Monthly Archives: March 2015

Hacker nhắm đến các công ty luật

Dữ liệu của các công ty luật đầy tính nhạy cảm và giá trị, không riêng gì dữ liệu tài chính. Đó là đích ngắm lâu nay của hacker nhưng các công ty luật vẫn ít chú ý.

Hacker đang nhắm tới một đối tượng khó ngờ: các công ty luật. Hồi cuối tháng 1 vừa qua, công ty luật Ziprick & Cramer cho biết họ vừa bị một loại tấn công mới, một virus máy tính chuyên mã hóa dữ liệu. Hacker cài virus mã hóa hết tất cả file của công ty và đòi tiền chuộc để phục hồi dữ liệu.

Lỗ hổng bảo mật là một trong những điều cuối cùng mà một luật sư muốn thừa nhận với khách hàng. Ziprick & Cramer ở California không phải công ty lớn, nhưng họ đã báo cho FBI biết và nhờ chuyên gia CNTT hỗ trợ để phục hồi dữ liệu và cài đặt thêm các mức bảo mật nhằm chống lại các cuộc tấn công virus sắp tới. Khách hàng của Ziprick thông cảm cho họ và hiểu được hệ thống file bị tấn công sẽ gây tổn hại rất nhiều cho việc kinh doanh.

Công ty luật là đích ngắm béo bở của tin tặc.

Rõ ràng, các công ty luật, bất kể lớn hay nhỏ, đều có điểm yếu bảo mật. Theo công ty bảo mật Mandiant, ít nhất 80 trong 100 công ty luật lớn nhất tại Mỹ (xét về doanh thu) từ năm 2011 đến nay đều bị hacker tấn công.

Năm 2012, Bloomberg cho biết công ty luật Wiley Rein (Washington, Mỹ) là đối tượng của hacker từ Trung Quốc và mục tiêu là những hợp đồng về một nhà sản xuất tấm năng lượng mặt trời. Còn công ty luật Mc Kenna Long & Aldridge bị mất dữ liệu về số an sinh xã hội và một số dữ liệu khác của nhân viên hồi năm ngoái, khi một trong đối tác của họ bị hacker nhắm đến.

Ít nhất từ năm 2009 đến nay, FBI, phòng Mật vụ Mỹ và các cơ quan hành pháp tại nước này đã cảnh báo các doanh nghiệp lớn về việc máy tính của doanh nghiệp luôn là đích ngắm của hacker xuyên quốc gia, trong đó có Trung Quốc, Nga và vài nước khác với mục đích lấy cắp thông tin về sáp nhập, bằng sáng chế, các bí mật thương mại, kế hoạch kiện cáo…

Theo các chuyên gia bảo mật, vấn đề là các công ty luật chưa được phòng vệ đầy đủ. Nhưng dưới áp lực từ khách hàng thì họ sẽ dần dần cải thiện điều này. Nhiều ngân hàng Phố Wall, trong đó có cả Bank of America và Merrill Lynch, yêu cầu các công ty luật phải trả lời đầy đủ bảng câu hỏi dài 20 trang về các khả năng nhận diện xâm nhập và hệ thống an ninh trên mạng. Vài khách hàng thậm chí còn gửi những chuyên gia giám sát bảo mật của họ đến các công ty luật để phỏng vấn và khảo sát bảo mật.

Scott Angelo, CIO ở công ty luật K&L Gates, cho biết chính khách hàng là yếu tố thúc đẩy ngành công nghiệp luật cải thiện tính bảo mật cho hệ thống. Theo Scott, công ty ông vừa gia cố bảo mật và thậm chí thuê 2 hacker mũ trắng làm việc toàn thời gian, chuyên theo dõi và lấp các lỗ hổng bảo mật.

Một số công ty luật khác thuê tư vấn viên để giúp họ nâng cấp các chính sách và hệ thống bảo mật, rồi sau đó chứng nhận cho họ là hệ thống ấy an toàn. Tại Shook, Hardy & Bacon, CIO John Anderson cho biết đội ngũ CNTT của ông vừa mới hoàn tất 18 tháng và 60.000 USD để có được chứng nhận ISO/IEC 27001, là loại chứng nhận về bảo mật có hiệu lực toàn cầu. Công ty luật này hiện đang đưa chứng nhận ấy vào các tài liệu tiếp thị để khách hàng an tâm.

Những công ty luật cạnh tranh khác thậm chí còn hợp tác với nhau để xử lý vấn đề bảo mật. Một hiệp hội các công ty luật tại New York (Mỹ) và London (Anh), trong đó có Linklaters, Paul, Weiss, Rifkind, Wharton & Garrison và Sullivan & Cromwell, sẽ chia sẻ thông tin về các mối hiểm họa mạng với các viện tài chính để đưa ra những chính sách an ninh tốt nhất cho ngành.

Để giảm tổn hại, vài công ty luật quay sang mua bảo hiểm tấn công mạng. Thị trường này còn nhỏ nhưng càng ngày, càng có nhiều công ty luật chuyển sang hướng này hơn.

Dù có gia cố cách nào đi nữa thì một hệ thống bảo mật tốt nhất, phức tạp nhất cũng không phải là hoàn toàn an toàn dưới mắt của hacker, nhất là tin tặc được các chính phủ quốc gia khác hậu thuẫn.

Theo PCWVN

Advertisements