Liệu bạn có dám tưởng tượng một công ty cung cấp linh kiện y tế cho hàng chục tập đoàn dược phẩm lớn nhất thế giới lại bị hacker "cầm cờ trắng"? West Pharmaceutical Services - doanh nghiệp niêm yết trên NYSE với vốn hóa gần 10 tỷ USD vừa trải qua cơn ác mộng an ninh mạng tồi tệ nhất lịch sử 95 năm hoạt động. Tập đoàn này đã phải công bố bị tấn công ransomware với thủ đoạn "double extortion" (tống tiền kép) - hacker vừa mã hóa hệ thống vừa đánh cắp dữ liệu nhạy cảm. Chúng tôi cho rằng đây là hồi chuông cảnh báo nghiêm trọng cho toàn ngành y tế về mức độ tinh vi của các cuộc tấn công hiện tại.

Khi "ông lớn" dược phẩm gục ngã trước ransomware

West Pharmaceutical Services không phải doanh nghiệp bình thường. Với hơn 11.000 nhân viên trên toàn cầu, công ty này sản xuất các linh kiện quan trọng như nút chai thuốc, ống tiêm, container vaccine cho hầu hết các hãng dược phẩm danh tiếng. Thế nhưng hệ thống bảo mật "kiên cố" của họ vẫn bị xuyên thủng hoàn toàn. Theo thông báo chính thức, hacker đã thực hiện cuộc tấn công có chủ đích vào đầu tháng 1/2025, thâm nhập sâu vào hạ tầng IT và đánh cắp một lượng lớn dữ liệu trước khi kích hoạt mã độc ransomware.

Điều đáng lo ngại nhất không phải việc hệ thống bị mã hóa, mà là dữ liệu đã rơi vào tay tội phạm mạng. West Pharmaceutical thừa nhận không thể xác định chính xác loại thông tin nào đã bị đánh cắp, từ dữ liệu khách hàng, công thức sản xuất cho đến thông tin tài chính nội bộ. Chúng tôi đánh giá đây là thất bại nghiêm trọng trong khâu giám sát và phát hiện xâm nhập sớm, cho thấy nhiều doanh nghiệp lớn vẫn đang "ngủ quên" trước các mối đe dọa tinh vi.

Giải mã chiến thuật "double extortion" đang làm mưa làm gió

Cuộc tấn công vào West Pharmaceutical mang dấu ấn rõ rệt của chiến thuật "double extortion" (tống tiền kép) - xu hướng đang thống trị làng ransomware từ 2020 đến nay. Thay vì chỉ mã hóa dữ liệu và đòi tiền chuộc như truyền thống, hacker hiện tại thực hiện quy trình hai giai đoạn cực kỳ hiểm độc. Giai đoạn đầu, chúng lặng lẽ xâm nhập hệ thống trong nhiều tuần hoặc tháng, thu thập và sao chép dữ liệu nhạy cảm về server riêng. Giai đoạn hai mới triển khai mã độc mã hóa, biến toàn bộ hệ thống thành "cục gạch".

Điểm tinh vi của chiến thuật này nằm ở việc tạo ra "đòn bẩy" tâm lý cực mạnh. Doanh nghiệp không chỉ mất khả năng hoạt động do hệ thống bị khóa, mà còn đối mặt nguy cơ dữ liệu nhạy cảm bị công bố rộng rãi nếu không trả tiền chuộc. Theo thống kê của Chainalysis, tỷ lệ các nhóm ransomware áp dụng "double extortion" đã tăng từ 18% năm 2020 lên 68% năm 2024. Tại Việt Nam, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) cũng ghi nhận gia tăng đáng kể các vụ tấn công dạng này, đặc biệt nhắm vào ngành ngân hàng và y tế.

Chuỗi cung ứng y tế toàn cầu đứng trước nguy cơ đứt gãy

Tác động từ vụ việc West Pharmaceutical vượt xa ranh giới một doanh nghiệp. Với vai trò nhà cung cấp linh kiện then chốt cho ngành dược, việc gián đoạn hoạt động có thể gây hiệu ứng domino khôn lường. Chúng tôi ước tính hàng trăm nhà máy sản xuất thuốc và vaccine trên toàn thế giới có thể phải điều chỉnh kế hoạch sản xuất nếu West Pharmaceutical không phục hồi hệ thống kịp thời. Điều này đặc biệt nghiêm trọng trong bối cảnh các bệnh viện đang đối mặt với tình trạng thiếu hụt thuốc men kéo dài.

Về mặt tài chính, cổ phiếu West Pharmaceutical đã giảm 3,2% trong phiên giao dịch đầu tuần, xóa sổ khoảng 300 triệu USD vốn hóa thị trường. Tuy nhiên, tổn thất lâu dài có thể lên đến hàng tỷ USD khi tính đến chi phí khắc phục, bồi thường pháp lý và mất lòng tin khách hàng. IBM Security ước tính chi phí trung bình cho một vụ rò rỉ dữ liệu trong ngành y tế là 10,93 triệu USD, cao nhất trong tất cả các lĩnh vực kinh tế.

Lá chắn bảo vệ cho doanh nghiệp Việt: Không chờ đến khi quá muộn

Vụ việc West Pharmaceutical là bài học đắt giá cho các doanh nghiệp Việt Nam, đặc biệt là những đơn vị trong chuỗi cung ứng quốc tế. Bước đầu tiên và quan trọng nhất là triển khai giải pháp "Zero Trust Architecture" (kiến trúc không tin tưởng) - mô hình bảo mật yêu cầu xác thực mọi người dùng và thiết bị trước khi cấp quyền truy cập. Tiếp theo, doanh nghiệp cần đầu tư vào hệ thống "EDR" (Endpoint Detection and Response - phát hiện và ứng phó điểm cuối) để giám sát liên tục các hoạt động bất thường trên từng thiết bị trong mạng nội bộ.

Chúng tôi khuyến nghị mạnh mẽ việc thực hiện "backup 3-2-1 rule": giữ 3 bản sao dữ liệu, trên 2 loại phương tiện khác nhau, với 1 bản lưu trữ offline hoặc immutable (không thể thay đổi). Đặc biệt, các doanh nghiệp cần tiến hành "tabletop exercise" (diễn tập trên bàn giấy) ít nhất 6 tháng một lần để kiểm tra khả năng ứng phó ransomware của toàn bộ đội ngũ. Với chi phí trung bình một cuộc tấn công ransomware tại Việt Nam dao động 2-5 tỷ đồng theo báo cáo của VNCERT, đầu tư phòng ngừa chỉ bằng 10-20% con số này là hoàn toàn hợp lý.