Ngày nay, lĩnh vực HKDD không chỉ là động lực quan trọng thúc đẩy sự phát triển kinh tế - xã hội mà còn đóng vai trò hết sức quan trọng đối với an ninh, quốc phòng ở mỗi quốc gia. Nhận thức được vấn đề này, trong những năm gần đây, Đảng, Nhà nước ta đã quan tâm đầu tư, xây dựng, phát triển một hệ thống cơ sở vật chất, hạ tầng ngành Hàng không hiện đại, rộng khắp, trong đó có hệ thống thông tin lĩnh vực HKDD.

Tuy nhiên, đi liền với sự phát triển, hiện đại của hệ thống thông tin ngành Hàng không, các thế lực thù địch, đối tượng xấu đã không ngừng tiến hành các hoạt động tấn công, phá hoại hệ thống thông tin quan trọng lĩnh vực HKDD, phổ biến là hoạt động tấn công mạng. Các vụ tấn công này đã gây ra nhiều hậu quả, thiệt hại lớn cả kinh tế cũng như ảnh hưởng về chính trị cho Việt Nam và ngành Hàng không dân dụng. Trong đó, vụ tấn công mạng vào hệ thống thông tin của Tổng công ty Hàng không Việt Nam ngày 29/7/2016 là một ví dụ điển hình.

Những hậu quả của vụ tấn công

Theo báo cáo thống kê của Cục An ninh mạng (A68), cuộc tấn công mạng ngày 29/7/2016 đã phá hủy nhiều hệ thống máy chủ và máy chủ ảo của Vietnam Airlines, thông tin của hơn 410.000 khách hàng thường xuyên của Tổng công ty Hàng không Việt Nam bị đăng tải lên mạng Internet; các hãng hàng không phải làm thủ tục thủ công, thậm chí dùng loa cầm tay, bảng trắng để phục vụ hành khách; làm trễ gần 100 chuyến bay, gây thiệt hại về uy tín của Tổng công ty Hàng không Việt Nam.

Cụ thể diễn biến của cuộc tấn công mạng ngày 29/7/2016 như sau:

Khoảng 16h00 ngày 29/7/2016, website của hãng hàng không Việt Nam [1] (vietnamairlines.com) bị chiếm quyền điều khiển, hiển thị hình ảnh biểu tượng của nhóm tin tặc 1937CN. Vào lúc 17h10’ cùng ngày, website này đã được khôi phục và theo dõi kiểm soát chặt chẽ.

Ảnh chụp màn hình website của Vietnam Airlines bị tin tặc tấn công ngày 29/7/2016.

Tại cảng Hàng không quốc tế Tân Sơn Nhất (TIA): Vào chiều ngày 29/7/2016, màn hình hiển thị quầy làm thủ tục ga quốc nội hiển thị thông tin chuyến bay (FIDS) xuất hiện hình ảnh kích động, xuyên tạc về biển Đông. Ngay sau đó, nhân viên kỹ thuật sân bay đã ngắt các kết nối mạng của nhà ga quốc nội và quốc tế đến các hệ thống làm thủ tục bay của các hãng. Tại ga quốc nội, một số máy tính hiển thị thông tin chuyến bay, máy tính làm thủ tục hàng không bị chiếm quyền điều khiển và bị lây nhiễm mã độc. Tại ga quốc tế, hệ thống máy tính làm thủ tục hàng không, phát thanh hoạt động bình thường, không bị ảnh hưởng. Các máy tính làm thủ tục của Jetstar, Vasco không phát hiện bị lây nhiễm mã độc.

Hậu quả là, hàng chục màn hình thông báo bay, máy tính làm thủ tục, màn hình tại cửa khởi hành, một số máy chủ bị xóa dữ liệu, các bộ phận không thể dùng các ứng dụng (file lịch bay) của SAGS, TOC, VIAGS, buộc các hãng hàng không phải thực hiện thủ công các thủ tục cho hành khách, làm chậm hàng chục chuyến bay. Do ảnh hưởng hệ thống mạng của cụm cảng Hàng không Tân Sơn Nhất, nhiều màn hình tại cửa khởi hành, hệ thống máy tính của hãng Quata bị “trục trặc”.

Các màn hình thông báo ở sân bay Nội Bài chiều 29/7/2016 tắt, hành khách dồn ứ vì không thể làm thủ tục.

Tại cảng Hàng không quốc tế Nội Bài (NIA): Cũng trong chiều ngày 29/7/2016, một số màn hình FIDS tại quầy check-in của nhà ga T1 xuất hiện hình ảnh kích động, xuyên tạc về biển Đông. Nhân viên kỹ thuật của Trung tâm Khai thác ga Nội bài (NTOC) đã nhanh chóng tắt toàn bộ hệ thống FIDS. Bên cạnh đó, hệ thống phát thanh phát nội dung bằng tiếng nước ngoài xuyên tạc tình hình biển đảo đối với Việt Nam và Philippines. Một số máy chủ bị tấn công, không hoạt động hoặc bị chèn hình ảnh kích động. Nhận định hệ thống đã bị hacker chiếm quyền điều khiển, bộ phận kỹ thuật đã ngắt toàn bộ các kết nối Internet đến máy chủ.

Ngoài ra, nhiều quầy thủ tục check-in của Vietnam Airlines đều báo lỗi, một số màn hình máy tính các quầy check-in xuất hiện hình ảnh kích động của tin tặc. Hai màn hình hiển thị thông tin chuyến bay FIDS tại khu vực làm thủ tục của hãng hàng không Jetstar Pacific bị chiếm quyền điều khiển.

Hậu quả là hàng chục máy tính làm thủ tục hàng không của Vietnam Airlines, hệ thống màn hình hiển thị thông tin chuyến bay phải tạm dừng hoạt động, không cung cấp được các thông tin phục vụ hành khách. Cuộc tấn công mạng làm chậm nhiều chuyến bay của Vietnam Airlines.

Tại Cảng hàng không quốc tế Phú Quốc: một số máy tính phục vụ check-in của hãng hàng không Jetstar Pacific và máy tính của cụm Cảng sân bay quốc tế Phú Quốc bị cài mã độc, hiển thị thông tin nói xấu Việt Nam và Philippines.

Công tác phối hợp xử lý trong vụ tấn công

Sau khi nhận được thông tin về vụ việc, lực lượng An ninh mạng - Bộ Công an (A68, nay là lực lượng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - A05) đã khẩn trương có mặt tại hiện trường cùng với đơn vị ngành hàng không phối hợp với các lực lượng có liên quan như Cục An toàn thông tin, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam, Trung tâm Công nghệ thông tin và Giám sát An ninh mạng (Ban Cơ yếu Chính phủ), Tập đoàn Viettel, VNPT, FPT,… triển khai các biện pháp khắc phục sự cố, phương án ngăn chặn các cuộc tấn công tiếp theo có thể xảy ra và có biện pháp đảm bảo an ninh, an toàn cho hệ thống thông tin, dữ liệu quan trọng.

Lực lượng An ninh mạng đã phối hợp với các lực lượng của ngành Hàng không Việt Nam triển khai các công cụ ngắt dữ liệu kết nối lên hệ thống màn hình điều khiển, thay thế hệ thống dự phòng ở một số bộ phận phục vụ cho hoạt động của hệ thống chính được tiếp tục vận hành. Lực lượng An ninh mạng cùng các đơn vị, lực lượng khác đến tham gia đã triển khai các biện pháp kỹ thuật để giúp đỡ Tổng công ty Hàng không Việt Nam xử lý mã độc, cài đặt lại phần mềm hệ thống bị tấn công để trở lại hoạt động bình thường. Tuy nhiên, trong quá trình phối hợp, trao đổi thông tin, giải quyết công việc giữa các đơn vị, lực lượng tham gia còn lúng túng, chưa chặt chẽ làm cho quá trình khắc phục sự cố, chạy lại hệ thống còn chậm.

Trước đó, lực lượng An ninh mạng đã cùng các lực lượng, đơn vị có liên quan khác tiến hành triển khai các biện pháp kỹ thuật để khoanh vùng đối với hệ thống máy chủ, thiết bị xác định đường xâm nhập của virus, mã độc vào hệ thống phục vụ cho công tác điều tra, truy tìm thủ phạm. Lực lượng An ninh mạng cũng chủ động phối hợp với một số lực lượng khác như Cục An toàn thông tin, Vncert, Viettel,… cùng thu thập mã độc mà các đối tượng đã sử dụng để tấn công mạng. Qua việc phân tích, đánh giá đặc tính hoạt động của loại mã độc này cho phép xác định được nguồn gốc của nó, từ đó giúp các cơ quan chức năng có được nhận định, phán đoán chính xác về thủ phạm thực hiện cuộc tấn công mạng.

Qua phân tích các dòng mã độc tấn công vào hệ thống mạng ngành Hàng không và nhật ký các hệ thống thông tin cho thấy, hệ thống mạng của các đơn vị ngành Hàng không đã bị một nhóm tin tặc hoạt động có tổ chức, có tiềm lực tài chính lớn tấn công, khống chế bằng 03 dòng mã độc có thiết kế chuyên biệt, tính năng nguy hiểm và khả năng ẩn mình cao.

Từ việc so sánh, đối chiếu kết quả phân tích các dòng mã độc tấn công vào hệ thống, cùng với quá trình theo dõi hoạt động của các nhóm tin tặc nước ngoài có hoạt động tấn công mạng vào các hệ thống thông tin trọng yếu của Việt Nam, lực lượng An ninh mạng nhận định về thủ phạm gây ra vụ tấn công mạng vào ngành Hàng không ngày 29/7/2016 không phải nhóm 1937CN như truyền thông trong nước nhận định. Đây có thể là một nhóm tin tặc khác cũng có nguồn gốc từ nước ngoài. Việc nhóm tin tặc này đã sử dụng hình ảnh của nhóm 1937CN là để đánh lạc hướng.

Vì đâu xảy ra tấn công mạng?

 Vụ tấn công mạng vào hệ thống thông tin của Tổng công ty hàng không Việt Nam xảy ra xuất phát từ nhiều nguyên nhân khác nhau, trong đó có hai nguyên nhân chính như sau:

Về nguyên nhân khách quan: Nguyên nhân trực tiếp của vụ tấn công mạng có thể liên quan đến vấn đề chủ quyền trên Biển Đông (thuộc chủ quyền của Việt Nam), một số quốc gia khác đơn phương đòi quyền lợi. Bởi vậy, trên nhiều màn hình làm thủ tục đã xuất hiện hình ảnh kích động, xuyên tạc về biển Đông nhằm hạ uy tín của Việt Nam. Hay trên một số hệ thống phát thanh tại sân bay bị tấn công đã phát nội dung bằng tiếng nước ngoài xuyên tạc tình hình biển đảo đối với Việt Nam và Philippines. Điều này cho thấy, đây là cuộc tấn công mạng có chủ đích, đã có sự chuẩn bị lâu dài và liên quan đến tranh chấp chủ quyền biển, đảo trên biển Đông.

Về nguyên nhân chủ quan:

Thứ nhất, một số hệ thống thông tin của ngành Hàng không Việt Nam có điểm yếu, lỗ hổng bảo mật có thể bị xâm nhập, tấn công. Qua rà soát, kiểm tra kỹ thuật, lực lượng An ninh mạng đã phát hiện một số hệ thống thông tin của Tổng công ty hàng không Việt Nam vẫn còn lỗ hổng bảo mật có thể tạo cơ hội để tin tặc tấn công kiểm soát và chiếm đoạt tài liệu. Cục An ninh mạng cũng đã có những thông báo, gửi văn bản đến Tổng công ty Hàng không Việt Nam cảnh báo về nguy cơ mất an toàn, an ninh thông tin nhưng việc tổ chức khắc phục, giải quyết của đơn vị vẫn chưa kịp thời, triệt để.

Thứ hai, hệ thống phương tiện, kỹ thuật phục vụ cho công tác phòng ngừa, ngăn chặn các cuộc tấn công mạng cũng như sự cố về an ninh mạng của ngành Hàng không ở thời điểm đó vẫn chưa đầy đủ và chất lượng chưa cao. Qua kiểm tra cho thấy, vẫn còn đơn vị chưa có hệ thống giám sát, bảo vệ an ninh, an toàn hệ thống mạng nên đã không phát hiện, cảnh báo, ngăn chặn được hoạt động tấn công mạng tinh vi, có chủ đích (APT) của các đối tượng. Bên cạnh đó, tại một số cụm cảng Hàng không, hãng Hàng không, hệ thống mạng, thiết bị tường lửa bảo vệ chưa đạt hiệu quả cao. Một số đơn vị đã được đầu tư nhưng chất lượng của các phương tiện, thiết bị này chưa theo kịp với sự phát triển của lĩnh vực công nghệ thông tin.

Thứ ba, khả năng xử lý tình huống của đội ngũ chuyên trách về an ninh, an toàn thông tin của ngành Hàng không chưa thực sự chuyên nghiệp. Thực tiễn khi xảy ra vụ việc cho thấy, lực lượng chuyên trách về an ninh, an toàn thông tin của đơn vị này vẫn còn lúng túng và kỹ năng xử lý chưa thật tốt. Phương án xử lý, cũng như biện pháp đảm bảo an toàn cho các hệ thống thông tin quan trọng của đơn vị cũng chưa thật hiệu quả. Bên cạnh đó, sự chủ quan trong công tác bảo mật của người dùng cũng là nguyên nhân làm cho nhóm tin tặc có thể dễ dàng khai thác, xâm nhập vào hệ thống thông tin ngành Hàng không đánh cắp dữ liệu và phá hoại hệ thống.

Ngoài ra, quá trình phối hợp giữa các lực lượng, triển khai các biện pháp khắc phục hậu quả, điều tra cuộc tấn công cũng còn nhiều bất cập, hạn chế. Thực tiễn cho thấy, công tác phối hợp ngăn chặn, khắc phục sự cố khi xảy ra tấn công mạng vào ngành Hàng không còn chưa được chặt chẽ, đồng bộ. Mặc dù Bộ Công an và Bộ Giao thông vận tải đã có quy chế phối hợp trong công tác đảm bảo an ninh, an toàn thông tin nhưng việc triển khai thực hiện quy chế vẫn chưa đạt kết quả cao. Bên cạnh đó, công tác thông tin cho báo chí chưa kịp thời, chính xác, khiến cho các cơ quan báo chí đưa các thông tin không đồng nhất, không chính xác, gây hoang mang trong dư luận làm ảnh hưởng không nhỏ đến quá trình điều tra, xác minh.

Những bài học để lại và các kiến nghị, đề xuất

Vụ việc trên được xem như là một hồi chuông cảnh báo không chỉ đối với ngành HKDD Việt Nam mà còn cho các cơ quan, bộ, ngành, đơn vị ở cả Trung ương và địa phương trong bảo đảm an ninh, an toàn hệ thống thông tin. Đồng thời, từ vụ việc cũng đã rút ra được nhiều bài học kinh nghiệm quý báu trong bảo đảm an ninh, an toàn hệ thống thông tin của ngành HKDD nói riêng và nhiều bộ, ngành, đơn vị khác nói chung. Cụ thể:

Thứ nhất, phải thường xuyên triển khai các biện pháp kỹ thuật để rà soát, kiểm tra phát hiện lỗ hổng bảo mật, điểm yếu trên hệ thống thông tin của các cơ quan, đơn vị, bộ, ngành nhất là hệ thống thông tin quan trọng.

Trên cơ sở chức năng, nhiệm vụ được phân công, lực lượng An ninh mạng thuộc Bộ Công an tiếp tục phối hợp triển khai công tác kiểm tra, rà quét phát hiện lỗ hổng bảo mật trên hệ thống mạng thông tin quốc gia để có những cảnh báo sớm đối với ngành HKDD và các bộ, ngành, địa phương cũng như xử lý kịp thời đối với những hệ thống bị lây nhiễm virus, mã độc mà các đối tượng tin tặc đang thực hiện kế hoạch tấn công. Nhất là đối với những hệ thống thông tin quan trọng do các cơ quan Đảng, Nhà nước, Chính phủ, bộ, ngành và các Tổng công ty, tập đoàn kinh tế lớn quản lý. Bởi đây là những hệ thống khi bị tấn công thường để lại những hậu quả hết sức nghiêm trọng.

Do đó, lực lượng An ninh mạng chủ động rà soát, lập danh mục các hệ thống thông tin quan trọng để có biện pháp kiểm tra, đánh giá mức độ an ninh, an toàn của hệ thống. Phối hợp với các cơ quan, đơn vị liên quan tổ chức kiểm tra, rà soát theo định kỳ và tăng cường kiểm tra, đánh giá vào những thời điểm chính trị nhạy cảm, như khi Việt Nam chuẩn bị tổ chức, đón tiếp các sự kiện chính trị quan trọng, các ngày lễ lớn, hay khi có những vấn đề tranh chấp, xung đột về chủ quyền, lãnh thổ, biển đảo, thương mại hay ký kết các hợp đồng kinh tế lớn,… Đây là thời điểm các đối tượng xấu có thể lợi dụng thực hiện tấn công mạng để gây ảnh hưởng xấu về chính trị, hạ uy tín của Việt Nam, gây bất lợi cho nước ta trong giải quyết các vấn đề chủ quyền, lợi ích kinh tế,…

Thứ 2, tăng cường tuyên truyền, phổ biến, quán triệt sâu sắc các Chỉ thị, Nghị quyết, quy định của pháp luật về bảo đảm an ninh, an toàn hệ thống thông tin đến Ngành HKDD và các Bộ, ngành, đơn vị khác.

Có thể thấy, mặc dù đã có nhiều Chỉ thị, Nghị quyết cũng như các quy định của pháp luật về bảo đảm an toàn, an ninh thông tin mạng được ban hành nhưng ngành HKDD cũng như nhiều Bộ, ngành, đơn vị, địa phương vẫn chưa nhận thức sâu sắc và hiểu đúng về vấn đề này. Do vậy, cần tăng cường phổ biến, quán triệt, thực hiện nghiêm túc Chỉ thị 28-CT/TW ngày 16/9/2013 của Ban Bí thư về “tăng cường công tác bảo đảm an toàn thông tin mạng”, Chỉ thị 15/CT-TTg ngày 17/6/2014 của Thủ tướng Chính phủ “về tăng cường công tác bảo đảm an ninh và an toàn thông tin mạng trong tình hình mới”, Nghị quyết số 30/NQ-TW ngày 25/7/2018 của Bộ Chính trị về Chiến lược An ninh mạng quốc gia, Luật An toàn thông tin mạng năm 2015, Luật An ninh mạng năm 2018, Luật Cơ yếu... nhằm tăng cường triển khai các giải pháp đảm bảo an toàn, an ninh thông tin mạng và chủ động ứng phó với các cuộc tấn công mạng trong tương lai có thể xảy ra,…

Tuyên truyền làm cho cấp ủy, người đứng đầu cũng như cán bộ, nhân viên của các Bộ, ngành, địa phương này nhận thức rõ vị trí, tầm quan trọng của hệ thống thông tin trong công cuộc phát triển kinh tế - xã hội đất nước; âm mưu, thủ đoạn hoạt động của các thế lực thù địch, tội phạm tấn công, xâm phạm đến hệ thống thông tin; vai trò, trách nhiệm của tập thể, cá nhân các cơ quan, đơn vị này trong công tác bảo đảm an ninh, an toàn hệ thống thông tin… Quán triệt sâu sắc làm cho mỗi tổ chức, cá nhân cần nắm vững được các quy định của pháp luật về bảo đảm an ninh, an toàn thông tin và chủ động, tích cực tham gia bảo vệ an ninh, an toàn hệ thống thông tin mà cơ quan, đơn vị mình quản lý.

Thứ 3, phối hợp, hướng dẫn các cơ quan, đơn vị có liên quan xây dựng, đào tạo đội ngũ chuyên trách bảo đảm an ninh, an toàn hệ thống thông tin

Từ vụ việc tin tặc tấn công mạng vào hệ thống thông tin của Tổng công ty Hàng không Việt Nam cho thấy, trách nhiệm bảo đảm an ninh, an toàn hệ thống thông tin trước hết là của đơn vị chủ quản, tiếp đó mới đến các lực lượng chức năng khác. Do vậy, để bảo đảm an ninh, an toàn hệ thống thông tin, mỗi cơ quan, đơn vị cần xây dựng, đào tạo một đội ngũ chuyên trách có đầy đủ trình độ, năng lực, đáp ứng được yêu cầu và nhiệm vụ đặt ra.

Theo đó, lực lượng An ninh mạng cần chủ động phối hợp với ngành HKDD cũng như các Bộ, ngành, địa phương trong xây dựng cơ chế, chính sách để tuyển chọn được những cán bộ có trình độ, chuyên môn tốt, giỏi lĩnh vực công nghệ thông tin. Từ đây thành lập một đội ngũ chuyên trách, phân công chức năng, nhiệm vụ cho mỗi bộ phận, cán bộ trong đảm bảo an ninh, an toàn hệ thống thông tin của đơn vị. Lực lượng An ninh mạng và một số lực lượng khác có liên quan hướng dẫn ngành HKDD và các Bộ, ngành, địa phương cách thức xử lý một số tình huống, nguy cơ đe dọa, xâm phạm đến an ninh, an toàn hệ thống thông tin. Thường xuyên tổ chức diễn tập về công tác ngăn chặn, ứng phó với các cuộc tấn công mạng có chủ đích. Chuẩn bị đầy đủ các điều kiện phương tiện kỹ thuật cần thiết để phục vụ cho công tác bảo đảm an ninh, an toàn thông tin mạng.

Thứ tư, các tổ chức, doanh nghiệp cần nắm chắc quy định, phối hợp chặt chẽ trong khắc phục hậu quả, xử lý, giải quyết các vụ việc, sự cố gây mất an ninh, an toàn hệ thống thông tin.

Trong vụ việc tấn công mạng vào hệ thống thông tin của Tổng công ty hàng không Việt Nam đã để lộ ra một số sơ hở, hạn chế trong công tác phối hợp ứng cứu, khắc phục sự cố và điều tra. Mặc dù giữa Bộ Công an và Bộ Giao thông vận tải đã có quy chế phối hợp trong công tác đảm bảo an ninh, an toàn thông tin nhưng trong nhiều thời điểm sự phối hợp vẫn chưa thật hiệu quả. Do đó, các Bộ, ngành, cơ quan, đơn vị, địa phương quản lý, vận hành hệ thống thông tin cần khẩn trương xây dựng quy chế phối hợp với Bộ Công an trong bảo đảm an ninh, an toàn thông tin và quán triệt thực hiện nghiêm túc quy định. Bên cạnh đó, khi xảy ra các vụ việc, sự cố mất an toàn, an ninh thông tin mà có nhiều lực lượng cùng tham gia khắc phục, giải quyết, thì cần phải có một đơn vị giữ vai trò chủ trì.

Thứ năm, triển khai các giải pháp kỹ thuật và đầu tư, nâng cấp các phương tiện, thiết bị đảm bảo an ninh, an toàn cho hệ thống thông tin.

Nguy cơ đe dọa mất an ninh, an toàn thông tin luôn thường trực, với những hậu quả, thiệt hại lớn khi xảy ra tấn công mạng. Nhiệm vụ đặt ra đối với ngành HKDD cũng như các Bộ, ngành, địa phương là cần phải đầu tư, nâng cấp, xây dựng được một hệ thống thông tin chất lượng, bảo đảm được an ninh, an toàn thông tin.

Kết luận

Bảo đảm an ninh, an toàn hệ thống thông tin ngành HKDD nói riêng và của các Bộ, ngành, địa phương nói chung là nhiệm vụ hết sức quan trọng trong tình hình hiện nay. Trên cơ sở phân tích, đánh giá những hậu quả, nguyên nhân từ vụ tin tặc tấn công mạng vào hệ thống thông tin của Tổng công ty Hàng không Việt Nam ngày 29/7/2016, tác giả đã nêu lên một số bài học kinh nghiệm cho lực lượng An ninh mạng trong bảo đảm an ninh, an toàn hệ thống thông tin, đồng thời đề xuất, kiến nghị với các cơ quan, tổ chức, doanh nghiệp cần có những giải pháp hợp lý, kịp thời để bảo đảm an toàn cho hệ thống.