Doanh nghiệp nên ứng xử thế nào sau khi bị tấn công mạng?

Rò rỉ dữ liệu có thể cực kỳ nguy hiểm đối với các tổ chức thuộc mọi hình dạng và quy mô - nhưng cách các công ty phản ứng với sự cố cũng là một điều gây nhiều tranh cãi. Năm 2022 đã xảy ra không ít vụ tấn công mạng, và dưới đây là tổng hợp các vụ vi phạm dữ liệu trong đó các công ty bị tấn công đã xử lý “rất kém”, nhận nhiều chỉ trích của cộng đồng mạng và giới truyền thông, theo quan điểm của trang TechCrunch.

NVIDIA

Nhà sản xuất chip khổng lồ Nvidia xác nhận họ đang điều tra “sự cố mạng” vào tháng 2/2022, và sau đó công ty đã xác nhận là một vụ tống tiền dữ liệu. Công ty từ chối tiết lộ đã bị xâm phạm như thế nào, dữ liệu nào bị đánh cắp hoặc có bao nhiêu khách hàng hoặc nhân viên bị ảnh hưởng.

Trong khi Nvidia vẫn giữ im lặng, băng đảng hacker Lapsus$ khét tiếng đã nhanh chóng nhận trách nhiệm về vụ vi phạm và tuyên bố đã đánh cắp một terabyte thông tin, bao gồm dữ liệu “rất bí mật” và mã nguồn độc quyền. Theo trang web giám sát vi phạm dữ liệu Have I Been Pwned, tin tặc đã đánh cắp thông tin đăng nhập của hơn 71.000 nhân viên Nvidia, bao gồm địa chỉ email và hàm băm mật khẩu Windows.

DOORDASH

Vào tháng 8, DoorDash xác nhận những kẻ tấn công đã truy cập tên, địa chỉ email, địa chỉ giao hàng và số điện thoại của khách hàng DoorDash, cùng với một phần thông tin thẻ thanh toán của một nhóm người dùng nhỏ hơn. Họ cũng xác nhận đối với trình điều khiển giao hàng DoorDash hoặc Dashers, tin tặc đã truy cập dữ liệu “chủ yếu bao gồm tên và số điện thoại hoặc địa chỉ email”.

Nhưng DoorDash từ chối tiết lộ có bao nhiêu người dùng bị ảnh hưởng - hoặc thậm chí có bao nhiêu người dùng hiện tại. DoorDash cũng cho biết vi phạm là do nhà cung cấp bên thứ ba gây ra, nhưng từ chối nêu tên nhà cung cấp, cũng như không cho biết thời điểm phát hiện bị tấn công mạng.

SAMSUNG

Vài giờ trước kỳ nghỉ dài ngày 4/7, Samsung đã lặng lẽ đưa ra thông báo các hệ thống của họ ở Hoa Kỳ đã bị vi phạm vài tuần trước đó và tin tặc đã đánh cắp thông tin cá nhân của khách hàng. Trong thông báo vi phạm cơ bản của mình, Samsung xác nhận dữ liệu “nhân khẩu học” không xác định, có khả năng bao gồm dữ liệu vị trí địa lý chính xác của khách hàng, trình duyệt và dữ liệu thiết bị khác từ điện thoại Samsung và TV thông minh của khách hàng, cũng đã bị lấy cắp.

Bây giờ là cuối năm, Samsung vẫn chưa nói gì thêm về vụ tấn công này. Thay vì công bố rõ ràng số lượng khách hàng bị ảnh hưởng, Samsung đã đưa ra chính sách bảo mật bắt buộc mới, cho phép Samsung sử dụng vị trí địa lý chính xác của khách hàng để quảng cáo và tiếp thị.

TWILIO

Vào tháng 10, gã khổng lồ tin nhắn Twilio của Hoa Kỳ xác nhận đã bị tấn công, tội phạm mạng truy cập thông tin liên hệ của khách hàng. Tin tức về vụ vi phạm đã bị chôn vùi. Người phát ngôn của Twilio Laurelle Remzi từ chối xác nhận số lượng khách hàng bị ảnh hưởng hoặc chia sẻ bản sao thông báo mà công ty tuyên bố đã gửi cho những người bị ảnh hưởng. Remzi cũng từ chối cho biết lý do tại sao Twilio mất 4 tháng mới công khai vụ việc.

LASTPASS

Và cuối cùng, nhưng không kém phần quan trọng, gã khổng lồ quản lý mật khẩu LastPass đã xác nhận ba ngày trước Giáng sinh rằng tin tặc đã đánh cắp chìa khóa vào vương quốc của họ, đánh cắp kho mật khẩu được mã hóa của khách hàng vài tuần trước đó. Vi phạm gây thiệt hại tương đương với 33 triệu khách hàng sử dụng LastPass.

Nhưng việc xử lý vi phạm của LastPass đã nhanh chóng vấp phải sự chỉ trích gay gắt của cộng đồng bảo mật, đặc biệt vì LastPass không nói rõ khách hàng cần làm gì. LastPass biết rằng kho mật khẩu được mã hóa của khách hàng có thể đã bị đánh cắp vào đầu tháng 11 sau khi công ty xác nhận bộ lưu trữ đám mây của họ bị đột nhập, sau khi bộ khóa lưu trữ đám mây của nhân viên bị đánh cắp trong một lần trước đó hồi tháng 8 nhưng công ty đã không thu hồi.

Lỗi hoàn toàn thuộc về LastPass, nhưng cách xử lý của công ty cũng thật tồi tệ. 

CÁC BƯỚC DOANH NGHIỆP NÊN LÀM SAU KHI BỊ TẤN CÔNG MẠNG

Trong Insurance Business đã tổng hợp những bước doanh nghiệp cần làm nếu họ không may trở thành nạn nhân của một cuộc tấn công mạng. 

Điều đầu tiên mà các doanh nghiệp nên làm khi phát hiện một cuộc tấn công mạng là nhanh chóng bảo vệ cơ sở hạ tầng CNTT của mình và huy động một nhóm ứng phó an ninh mạng để xác định nguồn gốc và nguyên nhân cuộc tấn công. Đó có thể là nhóm an ninh mạng nội bộ hoặc dịch vụ của bên thứ ba.

Việc cần làm tiếp theo là xác định kiểu tấn công. Theo các chuyên gia, việc xác định loại tấn công cho phép nhóm ứng phó an ninh mạng thực hiện các biện pháp thích hợp.

Bước thứ ba là ngăn chặn mối đe dọa gây thêm thiệt hại, đồng thời đánh giá và khắc phục sự cố. Sau khi cuộc tấn công mạng được ngăn chặn, các doanh nghiệp cần đánh giá mức độ thiệt hại và thực hiện các bước cần thiết để củng cố hệ thống của mình.

Tiếp theo là thông báo cho cơ quan có thẩm quyền càng sớm càng tốt. Nếu công ty có bảo hiểm trách nhiệm mạng, hãy liên hệ với hãng bảo hiểm để được tư vấn và hỗ trợ.

Ngoài ra, một cuộc tấn công mạng có thể dẫn đến thiệt hại lớn về uy tín. Vì điều này, các chuyên gia khuyên các doanh nghiệp nên làm việc với các chuyên gia quan hệ công chúng để xác định cách kiểm soát tốt nhất tác động của vụ việc. Theo đó, khách hàng, người dùng cần nhận được thông báo chính thức, đặc biệt nếu cuộc tấn công ảnh hưởng đến dữ liệu khách hàng nào. Việc đưa ra thông cáo báo chí về vụ việc cũng rất quan trọng, bởi vì thẳng thắn và minh bạch về cuộc tấn công để duy trì lòng tin của công chúng.

Và cuối cùng là rút kinh nghiệm. Sống sót sau một cuộc tấn công mạng nên là một kinh nghiệm học tập cho các doanh nghiệp và giúp họ chuẩn bị tốt hơn cho các sự cố trong tương lai.

Các doanh nghiệp nên đánh giá xem khách hàng có hài lòng với phản hồi hay không và xác định xem họ có cần đầu tư thêm vào nhân viên, đào tạo hoặc công nghệ để cải thiện mức độ bảo mật hay không.