Tạp chí The Financial Review (Australia) mới đây đăng bài viết cho biết, Trung tâm An ninh mạng Australia (ACSC), trực thuộc Cơ quan Tình báo Tín hiệu Australia (ASD) - cơ quan phụ trách đấu tranh với tội phạm mạng ở nước này, đã nhận được hơn 76.000 báo cáo về tội phạm mạng trong năm tài chính 2021-2022. Điều này tương đương cứ mỗi 7 phút lại xuất hiện ít nhất 1 vụ tấn công mạng. Tuy nhiên, đây mới chỉ là những vụ việc đã được báo cáo.

Các chuyên gia trong ngành công nghiệp an ninh mạng cho biết hầu hết các vụ tấn công mạng đều không được ghi nhận. Một chuyên gia an ninh mạng ẩn danh, vì đang tham gia điều tra vụ tấn công vào nền tảng tài chính cá nhân Latitude Financial, cho biết con số do ACSC công bố chỉ là số liệu nhỏ trong con số lớn hơn nhiều.

Theo chuyên gia trên, các vụ tấn công mạng đánh cắp tài liệu, dữ liệu mới đây tại các công ty như công ty viễn thông Optus, công ty bảo hiểm Medibank Private, công ty tư vấn bất động sản Meriton, ngân hàng Commonwealth bank, công ty dịch vụ sở hữu trí tuệ IPH Limited và công ty dịch vụ tài chính Latitude... chỉ là “phần nổi của tảng băng chìm”. Đáng lo ngại hơn, loại tội phạm này gia tăng đến mức ai cũng có thể phải đối mặt, có trường hợp trình báo và có trường hợp lại không trình báo.

Sau vụ đánh cắp dữ liệu quy mô lớn vào tháng 10/2022, Medibank Private tiết lộ rằng hệ thống bảo mật của họ thường ứng phó với 18 triệu cuộc tấn công mạng “vòng ngoài” mỗi ngày (con số này đã tăng lên 80 triệu cuộc tấn công/ngày), có thể là do công ty bảo hiểm đang trở thành mục tiêu dễ tấn công của các tin tặc.

Những con số trên chủ yếu đề cập đến các cuộc tấn công bằng robot, tức là các chương trình máy tính tự động do tội phạm mạng phát tán để quét Internet một cách đồng loạt nhằm tìm kiếm các lỗ hổng, song có thể số lượng các cuộc tấn công có chủ đích cũng rất lớn.

Một giám đốc phụ trách rủi ro thuộc một doanh nghiệp giấu tên, vì cơ quan chức năng đang trong quá trình điều tra vụ tấn công nhằm vào công ty này, cho rằng mọi doanh nghiệp ở Australia đang bị tội phạm mạng chủ động tấn công “nhiều lần trong một ngày”.

Với hàng chục nghìn tỷ cuộc tấn công mạng mỗi năm (giả sử với số liệu của Medibank thì có thể có khoảng 15.000 tỷ cuộc tấn công mạng vòng ngoài nhằm vào các công ty niêm yết trên sàn chứng khoán Australia – ASX), việc phát hiện và ghi nhận 76.000 vụ tấn công mạng mỗi năm cho thấy cuộc chiến chống tội phạm mạng có vẻ như vẫn đang diễn ra tích cực. Tuy nhiên, thực tế không như vậy.

Australia bị “mang tiếng” là quốc gia sơ hở về an ninh mạng, một phần là do:

Thứ nhất, luật và các quy định của Australia về lưu trữ dữ liệu khá phức tạp và đôi khi không cần thiết, cũng như các hoạt động hủy tài liệu thực tế không triệt để, đã khiến Australia trở thành mục tiêu chứa đựng dữ liệu “dồi dào” cho tội phạm mạng;

Thứ hai, luật về quyền riêng tư của Australia ít được điều chỉnh, làm cho người dân Australia chưa có quyền khởi kiện các công ty vốn “cẩu thả” trong việc quản lý dữ liệu cá nhân nhạy cảm của khách hàng.

Thứ ba, thực tế là nhiều cơ quan, tổ chức của Australia gần đây mới bắt đầu thức tỉnh trước mối đe dọa về an ninh mạng sau vụ tấn công vào nhà mạng Optus, tiếp theo là hãng bảo hiểm Medibank Private, gây tổn hại nghiêm trọng đến danh tiếng của các công ty này vào cuối năm 2022.

Các chuyên gia cho biết, với mức phí cho dịch vụ và phần mềm bảo mật cao cấp khá cao, các doanh nghiệp Australia buộc phải cân nhắc chọn các gói rẻ hơn nhưng kém an toàn hơn. Đây cũng là yếu tố góp phần đáng kể làm gia tăng tỷ lệ tội phạm mạng, mặc dù đây là vấn đề toàn cầu và không phải chỉ riêng với Australia.

* Australia có quá nhiều tài liệu

Ngày 27/3, thời điểm các nhà điều tra của Latitude Financial bắt đầu xác định được quy mô và phạm vi của cuộc tấn công mạng được ghi nhận lần đầu hôm 16/3, công ty này đã phát hiện hơn 14 triệu tài liệu khách hàng bị đánh cắp, trong đó có 7,9 triệu số giấy phép lái xe.

Theo báo cáo của Latitude Financial, phần lớn dữ liệu bị đánh cắp là các dữ liệu cũ. Tạp chí Financial Review cuối tuần cho thấy phần lớn dữ liệu trên được lưu trữ cách đây khoảng 20 năm. Đây là những dữ liệu còn lại sau nhiều thương vụ sáp nhập và mua lại của Latitude Financial trong nhiều năm, trong đó nhiều hệ thống lưu trữ thông tin khác nhau không áp dụng triệt để chính sách hủy tài liệu.

Trong số các tài liệu cũ bị đánh cắp của Latitude Financial, có nhiều tài liệu đã được lưu trữ trong hơn 7 năm theo yêu cầu của Luật chống rửa tiền và quy định của các cơ quan tài chính khác. Do vậy, quy mô của vụ tấn công mạng này không hoàn toàn là do thái độ quản lý dữ liệu lỏng lẻo của Latitude Financial.

Đề cập đến vấn đề này nói chung (không nói riêng đến trường hợp của Latitude Financial), bà Valeska Bloch - người đứng đầu bộ phận các quy định về an ninh mạng thuộc công ty luật Allens - cho biết chế độ lưu trữ dữ liệu của Australia (thực tế có nhiều chế độ khác nhau) thực sự “phức tạp” và khó thực hiện.

Bà Valeska Bloch cho rằng: “Chính phủ Australia cần xem xét lại tất cả các quy định về lưu trữ dữ liệu đối với các tổ chức. Các quy định này phức tạp, và trong nhiều trường hợp là không cần thiết hoặc không mang lại lợi ích gì”.

Theo bà Bloch, có nhiều cách hiệu quả để các cơ quan quản lý truy cập dữ liệu. Khi Australia trong giai đoạn bắt đầu hồi phục sau đại dịch COVID-19, nhiều doanh nghiệp Australia đã yêu cầu nhân viên và khách hàng của mình cung cấp giấy chứng nhận tiêm chủng ngừa COVID-19. Theo thông lệ ban đầu, bản sao giấy chứng nhận tiêm chủng sẽ được lưu trữ trên một máy chủ (thực tế thường là trên các máy chủ email được bảo mật kém hoặc trong các hộp thư điện tử ở các máy tính để bàn không được bảo mật).

Tuy nhiên, đến khi các lãnh đạo doanh nghiệp nhận thấy giấy chứng nhận tiêm chủng COVID-19 có chứa Mã định danh y tế cá nhân (IHI) – mà theo quy định của Chính phủ, việc quản lý mã số trên nếu không đảm bảo có thể dẫn đến việc bị khởi tố, các doanh nghiệp trên đã thay đổi cách làm của mình. Các doanh nghiệp đã yêu cầu khách hàng đến xuất trình trực tiếp giấy chứng nhận tiêm chủng hoặc “kiểm tra” thông qua “cuộc gọi video không ghi âm” với khách hàng, và dữ liệu họ lưu trữ chỉ là thông tin cho thấy họ đã “xem” các giấy tờ tiêm chủng của khách hàng.

Bà Bloch đánh giá những ví dụ như trên sẽ giúp ích rất nhiều trong việc giải quyết vấn đề an ninh mạng của Australia. Bà nhấn mạnh: “Nếu dữ liệu không được lưu trữ, chúng không thể bị đánh cắp”.

Bà Anna Johnston - cựu Phó Chủ tịch ủy ban Quyền riêng tư của bang NSW, hiện điều hành công ty tư vấn dữ liệu riêng tư Salinger Privacy - cho biết: “Nếu các vụ vi phạm dữ liệu của Optus và Medibank trước đây chưa khiến cho các công ty nhận thấy tầm quan trọng của việc xóa dữ liệu sau khi sử dụng, thì quy mô của vụ đánh cắp dữ liệu của Latitude Financial mới đây và ‘tuổi đời’ của các dữ liệu trong vụ việc này sẽ là hồi chuông cảnh báo cuối cùng”.

* Quá ít quyền riêng tư

Một thiếu sót khác là luật bảo vệ dữ liệu cá nhân của Australia – hiện đang được Bộ trưởng Tư pháp Mark Dreyfus xem xét. Luật Quyền riêng tư của Australia năm 1988, dựa trên tiêu chuẩn vàng của Luật Bảo vệ dữ liệu chung của châu Âu (GDPR), chính thức bị đánh giá là “không còn phù hợp”.

Một phần là do luật trên không yêu cầu các doanh nghiệp nhỏ bảo vệ dữ liệu khách hàng; một phần là thậm chí các doanh nghiệp lớn cũng không bị bắt buộc bảo vệ dữ liệu của nhân viên của mình – đây là lỗ hổng mà bà Bloch cho là “ngớ ngẩn”.

Nhưng cũng tồn tại một lý do khác. Luật riêng tư vốn không chặt chẽ của Australia đang góp phần khiến Australia trở thành “môi trường thuận lợi” cho tội phạm mạng vì: không như ở các nước châu Âu, Anh và Mỹ, các cá nhân ở Australia thiếu quyền khởi kiện về các vi phạm dữ liệu. Điều này đồng nghĩa với việc các doanh nghiệp Australia thiếu động lực trong bảo vệ dữ liệu khách hàng.

Quá trình xem xét Luật Quyền riêng tư năm 1988 hướng đến việc sửa đổi để cho phép người dân Australia có quyền yêu cầu bồi thường nếu quyền riêng tư của họ bị xâm phạm.

Theo Ủy ban Thông tin Australia (OAIC), sự thay đổi trên sẽ “tạo thêm động lực cho các tổ chức (chính phủ và tư nhân) tuân thủ nghĩa vụ của họ về quyền riêng tư”.

Theo nhận định của bà Bloch, đây sẽ là một yếu tố làm thay đổi cuộc chơi. Bà cho rằng: “Nếu đề xuất thay đổi được đệ trình, điều này sẽ thay đổi theo nghĩa: sẽ xuất hiện các vụ kiện tập thể về vi phạm dữ liệu và an ninh mạng ở Australia”.

* Tham gia muộn vào công cuộc củng cố an ninh mạng

Với việc thiếu một “cây gậy lớn” để thúc ép các công ty của Australia tuân thủ chặt chẽ hơn các quy định về an ninh mạng, không có gì ngạc nhiên khi hệ thống an ninh mạng của các công ty ở nước này được đánh giá là phát triển dưới mức trung bình.

Chỉ số sẵn sàng không gian mạng (Cyber Readiness Index) phiên bản 2023, do công ty hàng đầu thế giới về công nghệ thông tin và kết nối mạng Cisco Systems (của Mỹ) phát triển, cho thấy chỉ 15% các tổ chức trên toàn cầu đáp ứng đủ mức độ “trưởng thành không gian mạng” trong xử lý các rủi ro bảo mật hệ thống.

Tuy nhiên, chỉ số này ở Australia là 11%. Gần 90% các công ty ở Australia vẫn chưa triển khai đầy đủ một hệ thống an ninh mạng đủ mạnh. Bà Corien Vermaak - người đứng đầu bộ phận an ninh mạng của Cisco phụ trách ngân hàng ANZ - cho biết một lĩnh vực an ninh mạng mà Australia đặc biệt tụt hậu so với phần còn lại của thế giới là “sức mạnh của các thiết bị”.

Đơn giản là các công ty ở Australia không đầu tư thời gian và tiền bạc để đảm bảo các thiết bị kết nối mạng trong công ty - chẳng hạn như điện thoại, máy tính để bàn hay máy tính bảng - được cập nhật thường xuyên các phần mềm “vá lỗ hổng” và bảo mật, để các thiết bị này có thể hoạt động như một lá chắn phòng thủ ban đầu chống lại các cuộc tấn công mạng.

Theo nghiên cứu, tổng cộng 62% công ty của Australia đang trong giai đoạn bước đầu bảo vệ thiết bị theo đúng quy trình; chỉ 26% công ty được đánh giá là có mức độ “trưởng thành” về tình trạng thiết bị.

Bà Vermaak cho biết, khoảng 90 % các vụ tấn công mạng khởi đầu dưới dạng “các cuộc tấn công danh tính”, trong đó tội phạm mạng cố gắng đánh cắp danh tính của một nhân viên bằng cách tấn công điện thoại hoặc máy tính cá nhân của họ. Do đó “tình trạng thiết bị yếu kém” là một vấn đề lớn.

Tuy nhiên, bức tranh tổng thể của Australia về “độ sẵn sàng” trong đảm bảo an ninh mạng nhìn chung cũng không quá tệ. Bà Vermaak cho rằng nếu tính cả các công ty đang trong giai đoạn “sẵn sàng” đảm bảo an ninh mạng, chỉ số của Australia sẽ tăng từ 11% lên 46%, cao hơn 1 điểm phần trăm so với mức trung bình trên toàn cầu.

* Các “gã khổng lồ” công nghệ cần phải có trách nhiệm

Ông James Turner - Giám đốc điều hành của CISO Lens, một diễn đàn dành cho các giám đốc phụ trách an ninh mạng của các tổ chức ở Australia - đưa ra một số lý do đơn giản rằng là hành vi của con người khiến Australia dường như bị cuốn vào vòng xoáy của các cuộc tấn công mạng hiện nay.

Theo ông Turner, mọi người hoàn toàn mệt mỏi sau đại dịch và điều này dẫn đến toàn bộ những thay đổi trong công việc và cuộc sống. Những cá nhân gặp phải “mệt mỏi”, căng thẳng thường mắc sai lầm, các công ty đối mặt với bất ổn về kinh tế cũng có thể cắt giảm chi phí không đúng chỗ. Và việc nhiều người thay đổi công việc cũng như nhiều công ty chuyển đổi đã khiến kiến thức hay quy định về bảo mật cũng bị “mai một”.

Tuy nhiên, ông cho rằng cũng có những nguyên nhân khác, không phải bắt nguồn từ đội ngũ IT đang làm việc quá sức, mà từ các công ty phần mềm và dịch vụ công nghệ. Các công ty này tạo ra các sản phẩm thiếu an toàn và sau đó họ áp phí rất cao cho các doanh nghiệp.

Ông Turner chỉ ra rằng Microsoft là một ví dụ điển hình cho xu hướng đáng lo ngại này. Chẳng hạn, giá sản phẩm phần mềm 365 Business Basic của Microsoft là 8,2 AUD (khoảng 5,46 USD)/người dùng/tháng, song chỉ cung cấp dịch vụ “bảo mật tiêu chuẩn”. Các doanh nghiệp phải trả gấp 3 lần để nhận được phiên bản “bảo mật nâng cao” cũng như “bảo mật chống tấn công mạng”. Ông kết luận: “Các vụ xâm phạm dữ liệu đúng ra phải hiếm khi xảy ra như các vụ tai nạn máy bay, và nếu xảy ra, tác động của chúng cũng nên ở mức độ càng nhỏ càng tốt”./.

Thoibaovietuc.com/Nguồn vnanet.vn