Mới đây, một công ty tại TP.HCM hoạt động tư vấn trong lĩnh vực đầu tư bị hacker tấn công cơ sở dữ liệu, tài nguyên của công ty bằng virus. Điều này khiến ban lãnh đạo của công ty này phải tìm kiếm một đơn vị an ninh mạng để xử lý, ngăn chặn cuộc tấn công, đồng thời công ty cũng đề nghị Thừa phát lại (TPL) lập vi bằng để làm chứng cứ nộp cho cơ quan chức năng và các đơn vị có liên quan.
Bị hacker tấn công dữ liệu, tống tiền
Vụ việc xảy ra tại công ty X, theo IT của công ty này, mọi dữ liệu như thông tin khách hàng, kết quả tư vấn, dữ liệu nhân sự, kế toán, thuế, tiền lương … được lưu trữ tại một máy chủ vật lý. Từ máy chủ này, thông tin sẽ được đi qua các máy trạm trước khi đến máy cá nhân trực tiếp của các nhân sự trong công ty. Cả công ty dùng một hệ thống server và kết nối VPN để truy cập, khai thác, xử lý và lưu trữ dữ liệu.
Tuy nhiên, mới đây một trong những máy tính nhân viên của công ty bị tấn công mạng bằng virus. Theo mô tả của bộ phận công nghệ (IT) thì vi rút đã lây lan đến toàn bộ hệ thống máy tính trong công ty từ máy tính cá nhân, máy trạm đến máy chủ.
Virus đã mã hóa toàn bộ các tệp dữ liệu của công ty và trên mỗi thư mục đều để lại một tệp tin có tên gọi, định dạng, dung lượng và nội dung giống nhau là đòi tiền chuộc.
Cuộc tấn công thực hiện vào rạng sáng nên Công ty không kịp phát hiện, ngăn chặn. Đến khi phát hiện được thì toàn bộ hệ thống dữ liệu máy tính của công ty từ máy tính cá nhân, máy trạm đến máy chủ đã bị mã hóa và hiển thị thông báo “tống tiền”.
Bộ phận IT đã xử lý tạm thời bằng cách cô lập các máy tính nhân viên, ngắt kết nối máy chủ, máy trạm và tạm thời tìm kiếm đơn vị an ninh mạng để tìm cách khôi phục dữ liệu. Một số máy tính của nhân viên đã được cài đặt lại hệ điều hành để tạm thời sử dụng nhưng trong tình trạng mất hết dữ liệu, không kết nối với máy trạm, máy chủ và không kết nối với nhau.
Thừa phát lại cũng sợ virus, phải thao tác thủ công
Là người trực tiếp lập vi bằng trong vụ việc này, TPL Hoàng Đức Hoài, Văn phòng Thừa phát lại Bến Thành, cho biết đây là một yêu cầu mới mẻ và lần đầu tiên Văn phòng TPL Bến Thành tiếp nhận đối tượng lập vi bằng đặc biệt như vậy.
Sự cố này sẽ ảnh hưởng nghiêm trọng đến hoạt động của công ty đặc biệt là dữ liệu hồ sơ khách hàng, kết quả tư vấn đang được các nhân sự làm dở dang, dữ liệu kế toán, thuế, tiền lương…
Không những cuộc tấn công gây thiệt hại về tài sản, dữ liệu của công ty mà sau vụ tấn công này công ty sẽ cần phải giải trình, tìm kiếm sự cảm thông từ đối tác, khách hàng và cơ quan chức năng.
Để làm được điều đó, Công ty X cần phải xác lập chứng cứ để chứng minh sự cố virus tấn công hệ thống máy tính của công ty là có thật. Đây sẽ là nguồn chứng cứ quan trọng sử dụng để thông tin với khách hàng trong các giao dịch (chứng minh sự kiện bất khả kháng để loại trừ trách nhiệm); là chứng cứ để nộp cho cơ quan chứng năng để yêu cầu xử lý tổ chức, các nhân đã phát tán virus (ngăn chặn, thu hồi virus lại). Đồng thời dùng để giải trình về việc mất, thất thoát dữ liệu về kế toán, thuế, nhân sự đối với các cơ quan thuế, bảo hiểm...
Theo TPL Hoài, việc máy chủ đã được mang đi để khắc phục và một số máy tính đã cài đặt lại hệ điều hành cũng làm thay đổi hiện trạng vụ tấn công cần được ghi nhận. Ngoài ra, việc hệ thống máy tính đang nhiễm virus cũng làm cho TPL không thể tiến hành việc lập vi bằng theo quy chuẩn thông thường là sử dụng thiết bị máy tính đó để chụp màn hình và quay phim màn hình máy tính.
Bởi lẽ, TPL không thể cắm USB hoặc kết nối mạng internet để lấy dữ liệu vì nếu làm thế thì nguy cơ thiết bị của TPL có thể bị virus tiếp cận, tấn công và có thể là bị tống tiền giống như công ty X.
Sau cùng, TPL quyết định tiến hành cách lập vi bằng thủ công là sử dụng thiết bị ngoại vi (điện thoại, máy ảnh) để ghi lại các thao tác lập vi bằng.
"Chúng tôi đã trao đổi nhanh với chuyên gia an ninh mạng mà công ty đã thuê để khắc phục sự cố và tìm hiểu dấu hiệu nhận biết của một vụ tấn công mạng. Bởi lẽ TPL hiểu rằng, vi bằng không chỉ cung cấp cho người trong lĩnh vực công nghệ thông tin, máy tính mà còn cung cấp cho cơ quan chức năng, những người ở trong các lĩnh vực khác xem nên vi bằng cần ghi nhận, mô tả được các dấu hiệu dễ nhận biết, cách thức tấn công, mức độ ảnh hưởng của vụ tấn công"- TPL Hoài nói.
Giá trị của vi bằng
Vi bằng được lập có giá trị chứng minh sự việc các máy tính của công ty có dấu hiệu bị tấn công mạng, đòi tiền chuộc để cơ quan chức năng thông tin để kết luận vụ việc.
TPL không thay thế chuyên gia an ninh mạng để kết luận hệ thống máy tính bị tấn công. Nhiệm vụ của chúng tôi là đặc tả những “triệu chứng” “hiện tượng” bất thường đã quan sát được như sự đồng bộ của các tệp tin bị mã hóa, các tệp tin đòi tiền chuộc và sự vô hiệu hóa của các ứng dụng. Đây là nguồn chứng cứ quan trọng để cơ quan chức năng có đủ thông tin xác định sự thật khách quan của vụ việc.
Thừa phát lại Hoàng Đức Hoài, Văn phòng Thừa phát lại Bến Thành
