Khi một công ty công nghệ giáo dục quyết định "thỏa hiệp" với tin tặc, câu hỏi đặt ra không chỉ là về tiền bạc. Instructure, công ty đứng sau nền tảng học trực tuyến Canvas phục vụ hàng triệu sinh viên và giáo viên toàn cầu, vừa xác nhận đã trả tiền chuộc cho hacker sau vụ tấn công nghiêm trọng. Quyết định này không chỉ gây tranh cãi trong cộng đồng an ninh mạng mà còn khiến Quốc hội Mỹ phải can thiệp điều tra.

Thỏa thuận bí mật với tin tặc

Theo thông tin Instructure công bố, công ty đã đạt được "thỏa thuận" với nhóm hacker, trong đó dữ liệu bị đánh cắp sẽ được "trả lại" cùng với cam kết tiêu hủy hoàn toàn. Tuy nhiên, chúng tôi cho rằng việc tin tưởng vào lời hứa của tội phạm mạng là một canh bạc vô cùng mạo hiểm. Canvas là nền tảng quản lý học tập (LMS - Learning Management System) được sử dụng rộng rãi tại các trường đại học, cao đẳng trên toàn thế giới, lưu trữ lượng lớn dữ liệu nhạy cảm của sinh viên và giáo viên.

Công ty khẳng định đã nhận được "xác nhận số" về việc dữ liệu được tiêu hủy, nhưng chuyên gia an ninh mạng đặt câu hỏi về độ tin cậy của cam kết này. Ransomware (mã độc tống tiền) thường hoạt động theo mô hình mã hóa dữ liệu nạn nhân và đòi tiền chuộc để giải mã. Tuy nhiên, việc hacker thực sự xóa bỏ dữ liệu sau khi nhận tiền vẫn là dấu hỏi lớn.

Quốc hội Mỹ vào cuộc điều tra

Động thái trả tiền chuộc của Instructure đã lập tức thu hút sự chú ý của các nhà lập pháp Mỹ. Quốc hội Mỹ thông báo mở cuộc điều tra chính thức về vụ việc này, tập trung vào việc đánh giá tác động đến hệ thống giáo dục quốc gia. Đây không phải lần đầu tiên các cơ quan chính phủ quan tâm đến việc các tổ chức trả tiền chuộc, vì hành động này có thể khuyến khích hoạt động tội phạm mạng gia tăng.

Canvas hiện được sử dụng tại hơn 4.000 trường học và đại học, phục vụ khoảng 30 triệu người dùng toàn cầu. Việc một nền tảng có tầm ảnh hưởng lớn như vậy bị tấn công và phải trả tiền chuộc đã gióng lên hồi chuông báo động về tình trạng bảo mật trong lĩnh vực công nghệ giáo dục. Cuộc điều tra của Quốc hội có thể dẫn đến những thay đổi quan trọng trong chính sách bảo mật dữ liệu giáo dục.

Tác động sâu rộng đến giáo dục số

Vụ việc này phơi bày những lỗ hổng nghiêm trọng trong hạ tầng công nghệ giáo dục. Các nền tảng học trực tuyến như Canvas lưu trữ không chỉ thông tin cá nhân của sinh viên mà còn cả dữ liệu học tập, điểm số, và thông tin tài chính. Chúng tôi đánh giá việc để lộ những thông tin này có thể gây hậu quả lâu dài cho hàng triệu người dùng, từ việc lạm dụng danh tính đến các vấn đề pháp lý phức tạp.

Tại Việt Nam, nhiều trường đại học cũng đang sử dụng các hệ thống LMS tương tự. Theo thống kê của Bộ Giáo dục và Đào tạo, có hơn 90% các trường đại học trong nước đã triển khai hình thức học trực tuyến sau đại dịch COVID-19. Điều này đặt ra câu hỏi về mức độ bảo mật của các hệ thống này và khả năng chống chọi với các cuộc tấn công tương tự.

Hướng dẫn bảo vệ cho các tổ chức giáo dục

Các trường học và đại học Việt Nam cần thực hiện ngay các biện pháp bảo vệ cụ thể. Đầu tiên, thiết lập hệ thống sao lưu dữ liệu (backup) tự động và thường xuyên kiểm tra tính toàn vẹn của các bản sao lưu này. Thứ hai, triển khai xác thực đa yếu tố (MFA - Multi-Factor Authentication) cho tất cả tài khoản quản trị viên và giảng viên. Thứ ba, thực hiện đánh giá bảo mật (security assessment) định kỳ để phát hiện các lỗ hổng tiềm ẩn.

Đối với người dùng cá nhân, sinh viên và giáo viên nên thay đổi mật khẩu thường xuyên, sử dụng mật khẩu mạnh và không chia sẻ thông tin đăng nhập. Quan trọng hơn, các tổ chức giáo dục cần xây dựng kế hoạch ứng phó sự cố (incident response plan) rõ ràng, bao gồm cả việc quyết định có nên trả tiền chuộc hay không trong trường hợp xấu nhất xảy ra.