Tấn công bệnh viện qua mạng dễ như trở bàn tay?

Alamy Bản quyền hình ảnh Alamy

Vài tháng sau vụ tấn công mạng WannaCry, phần lớn thế giới vẫn còn lơ mơ về những nguy hiểm tiềm tàng gây ra từ hoạt động tấn công mạng nhằm vào các hệ thống cơ sở hạ tầng quan trọng.

Cuộc tấn công mạng quy mô quốc gia đầu tiên vào các hạ tầng quan trọng được cho là do Mỹ và Israel thực hiện nhằm chống lại Iran và đã bị phát hiện vào năm 2010. Được biết đến dưới tên gọi virus Stuxnet, cuộc tấn công có mục tiêu phá hỏng chương trình hạt nhân của Tehran.

Hacker không cần phải thông minh?

Nên dùng người hay máy để thu ngân?

Giải mã mối liên hệ giữa tự vẫn và mùa xuân

Cuộc tấn công đã không đạt mục tiêu, nhưng bằng việc phá hủy gần 1.000 máy ly tâm tạo uranium, nó đã gây nên tổn thất do tấn công mạng lớn chưa từng thấy, và mở ra một kỷ nguyên mới của xung đột: Chiến tranh mạng.

Một ví dụ nữa xảy ra vào ngày 23/12/2015, khi một công nhân làm việc ở nhà máy năng lượng tại Ukraine choáng váng khi thấy con trỏ chuột trên màn hình máy tính của mình tự chuyển động. Ông cố giành lại quyền kiểm soát con trỏ nhưng không được. Từ xa, một hacker đang điều khiển con trỏ chuột của ông.

Jon Nichols, cựu chuyên gia IT của lực lượng quân đội Mỹ, và đồng nghiệp của ông là phó giám đốc của Cyber Statecraft Initiative thuộc Hội đồng Atlantic của Trung tâm Brent Scowcroft, đã gặp BBC Future tại Washington DC. Cả hai cho rằng vụ tấn công Ukraine năm 2015 tuy vô cùng nghiêm trọng nhưng vẫn ít nghiêm trọng hơn rất nhiều so với sự hờ hững của thế giới đối với các nguy cơ tấn công mạng.

"Các kiểu tấn công trên rất hiếm và khó thành công hơn so với phần lớn các cuộc tấn công khác," ông Woods nói.

Cuộc tấn công ở Ukraine hồi 2015 được cho là có ảnh hưởng tới hơn 100.000 người trong vòng 6 tiếng.

Bản quyền hình ảnh Alamy
Image caption Cuộc tấn công ở Ukraine được cho là có ảnh hưởng tới hơn 100.000 người trong vòng 6 tiếng

"Loại tấn công này chỉ có thể được thực hiện bởi một đối tượng nguy hiểm và quyết tâm. Nó không nhất thiết phải là một quốc gia, nhưng trước khi một nhóm có được khả năng đấy, chúng ta đã có thể phát hiện họ và hiểu thêm về họ, dự đoán hành động của họ để từ đó ngăn cản họ."

Stockholm, thành phố được sưởi ấm bằng internet

Sẽ thế nào nếu internet ngừng hoạt động một ngày?

Nhận diện mạng bí mật Internet ở New York

Các nguy cơ xảy ra tấn công đồng nghĩa với việc nhiều nguồn lực khổng lồ đang được đổ vào việc phòng vệ. Các công ty lớn như IBM hiện đang thiết lập các phòng thí nghiệm kiểm tra an ninh mạng khổng lồ, nơi mà các công ty đa quốc gia có thể đến và trải nghiệm một vụ tấn công giả lập.

Một trong những công ty xây dựng lớn nhất của Mỹ, Bechtel, đã mời BBC Future đến thăm phòng thí nghiệm bên ngoài Washington DC. Trong nhiều năm, Bechtel đã tập trung xây dựng các cơ sở hạ tầng quan trọng trên khắp thế giới.

Đặt ở một quán tạp hóa nhỏ khó nhận ra ở vùng ngoại ô Virginia, phòng thí nghiệm mới mở được dùng để giả lập các cuộc tấn công vào hệ thống quản lý công nghiệp (ICS).

Phòng thí nghiệm là trung tâm an ninh mạng cho hệ thống quản lý công nghiệp trên khắp các công ty nhà nước của Mỹ.

Nhiều ICS điều khiển các cơ sở hạ tầng quan trọng ở Bắc Mỹ được thiết kế 30 năm trước, tức là từ rất lâu trước khi an ninh mạng trở thành một phần trong khâu thiết kế và vận hành điều khiển, ông Jon Nichols nói. Điều này khiến chúng dễ bị tấn công.

"Lấy nhà máy chế biến than ở phía Tây Virginia làm ví dụ, chúng ta có thể đọc toàn bộ thông tin của nó bằng cách áp dụng những công cụ phổ biến của giới tin tặc mà tôi có thể chỉ cho bạn cách sử dụng trong vòng 15 phút," ông Nichols nói.

Nhận diện mạng bí mật Internet ở New York

Làm sao để 'giữ mình' an toàn trên mạng?

Có thể thoát khỏi Internet?

"Chúng ta có thể tìm thấy nhiều hệ thống quản lý công nghiệp đã kết nối mạng trên 30 năm và tôi dám cá là ta có thể tìm được tài liệu về chúng chỉ bằng vài lần tra cứu trên Google. Ta có thể tấn công đến khi chúng bị hạ gục. Điều này không cần kỹ năng cao. Tôi thậm chí không phải động đến việc lập trình."

Woods và Nichols nói rằng mật khẩu và tên người dùng của nhiều ICS được lưu trong các tài liệu theo cách thức cũ đến mức người ta có thể tìm kiếm được các thông tin đó bằng cách tra cứu đơn giản trên Google.

Đây là một trong những lý do khiến dự án phòng thí nghiệm Bechtel được hình thành, Chad Hartman, quản lý chương trình ở phòng thí nghiệm này nói.

"Nếu bạn nhìn vào các nhà máy của Bộ Quốc phòng và Bộ Năng lượng," ông Hartman nói, "thì sẽ thấy chúng là những hệ thống đã tồn tại nhiều thập kỷ, một số còn dùng hệ điều hành như Windows XP vốn đã không còn được Microsoft hỗ trợ bản vá hoặc nâng cấp nữa. Có quá nhiều chi phí để nâng cấp nó thành Window 10," ông nói, đồng thời cho biết thêm rằng mọi thiết bị liên quan đến phần mềm lỗi thời cũng cần được nâng cấp.

"Về cơ bản, chi phí đó vượt cả chi phí cho an ninh mạng. Vì thế, các công ty đang cố bổ sung thêm một số hệ thống trung gian để ngăn chặn các cuộc tấn công."

Hiện nay, khi mà mọi thứ đều kết nối với Internet, từ đồng hồ tới lò nướng bánh, các tin tặc đang có nhiều mục tiêu hơn. Tuy nhiên, việc cố tình tấn công các cơ sở hạ tầng quan trọng vẫn được xem là hành động gây chiến.

Một số thủ phạm, như chủ thể ngoài chính phủ, có thể thấy nhẹ nhõm vì việc xác định chính xác kẻ tấn công là một công việc khó khăn. Nhưng các quốc gia thao túng cho hoạt động tấn công mạng cũng có thể gánh hậu quả bởi những loại vũ khí tương đương.

"Chúng tôi đã chứng kiến điều này ởtrong các cuộc tấn công của Iran nhắm vào Saudi Aramco," ông Beau Woods nói. "Họ dùng một số mã code Stuxnet gốc, chỉ thay đổi chúng cho khác đi tí chút, và tôi tin rằng nó đã làm tê liệt chừng 30.000 máy tính."

Vấn đề sức khỏe

Ông Nichols và Woods lo ngại nhất về thảm họa tiềm năng mà tấn công mạng có thể gây ra cho các hệ thống quan trọng như y tế. Họ là một phần của tổ chức "I am the Cavalry", vốn tập trung vào các vấn đến đề bảo mật liên quan đến sự an toàn và cuộc sống của mọi người.

Bản quyền hình ảnh Alamy
Image caption Bệnh viện rất dễ bị tấn công và dễ dàng bị xâm nhập

Họ tin rằng ngành y tế cần sự quan tâm đặc biệt do nhiều lý do. Nhiều thiết bị trong bệnh viện đang kết nối mạng. Nếu hệ thống của bệnh viện sụp đổ, sẽ có người chết. Bệnh viện rất dễ bị tấn công và dễ dàng bị xâm nhập.

Tất cả những điều này, tất nhiên là do vụ tấn công WannaCry tới hơn 150 quốc gia gây ra.

Ở Anh, nó ảnh hưởng đến hơn 1/3 cơ sở của Dịch vụ Y tế Quốc gia (NHS) và huỷ ít nhất 6.900 cuộc hẹn của cơ quan này. Đây là cuộc tấn công tới sở y tế công của Anh lớn nhất từ trước tới nay.

Chỉ vài tuần trước đó, ông Nichols cho BBC Future biết ông vừa tham gia phục hồi hậu quả của cuộc tấn công mạng vào bệnh viện. (Ông không thể trao đổi cụ thể hơn vì đây là vấn đề bảo mật).

Trước đó, ông cũng đã từng phải tham gia xử lý cuộc tấn công mạng vào một hệ thống y tế địa phương đầu năm 2016.

"Tôi biết rằng các cuộc tấn công xảy ra thường xuyên hơn bất kì ai vì tôi phải làm việc trong tầng hầm bệnh viện, tìm cách phục hồi hệ thống truyền thông chính khi nó bị phá," ông nói.

Nichols nói rằng các cuộc tấn công xảy ra ở bệnh viện không phải do chính phủ ngoại quốc mà là các tin tặc gây ra.

Có thể họ không cố ý nhắm đến các bệnh viện mà chỉ nhắm tới những nơi dễ bị tấn công và dùng các công cụ có sẵn để quét các thiết bị kết nối với Internet. Một khi phát hiện ra điểm dễ xâm nhập, họ sẽ phát các mã độc tới đó. Những kẻ này rất khó để ngăn chặn, Woods nói, bởi họ hành động chủ yếu vì lợi ích tài chính.

"Một trong những khó khăn hiện nay là khiến các tổ chức thừa nhận rằng họ đã bị tấn công," ông Woods nói. "Một tổ chức đi xuống trong một ngày sẽ bị mất hàng triệu đô, nên họ chấp nhận trả 100.000$ tiền dù cho việc đó đặt ra những câu hỏi khó về đạo đức."

Bản quyền hình ảnh Alamy

Không ai muốn công bố rằng hệ thống của mình dễ bị tấn công. Điều này không chỉ đúng với bệnh viện, Tiến sỹ Stuart Madnick, người đứng đầu hiệp hội đa ngành ở Viện công nghệ Massachusetts Nhằm Cải tiến An ninh mạng cho Các Hạ tầng quan trọng (IC3), nói.

Ông Madnick cho biết luật pháp xem xét việc công bố tấn công mạng nhằm vào các hạ tầng quan trọng ít khắt khe hơn so với các tổ chức tài chính. Điều này là do các vụ tấn công ngân hàng có thể làm rò rỉ thông tin tín dụng và cá nhân, buộc các ngân hàng phải thông báo công khai trong khi các hạ tầng quan trọng thì không.

"Bởi vậy, nếu có nhà máy chế biến thép ở Đức bị tấn công mạng, không có luật nào quy định bạn phải công khai vụ tấn công," ông Madnick nói.

Tổ chức của Madnick đang muốn các công ty và giới lãnh đạo doanh nghiệp thay đổi cách nghĩ về các cuộc tấn công mạng.

"Chúng tôi nhìn vào khía cạnh chiến lược và quản lý chứ không phải việc cập nhật phần mềm hay phần cứng vì 70-80% vụ tấn công mạng được hỗ trợ bởi người bên trong một cách vô tình," ông nói.

Đồng nghiệp và là giám đốc ở IC3 của ông, Michael Siegel, cho biết đã nghe về việc một tổ chức tài chính gửi email tới nhân viên nói rằng: "Đây là một cuộc tấn công lừa đảo, nếu bạn ấn vào đường link này, nó sẽ gây hại tới máy tính của bạn". Mặc dù được thông báo rõ ràng, ít nhất một người đã ấn vào đường link. Khi được hỏi, anh ta nói muốn xem chuyện gì sẽ xảy ra.

"Vấn đề ở đây là mọi người không hình dung ra chỉ một cú nhấp chuột của mình có thể làm sập cả một công ty hay một lò năng lượng," ông Siegel nói. Ông tin rằng, chỉ có hai loại công ty, nhóm những người biết là họ đã bị tấn công và nhóm những người chưa biết.

Trong bối cảnh hậu quả của cuộc tấn công lừa đảo được công bố rộng rãi và rõ ràng, thị trường cho các công ty về an ninh mạng như Bechtel đang phát triển.

Vậy chuyện gì sẽ xảy ra nếu công ty kêu gọi sự giúp đỡ về an ninh mạng?

Nhóm của ông Hartman đã chia khách hàng của mình thành nhóm xanh và nhóm đỏ. Nhóm đỏ là những công ty bị phe thứ ba thuê tin tặc thâm nhập hệ thống mà không nêu cụ thể yêu cầu là ở đâu, khi nào và như thế nào. Điều này mô phỏng gần nhất với các cuộc tấn công thực tế. Nhóm xanh là nhóm được giới thiệu về sự đe dọa của tấn công mạng.

Các chuyên gia Bechtel ngồi cùng với khách hàng của mình và hướng dẫn họ xuyên suốt cuộc tấn công, giải thích các khía cạnh để họ có thể nhìn thấy các chi tiết ở thực tế.

Bản quyền hình ảnh Alamy

Một số khuyến nghị của họ áp dụng trên thế giới thực chứ không chỉ trên mạng.

"Có nhiều thứ nằm trong nội dung làm việc với nhóm đỏ là về vấn đề hữu hình như dùng đúng loại khóa cho phòng thí nghiệm mạng, khóa cửa cẩn thận, nhận dạng thẻ khi truy cập," ông Hartman nói.

"Ở một số phòng nhạy cảm, việc ngăn không cho bất kỳ ai xâm nhập vào qua trần nhà là rất quan trọng."

Trớ trêu thay, một trong những nguyên nhân của vấn đề an ninh mạng sẽ xảy ra trong những thập kỷ tới không chỉ là do hệ thống dễ tấn công hay cái giá khổng lồ để cập nhật hệ thống, mà còn vì chính sự đổi mới.

Ông Hartman tin rằng công nghệ điều khiển từ xa đang mở ra những cơ hội mới cho giới tin tặc. Khi các công ty sử dụng điều khiển từ xa để giảm chi phí, ông Hartman nói, điều này làm tăng cơ hội cho các hacker đột nhập vào hệ thống quản lý và máy móc.

Những hệ thống dễ bị tấn công này chỉ phát triển ở thế hệ sau với sự phát triển của IOT (Internet of Things - Internet vạn vật), ông Tarek Saadawi, giáo sư và giám đốc trung tâm mạng lưới thông tin và viễn thông ở Đại học City, Newyork, tác giả cuốn "Bảo vệ Cơ sở Hạ tầng khỏi bị Tấn công mạng", nói.

Một mối lo ngại chính của các chuyên gia an ninh trên khắp thế giới là khả năng khủng bố. Khó để tin rằng các nhóm thánh chiến chưa sẵn sàng tìm cách tấn công các cơ sở hạ tầng quan trọng để kiếm tiền, hoặc đơn giản là để gây tổn thất bằng vũ khí mạng.

Nhưng có thể những cuộc tấn công như vậy đơn giản chỉ là do sự bất mãn của một cá nhân nào đó, giống như cuộc tấn công vào hệ thống xử lý nước ở Úc 16 năm trước.

Madnick từ IC3 chỉ ra rằng những cuộc tấn công như vậy không chỉ cho thấy mối nguy có thể dễ lan tỏa và khó dự đoán, mà còn khó để nói chính xác khi nào thì một cơ sở hạ tầng bị đe dọa.

"Họ mất 2 tháng rưỡi để nhận ra," ông Madnick nói. "Nhiều lúc, chúng ta khó có thể phân biệt được lỗi do máy móc gây ra và cuộc tấn công mạng."

WannaCry chỉ là cuộc tấn công tới các hạ tầng quan trọng được công bố mạnh mẽ nhất gần đây. Nhưng nó nhiều khả năng không phải là cuối cùng.

Bài tiếng Anh đã đăng trên BBC Future.

Tin liên quan