Gần đây, một trong những loại mã độc này đã được sử dụng để tấn công một công ty lớn chuyên cung cấp các giải pháp bảo mật có trụ sở tại Dublin. Bằng việc tấn công công ty này, hacker đã phát tán mã độc tống tiền đến hàng trăm khách hàng của công ty trên toàn thế giới và yêu cầu mỗi công ty bị lây nhiễm phải nộp tiền chuộc từ 50 ngàn đến 5 triệu USD để được giải mã dữ liệu.
Đầu năm nay, một vụ tấn công khác nhắm vào một công ty cung cấp phần mềm tại Hoa Kỳ để xâm nhập vào chín cơ quan liên bang của quốc gia này, bao gồm Văn phòng Tổng thống, Bộ Ngân khố và Bộ Thương mại Hoa Kỳ.
Các cuộc tấn công này đều có chung một cách thức hoạt động; đó là chúng đều nhằm vào các công ty cung cấp phần mềm hoặc dịch vụ IT để chiếm quyền kiểm soát từ cửa sau trong hệ thống thông tin của các khách hàng, gây thiệt hại cho hàng ngàn hệ thống chỉ với một cuộc tấn công.
Đây có lẽ chính là cách “chuỗi cung ứng” được hình thành – từng cấu phần của chuỗi liên kết chặt chẽ với nhau. Do vậy, chỉ cần một cấu phần trong đó bị tác động lập tức sẽ tạo ra hiệu ứng domino.
Tấn công mạng nhắm vào chuỗi cung ứng ngành công nghệ thông tin và truyền thông (ICT) có xu hướng ngày càng gia tăng. Theo Đơn vị An ninh mạng chung của Liên Minh Châu Âu, tấn công mạng trong năm 2021 có thể tăng gấp bốn lần so với năm 2020 . Rủi ro càng được nhân lên khi lỗ hổng an toàn thông tin mạng hiện hữu trong tất cả các cấu phần của chu trình ngành ICT: từ khâu thiết kế, phát triển, sản xuất, phân phối, mua bán và sử dụng cho đến khâu bảo hành sản phẩm.
Thiệt hại do các cuộc tấn công này cũng sẽ tăng lên, tương quan với tính liên thông ngày càng tăng của các hệ thống thông tin của các tổ chức thuộc nhiều ngành nghề và quốc gia khác nhau. Theo kết quả của một cuộc khảo sát thực hiện bởi công ty Gartner vào năm 2019, tới 60% các tổ chức cho biết họ đang làm việc với hơn 1,000 đối tác bên thứ ba .
Khi đã xâm nhập thành công, tội phạm mạng có thể tự do thực hiện các hành vi gián điệp, trộm cắp dữ liệu và sở hữu trí tuệ hoặc tống tiền thông qua phát tán mã độc. Tấn công ransomware đang có xu hướng ngày càng gia tăng. Từ năm 2019 đến năm 2020, số lượng khách hàng của Kaspersky bị lây nhiễm mã độc ransomware gia tăng phi mã tới mức 767% . Mục tiêu thường bị nhắm tới là các tập đoàn lớn, các cơ quan chính phủ và chính quyền địa phương.
Các cuộc tấn công mạng nhằm vào các cơ quan chính phủ và doanh nghiệp thường gây ra những thiệt hại dễ nhận thấy, tuy nhiên các đối tượng khác không phải là ngoại lệ. Cuộc tấn công mạng vào một chuỗi cửa hàng cung ứng có thể làm tê liệt hoạt động của hàng loạt siêu thị, hoặc hàng triệu máy tính có thể bị lây nhiễm vi-rút chỉ qua một bản cập nhật phần mềm (ví dụ như vụ tấn công ShadowHammer3+1đã được Kaspersky nhanh chóng phát hiện và kịp thời ngăn chặn trong năm 2019 ). Ngoài ra, tấn công mạng nhằm vào các hệ thống cung cấp dịch vụ y tế và tiện ích công cộng có thể gây gián đoạn việc cung cấp các dịch vụ thiết yếu, gây ảnh hưởng trực tiếp đến cuộc sống thường ngày của người dân.
Nhận thức rõ những rủi ro và hậu quả của các cuộc tấn công mạng nhằm vào chuỗi cung ứng, một số quốc gia đã bắt đầu lên kế hoạch ứng phó. Kể từ năm 2020, các nước trong khu vực Châu Á – Thái Bình Dương như Xinh-ga-po, Ma-lai-xi-a, Ô-xtrây-li-a và Nhật Bản đã ban hành và cập nhật chiến lược an toàn thông tin mạng quốc gia. Những nước khác như Việt Nam, Ấn Độ và In-đô-nê-xi-a cũng sẽ sớm công bố chiến lược của mình và đồng thời lên kế hoạch chi tiết để triển khai.
Tuy nhiên, có rất nhiều bên liên quan trong việc tăng cường năng lực ứng phó linh hoạt của chuỗi cung ứng ICT do đòi hỏi phải có giải pháp phức hợp. Một số chính phủ đã hành động, chủ yếu tập trung bảo vệ chuỗi cung ứng ICT cho hạ tầng thông tin trọng yếu (CII), chẳng hạn như:
• Năm 2018, Bộ An ninh Nội địa Hoa Kỳ đã thành lập Lực lượng Quản lý Rủi ro Chuỗi Cung ứng ICT, một tổ chức hợp tác công tư với mục tiêu xây dựng đồng thuận trong các chiến lược quản lý rủi ro nhằm tăng cường an toàn thông tin cho chuỗi cung ứng ICT toàn cầu. Lực lượng này đã đưa ra hướng dẫn cho việc chia sẻ thông tin về rủi ro trong chuỗi cung ứng cũng như lưu ý về rủi ro cho khách hàng của dịch vụ quản trị (MSP).
• Trung tâm An ninh mạng Ô-xtrây-li-a cũng vừa ban hành hướng dẫn cho doanh nghiệp để xác định những rủi ro an ninh mạng liên quan tới chuỗi cung ứng và kiểm soát các rủi ro này.
• Cơ quan An ninh Mạng Xinh-ga-po thông báo sẽ sớm triển khai Chương trình Chuỗi cung ứng của hạ tầng thông tin trọng yếu (CII Supply Chain Programme) giúp các cơ quan hữu quan đảm bảo tuân thủ theo các tiêu chuẩn và thông lệ quốc tế về quản trị rủi ro trong chuỗi cung ứng.
Bản chất toàn cầu của chuỗi cung ứng ICT đòi hỏi phải có những biện pháp phối kết hợp ở mọi cấp độ để ứng phó quyết liệt hơn.
Trên phương diện quốc tế, các quốc gia và Tổ chức Quốc tế (như INTERPOL, Liên hợp Quốc, ASEAN, Europol) đã và đang tăng cường phối hợp và chia sẻ kinh nghiệm thực tiễn thông qua:
• Các kênh đa phương – Hiện nay, Nhóm chuyên gia liên chính phủ của Hội nghị Liên hợp quốc (LHQ) và Nhóm công tác mở rộng LHQ là các kênh hữu ích cho các quốc gia cùng nhau xây dựng các quy trình và quy chuẩn chung trên không gian mạng. Các hội nghị như Diễn đàn Quản trị Internet của LHQ tạo ra cơ hội cho chuyên gia các nước thảo luận chuyên sâu. Ví dụ như trong năm 2020, Kaspersky đã phối hợp với các đối tác để tổ chức một hội thảo chuyên đề tập trung bàn về nhu cầu và các phương pháp để tăng cường sự bảo đảm và minh bạch trong chuỗi cung ứng ICT toàn cầu.
• Hợp tác song phương – Các quốc gia trong khu vực bao gồm Việt Nam, Ấn Độ, Nhật Bản, Xinh-ga-po, Trung Quốc và Hàn Quốc đã ký các biên bản ghi nhớ về nhiều lĩnh vực an ninh mạng đánh dấu một bước tiến quan trọng không chỉ trong khu vực mà trên toàn thế giới.
Các kênh hợp tác nêu trên đóng vai trò hết sức quan trọng trong việc xây dựng sự đồng thuận, trao đổi kiến thức và kinh nghiệm cũng như hài hòa hóa các tiêu chuẩn. Tuy nhiên, trong thời gian tới cần có những thảo luận chuyên sâu về năng lực ứng phó linh hoạt của chuỗi cung ứng ICT bởi đây là vấn đề có sự liên đới của rất nhiều cơ quan hữu quan và có phạm vi ảnh hưởng trên toàn cầu.
Trên phương diện quốc gia, các chính phủ cần tiếp tục các nỗ lực nhằm thiết lập một cấp độ chung về an ninh mạng trong tất cả các ngành thông qua việc ban hành luật, nghị định, hướng dẫn, đồng thời tăng cường các hoạt động đào tạo và nâng cao nhận thức. Các quốc gia có thể tham khảo và cân nhắc áp dụng các giải pháp như những ví dụ đã nói ở trên.
Tính kết nối của chuỗi cung ứng ICT đòi hỏi các quốc gia cần thiết lập những nguyên tắc cốt lõi, ví dụ như nguyên tắc “bảo mật từ khâu thiết kế” (security-by-design), các tiêu chuẩn kỹ thuật và khuôn khổ pháp lý để đảm bảo tính thống nhất về cấp độ an toàn thông tin mạng và trách nhiệm giải trình của tất cả các bên liên quan. Bên cạnh đó, các công cụ tự đánh giá cũng nên được thiết lập và phổ biến để tạo điều kiện thuận lợi cho quá trình triển khai.
Trên phương diện cá nhân, tất cả mọi người đều có trách nhiệm cùng nhau bảo đảm an toàn thông tin mạng. Trong đó, các doanh nghiệp phát triển sản phẩm và quản trị hệ thống an toàn thông tin mạng cần đóng vai trò tiên phong.
Với công ty Kaspersky, chúng tôi tin rằng tính minh bạch trong các cấu phần nội tại và sự gắn kết giữa các chuỗi cung ứng phần mềm là cách tốt nhất để đảm bảo sự toàn vẹn và đáng tin cậy của cơ sở hạ tầng số của chúng tôi. Nguyên tắc này được Kaspersky cụ thể hóa bằng nhiều cách, trong đó có Sáng kiến Minh bạch Toàn cầu, nơi mà chúng tôi:
• Hoan nghênh các bên thứ 3 đánh giá mã nguồn của chúng tôi. Gần đây, chúng tôi tạo điều kiện cho đối tác và cộng đồng có thể dễ dàng tìm hiểu các sản phẩm của Kaspersky thông qua việc cung cấp hóa đơn nguyên vật liệu phần mềm (software bill of materials) – một danh sách mô tả các cấu phần, thông tin về các cấu phần và mối liên kết giữa chúng.
• Thực hiện tiết lộ có trách nhiệm về lỗ hổng bảo mật và trong nhiều trường hợp, cảnh báo các công ty IT về các lỗ hổng trong hệ thống của họ, từ đó có thể phòng tránh các cuộc tấn công nguy hiểm.
An toàn thông tin mạng là trách nhiệm của mỗi người bởi hệ thống thông tin mạng của chúng ta chỉ được củng cố khi các mắt xích yếu nhất của hệ thống được bảo vệ. Để có thể đi trước một bước đối với tội phạm mạng cần phải có cách tiếp cận toàn diện với sự tham gia của tất cả các bên liên quan. Chúng ta cần có tầm nhìn xa hơn, không thể chỉ phản ứng thụ động với các mối đe dọa mạng. Thay vào đó, xây dựng một chiến lược lâu dài là vô cùng cấp thiết để thiết kế hệ sinh thái an toàn thông tin mạng, bao gồm việc xây dựng một lộ trình phát triển nhân lực đáp ứng nhu cầu của các đội phản ứng nhanh an toàn thông tin mạng (CERT), nhóm phân tích điều tra số và bộ phận IT, đồng thời cần thiết kế các hệ thống thông tin trọng yếu theo nguyên tắc bảo mật từ khâu thiết kế.
Những ý tưởng trên có thể chưa đầy đủ, nhưng tôi hi vọng đây sẽ là xuất phát điểm để chúng ta có thể cùng nhau suy nghĩ và định hướng để tiếp tục phát triển.
Tags:
(VNF) - Dù AI ngày càng được ứng dụng rộng rãi trong ngành tài chính và phần lớn chuyên gia tự tin sử dụng công nghệ này. Tuy nhiên, càng sử dụng AI càng khiến các chuyên gia tài chính lo lắng nhiều hơn về nguy cơ mất việc.
(VNF) - Cột mốc lịch sử đưa gã khổng lồ chip nhớ Micron bước ra khỏi cái bóng Nvidia, thiết lập một định nghĩa hoàn toàn mới cho nhóm siêu cổ phiếu công nghệ.
(VNF) - Doanh nghiệp công nghệ Việt Nam đang bước sang giai đoạn phát triển mới, từ cung cấp phần mềm đơn lẻ sang kiến tạo hạ tầng vận hành số cho nền kinh tế.
(VNF) - Đà Nẵng kêu gọi đầu tư vào loạt dự án công nghệ cao, trung tâm dữ liệu, bán dẫn và đổi mới sáng tạo với quy mô lớn, trong đó có dự án Trung tâm dữ liệu quy mô cấp vùng tại xã Thăng Bình với định hướng xây dựng trung tâm dữ liệu khu vực châu Á.
(VNF) - Chuyên gia World Bank đưa ra lời cảnh báo về "bẫy công nghệ bề nổi" khi AI hiện diện khắp nơi nhưng chưa bám rễ vào nền kinh tế thực.
(VNF) - ‘Ngôi sao’ robot hình người Unitree đang thổi bùng làn sóng đầu cơ mới, khuấy đảo thị trường chứng khoán Trung Quốc.
(VNF) - Các chuyên gia cho rằng AI không nên được nhìn như một cuộc đua công nghệ thuần túy. Câu hỏi cần đặt ra trước tiên là AI được dùng để giải quyết vấn đề gì, phục vụ ai và tạo ra giá trị xã hội cụ thể ra sao.
(VNF) - Cơn sốt AI đang tạo ra những “gã khổng lồ” mới trên thị trường công nghệ toàn cầu và cái tên mới nhất gây chấn động giới tài chính là SK Hynix.
(VNF) - Hàng loạt tài khoản Instagram của các shop online và local brand tại Việt Nam bất ngờ bị checkpoint (khóa tạm thời) chỉ sau khi nhận tin nhắn từ người lạ đang khiến cộng đồng kinh doanh online hoang mang.
(VNF) - Huawei vừa công bố một hướng đi hoàn toàn mới cho tham vọng tự chủ bán dẫn, phát triển chip tiên tiến cho các thiết bị của hãng vào năm 2031.
(VNF) - Trong khi các đối thủ chi hàng trăm tỷ USD để xây dựng tương lai AI chưa rõ hình dạng, Apple lại chọn chiến lược thực dụng và ung dung hưởng lợi.
(VNF) - Không còn là 1 chatbot 'đãng trí' sau mỗi lần đóng cửa sổ, ChatGPT vừa được OpenAI cung cấp tính năng lưu trữ tài liệu vĩnh viễn. Người dùng miễn phí cũng được cấp dung lượng lưu trữ riêng.
(VNF) - Các nhà nghiên cứu Ả Rập Xê Út đã phát minh ra NESCOD, hệ thống làm mát không cần tới điện năng mà chạy bằng muối và ánh nắng, mở ra tương lai đầy hứa hẹn về các công nghệ làm mát thân thiện với môi trường.
(VNF) - Samsung Electronics vừa tránh được một cuộc khủng hoảng có thể khiến tập đoàn thiệt hại tới 20 tỷ USD và làm giá smartphone toàn cầu tăng vọt.
(VNF) - SpaceX đang tiến những bước cuối cùng trước khi công bố bản cáo bạch IPO được mong đợi bậc nhất trong lịch sử ngành công nghệ và hàng không vũ trụ.
(VNF) - Từ bạn hoá thù, Elon Musk và Sam Altman đang cho thấy sức nóng của cuộc chiến quyền lực khốc liệt nhất Thung lũng Silicon.
(VNF) - Dù Apple mới chỉ đưa dòng iPhone 17 lên kệ chưa lâu, những tin đồn xoay quanh iPhone 18 Pro Max đã bắt đầu khiến fan Táo khuyết “đứng ngồi không yên”.
(VNF) - Thương vụ IPO của SpaceX có thể tạo ra một “bong bóng đầu cơ” mới, với sức hút quá lớn của Elon Musk trên thị trường tài chính toàn cầu.
(VNF) - Theo PGS.TS. Phan Cao Thọ, Trường Đại học Sư phạm Kỹ thuật – Đại học Đà Nẵng, Đà Nẵng cần phát triển logistics thông minh có thể ứng dụng drone (máy bay không người lái) giao hàng trực tiếp đến các tòa nhà cao tầng, tối ưu dòng chảy hàng hóa trong các tuyến hẻm nhỏ
(VNF) - Theo bà Nguyễn Thị Hương Liên, Phó Chủ tịch Thường trực Hiệp hội Doanh nghiệp Khoa học và Công nghệ Việt Nam (VST), AI có thể giúp doanh nghiệp giảm từ 20-50% chi phí vận hành nhờ tối ưu quy trình, tăng tốc xử lý công việc và rút ngắn thời gian nghiên cứu phát triển.
(VNF) - Trong bối cảnh AI đang được xem là động lực tăng trưởng lớn, châu Á có thể là nơi đầu tiên cho thế giới thấy mặt trái của cuộc cách mạng công nghệ.
(VNF) - SpaceX của Elon Musk chuẩn bị đợt phát hành cổ phiếu lần đầu ra công chúng lớn nhất lịch sử thế giới, vượt xa IPO kỷ lục của Saudi Aramco năm 2019.
(VNF) - iPhone 18 Pro và iPhone 18 Pro Max được cho là sẽ tăng giá mạnh ngay cả khi Apple đang tận dụng lợi thế quy mô để giữ ưu thế trước Android.
(VNF) - Khi nhu cầu livestream, xem phim 4K và kết nối đa thiết bị tăng cao, một đường truyền mạng nhanh và ổn định trở thành yêu cầu bắt buộc. Nhà mạng đã có những bước đi đột phá về công nghệ nhằm thay đổi hoàn toàn trải nghiệm số của người dùng trong thời gian qua.
(VNF) - Trong khi các ông lớn công nghệ ồ ạt cắt giảm nhân sự, Apple vẫn đứng vững. Đâu là nguyên nhân Táo khuyết 'miễn nhiễm' với làn sóng sa thải?
(VNF) - Dù AI ngày càng được ứng dụng rộng rãi trong ngành tài chính và phần lớn chuyên gia tự tin sử dụng công nghệ này. Tuy nhiên, càng sử dụng AI càng khiến các chuyên gia tài chính lo lắng nhiều hơn về nguy cơ mất việc.
(VNF) - Bầu trời sông Hàn đã bùng nổ sắc màu trong đêm khai mạc Lễ hội Pháo hoa quốc tế Đà Nẵng với màn so tài của đội Đà Nẵng (Việt Nam) và đương kim vô địch Trung Quốc.
