Bộ Thông tin và Truyền thông MINISTRY OF INFORMATION AND COMMUNICATIONS

Ransomware và bảo hiểm không gian mạng

Các tổ chức đang ngày càng gia tăng lựa chọn biện pháp bảo hiểm không gian mạng và trả phí cao hơn theo từng năm.

Các sự kiện ransromware "đình đám" mới đây như các cuộc tấn công vào đường ống dẫn nhiên liệu Colonial Pipeline và Kaseya tiếp tục tạo ra các chủ đề thu hút sự chú ý tới việc một nhóm tội phạm mạng có thể làm tê liệt cơ sở hạ tầng, các bệnh viện và trường học. Các cuộc tấn công ransomware tăng 150% trong năm 2020 và không có dấu hiệu nào cho thấy mọi thứ sẽ được cải thiện vào năm 2021.

Vì những lý do này và nhiều lý do khác nữa mà các tổ chức đang ngày càng gia tăng lựa chọn biện pháp bảo hiểm không gian mạng và trả phí cao hơn theo từng năm. Theo Văn phòng Kiểm định Chính phủ Hoa Kỳ (US Government Accountability Office - GAO), số lượng các công ty lựa chọn bảo hiểm an ninh mạng đã tăng từ 26% năm 2016 lên 47% năm 2020 và chi phí cho bảo hiểm vi phạm tăng 30%.

Với các khoản đầu tư rõ ràng về tài chính, đã đến lúc những người đứng đầu về bảo mật hiểu được các rủi ro trước khi bổ sung thêm biện pháp bảo hiểm mạng cũng như chiến lược khôi phục và ngăn chặn ransomware.

Xâm phạm thành công tạo ra nhiều cuộc tấn công hơn

Ransomware thường xâm nhập vào công ty thông qua một cuộc tấn công giả mạo (phishing) hoặc xâm phạm hệ thống có lỗ hổng dễ bị tấn công được triển khai trên lớp bảo vệ (primeter) của mạng. Từ đó, sự lây nhiễm được lan rộng thông qua những khai thác hoặc chia sẻ mở, mã hóa dữ liệu quan trọng khi nó lưu chuyển giữa các máy sau đó bọn tội phạm giữ lại khóa mã hóa và đe dọa công bố dữ liệu nếu người dùng không trả tiền chuộc.

Nhiều kẻ tấn công là một phần của các nhóm rất tinh vi và có tổ chức, chúng thường cung cấp hướng dẫn từng bước cho công ty mục tiêu chuyển tiền điện tử, đôi khi lên đến hàng trăm nghìn hoặc trăm triệu USD. Đáng buồn thay, khi phải đối mặt với thời gian chết (downtime) tốn kém hoặc những ảnh hưởng sau cùng của nguy cơ dữ liệu nhạy cảm bị công khai, cuối cùng một số công ty vẫn phải đáp ứng các đòi hỏi của những kẻ tấn công. Đổi lại, việc trả tiền chuộc sẽ thúc đẩy nhiều cuộc tấn công hơn, kéo dài chu kỳ của tội phạm mạng.

Điều quan trọng cần lưu ý là trong một số trường hợp đặc biệt, bảo hiểm an ninh mạng lại thúc đẩy các cuộc tấn công hơn là bảo vệ. Đăc biệt là khi cơ quan thực thi pháp luật Hoa Kỳ thường chỉ khuyến khích các công ty không nên trả tiền chuộc mà vẫn chưa có các quy định cấm hoàn toàn việc trả các khoản tiền chuộc như vậy (mặc dù các quy định của văn phòng kiểm soát tài sản nước ngoài của Mỹ (OFAC) cấm các công ty Hoa Kỳ trả tiền nếu họ nghi ngờ những kẻ tấn công đang chịu chương trình trừng phạt liên quan đến không gian mạng).

Nên mời chuyên gia

Hầu hết các tổ chức không thể trang bị kỹ năng xử lý một cuộc tấn công ransomware một cách bài bản nếu không có sự trợ giúp của chuyên gia. Do đó họ cần gọi ngay một chuyên gia tư vấn bảo mật có uy tín, có kinh nghiệm để khắc phục sự cố ransoware. Các chuyên gia này thường có thể tìm ra các lỗ hổng trong chính ransomware hoặc khôi phục các khóa để giải mã dữ liệu mà không cần phải trả tiền chuộc.

Điều này đòi hỏi các chuyên gia phải có kiến thức và kinh nghiệm cụ thể, có chuyên môn về kỹ thuật đảo ngược phần mềm và phân tích vi phạm. Các chuyên gia này, cả nội bộ và bên ngoài cần được xác định trong chính sách cua công ty cùng với các bước mà nhóm sẽ thực hiện khi vi phạm được xác định.

Ngoài việc kêu gọi các chuyên gia an ninh mạng, các tổ chức có chính sách bảo hiểm không gian mạng phải hiểu về các nhà cung cấp ở một tiêu chuẩn rất cao. Để hiểu lược đồ rủi ro của khách hàng, các nhà cung cấp bảo hiểm không gian mạng yêu cầu họ điền vào những tài liệu quản lý rủi ro của bên thứ ba rất chi tiết, liệt kê tất cả các biện pháp kiểm soát bảo mật của họ và cách mà họ kiểm tra các biện pháp kiểm soát này.

Đổi lại, các tổ chức khách hàng cần thực hiện một mức kiểm tra tương đối với phía nhà cung cấp. Điều này là do các tài liệu quản lý rủi ro, nếu không khóa đúng cách nó sẽ đóng vai trò như một bản đồ kho báu về cách tìm ra lỗ hổng và điểm yếu trong các biện pháp kiểm soát bảo mật của tổ chức. Các tài liệu quản lý rủi ro của bên thứ ba này nên được coi là tài sản trí tuệ cực kỳ nhạy cảm và các tổ chức cần lưu ý rằng, công ty bảo hiểm tiềm năng của họ có thể trở thành một xu hướng đe dọa khác.

Các tin tặc và các nhóm ransomware có thể nhắm mục tiêu vào các công ty bảo hiểm mạng để lấy tài liệu khách hàng có bảo hiểm và sau đó nhắm đến các tổ chức đó vì có nhiều khả năng họ sẽ trả tiền chuộc.

Ví dụ, công ty bảo hiểm AXA của Pháp đã đưa ra thông báo dừng việc trả tiền cho những khách hàng ở Pháp đã trả tiền chuộc sau khi họ bị tấn công ransomware. Quyết định được đưa ra sau khi AXA bị áp lực từ các cơ quản quản lý của Pháp do lo ngại rằng việc chi trả tiền bảo hiểm đang thúc đẩy các khoản thanh toán tiền chuộc cao hơn cho bọn tội phạm mạng. Điều này tạo ra một vòng luẩn quẩn. Vài ngày sau, nhóm ransomware Avaddon thông báo đã tấn công một bộ phận của AXA Group ở châu Á. Mặc dù không rõ liệu AXA có bị nhắm mục tiêu hay không, vì công ty đã cam kết dừng việc hoàn tiền cho các khách hàng, nhưng hầu hết các chuyên gia đều cho rằng động thái của AXA sẽ tạo tiền lệ.

Hiểu về trách nhiệm của các công ty bảo hiểm mạng

Các tổ chức nên hỏi các công ty bảo hiểm mạng những câu hỏi chính xác về quản lý rủi ro của bên thứ ba để đảm bảo rằng công ty bảo hiểm đó và mọi thông tin nhạy cảm về mạng của họ được an toàn. Các nhà cung cấp bảo hiểm cần trả lời chi tiết các câu hỏi về tình hình an ninh mạng của họ cũng như cách mà dữ liệu khách hàng được bảo vệ. Ngoài ra, các công ty bảo hiểm không gian mạng nên cung cấp tài liệu rõ ràng về các thông báo vi phạm và giải thích chi tiết cách họ có thể phát hiện một đẩy đủ một vi phạm tinh vi.

Trước khi chọn một chính sách, các tổ chức nên hỏi nhà cung cấp xem họ có hiểu biết cụ thể về ngành của tổ chức mình và những mối đe dọa tới doanh nghiệp hay không, cách mà hiện nay họ đang duy trì để đối phó với các mối đe dọa đang ngày càng phát triển, chi tiết cách mà họ bảo mật các tài liệu đánh giá rủi ro nội bộ và phản ứng nhanh như thế nào đối với các mối đe dọa. Thông tin chi tiết về những điều này sẽ giúp các công ty có được chính sách tốt nhất cũng như thiết lập các kỳ vọng nội bộ một cách chính xác.

Phòng ngừa và giảm thiểu rủi ro

May mắn thay, có một số điều thực tế mà một công ty có thể thực hiện để tránh hoặc giảm thiểu một cuộc tấn công ngay từ đầu:

- Đào tạo tất cả nhân viên về cách xác định và báo cáo lừa đảo cũng như các điểm yếu trong kiểm soát bảo mật.

- Triển khai khả năng hiển thị theo thời gian thực cho mọi thiết bị được kết nối trong tổ chức để hiểu được các rủi ro và được cảnh báo nếu phát hiện thiết bị hoặc kẻ tấn công không xác định trên mạng.

- Thiết lập và liên tục cập nhật các đường cơ sở về hoạt động bình thường của các thiết bị, bao gồm cả luồng thông tin liên lạc giữa các thiết bị.

- Tự động hóa các chính sách trên cơ sở hạ tầng mạng và bảo mật hiện có để xử lý nhanh thiết bị bị lây nhiễm hoặc thiết bị giao tiếp với máy chủ ransomware C2 thông qua các chính sách cách ly, tắt cổng hoặc chấm dứt phiên.

- Triển khai các công cụ sao lưu bảo mật có thể ngăn chặn hoặc giảm thiểu tác hại của một cuộc tấn công.

Điều quan trọng nhất mà một tổ chức có thể làm để ngăn chặn các cuộc tấn công ransomware là thực hiện các hoạt động giảm thiểu rủi ro một cách chủ động. Khi một khoản tiền chuộc có khả năng lên tới hàng triệu USD, chưa kể đến danh tiếng của công ty thì điều quan trọng là các chuyên gia bảo mật có kinh nghiệm nhất phải xử lý vấn đề càng nhanh càng tốt và tuân thủ kế hoạch khôi phục toàn diện và chiến lược sao lưu.

Bảo hiểm không gian mạng tại Việt Nam

Tại Việt Nam, mức độ rủi ro trong hoạt động kinh doanh trên các nền tảng mạng Internet hiện nay đang rất cao và có thể ảnh hưởng trực tiếp tới nhiều doanh nghiệp trên tất cả các lĩnh vực, ngành nghề. Từ đó cho thấy nhu cầu bảo hiểm rủi ro không gian mạng trong các năm sắp tới sẽ là rất lớn và tiềm năng để các hãng bảo hiểm phát triển lĩnh vực bảo hiểm dữ liệu, bảo hiểm rủi ro mạng cũng rất khả quan.

Hiện nay một số công ty bảo hiểm cũng bắt đầu tung ra các gói sản phẩm bảo hiểm rủi ro không gian mạng cho hệ thống máy tính, tài khoản ngân hàng và ví điện tử. Người mua bảo hiểm sẽ được bồi thường khi mất tiền trong tài khoản hoặc ví điện tử do người khác thực hiện trái phép. Đồng thời được bồi thường khoản tiền bị mất khi thanh toán trên thương mại điện tử hoặc bồi thường đối với khoản tiền phải trả khi bị tống tiền trên không gian mạng.

Tuy nhiên, giá bán các gói bảo hiểm không gian mạng cũng thường cao hơn so với các sản phẩm bảo hiểm khác vì phải cân đối khấu trừ các chi phí đầu tư công nghệ và nhân sự chất lượng cao chuyên trách… nên chưa thu hút được khách hàng tham gia./.