Thực tế này cho thấy an ninh mạng đang là vấn đề nhức nhối tại đất nước này. Tấn công mạng có lẽ là cụm từ được nhắc đến nhiều nhất với sự lo ngại lớn tại Australia trong những tuần gần đây khi nhiều công ty lớn ở nước này trở thành nạn nhân của các vụ tấn công mạng. Quy mô của các vụ tấn công là rất lớn và mức độ ngày càng nghiêm trọng hơn nhiều nếu so với các cuộc tấn công vào năm 2021.
Lỗ hổng lớn về an ninh mạng
Đáng lẽ vào ngày diễn ra lễ tưởng niệm Nữ hoàng Elizabeth Đệ Nhị 22/9/2022, không có tin tức nào có thể thu hút sự quan tâm bằng những tư liệu liên quan đến Nữ hoàng thì dư luận Australia lại bàng hoàng khi biết được công ty viễn thông lớn thứ 2 đất nước là Optus bị tin tặc tấn công và đánh cắp thông tin của gần 10 triệu khách hàng, tương đương với 40% dân số Australia.
Đây là vụ tấn công mạng có quy mô lớn nhất tại Australia cho đến thời điểm hiện tại. Mặc dù mức độ thông tin bị đánh cắp là khác nhau từ tên, tuổi, địa chỉ thư điện tử đến số điện thoại liên lạc và cả các thông tin có thể được dùng để định dạng cá nhân như số bằng lái xe, số an sinh xã hội và số hộ chiếu. Trong đó, có đó 2,8 triệu người bị ảnh hưởng nặng nề do nhiều thông tin cá nhân bị đánh cắp.
Khi vụ tin tặc tấn công Optus chưa được làm rõ, người dân Australia tiếp tục trở thành nạn nhân của một vụ tấn công mạng nghiêm trọng hơn nhằm vào công ty bảo hiểm tư nhân lớn nhất Australia là Medibank. Điều nguy hiểm là công ty Medibank không biết được quy mô của vụ tấn công nên ban đầu khi công bố vụ việc vào ngày 13/10 cho biết là không có dữ liệu nào của khách hàng bị đánh cắp.
Tuy vậy chưa đầy 2 tuần sau đó, sau khi tin tặc thông báo đang nắm giữ 200GB dữ liệu khách hàng và gửi bằng chứng về những dữ liệu đánh cắp được, Medibank mới khẳng định dữ liệu của toàn bộ 4 triệu khách hàng hiện tại và 1,5 triệu khách hàng cũ của công ty đã bị tin tặc đánh cắp. Mặc dù số lượng khách hàng trong vụ tin tặc tấn công Medibank ít hơn so với vụ tấn công Optus song lại nghiêm trọng hơn nhiều khi các thông tin cá nhân như số an sinh xã hội, ngân hàng, các thông tin về hợp đồng bảo hiểm, các chỉ định của bác sỹ....cũng đã bị tin tặc đánh cắp....Trong đó, nhiều thông tin mà các cá nhân không muốn chia sẻ với bất kỳ ai.
Không chỉ vậy trong khoảng thời gian từ cuối tháng 9/2022 đến hết tháng 10/2022, một số công ty lớn khác tại Australia cũng bị tin tặc tấn công như công ty bán hàng trực tuyến MyDeal với 2,2 triệu khách hàng, một công ty bán hàng trực tuyến khác là Vinomofo cũng bị tin tặc tấn công và đánh cắp thông tin của khoảng 500 nghìn khách hàng. Ngoài ra, công ty xét nghiệm hàng đầu Australia Australian Medical Lab cũng bị tin tặc đánh cắp thông tin của 223 nghìn khách hàng và công bố trên trang web đen...Công ty quản lý bất động sản SSKB cũng bị tin tặc tấn công và lấy cắp nhiều thông tin quan trọng của công ty như tình trạng tài chính của khách hàng, các dự án, hợp đồng và thỏa thuận....
Khi các doanh nghiệp lớn có nhiều tiềm lực kinh tế và có hệ thống quản lý chặt chẽ còn bị tin tặc tấn công thì việc các doanh nghiệp vừa và nhỏ tại Australia trở thành nạn nhân của tin tặc không phải là điều bất ngờ. Báo cáo của Trung tâm an ninh mạng Australia cho biết trong năm 2020-2021, trung tâm nhận được hơn 76 nghìn báo cáo về tội phạm mạng, tức là cứ mỗi 7 phút thì có 1 báo cáo về tội phạm mạng nhằm vào các thực thể của nước này, tăng gần 13% so với với năm trước đó. Trong đó, riêng trong năm 2020, 62% các tội phạm mạng nhằm vào các doanh nghiệp vừa và nhỏ của nước này.
Hậu quả của các vụ tấn công mạng
Theo Trung tâm an ninh mạng Australia, tội phạm mạng mỗi năm làm cho nền kinh tế nước này thiệt hại 3,5 tỷ AUD. Có thể là các nhóm tội phạm mạng yêu cầu công ty trả tiền chuộc để đổi lại việc thông tin đánh cắp không được bán cho bên thứ ba hoặc có thể các thông tin này được dùng để bán lại cho các tội chức tội phạm. Số liệu của Công ty phân tích McGrathNicol cho thấy 80% các công ty lựa chọn trả tiền chuộc và mức tiền chuộc trung bình cho 1 vụ là hơn 1 triệu AUD.
Với các vụ việc diễn ra gần đây, công ty viễn thông Optus đã bị tin tặc yêu cầu trả 1,5 triệu AUD tiền chuộc. Công ty bảo hiểm tư nhân Medibank cũng bị tin tặc đòi tiền chuộc nếu không sẽ công bố thông tin của những người nổi tiếng, được dư luận quan tâm. Tuy hôm nay, lãnh đạo công ty Medibank tuyên bố sẽ không trả tiền chuộc để tiếp tay cho tội phạm song vào năm ngoái, công ty chế biến thịt lớn của Australia JBS đã phải trả 14 triệu AUD tiền chuộc sau vụ tấn công mã độc làm tê liệt hoạt động của nhiều cơ sở giết mổ gia súc của công ty này.
Bên cạnh đó, tin tặc cũng có thể không cần tiền chuộc của công ty mà bán thẳng dữ liệu lấy được cho các tổ chức tội phạm. Trong trường hợp nhiều khách hàng của công ty viễn thông Optus và công ty bảo hiểm tư nhân Medibank bị tin tặc đánh cắp các thông tin quan trọng của cá nhân như số hộ chiếu, số bằng lái xe, số an sinh xã hội, địa chỉ liên lạc, số điện thoại và thư điện tử thì hệ lụy sẽ là rất lớn nếu những thông tin này rơi vào tay tổ chức tội phạm. Khi đó các tổ chức tội phạm sẽ lợi dụng các thông tin đã có để tiếp cận và tạo dựng lòng tin với người dân, làm cơ sở để tiến hành các hành vi lừa đảo, lấy tiền của các công dân Australia.
Các vấn đề còn bỏ ngỏ
Việc liên tiếp các công ty lớn tại Australia bị tin tặc tấn công và đánh cắp dữ liệu của khoảng 17 triệu khách hàng, trong đó có nhiều thông tin cá nhân cho thấy đang có lỗ hổng lớn trong vấn đề an ninh mạng tại Australia. Tuy vậy làm thế nào để khắc phục tình trạng này và bảo vệ được người dân thì vẫn còn là những câu hỏi chưa thực sự tìm được câu trả lời thỏa đáng.
Thứ nhất đó là các vấn đề liên quan đến thông tin cá nhân khách hàng. Câu hỏi đặt ra là các doanh nghiệp được thu thập các loại thông tin cá nhân nào của khách hàng và những loại thông tin cá nhân nào không cần thiết/không phải cung cấp cho doanh nghiệp. Thông thường các thông tin cá nhân mà khách hàng cung cấp doanh nghiệp ban đầu là để xác định danh tính sau đó dùng để định danh khách hàng và dùng để liên lạc. Vì vậy sau các vụ tấn công mạng xảy ra tại Australia đã xuất hiện các ý kiến về thời hạn lưu giữ các thông tin cá nhân và mức độ các thông tin được lưu giữ.
Thứ hai đó là trách nhiệm của các doanh nghiệp trong việc lưu giữ, bảo mật thông tin khách hàng, trách nhiệm báo với cơ quan chức năng, thông báo với khách hàng khi có các vụ vi phạm xảy ra. Hiện tại Luật Bảo vệ quyền riêng tư của Australia yêu cầu các công ty phải báo cáo với cơ quan chức năng khi có vụ việc nghiêm trọng về dữ liệu diễn ra và có thể gây ra các tác hại nghiêm trọng. Tuy nhiên thế nào là tác hại nghiêm trọng thì cũng là vấn đề gây tranh cãi.
Thực tế xảy ra trong vụ Optus và Medibank bị tấn công mạng còn cho thấy có những vấn đề khác cũng đang được lý giải khác nhau như việc xác định bị tấn công mạng hay do hệ thống có lỗ hổng. Bên cạnh đó cũng có câu hỏi đặt ra là liệu các doanh nghiệp chỉ báo cáo khi các thông tin do nhà nước quản lý như hộ chiếu, bằng lái xe, số an sinh xã hội....bị đánh cắp hay cho dù chưa đến mức này vẫn phải báo cáo.
Hiện tại Australia cũng đang có khoảng trống trong việc quy định nghĩa vụ bảo mật thông tin khách hàng của các doanh nghiệp khiến cho các doanh nghiệp dường như chưa nỗ lực đủ để thực hiện trách nhiệm này. Việc các doanh nghiệp lớn như Optus hay Medibank tin tin tặc tấn công và lấy cắp rất nhiều thông tin đã cho thấy điều này. Ở công ty lớn đã vậy thì việc bảo mật thông tin ở các doanh nghiệp nhỏ tại Australia còn yếu kém hơn.
Báo cáo của Trung tâm an ninh mạng Australia cho thấy trung bình các doanh nghiệp nhỏ ở nước này chỉ chi khoảng 500 AUD mỗi năm cho việc an ninh mạng cho thấy nỗ lực ít ỏi và việc không coi trọng đúng mức tầm quan trọng của vấn đề. Đồng thời, nhiều doanh nghiệp cũng không mua bảo hiểm an ninh mạng nên khi có sự cố xảy ra, thiệt hại của các doanh nghiệp là rất lớn, tiêu biêu là Medibank ước tính có thể thiệt hại từ 25 triệu AUD đến 35 triệu AUD cho vụ việc lần này.
Thứ ba là vấn đề trả tiền chuộc của các doanh nghiệp. Nhiều vụ tấn công mạng xảy ra nhằm mục đích tài chính vì thế tin tặc thường liên lạc với tổ chức vừa bị tấn công để đòi tiền chuộc. Mặc dù tại Australia không có quy định về việc các công ty, tổ chức không được trả tiền chuộc cho tin tặc song cơ quan chức năng Australia kêu gọi các doanh nghiệp không thỏa hiệp với tin tặc để không khuyến khích các vụ việc tương tự xảy ra. Tuy nhiên cũng có ý kiến cho rằng với một số vụ việc nghiêm trọng nếu không trả tiền chuộc, hoạt động của công ty sẽ bị ảnh hưởng nghiêm trọng và đẩy khách hàng đối mặt với nhiều rủi ro.
Giáo sư tội phạm mạng của trường Đại học New South Wales Richard Buckland cho biết, trong vụ của Medibank hiện nay, công ty nên trả tiền chuộc vì những thiệt hại sẽ rất lớn nếu tin tặc bán các thông tin đang nắm giữ cho tổ chức tội phạm. Tuy vậy cho dù trả tiền chuộc thì cũng không có gì đảm bảo là tin tặc không bán các thông tin này cho bên thứ 3.
Australia sửa luật để nâng cao trách nhiệm doanh nghiệp
Trước thực trạng nhức nhối của các vụ tấn công mạng liên tiếp diễn ra trong thời gian qua, vào hồi đầu tháng 10, Australia công bố một số thay đổi mới liên quan tới các quy định lưu trữ thông tin cá nhân. Theo đó, các tổ chức tài chính, viễn thông sẽ cần thực hiện các cam kết trước khi được phép nhận dữ liệu, bao gồm cả việc đồng ý hủy thông tin sau khi đã tiến hành xác minh xong và phải tuân thủ tất cả các nghĩa vụ về quyền riêng tư.
Tiếp đó đến cuối tháng 10 vừa qua Bộ trưởng Tư Pháp Australia Mark Dreyfus hôm nay đã đệ trình Quốc hội nước này dự luật bảo vệ quyền riêng tư sửa đổi. Theo quy định trong dự thảo luật, các công ty bị tin tặc tấn công phải thông báo sự việc cho khách hàng hoặc thông báo công khai về vụ việc nếu không thể thông báo cho khách hàng. Đồng thời các cơ quan chức năng của Australia cũng có quyền yêu cầu các công tin phải cung cấp dữ liệu mà không cần đến lệnh của tòa án.
Dự thảo luật mới bao gồm cả các công ty nước ngoài như các công ty quản lý các trang web, nơi lưu giữ các dữ liệu về công dân Australia. Dự thảo luật cho biết cho dù là công ty nước ngoài và không trực tiếp thu thập dữ liệu về công dân Australia từ các nguồn trực tiếp tại nước này song vẫn phải có nghĩa vụ tuân thủ luật bảo vệ quyền riêng tư khi mà họ có hoạt động tại Australia.
Với các công ty hoạt động tại Australia, dự luật mới cũng tăng mức phạt từ 2.2 triệu AUD hiện nay lên tới 50 triệu AUD hoặc 30% doanh thu của công ty trong giai đoạn liên quan hoặc 3 lần giá trị của bất kỳ lợi ích nào thu được từ dữ liệu bị đánh cắp. Bộ trưởng Tư pháp Australia Mark Dreyfus cho biết “chính phủ, doanh nghiệp và các tổ chức có nghĩa vụ bảo vệ dữ liệu của người dân Australia chứ không thể đối xử với chúng như các tài sản thương mại” vì vậy “các tổ chức cần phải có các biện pháp mạnh mẽ để bảo vệ an ninh mạng và dữ liệu để bảo vệ người dân Australia”./.