Khi người bảo vệ trở thành kẻ phản bội - đó chính là tình huống khiến giới an ninh mạng toàn cầu rúng động. Angelo Martino, một chuyên gia bảo mật tại Florida, đã thừa nhận tội hợp tác với băng nhóm tội phạm mạng BlackCat trong khi làm việc với vai trò đàm phán ransomware (mã độc tống tiền). Điều đáng lo ngại hơn: đây là người thứ ba trong cộng đồng chuyên gia bảo mật Mỹ bị phát hiện "quay lưng" với chính nghề nghiệp của mình. Vụ việc này không chỉ là cú sốc với ngành công nghiệp bảo mật mà còn đặt ra câu hỏi lớn về độ tin cậy của những người được giao nhiệm vụ bảo vệ dữ liệu quan trọng.

Khi "bác sĩ" hóa thành "virus"

Angelo Martino từng được tin tưởng với vai trò ransomware negotiator - những chuyên gia chuyên nghiệp giúp các nạn nhân đàm phán với hacker để giảm thiểu thiệt hại. Công việc này đòi hỏi sự hiểu biết sâu về cách thức hoạt động của các nhóm tội phạm mạng, quy trình mã hóa dữ liệu và chiến thuật tâm lý của tin tặc. Chính kiến thức chuyên môn này đã trở thành "vũ khí" mà Martino sử dụng để phục vụ cho mục đích ngược lại.

BlackCat (còn được gọi là ALPHV) là một trong những nhóm ransomware nguy hiểm nhất thế giới, hoạt động theo mô hình Ransomware-as-a-Service (RaaS - dịch vụ mã độc tống tiền). Nhóm này đã tấn công hàng trăm tổ chức trên toàn cầu, gây thiệt hại hàng tỷ USD. Việc một chuyên gia bảo mật "từ trong ra ngoài" hỗ trợ BlackCat có nghĩa là nhóm tội phạm này có được thông tin nội bộ cực kỳ giá trị về cách thức phòng thủ của các tổ chức.

Chuỗi phản bội gây chấn động ngành bảo mật

Martino không phải là trường hợp cá lệ. Theo thông tin từ cơ quan thực thi pháp luật Mỹ, đây là chuyên gia bảo mật thứ ba trong năm qua bị phát hiện hợp tác với các nhóm ransomware. Chúng tôi cho rằng đây là một xu hướng cực kỳ nguy hiểm, có thể biến thành "dịch bệnh" trong cộng đồng an ninh mạng nếu không được kiểm soát kịp thời. Những vụ việc trước đó bao gồm các chuyên gia từ các công ty bảo mật lớn, những người có quyền truy cập vào thông tin nhạy cảm về lỗ hổng bảo mật và chiến lược phòng thủ.

Điều đáng lo ngại nhất là những "kẻ phản bội" này không chỉ cung cấp thông tin mà còn trực tiếp tham gia vào việc lập kế hoạch tấn công. Họ hiểu rõ tâm lý của nạn nhân, biết cách tạo áp lực trong đàm phán và có thể dự đoán phản ứng của các tổ chức khi bị tấn công. Kiến thức "từ trong ra ngoài" này khiến các cuộc tấn công trở nên tinh vi và khó phòng thủ hơn rất nhiều.

Tác động sâu rộng đến lòng tin toàn cầu

Vụ việc Martino và các đồng nghiệp "sa ngã" đã tạo ra làn sóng hoài nghi trong toàn ngành. Các doanh nghiệp giờ đây phải đối mặt với câu hỏi khó: làm sao để tin tưởng những người được thuê để bảo vệ họ? Theo thống kê từ Cybersecurity Ventures, chi phí thiệt hại từ ransomware toàn cầu dự kiến sẽ đạt 265 tỷ USD vào năm 2031. Con số này có thể tăng đáng kể nếu tình trạng "nội gián" trong ngành bảo mật tiếp tục lan rộng.

Tại Việt Nam, mặc dù chưa ghi nhận trường hợp chuyên gia bảo mật hợp tác với tội phạm mạng, nhưng các doanh nghiệp cần rút ra bài học từ vụ việc này. Cục An toàn thông tin (Bộ TT&TT) đã ghi nhận hàng nghìn vụ tấn công ransomware nhắm vào các tổ chức Việt Nam trong năm 2024, với thiệt hại ước tính hàng trăm tỷ đồng.

Chiến lược bảo vệ trong thời đại "không thể tin ai"

Chúng tôi khuyến nghị các doanh nghiệp Việt Nam cần áp dụng nguyên tắc "Zero Trust" (không tin tưởng tuyệt đối) ngay cả với nhân viên bảo mật nội bộ. Cụ thể, cần thiết lập hệ thống kiểm soát truy cập phân tầng, trong đó không một cá nhân nào có quyền truy cập đầy đủ vào toàn bộ hệ thống bảo mật. Thực hiện kiểm tra lý lịch định kỳ đối với nhân viên IT và bảo mật, đặc biệt là những người có quyền truy cập cao.

Về mặt kỹ thuật, các tổ chức cần triển khai hệ thống giám sát hoạt động người dùng đặc quyền (Privileged User Activity Monitoring), tự động phát hiện các hành vi bất thường từ tài khoản có quyền hạn cao. Đồng thời, cần có chính sách backup dữ liệu "3-2-1" (3 bản sao, 2 phương tiện lưu trữ khác nhau, 1 bản offline) và thường xuyên kiểm tra tính khả dụng của dữ liệu sao lưu. Cuối cùng, tuyệt đối không nên dựa vào một nhà cung cấp dịch vụ bảo mật duy nhất, mà cần có kế hoạch đa dạng hóa với ít nhất 2-3 đối tác để giảm thiểu rủi ro.