Vào tháng bảy năm ngoái, trên một diễn đàn của giới tin tặc, một tài khoản đã rao bán 30 triệu dữ liệu người Việt - tương đương 1/3 dân số Việt Nam. Để tăng độ tin tưởng, tin tặc đã công khai một phần nhỏ dữ liệu bao gồm tên, số điện thoại, địa chỉ email, nơi làm việc… Và đáng lo ngại là các thông tin này đều chính xác - nhiều người nhận ra thông tin của mình bị lộ đã không khỏi lo lắng trước nguy cơ kẻ xấu có thể lợi dụng chúng để spam quảng cáo hoặc lừa đảo. Dù chưa biết phần dữ liệu còn lại như thế nào, song “nếu là thật, đây sẽ là một trong những vụ rò rỉ dữ liệu lớn nhất ở nước ta từ trước đến nay”, chuyên gia bảo mật Ngô Minh Hiếu nhận định.
Đây là một trong nhiều vụ việc cho thấy tình trạng rò rỉ cũng như mua bán dữ liệu bất hợp pháp ở Việt Nam ngày càng gia tăng về số lượng và mức độ nghiêm trọng. Chỉ trong ba tháng đầu năm nay, hệ thống của Viettel đã ghi nhận 10 vụ rò rỉ dữ liệu ở quy mô lớn, trong đó có nhiều mã nguồn và dữ liệu khách hàng của các công ty công nghệ, đơn vị bán lẻ và nhiều đại học lớn ở Việt Nam. Theo thống kê của Bộ Công an, trong hai năm vừa qua, lực lượng chức năng đã khởi tố năm vụ mua bán dữ liệu với dung lượng lên tới hàng nghìn GB, chứa hàng tỷ thông tin cá nhân như họ tên, ngày sinh, số CMND/CCCD, số điện thoại, địa chỉ hoặc danh sách nhân viên, vị trí công tác tại các doanh nghiệp, tổ chức.
Việc bị lộ các dữ liệu nhạy cảm có thể dẫn đến nhiều hệ lụy, tiêu biểu nhất là các vụ lừa đảo giả mạo xảy ra ngày càng nhiều trong thời gian gần đây. Nhờ nắm rõ thông tin cá nhân của nạn nhân, những kẻ lừa đảo dựng lên những cái bẫy tinh vi khiến nạn nhân dễ dàng bị lừa. Mức độ thiệt hại còn lớn hơn nhiều ở cấp độ tổ chức, chẳng hạn dữ liệu khách hàng, thông tin về kế hoạch kinh doanh, bí quyết công nghệ, sản phẩm mới… có thể trở thành “tử huyệt” của doanh nghiệp nếu bị công khai hoặc rơi vào tay đối thủ.
Mối đe dọa từ bên trongKhi truy tìm nguồn gốc của các vụ rò rỉ dữ liệu, có lẽ hầu hết mọi người đều nghĩ thủ phạm là những tin tặc từ bên ngoài tấn công vào hệ thống thông tin, lợi dụng lỗ hổng để đánh cắp dữ liệu. Song theo các chuyên gia, nhân viên trong nội bộ mới là yếu tố chính trong các vụ rò rỉ dữ liệu của tổ chức. Theo thống kê của Egress Software Technologies năm 2021, 84% vụ rò rỉ dữ liệu của các doanh nghiệp bắt nguồn từ lỗi của con người, chẳng như nhân viên không tuân thủ quy định bảo mật, nhân viên bất mãn với công ty nên cài cắm backdoor (cửa hậu) để tấn công.
Các tổ chức ở Việt Nam cũng có chung mối lo này. Theo khảo sát của Chi hội An toàn thông tin phía Nam (VNISA) vào năm 2018, các doanh nghiệp khu vực phía Nam đánh giá nguy cơ an ninh mạng cao nhất đến từ các nhân viên cũ của công ty (34%) và các nhân viên đang làm việc (21%). “Trong các trường hợp doanh nghiệp bị dính ransomware (phần mềm độc hại), sau khi chúng tôi xử lý, điều tra truy vết và phát hiện hầu hết bắt nguồn từ nội bộ, có thể nhân viên trong tổ chức vô ý download hoặc nhấn vào đường link có cài mã độc, gây ra lỗ hổng cho hệ thống thông tin của tổ chức”, ông Nguyễn Minh Thành, chuyên gia phát triển sản phẩm hợp tác Viettel IDC, chia sẻ trong một tọa đàm về bảo vệ dữ liệu vào tháng 6/2023.
Dù bất cứ nhân viên nào cũng có thể làm lộ dữ liệu, song theo các chuyên gia, doanh nghiệp nên quan tâm nhiều hơn đến những nhóm có nguy cơ cao như nhân viên phát triển phần mềm (trong nội bộ hoặc ở phía đối tác), những người có đặc quyền truy cập (quản trị hệ thống/công nghệ thông tin), những người có ý định nghỉ, hoặc người thường xuyên tương tác với bên ngoài (bộ phận nhân sự/kinh doanh) - dễ bị phishing (tấn công giả mạo). “Chúng ta cần xác định các loại dữ liệu quan trọng nhất với tổ chức, sau đó ưu tiên giám sát những nhóm đối tượng thường xuyên tương tác với các dữ liệu này. Nếu triển khai dàn trải sẽ tốn nhiều nguồn lực và làm giảm hiệu quả”, ông Đinh Văn Kiệt, Giám đốc Trung tâm sản phẩm mới Viettel Cyber Security cho biết.
Để ngăn chặn lỗi vô ý của nhân viên, giải pháp quan trọng nhất là nâng cao nhận thức về an toàn thông tin. “Con người luôn là đối tượng trọng tâm trong bảo mật thông tin. Họ là nhân tổ chủ động điều chỉnh hành vi, phát hiện, ngăn chặn và làm giảm rủi ro lộ lọt dữ liệu của tổ chức”, ông Nguyễn Minh Thành nhận xét. “Tôi nghĩ nhận thức chiếm khoảng 70% trong vấn đề bảo đảm an toàn thông tin. Do vậy, việc đào tạo về chính sách, kiến thức, tuân thủ an toàn thông tin là yêu cầu bắt buộc với doanh nghiệp”.
Câu chuyện trở nên phức tạp hơn nhiều trong trường hợp nhân viên cố ý đánh cắp dữ liệu. Để khoanh vùng nhóm có nguy cơ cao, nhà quản lý cần tìm hiểu nguồn gốc thúc đẩy hành vi này. Chẳng hạn, một số nhân viên gặp vấn đề tài chính có thể muốn tìm nguồn thu bằng cách bán dữ liệu của công ty. Hoặc các tổ chức tội phạm, cơ quan gián điệp, công ty đối thủ có thể thuê nhân viên làm nội gián. Ngoài ra, nhân viên bị đối xử bất công dẫn đến tâm lý bất mãn, nhân viên đứng trước nguy cơ sa thải cũng có thể nảy sinh tâm lý trả thù, gây ra rủi ro cho tổ chức. Tiêu biểu như vụ việc của Twitter, sau làn sóng cắt giảm nhân sự từ cuối năm 2022, cách đây vài tháng, một phần mã nguồn không nhỏ của Twitter đã bị rò rỉ và công khai trên nền tảng GitHub. Kết quả điều tra cho thấy, khả năng cao thủ phạm là một trong những nhân viên đã bị sa thải.
Quá trình đánh cắp dữ liệu thường diễn ra theo năm giai đoạn: reconnaissance (thăm dò), circumvention (lẩn tránh), aggregation (tập hợp), obfuscation (che giấu) và exfiltration (xuất dữ liệu). “Để chuẩn bị đánh cắp, các đối tượng sẽ nghiên cứu, mày mò, sử dụng các công cụ bypass hoặc scan network để tìm đường đánh cắp. Khi tìm được cách lẩn tránh các hệ thống bảo vệ, họ sẽ tập hợp các dữ liệu từ nhiều nguồn, chẳng hạn chuyển tệp dữ liệu vào một thư mục hoặc nén tệp, tải xuống các tệp nhạy cảm từ cổng thông tin điện tử của công ty, hoặc tạo một lượng lớn tệp có đuôi zip, rar…, di chuyển nhiều tệp và thư mục. Sang bước thứ tư, đối tượng sẽ che đậy dấu vết để tránh bị phát hiện. Họ có thể sử dụng chế độ duyệt web riêng tư, đổi tên file extension, đổi tên tệp (từ tên nhạy cảm, dễ bị chú ý thành tên vô nghĩa), xóa file với số lượng bất thường, xóa lịch sử trình duyệt. Bước cuối cùng là xuất dữ liệu, có thể qua các kênh như cắm USB và sao chép tệp, hoặc tải file lên các trang web, gửi qua email hoặc các ứng dụng nhắn tin…”, ông Đinh Văn Kiệt giải thích.
Phát hiện sớm các dấu hiệuGiải pháp bảo vệ dữ liệu phổ biến nhất được áp dụng tại các doanh nghiệp hiện nay là DLP (Data Loss Prevention) - giải pháp phòng chống thất thoát dữ liệu. Đây là bộ giải pháp được kết hợp giữa công cụ phần mềm và quy định nhằm giám sát và kiểm soát dữ liệu, phát hiện các vi phạm tiềm ẩn. Trong đó, chính sách DLP là các bộ quy tắc để phát hiện, báo cáo và chặn việc chuyển giao nội dung nhạy cảm. Khi phát hiện vi phạm chính sách, hệ thống sẽ kích hoạt cảnh báo, ngăn chặn chia sẻ dữ liệu qua email hoặc ứng dụng nhắn tin. Ba loại giải pháp DLP bao gồm endpoint, network và cloud. Các endpoint có ngăn chặn rò rỉ ở giai đoạn sớm nhất - khi người dùng cuối bắt đầu chuyển dữ liệu. Các network sẽ bảo vệ dữ liệu trong quá trình truyền tải qua email hay trang web, tuy nhiên, giải pháp này chỉ có thể bảo vệ dữ liệu khi máy tính được kết nối với mạng công ty và không thể ngăn truyền dữ liệu lên thiết bị cầm tay. Với cloud, các doanh nghiệp có thể giám sát dữ liệu trên bộ lưu trữ đám mây và email.
Tuy nhiên, giải pháp DLP chỉ giải quyết được giai đoạn cuối cùng là trích xuất dữ liệu. Nếu muốn kiểm soát rủi ro, chúng ta phải phát hiện các dấu hiệu từ sớm trước khi nó hình thành đến bước trích xuất dữ liệu ra ngoài. Theo các chuyên gia, đằng sau một vụ đánh cắp dữ liệu sẽ bao gồm nhiều hành vi bất thường, do vậy, doanh nghiệp cần tập trung vào những hành vi nhỏ nhất, chẳng hạn như nhân viên có hoạt động đăng nhập bất thường, sao chép, tải tệp dữ liệu với dung lượng lớn đáng ngờ, hoặc in tệp excel thay vì pdf như thông thường…
“Để phát hiện dấu hiệu đáng ngờ, chúng ta phải hồ sơ hóa hành vi của người đó theo lịch sử để khi có vấn đề, chúng ta sẽ so sánh với hồ sơ”, ông Đinh Văn Kiệt cho biết. “Một công cụ điều tra hiệu quả là screen recording (ghi màn hình), nhưng nó cũng có thể tạo ra cảm giác không tốt cho cán bộ nhân viên. Chúng ta nên cân nhắc áp dụng công cụ này cho từng nhóm người, tập trung vào một số hoạt động khai thác hệ thống theo quy trình, lặp lại, thay vì ghi hình các hành vi hàng ngày của nhân viên”.