Bạn nghĩ mình đã an toàn khi có hợp đồng với công ty bảo mật uy tín? Thực tế cho thấy điều đó chỉ đảm bảo có người nghe máy khi khủng hoảng ập đến. Sự khác biệt giữa "có người trả lời" và "sẵn sàng hành động hiệu quả" quyết định thành bại trong những giờ đầu quan trọng nhất của một cuộc tấn công mạng. Chúng tôi nhận thấy hơn 80% doanh nghiệp Việt Nam đang mắc kẹt trong tư duy sai lầm này, khiến họ trở thành con mồi dễ dàng cho tin tặc.

Khi "có người nghe máy" không đủ để cứu doanh nghiệp

Incident Response Retainer - thuật ngữ chỉ hợp đồng ứng phó sự cố bảo mật - đã trở thành xu hướng phổ biến tại các doanh nghiệp Việt Nam những năm qua. Nhiều CEO tin rằng việc ký hợp đồng với đơn vị chuyên nghiệp sẽ đảm bảo an toàn cho hệ thống của mình. Tuy nhiên, thực tế vận hành lại cho thấy một bức tranh hoàn toàn khác.

Chúng tôi đã chứng kiến không ít trường hợp doanh nghiệp bị tấn công ransomware (mã độc mã hóa dữ liệu để tống tiền), gọi điện cho đơn vị bảo mật nhưng phải chờ đợi hàng giờ để được hỗ trợ thực sự. Trong khi đó, mã độc tiếp tục lan rộng, mã hóa toàn bộ hệ thống và khiến thiệt hại tăng theo cấp số nhân. Điều này xảy ra không phải do thiếu chuyên gia, mà do thiếu sự chuẩn bị vận hành từ phía doanh nghiệp.

Những "lỗ hổng vô hình" trong quy trình ứng phó

Operational readiness (sự chuẩn bị vận hành) là yếu tố quyết định hiệu quả của bất kỳ kế hoạch ứng phó sự cố nào. Đây không chỉ là việc có số điện thoại khẩn cấp, mà là toàn bộ hệ thống quy trình, công cụ và thông tin cần thiết để chuyên gia có thể bắt tay vào công việc ngay lập tức. Những khoảng trống vận hành thường gặp nhất mà chúng tôi quan sát được bao gồm việc thiếu sơ đồ mạng chi tiết, không có danh sách liên lạc cập nhật và đặc biệt là thiếu quyền truy cập khẩn cấp.

Tại Việt Nam, tình hình này còn phức tạp hơn do đặc thù về múi giờ và ngôn ngữ. Nhiều doanh nghiệp ký hợp đồng với các công ty bảo mật quốc tế nhưng lại không tính đến yếu tố thời gian phản hồi. Khi sự cố xảy ra vào ban đêm hoặc cuối tuần, việc liên lạc và điều phối trở nên khó khăn gấp nhiều lần. Chúng tôi cho rằng đây chính là một trong những nguyên nhân khiến thời gian ứng phó sự cố tại Việt Nam thường kéo dài hơn so với mức trung bình thế giới.

Cái giá đắt của những giờ đầu bị lãng phí

Theo thống kê từ Cục An toàn thông tin (Bộ TT&TT), Việt Nam ghi nhận trung bình 15.000 cuộc tấn công mạng mỗi ngày trong năm 2024. Trong số này, các vụ tấn công vào doanh nghiệp thường gây thiệt hại từ 500 triệu đến 50 tỷ đồng mỗi sự cố. Con số này có thể giảm đáng kể nếu thời gian phản ứng được rút ngắn từ vài giờ xuống còn vài phút.

Chúng tôi đã trao đổi với ông Nguyễn Minh Đức, Giám đốc một công ty fintech tại TP.HCM từng trải qua cuộc tấn công APT (Advanced Persistent Threat - tấn công dai dẳng có chủ đích). Theo ông Đức, dù đã có hợp đồng với đơn vị bảo mật quốc tế, nhưng do thiếu thông tin hệ thống chi tiết và quy trình phê duyệt phức tạp, đội ứng phó mất gần 6 giờ mới có thể bắt đầu công việc thực sự. "6 giờ đó, tin tặc đã kịp đánh cắp hơn 100GB dữ liệu khách hàng", ông Đức chia sẻ.

Lộ trình xây dựng khả năng ứng phó thực sự hiệu quả

Để tránh rơi vào "bẫy" của việc chỉ có hợp đồng mà thiếu sẵn sàng vận hành, các doanh nghiệp Việt Nam cần thực hiện ngay những bước cụ thể sau. Đầu tiên, xây dựng "Incident Response Runbook" - tài liệu hướng dẫn chi tiết từng bước ứng phó sự cố, bao gồm sơ đồ mạng, danh sách hệ thống quan trọng, thông tin liên lạc của các bên liên quan và quy trình phê duyệt rút gọn trong tình huống khẩn cấp. Tài liệu này phải được cập nhật định kỳ và lưu trữ ở nhiều nơi khác nhau để đảm bảo luôn truy cập được.

Bước thứ hai không kém quan trọng là tiến hành "Tabletop Exercise" - bài tập mô phỏng sự cố - ít nhất 6 tháng một lần. Thông qua việc mô phỏng các tình huống tấn công khác nhau, doanh nghiệp có thể phát hiện và khắc phục những khoảng trống trong quy trình trước khi sự cố thực sự xảy ra. Chúng tôi khuyến nghị các doanh nghiệp nên mời cả đơn vị bảo mật đã ký hợp đồng tham gia các buổi diễn tập này để đảm bảo sự phối hợp nhịp nhàng khi cần thiết.