96 cơ sở dữ liệu chính phủ bị xóa sạch trong một đêm - con số này đủ khiến bất kỳ chuyên gia an ninh mạng nào phải "lạnh gáy". Một người đàn ông tại bang Virginia đã trở thành tâm điểm chú ý sau khi bị jury tuyên có tội về hành vi phá hoại dữ liệu quy mô lớn chưa từng có. Vụ việc không chỉ dừng lại ở việc xóa dữ liệu mà còn bao gồm hành vi đánh cắp mật khẩu và truy cập trái phép email. Chúng tôi cho rằng đây là một trong những vụ tấn công từ bên trong nguy hiểm nhất trong lịch sử an ninh mạng Mỹ.

Cuộc tàn phá dữ liệu chưa từng có

Tòa án liên bang đã tuyên phạt người đàn ông Virginia về tội danh xóa bỏ 96 cơ sở dữ liệu thuộc chính phủ Mỹ. Database (cơ sở dữ liệu) là nơi lưu trữ thông tin có cấu trúc, chứa đựng từ hồ sơ công dân đến các tài liệu mật. Việc xóa 96 database đồng thời cho thấy thủ phạm có quyền truy cập cấp cao và hiểu rõ kiến trúc hệ thống. Điều này gợi lên nghi vấn về insider threat - mối đe dọa từ bên trong tổ chức.

Song song với việc phá hoại dữ liệu, kẻ tấn công còn thực hiện hành vi đánh cắp mật khẩu cá nhân. Password theft (đánh cắp mật khẩu) là bước đầu cho các cuộc tấn công sâu hơn, cho phép truy cập trái phép vào email và tài khoản cá nhân. Chúng tôi nhận định rằng đây không phải hành động ngẫu hứng mà là kế hoạch được tính toán kỹ lưỡng. Việc kết hợp cả phá hoại dữ liệu và đánh cắp thông tin cá nhân cho thấy mức độ tinh vi đáng báo động.

Tại sao insider threat lại nguy hiểm đến vậy?

Insider threat (mối đe dọa nội bộ) được coi là "cơn ác mộng" của mọi tổ chức bởi tính chất khó phát hiện và tàn phá cao. Khác với hacker bên ngoài phải "đột nhập" vào hệ thống, insider đã có sẵn quyền truy cập hợp pháp. Họ hiểu rõ quy trình, biết đâu là điểm yếu, và quan trọng nhất - không bị nghi ngờ. Theo thống kê của Ponemon Institute, thiệt hại trung bình từ insider threat lên tới 11.45 triệu USD mỗi vụ.

Động machine của insider attack thường xuất phát từ bất mãn cá nhân, áp lực tài chính hoặc bị lôi kéo bởi tổ chức tội phạm. Database deletion (xóa cơ sở dữ liệu) quy mô lớn như vụ Virginia cho thấy thủ phạm có thể đang trong tình trạng tâm lý bất ổn hoặc có động cơ trả thù. Chúng tôi cho rằng việc xóa 96 database không chỉ nhằm gây thiệt hại mà còn muốn "để lại dấu ấn" trong lịch sử.

Hậu quả khủng khiếp từ cuộc tấn công

Việc mất 96 cơ sở dữ liệu chính phủ có thể gây tác động domino khôn lường. Data loss (mất dữ liệu) ở quy mô này có thể ảnh hưởng đến hàng triệu hồ sơ công dân, gián đoạn dịch vụ công, và tạo ra "lỗ hổng đen" trong hệ thống thông tin quốc gia. Chi phí khôi phục dữ liệu từ backup (bản sao lưu) có thể lên tới hàng chục triệu USD, chưa kể thời gian gián đoạn dịch vụ.

Tại Việt Nam, chúng ta cũng đã chứng kiến những vụ việc tương tự nhưng quy mô nhỏ hơn. Theo báo cáo của VNCERT, có tới 2.800 vụ tấn công mạng nhắm vào cơ quan nhà nước trong năm 2023. Mặc dù chưa có vụ nào nghiêm trọng như Virginia, nhưng xu hướng gia tăng insider threat đang là mối lo ngại lớn của các chuyên gia an ninh mạng trong nước.

Làm sao để ngăn chặn "kẻ thù nội bộ"?

Zero Trust Model (mô hình không tin tưởng) là giải pháp hiệu quả nhất chống insider threat. Nguyên tắc "never trust, always verify" (không bao giờ tin tưởng, luôn luôn xác minh) yêu cầu xác thực mọi truy cập, dù từ nội bộ hay bên ngoài. Multi-factor Authentication (xác thực đa yếu tố) phải được triển khai bắt buộc cho tất cả tài khoản có quyền truy cập database. Privileged Access Management (quản lý truy cập đặc quyền) giúp giám sát và kiểm soát chặt chẽ những tài khoản có quyền hạn cao.

Database backup (sao lưu cơ sở dữ liệu) phải được thực hiện theo quy tắc 3-2-1: 3 bản sao, 2 phương tiện lưu trữ khác nhau, 1 bản offline hoàn toàn. User Activity Monitoring (giám sát hoạt động người dùng) cần được triển khai để phát hiện bất thường như truy cập bất thường hoặc download dữ liệu lớn. Chúng tôi khuyến nghị các tổ chức Việt Nam nên đầu tư nghiêm túc vào SIEM (Security Information and Event Management) để phát hiện sớm các dấu hiệu bất thường từ nội bộ.