tới nhân viên của Sony. Jules Polonetsky, giám đốc điều hành của Diễn đàn về tương lai của quyền riêng tư nói với tờ Bưu điện Washington: “Tin tặc thích lấy cắp thông tin doanh nghiệp nhưng tấn công bừa bãi cả vào nhân viên trên diện rộng đã mở ra một mặt trận mới đối với doanh nghiệp trong trận chiến gián điệp mạng”.
Không giống với ngân hàng và các doanh nghiệp bán lẻ biết rõ họ đang lưu giữ những dữ liệu nhạy cảm, là đối tượng “nhòm ngó” của tin tặc nên có các kế hoạch phòng ngừa để hạn chế thiệt hại, các doanh nghiệp như Sony ít được trang bị hơn các phương án khắc phục hậu quả tấn công vào nhân viên của mình.
Do những sự khác biệt này, vụ tấn công Sony đã thúc đẩy hoạt động của các chuyên gia tư vấn cho những người “gác cổng” vấn đề bảo đảm an toàn thông tin cho doanh nghiệp. Bước đầu tiên là bảo vệ chống trộm dữ liệu danh tính (identity theft protection). Một nghiên cứu gần đây của Viện Ponemon về tâm lý khách hàng đã khảo sát 797 người cho biết, khoảng 400 người nói rằng họ là nạn nhân của lộ lọt dữ liệu. Hầu hết những người trả lời cảm thấy các công ty phải cung cấp dịch vụ bảo vệ chống trộm dữ liệu danh tính (63%), tiếp theo là dịch vụ giám sát dữ liệu tín dụng. Bước thứ hai là sử dụng truyền thông nội bộ doanh nghiệp để nhấn mạnh tầm quan trọng của việc tạo ra văn hóa an toàn thông tin. Theo tác giả Peterson của tờ Bưu điện Washington, công ty Sony đã không thực hiện các quy tắc thực hành an toàn thông tin tốt nhất, bao gồm cả việc mật mã các tập tin chuyên lưu giữ mật khẩu. Một cựu nhân viên Sony thậm chí còn đi xa hơn khi nói rằng đội bảo đảm an toàn thông tin của Sony là “hoàn toàn khôi hài” (a complete joke). Anh ta kể lại chuyện về mạng TV số Fusion: các báo cáo về việc vi phạm các quy tắc an toàn thông tin nhiều lần bị lờ đi. Tài liệu nội bộ rò rỉ đã tiết lộ rằng, nhóm an toàn thông tin của Sony chỉ có 11 người.
Cuối cùng là việc phải đối mặt với sự thật là công ty của bạn sẽ bị tấn công, ngay bây giờ. Theo nhà nghiên cứu của Heidi Shey của Forrester Research, việc nhận thức được rằng bạn có thể bị lộ lọt dữ liệu và chuẩn bị sẵn sàng đối phó với điều này là phần quan trọng sống còn trong khả năng giảm nhẹ thiệt hại. Ở mức cơ bản nhất, hãy bắt đầu với việc lưu trữ các tài sản dữ liệu và đánh giá giá trị của chúng. Tiếp theo, việc đánh giá kế hoạch phản ứng với lộ lọt dữ liệu của công ty cần phải quy đổi về ước lượng thiệt hại tài chính nếu phải xóa bỏ toàn bộ hậu quả của vụ lộ lọt.
Vậy sau vụ tấn công Sony, cuối cùng thì các công ty có thể rút ra được bài học kinh nghiệm gì? Một số chuyên gia an toàn thông tin như Kurt Baumgartner của phòng thí nghiệm Kaspersky đã trả lời tờ Bưu điện Washington: “Tôi nghĩ là sẽ cần có thêm những vụ kiện tụng và thiệt hại tài chính nhiều hơn nữa thì các công ty mới thực sự coi trọng vấn đề này”. Nhưng có lẽ bây giờ là thời điểm cần chứng minh rằng chuyên gia này đã sai.
Lời tư vấn nhỏ cuối cùng dành cho các doanh nhân? Khi bạn có điều gì đó không tiện nói thẳng ra, hãy đừng gửi qua emai!
(Theo Techtarget.com)
