Bài học nào từ Y2K, sự kiện khủng bố 11/9 đến WannaCry?

Forbes xin giới thiệu bài viết của William H.Saito, cố vấn đặc biệt của Văn phòng nội các chính phủ Nhật Bản và là phó chủ tịch của Palo Alto Networks Japan.

Suốt tuần trước, nhiều tổ chức trên khắp thế giới đã trở thành nạn nhân của một đợt tấn công mạng liên quan đến virus đòi tiền chuộc mang tên WannaCry. Dù các cơ quan thực thi pháp luật của Liên minh châu Âu (EU) gọi cuộc tấn công này là “chưa hề có tiền lệ”, nhưng có lẽ sự khác biệt duy nhất của nó là về mặt quy mô. Thật vậy, cuộc tấn công này không hề phức tạp và cũng chẳng có gì mới mẻ. Đã có nhiều trường hợp như thế trước đây và chắc chắn là có thể phòng tránh được.

Theo một số chuyên gia phân tích an ninh mạng, WannaCry lợi dụng một lỗ hổng trong việc chia sẻ tập tin ở hệ điều hành Windows để tấn công. Microsoft trước đó đã phát hành một bản vá lỗi cho những lỗ hổng này ở tất cả các phiên bản còn được hỗ trợ của họ hồi tháng 3. Tuy nhiên, không phải ai cũng cài đặt các bản vá lỗi đó, và chính sự tự mãn này đã dẫn đến thảm họa.

Đến giờ phút này, vẫn chưa có thống kê đầy đủ về thiệt hại do WannaCry mang lại, nhưng đây là sự kiện mới nhất trong loạt bài học về quản lý rủi ro và tầm quan trọng của khả năng hồi phục. Trước đây, giới truyền thông cũng đã chỉ trích rằng Nhật Bản bị thiệt hại nặng nề trong thảm họa Fukushima hồi năm 2011 là vì các lãnh đạo của nhà máy này đã không có tư duy quản lý rủi ro, dẫn đến việc họ không hề có sự chuẩn bị nào cho thảm họa ấy. Nhưng điều gì sẽ xảy ra nếu các thảm họa được cảnh báo trước? Liệu điều đó có thể khiến chúng ta thận trọng hay chuẩn bị kĩ hơn không?

Hoàn toàn có thể phòng tránh khủng hoảng

Trước đó, vào năm 1998, thế giới cũng lo sốt vó trước sự kiện Y2K vì sợ rằng các hệ thống máy tính sẽ hiểu nhầm năm 2000 thành 1900, có thể dẫn đến hỗn loạn trên quy mô lớn, gây ảnh hưởng đến mọi thứ, từ ATM, hệ thống đặt vé máy bay tới các nhà máy điện. Và tôi được Bộ Tài chính Mỹ mời tham gia nhóm chuyên gia giải quyết chuyện này.

Thế là các đội ngũ ứng phó nhanh chóng được thành lập để giải quyết nhiều chuyện có thể xảy ra, trong đó có việc cập nhật lại các chương trình máy tính để chúng không còn nhầm 2 số cuối “00” của năm 2000 thành 1900. Tuy nhiên, những gì có ý nghĩa hơn nhiều và là một bài học lớn cho tất cả mọi người là việc chuẩn bị cho các sự kiện ở cấp độ 2 và cấp độ 3 có thể xảy ra sau đó. Cụ thể là, chúng tôi phải có suy nghĩ “sáng tạo” và giả định rằng tổ chức của mình có thể đã sẵn sàng cho sự cố Y2K, nhưng lỡ các đối tác, nhà cung cấp hay những cơ quan khác lại chưa thì sao? Chẳng hạn, ngay cả hệ thống của mình đang chạy trơn tru, nhưng lỡ công ty điện lực không chuẩn bị cho Y2K nên bị mất điện thì làm sao mình có thể hoạt động được? Chúng tôi đã chi hàng trăm triệu USD để xử lý vấn đề này và khi ngày 1/1/2000 đến, nước Mỹ không bị trục trặc gì nghiêm trọng.

Tôi thở phào nhẹ nhõm và cuộc sống vẫn tiếp diễn. Nhưng vài tháng sau, mọi người bắt đầu hỏi tôi là liệu có thật sự cần thiết khi bỏ ra số tiền lớn đến thế không, liệu chúng tôi có thật sự đã làm những gì phải làm, và liệu vấn đề có bị thổi phồng lên quá không. Tuy nhiên, trong khi các chỉ trích, tranh luận, và thậm chí cả điều trần ở Quốc hội còn đang diễn ra thì sự kiện khủng bố 11/9 xảy ra.

Dù không có mệnh lệnh nào là phải làm như thế, nhưng những người trong ngành tài chính theo bản năng đã ngay lập tức mang các hướng dẫn có được từ sự kiện Y2K ra, và thực hiện những thao tác bảo đảm an toàn cần thiết. Điều đó cho thấy rằng mọi người đã được “mở rộng tầm mắt”, đồng thời không những chúng ta có thể mang rủi ro và khả năng hồi phục từ cuộc khủng hoảng này sang khủng hoảng khác, mà chính lối suy nghĩ về những kịch bản tồi tệ nhất cũng đã phát huy tác dụng, và đầu tư cho việc đó là đáng tiền. Rõ ràng là chúng tôi không có kịch bản chính xác cho sự kiện 11/9 trong cuốn sách hướng dẫn cho sự kiện Y2K, nhưng lối suy nghĩ theo kiểu “rồi có thể sẽ có những khả năng nào nữa xảy ra” về cơ bản đã làm tăng khả năng hồi phục.

Sau sự kiện 11/9, Ủy ban quản lý hạt nhân Mỹ đã phát hành một quy định bắt buộc các nhà máy hạt nhân phải có khả năng hồi phục dựa trên kịch bản có thể xảy ra với các máy bay. Và chính phủ Mỹ cũng chia sẻ điều này với các quốc gia có nhà máy hạt nhân. Không may là Nhật Bản đã không làm theo những khuyến cáo ấy, vì một phần chính phủ của họ tin rằng sẽ không phải là mục tiêu của một cuộc tấn công như thế.

Rủi ro là rủi ro

Những gì mà các bài học trên dạy tôi là khả năng hồi phục không những quan trọng mà còn là “có thể mang đi được”. Cũng rõ ràng rằng những chuẩn bị cho một cuộc khủng hoảng trên không gian mạng là hữu ích trong một cuộc khủng hoảng trong đời thực và ngược lại. Như tôi đề cập ở trên, sự tự mãn cũng đã trở thành một yếu tố. Với virus đòi tiền chuộc WannaCry, tôi tin rằng nhiều người trở thành nạn nhân chỉ vì không cập nhật hệ điều hành và an ninh, vì tin rằng thảm họa ấy sẽ không xảy ra với họ hay họ không phải là một mục tiêu lý tưởng.

Tuy nhiên, các hacker không bao giờ ngủ. Chúng sử dụng chức năng tự động tốt hơn hầu hết các doanh nghiệp. Chúng có thể ngồi tại bàn của mình và quét toàn bộ hệ thống máy tính thế giới để tìm kiếm các nạn nhân chỉ trong một cú nhấp chuột. Trong khi các máy tính cá nhân thường để chế độ cập nhật an ninh tự động thì nhiều doanh nghiệp lại để chế độ “tự thao tác” để không bị gián đoạn hoạt động của họ. Nhưng cũng như việc kiểm tra các chuông báo cháy hay thay dầu xe, chúng ta phải xử lý những việc này để được an toàn – và tìm những công nghệ an ninh mà sẽ có thể làm tăng các hoạt động của doanh nghiệp, chứ không phải làm chậm lại.

Chúng ta phải sao lưu dữ liệu và cập nhật hệ thống. Nên nhớ rằng 90% các cuộc tấn công đòi tiền chuộc hiện khai thác các lỗ hổng đã được biết đến, và thường thì đã có bản vá lỗi cho các lỗ hổng này.

Chúng ta sẽ ngày càng phụ thuộc vào công nghệ thông tin và truyền thông (ICT) để thúc đẩy hoạt động kinh doanh và xã hội. Chúng ta không thể quay trở lại thời kì trước khi kĩ thuật số ra đời, và phải tập trung vào bảo vệ lối sống của mình trong thời đại kĩ thuật số ngày nay.

Mọi tổ chức phải suy nghĩ cẩn thận về mọi thứ, từ quy trình kinh doanh đến con người và công nghệ mà chúng ta áp dụng. Điều đó nghĩa là chúng ta nên nhìn vào toàn cảnh bức tranh rủi ro cũng như những rủi ro ở “cấp độ 2” và “cấp độ 3”. Điều đó sẽ không những khiến cho chúng ta mạnh mẽ hơn, hiệu quả hơn và cạnh tranh hơn mà còn khi hồi phục nhanh hơn khi có thảm họa trên mạng hoặc đời thực xảy ra.