Nếu nhìn vào số lượng các vụ xâm nhập dữ liệu trong năm nay thì bạn có thể nghĩ rằng thế giới IT dường như chưa bao giờ bất ổn như thế. Ngày càng có nhiều dữ liệu quan trọng bị đánh cắp, và số tiền thiệt hại cũng theo đó mà leo thang không ngừng nghỉ.
Tính tới cuối tháng 11 vừa qua, Trung tâm ITRC (chuyên theo dõi các vụ đánh cắp danh tính), Mỹ đã ghi nhận được 435 vụ xâm nhập, giảm 50% so với năm 2008. Đây cũng là năm đầu tiên có số vụ xâm nhập dữ liệu giảm trong suốt 4 năm qua. Tuy nhiên, điều đó không có nghĩa mức độ nghiêm trọng của vụ việc được giảm bớt đi.
Thực tế, số các bản ghi cá nhân bị xâm nhập như số thẻ an ninh xã hội, hồ sơ điều trị và thông tin thẻ tín dụng đã tăng vọt lên 220 triệu bản trong năm nay, so với 35 triệu bản trong năm ngoái. Đây cũng là kỷ lục về lượng dữ liệu bị đánh cắp từ trước cho tới nay. Hầu hết những vụ thất thoát dữ liệu lớn đều bắt đầu từ một nguồn duy nhất – Công ty xử lý thẻ tín dụng Heartland Payment Systems.
Lộ thông tin thẻ kỷ lục
Cách thức đột nhập vào mạng của Heartland cũng được coi là “có một không hai”. Albert Gonzalez (thường được giới hacker gọi là “Segvec”) và hai “đồng nghiệp” người Nga khác đã sử dụng cách thức chèn câu lệnh SQL truyền thống vào website của công ty, rồi sau đó đột nhập vào máy chủ lưu trữ trang web này. Thông qua đó, nhóm hacker đã cài mã độc vào server để thu thập thông tin thẻ tín dụng và ghi nợ. Cũng từ đây, nhóm của “Segvec” đã tiếp cận thông tin của nhiều nhà cung cấp dịch vụ thẻ khác, chứ không riêng gì một hãng đơn lẻ. Đó cũng là lý do tại sao mà thiệt hại của vụ này lại nghiêm trọng đến vậy. Nhóm của “Segvec” đã đánh cắp được 130 triệu tài khoản tín dụng trong vụ này.
Rò rỉ dữ liệu chính phủ lớn nhất lịch sử
Dĩ nhiên, Heartland không phải là “điển hình” duy nhất trong năm nay. Ở mức độ ít nghiêm trọng hơn, nhưng xét về quy mô thì vẫn khá lớn, có Cục lưu trữ quốc gia Mỹ (NARA). Vụ đột nhập xảy ra trong tháng 10/2009 và có tác hại cũng rất lớn. Một chiếc ổ cứng (bị lỗi) chứa thông tin cá nhân của 76 triệu quân nhân phục vụ trong quân đội đã được NARA gửi cho nhà thầu GMRI (dịch vụ sửa chữa IT) để tu sửa. Nhưng thay vì xóa toàn bộ dữ liệu trong ổ cứng này đi thì NARA lại gửi thẳng đi. Đây được coi là vụ rò rỉ dữ liệu chính phủ lớn nhất trong lịch sử.
NARA sau đã đã tiết lộ một sự thật cho thấy quy trình xử lý thông tin mật của chính phủ Mỹ đang có vấn đề. Đó là bản thân NARA đã ký hợp đồng xử lý thông tin mật với GMRI, nhưng thay vì tuân thủ quy định này, bản thân GMRI và NARA đều đã quá cẩu thả nên mới xảy ra vụ việc trên. Toàn bộ dữ liệu này hoàn toàn không được mã hóa, và có thể dễ dàng truy cập thông qua cách thức thông thường.
“Tại sao những tổ chức lớn như vậy mà thông tin quan trọng lại không được mã hóa ngay cả khi họ biết về những nguy cơ tiềm ẩn”, Linda Foley, giám đốc tổ chức ITRC tỏ ra ngạc nhiên. Theo Linda Foley, thì đó chỉ có thể là quy trình quản lý có vấn đề, thêm vào đó là yếu tố con người, và ý thức bảo vệ thông tin (cũng được coi là một dạng tài sản).
Mã hóa và chống thất thoát dữ liệu
Ngoài hai vụ thất thoát dữ liệu “siêu lớn” kể trên, ITRC còn ghi nhận được 14 triệu bản ghi dữ liệu bị đánh cắp trong năm nay. Tuy nhiên, Larry Ponemon, CEO của công ty nghiên cứu các vụ đột nhập dữ liệu, thì cho rằng con số này trên thực tế có thể gấp đôi. Ponemon cũng chỉ ra rằng, những dữ liệu mà ITRC ghi nhận được chủ yếu dựa trên các báo cáo, còn trong thực tế, có rất nhiều vụ thất thoát mà không được báo cáo. Cũng theo Ponemon, chỉ có những vụ to tát hơn một chút mới được mọi người chú ý, còn những vụ nhỏ lẻ thì coi như “chìm xuống”.
Tuy nhiên, Ponemon cho rằng cũng nhờ sử dụng các công nghệ kiểu như mã hóa và phòng chống thất thoát dữ liệu (DLP) mà hậu quả và số lượng các vụ thất thoát dữ liệu quan trọng đã giảm đi khá nhiều. Các công nghệ này sẽ theo dõi lượng e-mail ra vào mạng doanh nghiệp, khóa các cổng USB không cho trao đổi dữ liệu quan trọng. Kể từ năm 2005, tỉ lệ mã hóa toàn bộ ổ cứng đã tăng trung bình 19%/năm, và mã hóa USB tăng 16%/năm. Còn tốc độ triển khai giải pháp DLP cũng tăng khoảng 8%/năm.
Ponemon cũng cho rằng để đưa ra con số chính xác các vụ đột nhập là điều rất khó có thể thực hiện. Vị CEO cũng tin rằng các giải pháp DLP và mã hóa vẫn chưa thực sự hiệu quả, chúng vẫn chưa được áp dụng một cách toàn diện để ngăn cản hành vi đánh cắp dữ liệu, chẳng hạn như từ ĐTDĐ. “Ngày càng có nhiều doanh nghiệp sử dụng DLP và mã hóa, nhưng họ chưa tính tới yếu tố con người, và trên hết đây mới là yếu tố quan trọng. Ngay cả một hệ thống bảo mật có mạnh mẽ đến thế nào đi chăng nữa mà con người không kiểm soát được chúng thì hiệu quả đạt được cũng chẳng là bao”, nhận định của Ponemon.
Các vụ rò rỉ dữ liệu lớn nhất nước Mỹ trong năm 2009:
1. Heartland Payment Systems
Số bản ghi bị đánh cắp: 130 triệu tài khoản khách hàng
Hacker có biệt danh "Segvec" và 2 đồng phạm đã đột nhập vào trang web của nhà cung cấp dịch vụ thẻ tín dụng Heartland Payment Systems để đánh cắp 130 triệu tài khoản người dùng. Đây là vụ thất thoát dữ liệu thẻ được coi là lớn nhất trong lịch sử.
2. National Archive and Records Agency (NARA)
Số bản ghi bị đánh cắp: 76 triệu
Một chiếc ổ cứng bị lỗi chứa thông tin của 76 triệu quân nhân Mỹ đã bị rò rỉ ra ngoài khi NARA đem ổ cứng đi sửa. Đây cũng được coi là vụ lộ thông tin chính phủ lớn nhất trong lịch sử Mỹ.
3. Virginia Prescription Monitoring Program
Số bản ghi bị đánh cắp: 8,3 triệu
Ngoài 8,3 triệu bản ghi bị đánh cắp, website của Virginia Prescription Monitoring Program (VPMP) còn bị xóa trắng. Kẻ tấn công còn yêu cầu khoản tiền chuộc 10 triệu USD để đổi lại dữ liệu.
4. Health Net Insurance
Số bản ghi bị đánh cắp: 1,5 triệu
Công ty bảo hiểm này cũng bị mất một ổ cứng di động trong có chứa 1,5 triệu tệp tin chưa được mã hóa của khách hàng. Những dữ liệu này bao gồm thông tin về y tế và số thẻ an ninh xã hội.
5. Oklahoma Department of Human Services
Số bản ghi bị đánh cắp: 1 triệu
Một nhân viên của bộ phân nhân sự chính quyền bang Oklahoma đã đánh cắp laptop trong có chứa thông tin về 1 triệu người dân của bang này. Những thông tin đó bao gồm: địa chỉ, tên, số thẻ an ninh xã hội, thông tin y tế… Tuy nhiên, may mắn ở chỗ những dữ liệu này đã được mã hóa. Nhiều khả năng kẻ cắp bán laptop thay vì biết chúng có chứa thông tin cá nhân quan trọng.
6. Blue Cross
Số bản ghi bị đánh cắp: 850.000
Lại thêm một vụ mất laptop chứa dữ liệu quan trọng khác, nhưng lần này xảy ra với Hội chữ thập xanh (Blue Cross). Thông tin cá nhân của 850.000 bác sĩ đã bị lộ ra ngoài, bao gồm cả số an ninh xã hội. Blue Cross cũng từng đánh mất 68 chiếc ổ cứng khác chứa thông tin về bệnh nhân, có điều hãng này chưa thể ước tính có bao nhiêu bản ghi bị lộ ra ngoài.
7. Network Solutions
Số bả ghi bị đánh cắp: 573.000
Hacker đã cài cắm mã độc vào website của Network Solutions rồi đánh cắp thông tin thẻ tín dụng của hơn 4000 doanh nghiệp tại Mỹ.
8. Bệnh viện Jackson Memorial
Số bản ghi bị rò rỉ: 200.000
Một chiếc ổ cứng đã biến mất hồi tháng 2/2009 tại văn phòng Bệnh viện Jackson Memorial ở Miami, trong có chứa thông tin của 200.000 khách ghé thăm bệnh viện này.
9. Đại học North Carolina
Số bản ghi bị rò rỉ: 163.000
Vụ việc này tuy xảy ra đã hơn 2 năm nhưng vẫn trong diện điều tra. Một nhóm hacker đã đột nhập và đánh cắp thông tin của 163.000 người chứa trong các báo cáo nghiên cứu khoa học của Đại học North Carolina.
10. Đại học California, Berkeley
Số bản ghi bị đánh cắp: 160.000
Số thẻ an ninh xã hội và thông tin bảo hiểm y tế của 160.000 sinh viên Đại học California, Berkeley đã bị đánh cắp cách đây 6 tháng. Hiện vẫn chưa lần ra thủ phạm vụ đột nhập này.