Trong chương trình truyền hình Arrow, tỷ phú ăn chơi Oliver Queen trở lại Star City sau khi bị mắc kẹt trên một hòn đảo chỉ để phát hiện ra nơi này tràn ngập tội ác và tham nhũng. Oliver Queen đội mũ trùm đầu màu xanh lá cây, lấy cung tên và đối đầu với các phần tử tội phạm của Star City với tư cách là Mũi tên xanh. Khi Green Arrow hạ gục một kẻ phản diện, anh ta sẽ hét lên, “Bạn đã thất bại trong thành phố này.”
Câu khẩu hiệu đó ngày nay đúng với tôi khi cuộc tranh luận nổ ra về việc liệu các chính phủ có nên thực hiện lệnh cấm trả tiền chuộc cho các nhóm ransomware hay không. Chúng ta đang ở trong tình trạng này vì cộng đồng an ninh đã không thể bảo vệ thỏa đáng những người mà lẽ ra chúng ta phải bảo vệ. Tất nhiên, đó không phải là cách nó được miêu tả. Thay vào đó, trong một số trường hợp hiếm hoi khi chúng tôi tìm hiểu cách xảy ra một cuộc tấn công bằng ransomware, chúng tôi nhận được các tiêu đề như nạn nhân đã không kích hoạt MFA đúng cách hoặc họ không vá lỗ hổng hoặc một số lỗi khác từ phía nạn nhân. Sự thật là chúng tôi gây khó khăn cho việc bảo mật và duy trì tình trạng bảo mật tốt. Chúng tôi buộc các tổ chức phải vượt qua nhiều thử thách để hiểu được điểm yếu và lỗ hổng của họ, đồng thời chúng tôi tập trung vào họ nhiều đến mức ngay cả những tổ chức có nguồn lực dồi dào nhất cũng không thể theo kịp mọi thứ họ cần làm để duy trì mọi khía cạnh trong việc bảo mật mạng ngày càng phức tạp của mình.
Không thể tránh khỏi, điều này dẫn đến lỗi bảo mật và các cuộc tấn công bằng ransomware. Khi những cuộc tấn công đó xảy ra, chúng ta đổ lỗi cho nạn nhân, “Ồ, tại sao họ không đặt MFA vào tất cả mọi thứ?” Đừng bận tâm đến việc một số nhà cung cấp cố gắng kích hoạt MFA khó đến mức nào. Hoặc, “Sao họ lại không vá hệ thống đó?” Bỏ qua thực tế là các tổ chức có thể có 50 lỗ hổng “nghiêm trọng” cần được “vá ngay lập tức”. Chúng tôi thậm chí còn nghe thấy những điệp khúc như “Làm sao họ vẫn có thể sử dụng nhà cung cấp X khi nó có quá nhiều lỗ hổng?” Mặc dù thực tế là việc chuyển đổi nhà cung cấp là một quá trình lâu dài và rất có thể nhiều đối thủ cạnh tranh với nhà cung cấp X cũng có nhiều lỗ hổng tương tự.
Thông qua tất cả những lời chỉ trích và hạ nhục nạn nhân, hiếm khi chúng ta nhìn vào toàn bộ ngành bảo mật và nhận ra nó thực sự là một mớ hỗn độn. Làm sao chúng ta có thể mong đợi bảo đảm an toàn cho những người mà lẽ ra chúng ta phải bảo vệ khi chúng ta không thể cùng nhau hành động?
Vì vậy, chúng ta chỉ còn lại những giải pháp ngày càng không hoàn hảo và có thể sẽ không hiệu quả, bởi vì những việc khác mà chúng ta làm – ít nhất là sẵn sàng làm – đều không hiệu quả.
Nhập các lệnh cấm trên toàn chính phủ đối với việc thanh toán cho các nhóm ransomware. Đây là bước tiếp theo trong các biện pháp ngày càng leo thang nhằm bù đắp những bất cập trong việc bảo vệ. Nó là một ý tưởng tốt? Không. Liệu có ai hài lòng với cách nó được triển khai không? Không. Nó có ngăn chặn được ransomware không? Một số trường hợp thử nghiệm mà chúng tôi đã thấy ở những nơi như Bắc Carolina và Florida, lệnh cấm trả tiền chuộc đã không làm giảm số lượng các cuộc tấn công.
Nhưng cuối cùng, nó có thể là lựa chọn ít tồi tệ nhất dành cho chúng ta.
Tôi biết đó không hẳn là một sự chứng thực vang dội. Nhưng tôi không nghĩ có ai muốn chuyện này xảy ra. Tin tốt là chúng ta không cần phải đi vào chỗ mù này. Như tôi và đồng nghiệp Sofia Lesmes đã chỉ ra, chúng ta có lịch sử luật cấm trả tiền chuộc cho những kẻ bắt cóc để rút kinh nghiệm và chúng ta nên thực hiện những bài học đó một cách nghiêm túc.
Đã có một số cuộc tranh luận lớn gần đây nêu ra lý do tại sao lệnh cấm thanh toán đối với các nhóm ransomware là cần thiết, tôi sẽ không nhắc lại những lý do đó. Sự thật là, như các chuyên gia khác đã chỉ ra, những lý do để không thực hiện lệnh cấm đều không được xem xét kỹ lưỡng.
Thay vào đó, tôi muốn nhấn mạnh rằng việc báo cáo công khai phải đi kèm với bất kỳ lệnh cấm thanh toán bằng ransomware nào. Trước đó, tôi đã đề cập rằng chúng tôi không nghĩ lệnh cấm thanh toán do các bang Florida và Bắc Carolina ban hành đã có hiệu lực. Điều đó dựa trên số lượng các cuộc tấn công được thu thập thông qua báo cáo nguồn mở. Cả Bắc Carolina và Florida đều không đưa ra cách xác minh tính hiệu quả của luật bằng cách cung cấp thông tin về số lượng các cuộc tấn công bằng ransomware vào các thực thể công được luật pháp điều chỉnh.
Nếu không có chế độ báo cáo công khai và hiệu quả, chúng tôi, những người nộp thuế, không thể đánh giá hiệu quả của những lệnh cấm này và các nhà lập pháp không thể điều chỉnh luật khi cần thiết. Một số người có thể lập luận rằng việc buộc phải báo cáo các cuộc tấn công sẽ khuyến khích các tổ chức cố gắng che đậy các cuộc tấn công bằng ransomware. Chắc chắn rồi, nhưng các tổ chức đang làm điều đó ngay bây giờ và với luật được ban hành, họ sẽ phải gánh chịu hậu quả nếu bị phát hiện. Đây là một trong những mối lo ngại khi Bộ Y tế và Dịch vụ Nhân sinh bắt buộc các nhà cung cấp dịch vụ chăm sóc sức khỏe tại Hoa Kỳ phải báo cáo. Điều đó đã không xảy ra và giờ đây chúng tôi có cái nhìn sâu sắc hơn, không hoàn hảo nhưng tốt hơn về các cuộc tấn công mạng nhằm vào lĩnh vực chăm sóc sức khỏe ở Hoa Kỳ so với hầu hết các lĩnh vực khác.
Việc cấm thanh toán tiền chuộc kết hợp với các yêu cầu báo cáo nghiêm ngặt đối với nạn nhân của các cuộc tấn công bằng ransomware sẽ cho phép chúng tôi xử lý tốt hơn về số lượng các cuộc tấn công bằng ransomware và giúp chúng ta cùng nhau tìm ra nơi dành nguồn lực để cố gắng ngăn chặn các cuộc tấn công. Đó là một giải pháp khủng khiếp mà không ai muốn, nhưng cho đến khi chúng ta có thể phát triển các giải pháp bảo mật hiệu quả mà không quá cồng kềnh và phức tạp thì đó có thể là cách duy nhất để chúng ta có thể ngừng làm thất vọng những người mà chúng ta lẽ ra phải bảo vệ.
Allan Liska là nhà phân tích tình báo mối đe dọa tại Recorded Future.