Đổi cách ứng phó với hacker

Trong thời điểm không ai biết chắc diễn tiến sắp tới của phong trào tấn công các trang mạng của chính phủ và tập đoàn kinh tế, nhiều doanh nghiệp nạn nhân đã thay đổi cách ứng phó với tin tặc (hacker).

Ban lãnh đạo Sony xin lỗi về vụ mạng PlayStation Network bị tấn công tại một cuộc họp báo vào tháng 5.

Khi công ty tiếp thị qua thư điện tử (e-mail) Epsilon Data Management vào tháng 3-2011 phát hiện tin tặc đã đánh cắp địa chỉ e-mail của người tiêu dùng mà công ty này lưu giữ cho các ngân hàng lớn và các nhà bán lẻ, Giám đốc điều hành Bryan Kennedy buộc phải chọn lựa giữa việc tiết lộ hoặc giữ kín vụ việc.

Công khai thông tin

Epsilon, một bộ phận của hãng Alliance Data Systems Corp., là công ty thực hiện các chương trình quảng bá và tiếp thị cho các công ty khác. Theo quy định của pháp luật, công ty này không bị buộc phải công bố vụ việc nói trên. Thường thì luật pháp yêu cầu thông báo những vụ đánh cắp dữ liệu liên quan đến số thẻ tín dụng, số thẻ an sinh xã hội hoặc dữ liệu y tế.

Trong vòng 48 giờ sau khi phát hiện vụ tấn công, Epsilon đã thành lập nhóm xử lý khủng hoảng. Theo kế hoạch ứng phó đã được phát triển từ trước, công ty thông báo cho các khách hàng, như Target Corp. và JP Morgan Chase & Co, về vụ việc và khuyên họ nên dùng ngôn từ gì khi thông báo cho những người bị ảnh hưởng. Epsilon sau đó phát đi thông cáo báo chí về vụ tấn công.

Cách thức xử lý nói trên của Epsilon là một minh chứng về sự chuyển hướng của các công ty trong việc ứng phó với những vụ tấn công của tin tặc. Trong quá khứ, khi bị tin tặc tấn công, các công ty thường không xử lý thận trọng, dẫn đến việc họ sau đó phải cập nhật thông tin hoặc giải thích rõ hơn cho những khách hàng liên quan. Giờ đây, một đội ngũ luật sư, chuyên gia quan hệ công chúng và các nhà điều tra pháp y đang xuất hiện ngày càng nhiều để giúp doanh nghiệp xác định những thông tin gì nên công bố và có cách thức trấn an những khách hàng bị ảnh hưởng. Bên cạnh đó, bản thân người lãnh đạo ở nhiều công ty cũng nhận thức rõ hơn về mối đe dọa của tin tặc, từ đó cho soạn thảo trước kế hoạch ứng phó mỗi khi xảy ra vụ tấn công.

Sự chuyển hướng nói trên diễn ra trong bối cảnh các vụ tấn công của tin tặc diễn ra ngày càng nhiều và kinh nghiệm cho thấy việc công bố những vụ việc như thế không phải lúc nào cũng gây tổn thất lâu dài cho một thương hiệu. Ông Lori Nugent, một luật sư chuyên về các vụ tin tặc tại công ty luật Wilson Elser Moskowitz Edelman & Dicker LLP, nhận định rằng trong thực tế, nếu vụ xâm nhập được xử lý tốt, "sự trung thành của khách hàng và thương hiệu của bạn thực sự có thể được cải thiện".

Trong số những công ty thảo luận công khai về việc hệ thống của họ bị tin tặc xâm hại có Google – công ty tiết lộ rằng những tin tặc tại Trung Quốc đã đánh cắp một số tài sản trí tuệ của mình vào đầu năm 2010 – và bộ phận bảo mật RSA của tập đoàn EMC Corp. – có các hệ thống bị tin tặc xâm nhập vào đánh cắp thông tin liên quan đến những sản phẩm bảo mật của họ. Gần đây, Citigroup Inc. cho biết số lượng thẻ tín dụng bị đánh cắp trong vụ tấn công xảy ra vào tháng 5 nhiều gấp đôi con số ước tính ban đầu.

Bài học từ Sony

Sự gia tăng của các vụ tin tặc nhằm vào doanh nghiệp khiến công chúng có cái nhìn khoan dung hơn về nạn nhân. Ông Michael Fox, một chuyên gia về bảo mật dữ liệu tại công ty truyền thông ICR Inc., nói: "Ngày càng có ít người xem các vụ tấn công của tin tặc là điểm yếu của công ty. Thay vào đó, họ xem chúng là hệ quả của mức độ tinh vi và sự hoạt động không ngừng của tin tặc". Điều này có thể giúp lý giải việc khách hàng ít có khuynh hướng rời bỏ những công ty bị tin tặc tấn công. Tại Epsilon, Giám đốc điều hành Kennedy tin rằng vụ tấn công vào tháng 3 sẽ không gây ra những tổn thất kéo dài. Ông cho biết: "Khách hàng vẫn ủng hộ công ty và chúng tôi hy vọng sẽ không có nhiều xáo trộn xảy ra".

Dĩ nhiên là vẫn có công ty không xử lý tốt các vụ tấn công của tin tặc. Chẳng hạn như Sony vào tháng 4 vừa qua đã bị chỉ trích vì công bố quá chậm thông tin về vụ tin tặc tấn công mạng PlayStation Network của mình, khiến dữ liệu của khoảng 100 triệu khách hàng bị xâm phạm. Thậm chí Sony vào thời điểm đó đã không thể kết luận được rằng liệu số thẻ tín dụng của khách hàng có bị đánh cắp hay không.

Phản ứng của Sony khiến David Weekly, một doanh nhân 32 tuổi ở thành phố Redwood City, bang California (Mỹ), không hài lòng chút nào. Ông cho biết thông tin tài khoản của mình đã bị xâm phạm ít nhất hai lần chỉ trong vòng vài tháng – trước đó là với công ty xuất bản nhật ký điện tử (blog) Gawker Media vào tháng 12-2010. Tuy nhiên, khác với Sony, Gawker đã báo ngay cho các khách hàng rằng mật khẩu lưu trữ trên trang web có thể đã bị xâm phạm. Ông Weekly đánh giá cao lời xin lỗi nhanh chóng của Gawker trong khi cho rằng Sony đã thông báo cho ông quá trễ về những gì đã xảy ra. "Điều khiến tôi khó chịu là Sony vẫn tiếp tục kín tiếng về việc những thông tin gì có thể đã bị đánh cắp và rò rỉ ra bên ngoài".

Để xoa dịu nỗi lo của khách hàng, các công ty đang cung cấp cho họ ngày càng nhiều thông tin chính xác về những gì đã xảy ra trong một vụ tấn công và những rủi ro liên quan. Chẳng hạn như Citigroup tiết lộ rằng trong vụ tấn công vào tháng 5, tin tặc đã đánh cắp những loại thông tin như số thẻ tín dụng, tên tuổi, địa chỉ e-mail, nhưng không xâm phạm được số thẻ an sinh xã hội và ngày sinh. Theo họ, những dữ liệu bị đánh cắp là không đủ để sử dụng vào các vụ gian lận thẻ tín dụng. Trong thông báo mới nhất gần đây, công ty này cung cấp chính xác số lượng tài khoản bị ảnh hưởng – 360.083 tài khoản – và thừa nhận đã có 1,9 triệu euro bị đánh cắp từ khoảng 3.400 tài khoản trong số này. Citigroup cũng nhắc lại rằng khách hàng sẽ không phải chịu trách nhiệm về những tổn thất tài chính từ vụ tấn công nói trên.