Tại Tọa đàm "Phòng chống tấn công mã hóa dữ liệu tống tiền" do Hiệp hội An ninh mạng Quốc gia (NCA) và Câu lạc bộ nhà báo CNTT Việt Nam tổ chức chiều ngày 5/4, Trung tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng quốc gia (Cục A05, Bộ Công an) cho biết, tần suất tấn công mã hóa dữ liệu đang ngày càng dồn dập, gây thiệt hại cho tổ chức, doanh nghiệp ngày càng lớn.
Cụ thể, tháng 11/2023, một đơn vị trong lĩnh vực năng lượng đã bị tấn công và mã hóa toàn bộ khoảng 1.000 máy chủ; tháng 12/2023, một đơn vị trong ngành tài chính ngân hàng bị tin tặc nằm vùng rất lâu và thông thạo quy trình, gây thiệt hại gần 200 tỷ đồng.
Mới đây, tháng 3/2024, một đơn vị trung gian thanh toán, rồi VNDirect, PVOil và hai nhà cung cấp dịch vụ viễn thông bị tấn công ransomware. Đáng chú ý, các vụ tấn công mã độc tống tiền gây thiệt hại nghiêm trọng cho tổ chức, doanh nghiệp.
Nếu cách đây 2-3 năm, tin tặc tấn công đòi tiền chuộc với số tiền 40-50 tỷ đồng là rất lớn, thì gần đây, có những vụ đã lên tới 200 tỷ đồng. Thực tế cho thấy, tần suất tấn công mạng ngày càng dồn dập và nhằm vào các đơn vị có hệ thống trọng yếu.
"Trong tháng 3/2024, một đơn vị ở Việt Nam đã phải trả tiền chuộc để khôi phục hệ thống. Chúng tôi đã khuyến cáo điều này sẽ tạo tiền lệ xấu cho chính doanh nghiệp đó và doanh nghiệp khác trên thị trường. Pháp luật hiện chưa có quy định cụ thể về việc này, nên đó vẫn là lựa chọn của doanh nghiệp", ông Thủy chia sẻ.
Trao đổi thêm, ông Thủy cho hay, cũng đã có trường hợp doanh nghiệp bị tấn công mã hóa dữ liệu đòi tiền chuộc tại Việt Nam lấy lại được dữ liệu. Đó là một đơn vị trong lĩnh vực năng lượng ở TP.HCM. Sau khi phối hợp với cơ quan chức năng của Mỹ triệt phá được vào hạ tầng của nhóm hacker này, cảnh sát thu được key giải mã mà không cần trả tiền chuộc.
"Không phải đơn vị nào cũng may mắn như vậy. Ngoài ra, phải chuẩn bị phương án phục hồi như sao lưu backup. Nên lựa chọn chiến lược phù hợp với điều kiện, khả năng của mình. Một khi dữ liệu đã bị mã hóa, gần như không còn cơ hội giải mã dữ liệu mã hóa. Tỷ lệ phục hồi rất thấp, gần như bằng không, hoàn toàn phụ thuộc vào hạ tầng đã được thiết kế để có khả năng phục hồi trong các tình huống như vậy hay chưa", ông Thủy nói.
Theo khuyến cáo của vị chuyên gia này, khi doanh nghiệp phát hiện bị tấn công phải cách ly và ngay lập tức thông báo với cơ quan chức năng.
"Chúng tôi sẵn sàng giúp đỡ các tổ chức và điều phối các lực lượng: tại chỗ, nhà nước, đơn vị cung cấp dịch vụ an ninh mạng để xây dựng kế hoạch vừa khôi phục nhanh nhất có thể, vừa đảm bảo các yếu tố thu thập dấu vết điều tra tội phạm. Phải bảo vệ được dữ liệu chứng cứ để giúp ích cho chủ quản trong quá trình điều tra. Cần trao đổi ngay với cơ quan nhà nước và tuân thủ điều phối nói chung", ông Thủy khuyến nghị.