Cuộc tấn công mạng khiến hoạt động của JLR tê liệt hồi tháng 9 giờ đây trở thành một nghiên cứu điển hình cho các lãnh đạo doanh nghiệp trong bối cảnh mối đe dọa ngày càng leo thang.

Ảnh minh họa

Hãng xe sang của Anh, thuộc sở hữu của Tata Motors (Ấn Độ), đã phải ngừng hệ thống, dẫn đến việc đóng cửa nhà máy tại Anh, Trung Quốc, Slovakia và Ấn Độ - cho thấy hậu quả lan rộng từ các chiến dịch tấn công tinh vi. Ban đầu, JLR khẳng định dữ liệu khách hàng không bị ảnh hưởng. Tuy nhiên, sau đó công ty thừa nhận đã có dữ liệu bị xâm phạm trong vụ việc.

Bài học từ vụ tấn công vào JLR

Nhóm tội phạm mạng khét tiếng Scattered Spider đã nhận trách nhiệm về vụ tấn công, đánh dấu thêm một vụ xâm nhập nữa của chúng sau khi từng nhắm vào các nhà bán lẻ lớn như Marks & Spencer.

Thời điểm xảy ra vụ việc càng làm gia tăng thiệt hại, trùng với giai đoạn đăng ký biển số xe mới tại Anh vào tháng 9. Điều này khiến các đại lý không thể đăng ký xe, gây ra tình trạng tồn đọng đơn hàng và chậm giao xe cho khách.

Theo ông Charles Tennant, cựu Kỹ sư trưởng của Land Rover, JLR thường sản xuất khoảng 1.000 xe/ngày, tương đương doanh thu khoảng 96 triệu USD/ngày, nghĩa là vụ tấn công đã để lại tác động lớn cả về vận hành lẫn tài chính.

Dù vậy, các chuyên gia an ninh mạng ghi nhận rằng phản ứng nhanh chóng của JLR cho thấy quy trình xử lý sự cố chuẩn mực. Quyết định cô lập nhanh hệ thống bị ảnh hưởng đã giúp ngăn chặn tin tặc mở rộng phạm vi xâm nhập vào hạ tầng mạng.

Giá trị của kiến trúc “Zero Trust”

Sự cố JLR cho thấy lý do tại sao các chuyên gia an ninh mạng khuyến nghị kiến trúc Zero Trust trở thành mô hình bảo mật nền tảng trong sản xuất hiện đại.

Kiến trúc Zero Trust (ZTA) là một khung bảo mật thực hiện xác thực mọi yêu cầu truy nhập và chủ động lường trước các cuộc tấn công qua mạng. Các doanh nghiệp áp dụng khung này để đảm bảo chỉ những người dùng và thiết bị được ủy quyền mới có thể vào mạng lưới, truy nhập tài nguyên doanh nghiệp và xem dữ liệu nhạy cảm.

Trong khi các mô hình bảo mật truyền thống giả định rằng mọi thứ bên trong mạng lưới của một tổ chức đều đáng tin cậy, thì kiến trúc bảo mật Zero Trust lại xác thực mọi người dùng và thiết bị trước khi họ có thể truy nhập tài nguyên - dù họ ở bên trong hay bên ngoài mạng lưới của doanh nghiệp.

Khác với mô hình phòng thủ truyền thống, Zero Trust giả định rằng hệ thống đã bị xâm nhập sẵn và tập trung vào việc khoanh vùng và phản ứng nhanh.

Tiến sĩ Larry Ponemon, sáng lập Viện Ponemon, giải thích: “Trước đây chúng ta nghĩ rằng mục tiêu là ngăn chặn. Nhưng điều đó giờ không thực tế nữa. Giờ đây, trọng tâm phải là tốc độ khoanh vùng thiệt hại.”

Điều này đặc biệt quan trọng với ngành sản xuất - nơi vẫn vận hành các hệ thống công nghệ vận hành (OT) cũ, khó nâng cấp hoặc thay thế.

Ông Suvabrata Sinha, Giám đốc An ninh thông tin tại Zscaler, nhấn mạnh: “Tất cả các tài sản OT kết nối mạng, người dùng trong nhà máy, dịch vụ đám mây, thiết bị và kỹ sư hỗ trợ truy cập từ xa đều cần được xác thực trước khi được tin cậy.”

Rủi ro rộng lớn từ chuỗi cung ứng

Vụ tấn công JLR cũng cho thấy điểm yếu liên kết trong hệ sinh thái sản xuất hiện đại.

Các nhà cung cấp không thể truy cập hệ thống đặt hàng và quản lý kho, gây gián đoạn dây chuyền cung ứng. “Sự cố tắt hệ thống cơ sở dữ liệu khổng lồ” này đã khiến đối tác không thể xử lý đơn và giao linh kiện, từ đó tác động đến lắp ráp và dịch vụ bảo dưỡng xe trên toàn cầu.

Bà Katie Barnett, Giám đốc An ninh mạng tại Toro Solutions, nhận định: “Phát hiện sớm lỗ hổng chuỗi cung ứng là yếu tố then chốt để giảm thiểu tác động từ những vụ xâm nhập như thế này.”

Vì sao sản xuất là mục tiêu số một?

Chỉ một điểm lỗi duy nhất cũng có thể làm tê liệt toàn bộ mạng lưới đối tác và nhà cung cấp. Hậu quả là ngành sản xuất đang nổi lên như mục tiêu hàng đầu của tội phạm mạng. Nghiên cứu của IBM X-Force cho thấy đây là lĩnh vực bị tấn công nhiều nhất trong 4 năm liên tiếp, trong khi Diễn đàn Kinh tế Thế giới (WEF) báo cáo chi phí thiệt hại tăng tới 125% mỗi năm.

Một loạt vụ việc gần đây củng cố xu hướng này như Nucor Corporation, nhà sản xuất thép lớn nhất Mỹ, đã phải ngắt kết nối mạng sau khi bị truy cập trái phép; hay Masimo, nhà sản xuất thiết bị y tế, thừa nhận năng lực sản xuất bị giảm sút sau một vụ tấn công ảnh hưởng đến nhiều cơ sở.

Ông Dray Agha, Giám đốc cấp cao phụ trách vận hành an ninh tại Huntress, cho biết: “Năm 2025, vẫn có công ty chờ đến khi hứng chịu một cuộc tấn công hủy diệt mới đầu tư vào an ninh mạng đúng nghĩa.”

Tuy nhiên, ông Agha bổ sung: “Jaguar Land Rover có vẻ đã có quy trình và kế hoạch để ‘giảm tác động’ và nhanh chóng trở lại hoạt động bình thường.” Điều này có nghĩa, bài học từ JLR nằm ở việc xây dựng khả năng chống chịu của tổ chức, thay vì theo đuổi mục tiêu “phòng ngừa tuyệt đối”.

Tiến sĩ Darren Williams, nhà sáng lập kiêm CEO BlackFog, kết luận: “Đối với ngành ô tô - ngày càng phụ thuộc vào công nghệ kết nối, nền tảng số và chuỗi cung ứng phức tạp - vụ việc tại JLR là lời cảnh báo rõ ràng về những thiệt hại tài chính, vận hành và thương hiệu mà tấn công mạng có thể gây ra".

Nguyễn Yến (theo Cyber Magazine)