Cách thức ứng xử của một trung tâm thanh toán với một vụ trộm dữ liệu thẻ tín dụng lớn nhất trong lịch sử để lại nhiều bài học cho các công ty khác.
10:30 sáng ngày 12/1/2009, Robert Carr, CEO của Heartland Payment Systems - tổ hợp chuyên cung cấp các giải pháp thanh toán hàng đầu tại Mỹ, nhận được một cuộc điện thoại báo tin: Kẻ xâm nhập có thể đã tấn công vào hệ thống mạng máy tính của công ty. Với các nhà kinh doanh dịch vụ tài chính, cuộc tấn công kiểu này không khác gì việc bị cướp mất chìa khóa két sắt.
Buổi sáng ngày hôm sau, lo ngại của Carr đã thành hiện thực. Trong khoảng thời gian từ tháng 5/2008, những kẻ tội phạm mạng đã khoét sâu vào hệ thống mạng của Heartland và đánh cắp thông tin về thẻ tín dụng của khách hàng. “Đó là điều tồi tệ nhất có thể xảy ra với một công ty vận hành dịch vụ thanh toán, và nó đã xảy ra đối với chúng tôi”, Carr nói.
Cuộc tấn công được xem là lớn nhất vào dữ liệu thẻ nhắm vào Heartland - trung tâm thanh toán lớn thứ 5 trên toàn nước Mỹ đã để lại những hậu quả nặng nề.
Các chuyên gia an ninh ước tính có khoảng 100 triệu thẻ do trên 650 định chế tài chính phát hành có thể nằm trong danh sách bị đánh cắp thông tin. Heartland phải đối mặt với hàng loạt yêu cầu và biện pháp nghiệp vụ của các nhà điều tra liên bang về vấn đề này.
Bài học 1: Không im lặng
Cuộc tấn công vào một trung tâm điều phối thanh toán các quỹ và điều phối thông tin giữa nhà bán lẻ với chủ thẻ như Heartland đã phản ánh một xu hướng nguy hiểm: Gia tăng các cuộc xâm nhập với độ tinh vi ngày càng cao vào hệ thống dữ liệu của các công ty. Theo một báo cáo của công ty giải pháp truyền thông, IT và bảo mật Verizon Business, số vụ tấn công trong năm 2008 đã nhiều hơn tổng số vụ việc xảy ra trong bốn năm trước đó.
Những cuộc xâm nhập không chỉ đặt dữ liệu của người tiêu dùng hoặc công ty vào rủi ro cao, mà còn buộc các công ty có hệ thống bị tấn công phải chi ra những khoản tiền lớn cho các biện pháp tài chính và PR để khắc phục hậu quả.
Chẳng hạn, TJX Companies đã phải bỏ ra hơn 171 triệu USD liên quan tới một vụ xâm nhập đe dọa sự an toàn của 10 triệu tài khoản (phát hiện ra vào năm 2006). Chi phí của công ty nhỏ thường thấp hơn, vào khoảng 6,65 triệu USD, theo một nghiên cứu hồi tháng 1/2009 của công ty nghiên cứu chính sách bảo mật và thông tin cá nhân Ponemon Institute.
Không giống những người ở cùng hoàn cảnh, thường giữ bí mật trước những vụ tấn công, Carr đã công khai câu chuyện diễn ra ở Heartland nhằm khuyến khích các công ty khác chia sẻ thông tin về những vụ tấn công và liên kết với nhau để chống lại tội phạm mạng vốn đang được tổ chức tốt hơn.
Thông tin cho thấy, Heartland bắt đầu bị xâm nhập từ tháng 5/2008, 13 phần mềm xâm nhập chui qua lỗ hổng của phần mềm Microsoft và lây nhiễm tới một hoặc vài máy chủ mạng. “Trong một ngày, có khoảng 200.000 lần những kẻ tấn công cố gắng xâm nhập vào hệ thống của chúng tôi”, Carr nói.
Bài học 2: Tìm điểm yếu
“Trong khi Heartland cố gắng rà soát lại toàn bộ những cơ sở hoạt động, thì các công ty khác nói chung chỉ tập trung vào những máy chủ bị cho là yếu nhất, và bỏ qua những nhân tố có vẻ ít quan trọng hơn, như điều chỉnh thông gió, điều hòa nhiệt độ”, Peter Tippett, Phó chủ tịch phụ trách công nghệ và đổi mới tại Verizon Business nói.
“Những công ty lớn có hàng trăm vấn đề như thế, và họ cho rằng chúng không đáng phải lo nghĩ, hoặc phó mặc cho bên cung cấp dịch vụ thuê từ bên ngoài. Những kẻ yếu kém sẽ phải chạy theo những đổ vỡ mà họ gây ra từ những lỗi sơ đẳng nhất,” Tippett cho biết thêm.
Các nhà lãnh đạo của Heartland đã nhận ra có điều gì đó không ổn vào cuối tháng 10/2008, khi Visa thông báo rằng một số nhà phát hành thẻ đã báo cáo về khả năng bị tấn công.
Heartland đã thuê hai công ty sử dụng các biện pháp công nghệ để điều tra, họ làm sạch hệ thống mạng, nhưng không tìm thấy gì. Cho đến ngày 12/1/2009, một công ty phát hiện ra dữ liệu lạ xuất phát từ hệ thống của Heartland có tác dụng cản trở người của Heartland ngăn chặn xâm nhập.
Những kẻ tấn công vào Heartland, vẫn chưa bị bắt giữ, quá thành thạo với thông tin tài chính. Trong những trường hợp khác, tội phạm mạng săn tìm những tài sản trí tuệ. Trong một cuộc khảo sát với 800 CIO (chief information officer) tại 8 nước, công bố hồi tháng 1/2009, công ty phần mềm an ninh McAfee nhận thấy trong năm 2008, 800 công ty này đã mất tổng cộng 4,6 tỉ USD giá trị tài sản trí tuệ và phải chi ra 600 triệu USD để khắc phục thiệt hại do bị tấn công.
Bài học 3: Cổ phiếu xuống giá
Buổi sáng ngày 13/1/2009, Carr hủy cuộc họp ban giám đốc tại Manhattan để làm việc với đội ngũ quản lý nhằm xác định cách ứng xử hợp lý nhất với vụ tấn công. Một ưu tiên hàng đầu là: Làm thế nào và khi nào là thời điểm cần thiết để công bố thông tin.
Heartland nói rằng họ không thể cung cấp thông tin chi tiết cho đến khi người thực thi pháp luật vào cuộc, khiến việc công bố thông tin được dời tới ngày 20/1, cũng chính là ngày nhậm chức của tổng thống Barack Obama. Nhiều chuyên gia cáo buộc Heartland ém nhẹm thông tin, nhưng Heartland nói sẽ công bố “ngay khi có thể”.
Trong thời gian đó, Carr cố gắng kiểm soát thiệt hại. Ông tổ chức một cuộc họp với tất cả 3.109 nhân viên và yêu cầu họ liên lạc với các khách hàng, cho khách hàng biết điều gì đã xảy ra và đề nghị tất cả cùng cố gắng giữ bí mật thông tin. Trong những tuần tiếp theo, Heartland đã gọi điện thoại hoặc gặp 150.000 trong số 250.000 khách hàng.
“Chúng tôi có thể đã bỏ sót một vài trăm khách hàng, nhưng tôi không nghĩ rằng có hàng ngàn khách hàng bị sót”, Carr nói.
Những thiệt hại khác cũng rất đáng kể. Trong vài ngày, giá cổ phiếu của Heartland đã giảm tới một nửa. Ngày 9/3/2009, cổ phiếu của công ty thậm chí còn rớt giá tới 77,6%.
Tính đến nay, Heartland đã tính toán được số tiền mà họ phải bỏ ra liên quan tới vụ xâm nhập này là 12,6 triệu USD, bao gồm những khoản đòi bồi thường và phí mà MasterCard và Visa buộc ngân hàng bảo lãnh của Heartland phải trả.
Công ty phải đối mặt với hàng loạt sức ép từ các định chế tài chính, chủ thẻ, và cổ đông. Theo BankInfoSecurity.com, hơn 665 định chế tài chính đã bị ảnh hưởng bởi tình thế nguy hiểm của các thẻ ghi nợ, ghi có mà họ phát hành.
Ngân hàng First National Bank of Omaha đã phải phát hành lại 400.000 thẻ. Heartland đang làm việc với ủy ban điều tra và thi hành pháp luật liên bang, cùng với lực lượng cảnh sát bảo vệ trong việc tiếp tục cuộc điều tra.
Bài học 4: Mã hóa nhanh chóng
Các cơ quan liên bang, bao gồm Ủy ban Thương mại Liên bang đang quan sát vụ Heartland giải quyết an ninh thông tin, và Ủy ban Chứng khoán và Ngoại hối đã đặt nghi vấn không chính thức rằng các thành viên lãnh đạo công ty bán cổ phiếu một cách bất hợp pháp giữa cuộc khủng hoảng.
Carr có kế hoạch bán cổ phiếu Heartland vào mùa thu năm 2008, nhưng trong một cuộc điện đàm với các nhà phân tích ngày 24/2 trước đó, kế hoạch này đã được công bố. Ông cũng nói rằng mình không kiểm soát thời điểm bán, và quyết định ngưng kế hoạch bán sau khi công ty phát hiện ra phần mềm gián điệp xâm nhập.
Nhằm ngăn chặn các cuộc xâm nhập tái diễn, Carr tập trung vào việc mã hóa thông tin thẻ ở những điểm mà kẻ tấn công đã lợi dụng, kẻ tấn công sẽ không thể xâm nhập tiếp vào những hệ thống mạng chưa được mã hóa. Ông cũng đồng sáng lập một tổ chức mang tên Hội đồng Tương trợ Thông tin Thanh toán nhằm khuyến khích các công ty trong lĩnh vực thanh toán chia sẻ thông tin.
Đánh giá về cách thức Carr giải quyết cuộc khủng hoảng tại công ty, Tổng giám đốc tổ chức phi lợi nhuận Identity Theft Resource Center (chuyên trợ giúp người tiêu dùng và nạn nhân của các vụ tấn công) nói: “Carr vẫn bước tiếp và tuyên bố cuộc tấn công đã bị vô hiệu hóa. Có quá nhiều người ở tình huống tương tự thường sẽ gục đầu xuống và đổ lỗi cho người khác”./.
10:30 sáng ngày 12/1/2009, Robert Carr, CEO của Heartland Payment Systems - tổ hợp chuyên cung cấp các giải pháp thanh toán hàng đầu tại Mỹ, nhận được một cuộc điện thoại báo tin: Kẻ xâm nhập có thể đã tấn công vào hệ thống mạng máy tính của công ty. Với các nhà kinh doanh dịch vụ tài chính, cuộc tấn công kiểu này không khác gì việc bị cướp mất chìa khóa két sắt.
Buổi sáng ngày hôm sau, lo ngại của Carr đã thành hiện thực. Trong khoảng thời gian từ tháng 5/2008, những kẻ tội phạm mạng đã khoét sâu vào hệ thống mạng của Heartland và đánh cắp thông tin về thẻ tín dụng của khách hàng. “Đó là điều tồi tệ nhất có thể xảy ra với một công ty vận hành dịch vụ thanh toán, và nó đã xảy ra đối với chúng tôi”, Carr nói.
Cuộc tấn công được xem là lớn nhất vào dữ liệu thẻ nhắm vào Heartland - trung tâm thanh toán lớn thứ 5 trên toàn nước Mỹ đã để lại những hậu quả nặng nề.
Các chuyên gia an ninh ước tính có khoảng 100 triệu thẻ do trên 650 định chế tài chính phát hành có thể nằm trong danh sách bị đánh cắp thông tin. Heartland phải đối mặt với hàng loạt yêu cầu và biện pháp nghiệp vụ của các nhà điều tra liên bang về vấn đề này.
Bài học 1: Không im lặng
Cuộc tấn công vào một trung tâm điều phối thanh toán các quỹ và điều phối thông tin giữa nhà bán lẻ với chủ thẻ như Heartland đã phản ánh một xu hướng nguy hiểm: Gia tăng các cuộc xâm nhập với độ tinh vi ngày càng cao vào hệ thống dữ liệu của các công ty. Theo một báo cáo của công ty giải pháp truyền thông, IT và bảo mật Verizon Business, số vụ tấn công trong năm 2008 đã nhiều hơn tổng số vụ việc xảy ra trong bốn năm trước đó.
Những cuộc xâm nhập không chỉ đặt dữ liệu của người tiêu dùng hoặc công ty vào rủi ro cao, mà còn buộc các công ty có hệ thống bị tấn công phải chi ra những khoản tiền lớn cho các biện pháp tài chính và PR để khắc phục hậu quả.
Chẳng hạn, TJX Companies đã phải bỏ ra hơn 171 triệu USD liên quan tới một vụ xâm nhập đe dọa sự an toàn của 10 triệu tài khoản (phát hiện ra vào năm 2006). Chi phí của công ty nhỏ thường thấp hơn, vào khoảng 6,65 triệu USD, theo một nghiên cứu hồi tháng 1/2009 của công ty nghiên cứu chính sách bảo mật và thông tin cá nhân Ponemon Institute.
Không giống những người ở cùng hoàn cảnh, thường giữ bí mật trước những vụ tấn công, Carr đã công khai câu chuyện diễn ra ở Heartland nhằm khuyến khích các công ty khác chia sẻ thông tin về những vụ tấn công và liên kết với nhau để chống lại tội phạm mạng vốn đang được tổ chức tốt hơn.
Thông tin cho thấy, Heartland bắt đầu bị xâm nhập từ tháng 5/2008, 13 phần mềm xâm nhập chui qua lỗ hổng của phần mềm Microsoft và lây nhiễm tới một hoặc vài máy chủ mạng. “Trong một ngày, có khoảng 200.000 lần những kẻ tấn công cố gắng xâm nhập vào hệ thống của chúng tôi”, Carr nói.
Bài học 2: Tìm điểm yếu
“Trong khi Heartland cố gắng rà soát lại toàn bộ những cơ sở hoạt động, thì các công ty khác nói chung chỉ tập trung vào những máy chủ bị cho là yếu nhất, và bỏ qua những nhân tố có vẻ ít quan trọng hơn, như điều chỉnh thông gió, điều hòa nhiệt độ”, Peter Tippett, Phó chủ tịch phụ trách công nghệ và đổi mới tại Verizon Business nói.
“Những công ty lớn có hàng trăm vấn đề như thế, và họ cho rằng chúng không đáng phải lo nghĩ, hoặc phó mặc cho bên cung cấp dịch vụ thuê từ bên ngoài. Những kẻ yếu kém sẽ phải chạy theo những đổ vỡ mà họ gây ra từ những lỗi sơ đẳng nhất,” Tippett cho biết thêm.
Các nhà lãnh đạo của Heartland đã nhận ra có điều gì đó không ổn vào cuối tháng 10/2008, khi Visa thông báo rằng một số nhà phát hành thẻ đã báo cáo về khả năng bị tấn công.
Heartland đã thuê hai công ty sử dụng các biện pháp công nghệ để điều tra, họ làm sạch hệ thống mạng, nhưng không tìm thấy gì. Cho đến ngày 12/1/2009, một công ty phát hiện ra dữ liệu lạ xuất phát từ hệ thống của Heartland có tác dụng cản trở người của Heartland ngăn chặn xâm nhập.
Những kẻ tấn công vào Heartland, vẫn chưa bị bắt giữ, quá thành thạo với thông tin tài chính. Trong những trường hợp khác, tội phạm mạng săn tìm những tài sản trí tuệ. Trong một cuộc khảo sát với 800 CIO (chief information officer) tại 8 nước, công bố hồi tháng 1/2009, công ty phần mềm an ninh McAfee nhận thấy trong năm 2008, 800 công ty này đã mất tổng cộng 4,6 tỉ USD giá trị tài sản trí tuệ và phải chi ra 600 triệu USD để khắc phục thiệt hại do bị tấn công.
Bài học 3: Cổ phiếu xuống giá
Buổi sáng ngày 13/1/2009, Carr hủy cuộc họp ban giám đốc tại Manhattan để làm việc với đội ngũ quản lý nhằm xác định cách ứng xử hợp lý nhất với vụ tấn công. Một ưu tiên hàng đầu là: Làm thế nào và khi nào là thời điểm cần thiết để công bố thông tin.
Heartland nói rằng họ không thể cung cấp thông tin chi tiết cho đến khi người thực thi pháp luật vào cuộc, khiến việc công bố thông tin được dời tới ngày 20/1, cũng chính là ngày nhậm chức của tổng thống Barack Obama. Nhiều chuyên gia cáo buộc Heartland ém nhẹm thông tin, nhưng Heartland nói sẽ công bố “ngay khi có thể”.
Trong thời gian đó, Carr cố gắng kiểm soát thiệt hại. Ông tổ chức một cuộc họp với tất cả 3.109 nhân viên và yêu cầu họ liên lạc với các khách hàng, cho khách hàng biết điều gì đã xảy ra và đề nghị tất cả cùng cố gắng giữ bí mật thông tin. Trong những tuần tiếp theo, Heartland đã gọi điện thoại hoặc gặp 150.000 trong số 250.000 khách hàng.
“Chúng tôi có thể đã bỏ sót một vài trăm khách hàng, nhưng tôi không nghĩ rằng có hàng ngàn khách hàng bị sót”, Carr nói.
Những thiệt hại khác cũng rất đáng kể. Trong vài ngày, giá cổ phiếu của Heartland đã giảm tới một nửa. Ngày 9/3/2009, cổ phiếu của công ty thậm chí còn rớt giá tới 77,6%.
Tính đến nay, Heartland đã tính toán được số tiền mà họ phải bỏ ra liên quan tới vụ xâm nhập này là 12,6 triệu USD, bao gồm những khoản đòi bồi thường và phí mà MasterCard và Visa buộc ngân hàng bảo lãnh của Heartland phải trả.
Công ty phải đối mặt với hàng loạt sức ép từ các định chế tài chính, chủ thẻ, và cổ đông. Theo BankInfoSecurity.com, hơn 665 định chế tài chính đã bị ảnh hưởng bởi tình thế nguy hiểm của các thẻ ghi nợ, ghi có mà họ phát hành.
Ngân hàng First National Bank of Omaha đã phải phát hành lại 400.000 thẻ. Heartland đang làm việc với ủy ban điều tra và thi hành pháp luật liên bang, cùng với lực lượng cảnh sát bảo vệ trong việc tiếp tục cuộc điều tra.
Bài học 4: Mã hóa nhanh chóng
Các cơ quan liên bang, bao gồm Ủy ban Thương mại Liên bang đang quan sát vụ Heartland giải quyết an ninh thông tin, và Ủy ban Chứng khoán và Ngoại hối đã đặt nghi vấn không chính thức rằng các thành viên lãnh đạo công ty bán cổ phiếu một cách bất hợp pháp giữa cuộc khủng hoảng.
Carr có kế hoạch bán cổ phiếu Heartland vào mùa thu năm 2008, nhưng trong một cuộc điện đàm với các nhà phân tích ngày 24/2 trước đó, kế hoạch này đã được công bố. Ông cũng nói rằng mình không kiểm soát thời điểm bán, và quyết định ngưng kế hoạch bán sau khi công ty phát hiện ra phần mềm gián điệp xâm nhập.
Nhằm ngăn chặn các cuộc xâm nhập tái diễn, Carr tập trung vào việc mã hóa thông tin thẻ ở những điểm mà kẻ tấn công đã lợi dụng, kẻ tấn công sẽ không thể xâm nhập tiếp vào những hệ thống mạng chưa được mã hóa. Ông cũng đồng sáng lập một tổ chức mang tên Hội đồng Tương trợ Thông tin Thanh toán nhằm khuyến khích các công ty trong lĩnh vực thanh toán chia sẻ thông tin.
Đánh giá về cách thức Carr giải quyết cuộc khủng hoảng tại công ty, Tổng giám đốc tổ chức phi lợi nhuận Identity Theft Resource Center (chuyên trợ giúp người tiêu dùng và nạn nhân của các vụ tấn công) nói: “Carr vẫn bước tiếp và tuyên bố cuộc tấn công đã bị vô hiệu hóa. Có quá nhiều người ở tình huống tương tự thường sẽ gục đầu xuống và đổ lỗi cho người khác”./.
| Bài viết này được đăng tải theo thỏa thuận bằng văn bản giữa Tạp chí Doanh nhân thuộc VCCI và Vietnam+ |
(Doanh nhân/Vietnam+)
