VSIS.NET — Nhanh, Mạnh, An toàn
Hạ tầng sốCase study

DN 12 nhân viên mất 80GB dữ liệu vì 1 file Excel mở từ email lạ

Một DN may mặc ở Bắc Ninh mất toàn bộ dữ liệu thiết kế 6 năm vì một file Excel ransomware. 12 bước phòng ngừa cơ bản đáng lẽ chặn được toàn bộ vụ này.

VSIS Team11 phút đọc

TL;DR

Một doanh nghiệp may mặc tại Bắc Ninh với 12 nhân sự đã mất trắng 80GB dữ liệu thiết kế tích lũy trong 6 năm chỉ vì một nhân viên kế toán mở file Excel đính kèm từ một email lạ. Sự cố mã hóa tống tiền (ransomware) này không chỉ phá hủy toàn bộ file rập, hợp đồng và chứng từ, mà còn khiến toàn bộ xưởng phải ngừng hoạt động trong hai tuần liên tiếp. Đội biên tập VSIS đã phân tích kỹ lưỡng trường hợp này và nhận thấy rằng, thảm họa hoàn toàn có thể được ngăn chặn nếu chủ doanh nghiệp áp dụng 12 bước phòng ngừa cơ bản về an toàn thông tin dành cho quy mô nhỏ.

Bối cảnh

Câu chuyện bắt đầu tại một doanh nghiệp chuyên thiết kế và gia công hàng may mặc xuất khẩu quy mô nhỏ ở Bắc Ninh. Với đội ngũ vỏn vẹn 12 người bao gồm giám đốc, nhân viên thiết kế rập, kế toán và nhân viên kinh doanh, công ty hoạt động theo mô hình gia đình, đề cao sự linh hoạt và tốc độ. Trong suốt 6 năm vận hành, họ đã tích lũy được một kho tàng dữ liệu khổng lồ lên tới 80GB, bao gồm các bản vẽ thiết kế độc quyền, thông số kỹ thuật sản phẩm, danh sách khách hàng và toàn bộ sổ sách kế toán nội bộ.

Hệ thống công nghệ thông tin của doanh nghiệp này được thiết lập vô cùng đơn giản, một thực trạng chung mà đội biên tập VSIS thường xuyên bắt gặp ở các công ty mới thành lập. Họ không có nhân sự IT chuyên trách. Toàn bộ dữ liệu quan trọng được lưu trữ trên một chiếc máy tính để bàn của bộ phận thiết kế, sau đó thư mục này được "Share" (chia sẻ) qua mạng LAN nội bộ để tất cả mọi người trong văn phòng đều có thể truy cập, đọc và chỉnh sửa file một cách dễ dàng. Không có bất kỳ cơ chế phân quyền hay mật khẩu bảo vệ nào được thiết lập giữa các phòng ban.

Sự tiện lợi này chính là điểm yếu chí mạng. Mọi nhân viên đều có quyền truy cập cao nhất vào kho dữ liệu chung, đồng nghĩa với việc nếu một máy tính trong mạng bị nhiễm mã độc, toàn bộ hệ thống sẽ trở thành nạn nhân. Vào thời điểm cuối năm, khi khối lượng công việc tăng cao và các email giao dịch từ đối tác, nhà cung cấp gửi đến dồn dập, sự cảnh giác của nhân viên cũng giảm xuống mức thấp nhất, tạo điều kiện hoàn hảo cho một cuộc tấn công mạng.

Diễn biến vụ tấn công (timeline 4 giờ)

Vào lúc 8 giờ 00 phút sáng ngày thứ Hai, nhân viên kế toán nhận được một email có tiêu đề "Hóa đơn thanh toán nguyên phụ liệu tháng 10 - Yêu cầu xác nhận". Địa chỉ người gửi được làm giả tinh vi, trông rất giống với email của một nhà cung cấp vải quen thuộc mà công ty thường xuyên giao dịch. Nội dung email ngắn gọn, thúc giục việc kiểm tra công nợ kèm theo một file đính kèm có tên Hoa_Don_Cong_No_T10.xls. Không mảy may nghi ngờ, nhân viên kế toán tải file xuống và mở lên.

Đúng 8 giờ 15 phút, khi file Excel được mở, màn hình hiển thị một thông báo yêu cầu người dùng nhấn vào nút "Enable Content" (Cho phép nội dung) hoặc "Enable Macros" để có thể xem chi tiết hóa đơn. Vì đã từng gặp các file Excel có chứa công thức phức tạp yêu cầu thao tác tương tự, nhân viên kế toán đã làm theo. Ngay khoảnh khắc nút bấm đó được kích hoạt, một đoạn mã độc ẩn giấu bên trong file Excel bắt đầu âm thầm chạy ngầm dưới nền hệ thống mà không phát ra bất kỳ cảnh báo nào.

Từ 8 giờ 15 phút đến 10 giờ 00 phút, mã độc hoạt động miệt mài. Nó sử dụng thuật toán mã hóa cấp độ quân sự để khóa chặt từng file Word, Excel, PDF và đặc biệt là các file thiết kế chuyên dụng. Đuôi của các file này dần bị đổi thành những ký tự lạ như .locked hoặc .crypt. Nhân viên trong văn phòng vẫn làm việc bình thường, thỉnh thoảng thấy máy tính hơi chậm nhưng chỉ nghĩ do mạng yếu.

Đến 10 giờ 30 phút, một nhân viên thiết kế cố gắng mở file rập mẫu để gửi cho xưởng cắt nhưng liên tục nhận được thông báo lỗi định dạng. Khi kiểm tra kỹ thư mục chung, họ bàng hoàng phát hiện toàn bộ dữ liệu đã bị đổi tên và không thể truy cập. Đến 11 giờ 00 phút, một file văn bản có tên READ_ME_TO_RECOVER_FILES.txt xuất hiện trên màn hình nền của tất cả các máy tính. Nội dung file là một bức thư tống tiền từ hacker, yêu cầu thanh toán 5.000 USD bằng tiền điện tử Bitcoin để đổi lấy chìa khóa giải mã 80GB dữ liệu. Mọi thứ đã quá muộn.

Hậu quả — không chỉ là 80GB

Nhiều chủ doanh nghiệp lầm tưởng rằng hậu quả của một vụ tấn công ransomware chỉ dừng lại ở việc mất dữ liệu. Tuy nhiên, thực tế ở doanh nghiệp nhỏ này cho thấy, thiệt hại về mặt vận hành và tài chính còn tàn khốc hơn rất nhiều. Đầu tiên là sự đình trệ hoàn toàn của chuỗi sản xuất. Không có bản vẽ thiết kế và thông số kỹ thuật, xưởng may không thể tiến hành cắt vải hay lên chuyền. Toàn bộ 12 nhân sự văn phòng và hơn 30 công nhân dưới xưởng phải ngồi chơi xơi nước trong suốt hai tuần liên tiếp, trong khi công ty vẫn phải chi trả 100% lương cơ bản.

Thứ hai là thiệt hại về uy tín và các khoản phạt vi phạm hợp đồng. Do không thể giao hàng đúng hạn cho đối tác nước ngoài, doanh nghiệp đã bị phạt chậm tiến độ lên tới hàng trăm triệu đồng. Tệ hơn nữa, một số khách hàng lớn đã quyết định hủy đơn hàng mùa sau vì mất niềm tin vào khả năng quản lý rủi ro của công ty. Những bản thiết kế độc quyền tích lũy trong 6 năm, vốn là tài sản trí tuệ cốt lõi tạo nên lợi thế cạnh tranh, nay đã bốc hơi hoàn toàn, buộc họ phải bắt đầu lại từ con số không.

Cuối cùng là những rủi ro về mặt pháp lý mà ít ai ngờ tới. Trong số 80GB dữ liệu bị mã hóa, có chứa rất nhiều thông tin cá nhân của khách hàng, đối tác và nhân viên (bao gồm căn cước công dân, số tài khoản ngân hàng, lịch sử giao dịch). Theo quy định hiện hành, cụ thể tham khảo Nghị định 13/2023/NĐ-CP ngày 17/04/2023 về bảo vệ dữ liệu cá nhân, doanh nghiệp có trách nhiệm bảo mật thông tin này. Việc để lọt lộ hoặc mất kiểm soát dữ liệu có thể khiến công ty đối mặt với các án phạt hành chính nặng nề từ cơ quan chức năng, đẩy doanh nghiệp vốn đang khủng hoảng vào tình thế càng thêm bi đát.

12 bước phòng ngừa cơ bản

Sự cố đáng tiếc trên hoàn toàn có thể được ngăn chặn nếu doanh nghiệp áp dụng các biện pháp bảo mật cơ bản. Đội biên tập VSIS đã tổng hợp 12 bước phòng ngừa thiết yếu, được chia thành ba nhóm chính, phù hợp với nguồn lực hạn hẹp của các doanh nghiệp dưới 20 nhân sự.

Nhóm 1: Yếu tố con người và quy trình

1. Đào tạo nhận thức về email giả mạo (Phishing) Con người luôn là mắt xích yếu nhất trong hệ thống bảo mật. Chủ doanh nghiệp cần tổ chức các buổi hướng dẫn ngắn để nhân viên biết cách nhận diện email lừa đảo. Hãy dạy họ thói quen kiểm tra kỹ địa chỉ email người gửi (ví dụ: ketoan@congty.com khác với ketoan@congtv.com), không vội vàng click vào các đường link lạ và luôn cảnh giác với những email mang tính chất thúc giục, đe dọa hoặc yêu cầu chuyển tiền gấp.

2. Thiết lập quy trình xác minh chéo Đối với các giao dịch liên quan đến tài chính, thay đổi số tài khoản hoặc các file đính kèm có vẻ bất thường, doanh nghiệp phải có quy trình xác minh chéo. Nếu nhận được email yêu cầu thanh toán từ nhà cung cấp kèm file Excel lạ, nhân viên kế toán bắt buộc phải nhấc điện thoại lên gọi trực tiếp cho người phụ trách bên đối tác để xác nhận trước khi mở file. Một cuộc gọi 30 giây có thể cứu vãn cả một cơ nghiệp.

3. Áp dụng nguyên tắc phân quyền tối thiểu (Least Privilege) Không bao giờ được cho phép tất cả nhân viên có quyền truy cập toàn bộ dữ liệu công ty. Kế toán chỉ nên truy cập thư mục tài chính, thiết kế chỉ truy cập thư mục bản vẽ. Hơn nữa, hãy thiết lập quyền "Chỉ đọc" (Read-only) cho những thư mục mà nhân viên không cần phải chỉnh sửa. Việc giới hạn quyền này sẽ khoanh vùng thiệt hại, ngăn chặn mã độc lây lan từ máy của bộ phận này sang dữ liệu của bộ phận khác.

4. Xây dựng văn hóa báo cáo sự cố không đổ lỗi Khi nhân viên lỡ tay click vào link độc hại, tâm lý chung của họ là sợ hãi và cố gắng giấu giếm. Điều này làm mất đi "thời gian vàng" để ngăn chặn mã độc lây lan. Chủ doanh nghiệp cần xây dựng một văn hóa cởi mở, khuyến khích nhân viên báo cáo ngay lập tức mọi dấu hiệu bất thường trên máy tính mà không sợ bị phạt. Càng phát hiện sớm, thiệt hại càng được giảm thiểu.

Nhóm 2: Thiết lập thiết bị và mạng nội bộ

5. Tắt tính năng Macro mặc định trong Microsoft Office Macro là một tính năng mạnh mẽ trong Word và Excel giúp tự động hóa các tác vụ, nhưng nó cũng là công cụ yêu thích của hacker để phát tán mã độc. Đối với doanh nghiệp nhỏ không thực sự cần dùng đến Macro phức tạp, hãy vào phần cài đặt Trust Center của bộ công cụ Office và chọn "Disable all macros with notification" (Vô hiệu hóa tất cả macro và hiển thị thông báo). Điều này tạo ra một chốt chặn an toàn trước khi bất kỳ đoạn mã ngầm nào được thực thi.

6. Cập nhật hệ điều hành và phần mềm liên tục Các bản cập nhật của Windows, macOS hay các phần mềm ứng dụng không chỉ để thêm tính năng mới mà chủ yếu là để vá các lỗ hổng bảo mật vừa được phát hiện. Hacker thường lợi dụng các lỗ hổng trên những hệ điều hành cũ (như Windows 7 hoặc Windows 10 chưa update) để xâm nhập. Hãy bật tính năng tự động cập nhật (Auto-update) trên tất cả các máy tính trong văn phòng.

7. Sử dụng phần mềm diệt virus có bản quyền Đừng tiếc vài trăm nghìn đồng mỗi năm để sử dụng các phần mềm diệt virus bẻ khóa (crack) hoặc các phiên bản miễn phí thiếu tính năng. Hãy trang bị cho mỗi máy tính một phần mềm bảo mật thiết bị đầu cuối (Endpoint Protection) có bản quyền từ các hãng uy tín. Các phần mềm này có khả năng phát hiện hành vi mã hóa dữ liệu bất thường và chặn đứng quá trình hoạt động của ransomware ngay lập tức.

8. Tách biệt mạng Wi-Fi dành cho khách và nội bộ Nhiều văn phòng nhỏ sử dụng chung một mạng Wi-Fi cho cả nhân viên làm việc, điện thoại cá nhân và khách đến thăm. Đây là một rủi ro lớn. Nếu điện thoại của khách bị nhiễm mã độc, nó có thể lây lan sang các máy tính trong mạng nội bộ. Hãy cấu hình router mạng để tạo ra một mạng Wi-Fi Guest (mạng khách) hoàn toàn cách ly với mạng LAN chứa dữ liệu nội bộ của công ty.

Nhóm 3: Lưu trữ và sao lưu dữ liệu

9. Áp dụng quy tắc sao lưu 3-2-1 Đây là nguyên tắc vàng trong bảo vệ dữ liệu. Doanh nghiệp cần có ít nhất 3 bản sao của dữ liệu quan trọng. Lưu trữ trên 2 loại phương tiện khác nhau (ví dụ: ổ cứng máy tính và ổ cứng di động). Và bắt buộc phải có 1 bản sao lưu được cất giữ ở một địa điểm khác (offsite) hoặc trên nền tảng đám mây. Nếu văn phòng bị cháy nổ hoặc toàn bộ mạng nội bộ bị mã hóa, bản sao lưu offsite này chính là chiếc phao cứu sinh duy nhất.

10. Chấm dứt việc dùng máy tính cá nhân làm máy chủ Việc dùng một chiếc máy tính để bàn thông thường, chạy hệ điều hành Windows bản Home để làm nơi lưu trữ dữ liệu chung là cực kỳ nguy hiểm. Máy tính cá nhân không được thiết kế để hoạt động liên tục 24/7 và thiếu các cơ chế bảo mật mạng cấp doanh nghiệp. Hãy đầu tư một thiết bị lưu trữ mạng chuyên dụng (NAS) hoặc chuyển dữ liệu lên các nền tảng đám mây an toàn.

11. Chuyển đổi sang hạ tầng máy chủ ảo (VPS) hoặc Cloud Thay vì lưu trữ dữ liệu cục bộ tại văn phòng với nhiều rủi ro về phần cứng và bảo mật, các doanh nghiệp nhỏ nên cân nhắc đưa các phần mềm kế toán, hệ thống quản lý lên môi trường đám mây. Việc sử dụng VPS giá rẻ tại VSIS không chỉ giúp tiết kiệm chi phí đầu tư máy chủ vật lý mà còn đảm bảo dữ liệu được bảo vệ bởi hệ thống tường lửa chuyên nghiệp và cơ chế sao lưu tự động hàng ngày của nhà cung cấp.

Tiêu chíLưu trữ nội bộ (Máy tính Share)Lưu trữ đám mây (VPS/Cloud)
Chi phí đầu tư ban đầuThấp (tận dụng máy cũ)Rất thấp (trả phí hàng tháng)
Khả năng chống RansomwareRất yếu (dễ lây lan qua mạng LAN)Cao (có tường lửa, snapshot sao lưu)
Khả năng phục hồi dữ liệuGần như bằng 0 nếu bị mã hóaPhục hồi nhanh chóng từ bản backup

12. Xây dựng kịch bản ứng phó sự cố (Incident Response) Chủ doanh nghiệp cần chuẩn bị sẵn một quy trình xử lý khi sự cố xảy ra. Nhân viên cần biết chính xác phải làm gì khi phát hiện máy tính bị nhiễm virus (ví dụ: ngay lập tức rút dây mạng LAN, tắt nguồn máy tính, báo cáo cho quản lý). Để tiết kiệm thời gian xây dựng quy trình, bạn có thể tham khảo các mẫu tài liệu chuẩn trong thư viện template miễn phí của chúng tôi để áp dụng ngay cho doanh nghiệp mình.

  • Rút ngay dây cáp mạng LAN khỏi máy tính bị nghi nhiễm.
  • Ngắt kết nối Wi-Fi ngay lập tức.
  • KHÔNG cắm USB hay ổ cứng di động vào máy đang bị lỗi.
  • Thông báo khẩn cấp cho toàn bộ văn phòng ngừng truy cập dữ liệu chung.

Bài học cho DN dưới 20 người

Câu chuyện mất 80GB dữ liệu của doanh nghiệp may mặc tại Bắc Ninh là một hồi chuông cảnh tỉnh sâu sắc. Nhiều chủ doanh nghiệp nhỏ thường mang tâm lý chủ quan, cho rằng công ty mình quy mô bé, dữ liệu không có giá trị cao nên hacker sẽ không nhòm ngó. Tuy nhiên, thực tế ở doanh nghiệp nhỏ cho thấy, các cuộc tấn công ransomware hiện nay được thực hiện hoàn toàn tự động bằng các bot rà quét trên diện rộng. Chúng không phân biệt bạn là tập đoàn đa quốc gia hay một xưởng sản xuất 10 người; cứ có lỗ hổng là chúng xâm nhập và tống tiền.

Việc đầu tư vào an toàn thông tin không nên được xem là một khoản chi phí xa xỉ, mà phải được coi là chi phí bảo hiểm bắt buộc để duy trì sự sống còn của doanh nghiệp. Chi phí để mua phần mềm diệt virus bản quyền, thuê một máy chủ ảo VPS an toàn hay mua một ổ cứng sao lưu rẻ hơn gấp hàng trăm lần so với số tiền chuộc dữ liệu, chưa kể đến những thiệt hại vô hình về uy tín và thời gian đình trệ sản xuất.

Để xây dựng một nền tảng vận hành vững chắc, bảo mật dữ liệu phải được tích hợp ngay từ những ngày đầu thành lập. Đội biên tập VSIS khuyến nghị các chủ doanh nghiệp nên đưa hạng mục an toàn thông tin vào kế hoạch phát triển tổng thể. Bạn có thể tham khảo thêm Lộ trình 12 tháng chuẩn hóa vận hành để nắm rõ từng bước xây dựng hạ tầng công nghệ an toàn, hiệu quả, giúp doanh nghiệp an tâm tăng trưởng mà không lo sợ những rủi ro rình rập từ không gian mạng.

Key takeaways

  • Ransomware không chừa một ai, các doanh nghiệp nhỏ với hệ thống bảo mật lỏng lẻo chính là con mồi ưa thích của các chiến dịch tấn công tự động.
  • Việc chia sẻ dữ liệu qua mạng LAN nội bộ mà không có phân quyền là rủi ro lớn nhất khiến toàn bộ hệ thống bị tê liệt khi một máy tính nhiễm độc.
  • Thiệt hại của sự cố mất dữ liệu không chỉ là tiền chuộc, mà còn là chi phí ngừng hoạt động, mất uy tín với khách hàng và rủi ro pháp lý.
  • Quy tắc sao lưu 3-2-1 là tấm khiên vững chắc nhất; luôn phải có một bản sao lưu dữ liệu nằm ngoài hệ thống mạng nội bộ.
  • Đào tạo nhân viên nhận biết email lừa đảo và thói quen xác minh trước khi mở file đính kèm là biện pháp phòng vệ tiết kiệm và hiệu quả nhất.
  • Chuyển dịch hạ tầng lưu trữ lên các nền tảng đám mây hoặc VPS chuyên nghiệp giúp giảm thiểu rủi ro phần cứng và tăng cường khả năng phục hồi dữ liệu.

Câu hỏi thường gặp

Ransomware là gì và tại sao nó nhắm vào doanh nghiệp nhỏ? Ransomware là một loại mã độc có khả năng mã hóa toàn bộ dữ liệu trên máy tính, biến chúng thành những file không thể đọc được. Hacker sau đó sẽ yêu cầu nạn nhân trả một khoản tiền chuộc (thường bằng tiền điện tử) để lấy lại mật khẩu giải mã. Doanh nghiệp nhỏ thường bị nhắm tới vì họ hiếm khi có đội ngũ IT chuyên trách, hệ thống bảo mật yếu kém và thường có xu hướng chấp nhận trả tiền chuộc để nhanh chóng khôi phục hoạt động kinh doanh.

Có nên trả tiền chuộc cho hacker để lấy lại dữ liệu không? Các chuyên gia an ninh mạng và cơ quan chức năng luôn khuyến cáo KHÔNG NÊN trả tiền chuộc. Việc trả tiền không đảm bảo 100% bạn sẽ nhận được chìa khóa giải mã hoạt động. Hơn nữa, hành động này còn tài trợ cho các tổ chức tội phạm mạng và biến doanh nghiệp của bạn thành mục tiêu ưu tiên cho các cuộc tấn công tiếp theo vì chúng biết bạn sẵn sàng chi tiền.

Dùng Google Drive hoặc OneDrive có chống được ransomware không? Các dịch vụ lưu trữ đám mây như Google Drive hay OneDrive có tính năng đồng bộ hóa tự động. Nếu máy tính của bạn bị nhiễm ransomware và các file bị mã hóa, hệ thống đồng bộ có thể sẽ tự động đẩy các file đã hỏng này lên đám mây, ghi đè lên file gốc. Tuy nhiên, các dịch vụ này thường có tính năng "Lịch sử phiên bản" (Version History) cho phép bạn khôi phục lại file ở thời điểm trước khi bị mã hóa, cung cấp một lớp bảo vệ khá tốt nếu được cấu hình đúng cách.

Làm sao để nhận biết một email có chứa mã độc? Hãy cảnh giác với các email có địa chỉ người gửi bị sai lệch một vài ký tự so với email thật. Các email chứa mã độc thường tạo cảm giác cấp bách (yêu cầu thanh toán gấp, dọa khóa tài khoản) và yêu cầu bạn tải xuống các file đính kèm có định dạng thực thi hoặc chứa macro như .exe, .bat, .xls, .doc (đặc biệt là các file yêu cầu "Enable Content" khi mở).

Chi phí tối thiểu để thiết lập bảo mật cơ bản cho doanh nghiệp 10 người là bao nhiêu? Chi phí này không hề đắt đỏ. Bạn chỉ cần đầu tư khoảng 3-5 triệu đồng/năm cho phần mềm diệt virus bản quyền cho 10 máy tính, cộng thêm khoảng 2-4 triệu đồng/năm cho một dịch vụ lưu trữ đám mây hoặc VPS cơ bản để sao lưu dữ liệu quan trọng. Tổng cộng chưa tới 10 triệu đồng mỗi năm — một con số quá nhỏ so với rủi ro mất trắng toàn bộ cơ nghiệp.

Nhận checklist mới mỗi tuần

Mẹo, checklist, template gửi thẳng vào inbox. Miễn phí, hủy bất kỳ lúc nào.

Xem tất cả →