Bộ Thông tin và Truyền thông hướng dẫn 6 giải pháp trọng tâm để phục hồi nhanh sau sự cố tấn công mạng

Công văn được gửi cho các bộ trưởng, thủ trưởng các cơ quan ngang bộ, cơ quan thuộc Chính phủ; chủ tịch UBND các tỉnh thành phố trực thuộc trung ương; chủ tịch, tổng giám đốc các tập đoàn, tổng công ty nhà nước, doanh nghiệp cung cấp dịch vụ viễn thông, Internet, tổ chức tài chính, ngân hàng thương mại.

Theo Bộ Thông tin và Truyền thông, từ đầu năm 2024 đến nay, đã xảy ra một số sự cố an toàn thông tin mạng, đặc biệt là các sự cố tấn công mã độc mã hóa tống tiền (ransomware), gây thiệt hại và làm gián đoạn dịch vụ trực tuyến của các cơ quan, tổ chức, doanh nghiệp. Việc khắc phục và phục hồi sau sự cố an toàn thông tin mạng còn chậm và lúng túng.

Nguyên nhân chủ yếu là do chưa tuân thủ và triển khai đầy đủ các quy định bảo đảm an toàn thông tin mạng, điển hình là: Không có bản sao lưu dữ liệu ngoại tuyến “offline”, không có hoặc có kế hoạch khôi phục nhanh sau sự cố nhưng không phù hợp, để xảy ra sự cố do những lỗi cơ bản; chưa triển khai phần mềm chống mã độc trên các máy chủ quan trọng, chưa giám sát an toàn thông tin mạng (SOC) đầy đủ để kịp thời phát hiện bất thường trong hệ thống.

Để tăng cường hiệu quả công tác bảo đảm an toàn thông tin và phục hồi nhanh hoạt động sau sự cố, bên cạnh việc triển khai đầy đủ các quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ, Bộ Thông tin và Truyền thông hướng dẫn triển khai 6 giải pháp trọng tâm như sau:

Thứ nhất, các cơ quan định kỳ thực hiện sao lưu dữ liệu ngoại tuyến “offline”. Với chiến lược sao lưu dữ liệu theo nguyên tắc 3-2-1: Có ít nhất 3 bản sao dữ liệu, lưu trữ bản sao trên 2 phương tiện lưu trữ khác nhau, với 1 bản sao lưu ngoại tuyến “offline” (sử dụng tape/USB/ổ cứng di động...). Dữ liệu sao lưu offline phải được tách biệt hoàn toàn, không kết nối mạng, cô lập để phòng, chống tấn công leo thang vào hệ thống lưu trữ.

Thứ hai, triển khai giải pháp để sẵn sàng phục hồi nhanh hoạt động của hệ thống thông tin khi gặp sự cố, đưa hoạt động của hệ thống thông tin trở lại bình thường trong vòng 24 tiếng hoặc theo yêu cầu nghiệp vụ.

Thứ ba, triển khai các giải pháp, đặc biệt là giải pháp giám sát an toàn thông tin, để ngăn ngừa, kịp thời phát hiện sớm nguy cơ tấn công mạng đối với cả 3 giai đoạn: Xâm nhập vào hệ thống; nằm gián điệp trong hệ thống; khởi tạo quá trình phá hoại hệ thống.

Thứ tư, phân tách, kiểm soát truy cập giữa các vùng mạng và chuyển đổi, nâng cấp các ứng dụng, giao thức, kết nối lạc hậu, không còn được hỗ trợ kỹ thuật sang phương án sử dụng các nền tảng, ứng dụng (app) để giảm thiểu nguy cơ tấn công mạng leo thang vào hệ thống thông tin thông qua máy tính, thiết bị đầu cuối của người dùng.

Thứ năm, tăng cường giám sát, quản lý các tài khoản quan trọng, tài khoản quản trị hệ thống bằng giải pháp xác thực 2 lớp (OTP...) hoặc giải pháp quản lý tài khoản đặc quyền (PIM/PAM) nhằm phòng ngừa, giảm thiểu thiệt hại trong trường hợp kẻ tấn công chiếm được mật khẩu của tài khoản quản trị.

Thứ sáu, rà soát, khắc phục và không để xảy ra các lỗi cơ bản dẫn đến mất an toàn hệ thống thông tin.

Liên quan đến mức độ nguy hiểm về tấn công ransomware, cách đây gần hai tuần, vụ tấn công ransomware tại Indonesia đã làm tê liệt các dịch vụ nhập cư trong nhiều ngày khiến nhiều chuyên gia đã đặt câu hỏi về sự an toàn của dữ liệu cá nhân của công dân. Giới chức năng Indonesia tiết lộ sự sụp đổ của hệ thống nhập cư của nước này vào tuần trước là do tin tặc sử dụng ransomware mới để tấn công một trung tâm dữ liệu quan trọng.

Lãnh đạo Bộ Thông tin và Truyền thông Indonesia cũng xác nhận cuộc tấn công đã làm gián đoạn dịch vụ tại 210 tổ chức nhà nước trên toàn quốc và cho biết các tin tặc gây ra vụ tấn công đã đưa ra yêu cầu tiền chuộc trị giá 8 triệu USD để trả lại quyền kiểm soát máy chủ cho chính phủ Indonesia, tuy nhiên Bộ Thông tin và Truyền thông Indonesia tuyên bố “sẽ không bao giờ trả tiền” cho tin tặc.