Theo dữ liệu của Statista, thời gian trung bình để khôi phục sau một vụ tấn công ransomware là 22 ngày. Tuy nhiên, quá trình này có thế kéo dài nhiều tháng, phụ thuộc vào một số yếu tố như: loại mã hóa, quy trình giải mã và cấu trúc hệ thống.
Chất lượng sao lưu dữ liệu
Tính khả dụng và chất lượng của dữ liệu ảnh hưởng đến thời gian khôi phục sau một cuộc tấn công ransomware. Đó là khả năng một tổ chức truy cập và khôi phục dữ liệu của mình từ các tệp đã sao lưu sau một cuộc tấn công ransomware.
Một hệ thống sao lưu tốt có thể giúp tổ chức nhanh chóng trở lại hoạt động bình thường. Hiệu quả của việc sao lưu và phục hồi dữ liệu phụ thuộc vào: Tần suất sao lưu, Vị trí sao lưu dữ liệu, Loại sao lưu dữ liệu.
Phạm vi hệ thống bị ảnh hưởng
Phạm vi hệ thống bị ảnh hưởng càng lớn thì thời gian khôi phục dữ liệu càng kéo dài. Lý do là vì cần thời gian để điều tra mức độ của cuộc tấn công và xác định hệ thống nào cần được khôi phục. Trong trường hợp của VNDirect, một số chuyên gia cho rằng, hệ thống của công ty chứng khoán này đã bị tấn công cả hệ thống chính và hệ thống phụ.
Độ phức tạp của hệ thống công nghệ thông tin (CNTT)
Nếu một tổ chức có hệ thống CNTT phức tạp, quá trình phục hồi sau cuộc tấn công ransomware có thể kéo dài hơn. Nguyên nhân là phần cứng, phần mềm hoặc các cấu trúc liên kết có thể bị tấn công nếu không được bảo vệ và đội ngũ công nghệ cần nhiều thời gian và nguồn lực để cập nhật, vá lỗi hoặc nâng cấp bảo mật theo cách thủ công. Mặt khác, hệ thống công nghệ phức tạp có thể khiến việc tìm và vá lỗ hổng bảo mật tiêu tốn thời gian và nguồn lực hơn.
Đội ngũ công nghệ
Những chuyên gia có kĩ năng và kinh nghiệm chuyên sâu trong việc xử lý những vụ tấn công ransomware sẽ giúp khôi phục hệ thống và an ninh mạng. Họ có thể nhanh chóng đánh giá tình hình, xác định mức độ ảnh hưởng của vụ tấn công và phát triển những biện pháp khôi phục tuỳ theo nhu cầu của từng tổ chức.
Khả năng ứng phó sự cố
Khả năng ứng phó là các hành động ngay lập tức nhằm nhận diện, ngăn chặn và phân tích một cuộc tấn công bằng ransomware. Các hành động có thể gồm: cô lập hệ thống bị ảnh hưởng, chặn kết nối mạng, vô hiệu hóa tài khoản, sao lưu và khôi phục. Một phản ứng nhanh chóng có thể giảm đáng kể thiệt hại. Các cuộc diễn tập thường xuyên sẽ giúp nâng cao khả năng ứng phó sự cố.
Loại ransomware và dữ liệu bị ảnh hưởng
Độ phức tạp và tinh vi của ransomware được sử dụng trong cuộc tấn công có thể ảnh hưởng đến thời gian khôi phục hệ thống. Bởi nó có thể đòi hỏi thêm thời gian, công sức và chuyên môn để giải mã hoặc khôi phục dữ liệu.
Nếu ransomware chỉ mã hóa một vài tệp dữ liệu thì quá trình khôi phục có thể tương đối nhanh chóng và dễ dàng.
Tuy nhiên, nếu nó đã mã hóa một lượng dữ liệu đáng kể hoặc các tệp hệ thống có giá trị thì việc khôi phục dữ liệu có thể khó khăn hơn và mất nhiều thời gian hơn.
Khóa giải mã có thực sự hiệu quả?
Tổ chức bị tấn công ransomware có thể lấy khóa giải mã (decryption key) bằng việc trả tiền chuộc hoặc sử dụng các công cụ, kỹ thuật giải mã của bên thứ ba. Tuy nhiên, tội phạm mạng có thể cung cấp khóa giải mã chỉ hoạt động một phần hoặc có chứa phần mềm độc hại gây thiệt hại thêm cho hệ thống.
Tổng kết, việc khôi phục sau một cuộc tấn công ransomware phụ thuộc vào mức độ ảnh hưởng và hiệu quả của việc giải mã, các tổ chức cần chuẩn bị các phương án phòng vệ, đầu tư cho công nghệ thông tin và hệ thống sao lưu dữ liệu.
Phòng bệnh vẫn hơn chữa bệnh, việc dừng hoạt động kéo dài do bị tấn công ransomware sẽ gây thiệt hại nặng nề đến hoạt động kinh doanh, mức độ hài lòng của khách hàng và uy tín của tổ chức./.
Nguồn tham khảo: Proven Data
