Tin tức về các cuộc tấn công mạng nhằm vào các tổ chức thuộc mọi hình dạng và quy mô xuất hiện hàng ngày và nó thường đi kèm với rất nhiều lời chỉ trích dành cho nạn nhân. Thông thường, vấn đề nằm ở cách xử lý vụ việc, nhưng cũng có trường hợp nạn nhân bị tấn công mạng bị lên án vì không thực hiện đủ các biện pháp phòng ngừa để ngăn chặn vi phạm xảy ra ngay từ đầu. Hôm qua, Liên Hợp Quốc, tổ chức chịu trách nhiệm, trong số những thứ khác, giữ gìn hòa bình mong manh trên hành tinh quý giá của chúng tôi, đã thừa nhận rằng nó đã bị tin tặc nhắm đến. Thật an toàn khi nói rằng mọi người có thể chỉ trích nó không chỉ vì không ngăn chặn vi phạm mà còn vì cách báo cáo.
Liên Hợp Quốc đã hứng chịu một cuộc tấn công mạng "có nguồn lực tốt" vào mùa hè năm 2019
Trước khi chúng ta nhận ra những sai lầm của Liên Hợp Quốc, trước tiên chúng ta phải xem điều gì đã xảy ra. Rốt cuộc, chúng ta đang nói về một tổ chức khổng lồ chịu trách nhiệm về một lượng dữ liệu khổng lồ. Một số trong đó nhạy cảm đến mức nếu rơi vào tay kẻ xấu, nó có thể dẫn đến mất mạng người. May mắn thay, nếu Liên Hợp Quốc được tin tưởng, tin tặc đã không truy cập được các thông tin nhạy cảm nhất.
Theo thông báo chính thức, cuộc tấn công đã đánh trúng "các thành phần cơ sở hạ tầng cốt lõi" trong các văn phòng của Liên Hợp Quốc tại Vienna và Geneva. Một trong những vũ khí của Liên Hợp Quốc tại Geneva là Văn phòng Cao ủy Nhân quyền (OHCHR), và đã xác nhận rằng các máy chủ của nó đã được nhắm mục tiêu. Rất may, những kẻ tấn công chỉ tìm cách vào môi trường phát triển, điều này cũng tốt vì OHCHR có thể xử lý dữ liệu nhạy cảm có thể dẫn đến sự khủng bố của các nhà hoạt động theo một số chế độ nhất định. Mặc dù họ không nhận được thông tin đó, nhưng các tin tặc đã tìm cách thỏa hiệp một số ID người dùng Active Directory, mặc dù Liên Hợp Quốc đã nhanh chóng chỉ ra rằng không có mật khẩu nào bị đánh cắp.
Các quan chức Liên Hợp Quốc không muốn đi sâu vào quá nhiều chi tiết về những gì khác đã bị xâm phạm. Tuy nhiên, họ đã chỉ ra rằng vụ việc là "nghiêm trọng" và họ ngụ ý rằng Liên Hợp Quốc đã bị tấn công bởi một nhóm tin tặc tinh vi có nhiều tài nguyên. Mặc dù điều này rất có thể là trường hợp, thành công của cuộc tấn công không thể hoàn toàn được quy cho kỹ năng của tin tặc. Quản lý bản vá cẩu thả của Liên Hợp Quốc cũng đóng một vai trò quan trọng.
Cuộc tấn công đã thành công vì một bản cập nhật bị trì hoãn
Nhiều người lo lắng vì thông báo ngày hôm qua một lần nữa chứng minh rằng ngay cả các tổ chức lớn có tầm quan trọng toàn cầu cũng có thể bị hack thành công. Tuy nhiên, điều thực sự đáng sợ là các tổ chức này dễ bị tấn công mạng.
Để hiểu điều gì đã thực sự xảy ra, chúng ta phải tua lại đồng hồ từ tháng 2 năm 2019 khi các nhà nghiên cứu bảo mật tìm thấy lỗ hổng thực thi mã từ xa trong Microsoft SharePoint, một hệ thống quản lý tệp và tài liệu hợp tác được sử dụng bởi hàng trăm ngàn tổ chức trên toàn thế giới. Lỗ hổng có thể cho phép tin tặc bỏ qua xác thực và thực thi mã của SharePoint trên máy chủ của mục tiêu. Hậu quả tiềm tàng của một cuộc tấn công như vậy là rất lớn, đó là lý do tại sao lỗ hổng được phân loại là nghiêm trọng, nó đã được cấp số CVE (CVE-2019-0604) và bắt đầu ngay lập tức. Vào tháng 3, Microsoft đã phát hành bản cập nhật để giải quyết CVE-2019-0604 trên hầu hết các phiên bản SharePoint bị ảnh hưởng và vào ngày 25 tháng 4 năm 2019, nó đã phát hành một bản vá khác cho phần còn lại của các nền tảng dễ bị tổn thương.
Các chính sách CNTT của Liên Hợp Quốc dường như chỉ ra rằng các bản cập nhật bảo mật phải được cài đặt trong vòng một tháng kể từ khi phát hành, nhưng thật không may, các quy tắc không được tuân thủ nghiêm ngặt. Vào tháng 7 năm 2019, tin tặc đã khai thác CVE-2019-0604 trên nền tảng SharePoint của Liên Hợp Quốc và có quyền truy cập vào máy chủ của tổ chức.
Các chuyên gia an ninh mạng đầu tư khá nhiều thời gian và công sức vào việc thuyết phục người dùng và doanh nghiệp rằng việc giữ cho các ứng dụng phần mềm và hệ điều hành được cập nhật là vô cùng quan trọng. Tất cả chúng ta đều có xu hướng cho rằng các chuyên gia CNTT làm việc cho các tổ chức có tầm quan trọng toàn cầu không cần phải nhắc nhở về điều này, nhưng rõ ràng, đây không phải là trường hợp.
Đã đến lúc tất cả chúng ta đều biết rằng hoàn toàn không có lý do gì để bỏ qua các cập nhật bảo mật. Chúng ta cũng phải xem cách LHQ xử lý vụ việc và học hỏi từ những sai lầm của mình.
Liên Hợp Quốc cố tình giữ cuộc tấn công dưới sự bọc
Thật khó để suy đoán liệu Liên Hợp Quốc có ý định tiết lộ vi phạm ngày hôm qua hay không, nhưng thực tế của vấn đề là, vài giờ trước khi các quan chức của tổ chức đứng trước các máy quay, một cơ quan có tên là Nhân đạo mới (TNH ) bản tin mới. Báo cáo là kết quả của một cuộc điều tra khá dài, bắt đầu vào tháng 11 năm 2019 khi Ben Parker, một Biên tập viên cao cấp của TNH, tình cờ thấy một báo cáo nội bộ của Liên Hợp Quốc từ cuối tháng 8 năm ngoái.
Nó tiết lộ rằng hồi đó, đội CNTT của Liên Hợp Quốc đang ở giữa cắm tất cả các lỗ hổng và điều tra những gì đã xảy ra. Vào thời điểm đó, các chuyên gia đang liên lạc với nhau và đang cố gắng đánh giá thiệt hại. Một quan chức CNTT ẩn danh nói với TNH rằng toàn bộ sự việc là một "cuộc khủng hoảng lớn" và thực sự, cuộc điều tra của Ben Parker cho thấy rằng không ít hơn 40 máy chủ đã bị xâm phạm trong cuộc tấn công. Các máy chủ có khả năng được liên kết với hệ thống bảo hiểm nhân lực và bảo hiểm y tế, điều đó có nghĩa là trong khi họ không được xem danh sách các nhà hoạt động nhân quyền, tin tặc đã tìm cách truy cập thông tin cá nhân của nhân viên Liên Hợp Quốc tại Geneva và Vienna.
Cuộc điều tra của TNH cũng cho thấy Liên Hợp Quốc đã thúc giục nhân viên của mình thay đổi mật khẩu nhưng hoàn toàn không có ý định nói với họ rằng dữ liệu của họ là mục tiêu của một cuộc tấn công mạng. Những người duy nhất biết về vụ việc là các chuyên gia CNTT chịu trách nhiệm dọn dẹp mớ hỗn độn và những người tiếp tục phân cấp.
Nếu đây là một tổ chức bình thường, nó sẽ gặp nhiều rắc rối. Khoản tiền phạt theo GDPR của EU sẽ rất lớn và thực tế là các nhân viên bị ảnh hưởng không được thông báo kịp thời sẽ đóng vai trò là nền tảng vững chắc cho một vụ kiện. LHQ không phải là một tổ chức bình thường. Nó có quyền miễn trừ ngoại giao, điều đó có nghĩa là các cơ quan quản lý không có quyền hợp pháp để chịu trách nhiệm và các tùy chọn cho các cá nhân bị ảnh hưởng cũng không thực sự phong phú.
Điều duy nhất chúng ta có thể làm vào thời điểm này là hy vọng rằng các tổ chức khác, cả lớn và nhỏ, học được một số bài học.
