Úc: Tin tặc tống tiền Medibank và nỗ lực hồi sinh luật tống tiền qua mạng

Hôm nay 7/11, Medibank tuyên bố kiên quyết không đưa tiền cho tin tặc. Tháng trước các nguồn tin cho hay tổ chức bảo hiểm y tế lớn nhất Úc này đã bị tin tặc lấy trộm số liệu của gần 4 triệu khách hàng và chúng đe dọa sẽ làm rò rỉ những thông tin này. Như một hồi chuông cảnh tỉnh, sự cố này đã dẫn tới việc các nhà lập pháp Úc mong muốn thông qua luật trừng phạt tội tống tiền qua mạng.

Trong tuyên bố gần đây với ASX (Australian Securities Exchange), ông David Koczkar, Giám đốc Điều hành Medibank, xin lỗi 3,8 triệu khách hàng vì sự cố đáng tiếc này, và cũng tuyên bố rằng Medibank sẽ không hợp tác với tin tặc.

“Chúng tôi nhận lãnh trách nhiệm bảo vệ khách hàng một cách nghiêm túc. Việc tin tặc dùng thông tin riêng tư của khách hàng làm vũ khí tống tiến là việc làm rất nham hiểm, và chúng đang nhắm vào nhóm công dân cần bảo vệ nhất trong xã hội,” ông Koczkar nói.

“Căn cứ theo phân tích sâu rộng của nhiều chuyên gia về tội phạm không gian mạng, chúng tôi tin rằng trả tiền cho tin tặc chỉ có thể đảm bảo một tỷ lệ rất nhỏ rằng chúng sẽ thật sự không rò rỉ thông tin khách hàng. Trên thực tiễn, thỏa hiệp với tin tặc lần này, sẽ gây hiệu quả khích lệ chúng tới tống tiền trực tiếp các khách hàng chúng tôi, và khả năng rất lớn sẽ khiến nhiều người hơn nữa bị hại, thậm chí có thể biến Úc thành một mục tiêu lớn cho tin tặc.”

“Cho nên, chúng tôi quyết định không thỏa hiệp đe dọa tống tiền trong vụ này,” ông tuyên bố.

Tháng trước 25/10, Medibank công bố bị tin tặc đột nhập và trộm mất thông tin của gần 4 triệu khách hàng. Có những đánh giá cho rằng số người bị ảnh hưởng, trực tiếp và gián tiếp, có thể lên đến 10 triệu người. Medibank ngay bấy giờ thông báo một loạt các biện pháp tạm thời ứng phó tình huống, như yêu cầu khách hàng đổi thẻ Medibank Card, lập tức báo cho đường dây nóng của Medibank khi thấy bất kỳ biểu hiện giao dịch thất thường, v.v.

Trong bối cảnh tội phạm không gian mạng (cyber crime) có chiều hướng gia tăng nói chung, thì vụ Medibank nổi lên như một hồi chuông cảnh tỉnh đến giới lập pháp Úc.

“Trong tình huống tương tự thì nhiều công ty có đưa tiền,” nghị sĩ James Paterson, đảng viên Đảng Tự do Úc (Liberal Party), đã nói với hãng tin Sky News (Úc) vào Thứ Hai (7/11), “nhưng rất nhiều trường hợp [dù đã đưa tiền] nhưng vẫn không đạt được mục tiêu mong muốn. Vì thế định hướng chung nhiều năm qua của Chính phủ Úc cùng các tổ chức chống tội phạm không gian mạng vẫn là không đưa tiền.”

Ông Paterson cũng chỉ ra rằng không chấp nhận đưa tiền cho tội phạm, nhưng công ty nguyên từ đầu phải gánh thêm trách nhiệm trong việc bảo vệ thông tin riêng tư của khách hàng.

Bà Karen Andrews, Bộ trưởng Nội chính, đảng viên Đảng Tự do, cùng dịp này đã có những nỗ lực nối lại việc thông qua một dự luật trừng phạt tội tống tiền không gian mạng (ransomware). Trong dự luật này có khoản trừng phạt lên đến 10 năm tù cho tội tống tiền trên không gian mạng, và có khoản trừng phạt lên đến 25 năm tù cho tội thông qua mạng tấn công cơ sở nền tảng thiết yếu.

Dự luật này đã từng được đề xuất nhưng không thể thông qua bởi Đảng Lao động Úc (Labor Party), khi Đảng Lao động giành phần thắng tại bầu cử Tháng Năm vừa qua.

Lẽ ra dự luật đó đã có thể phát huy tác dụng ngăn chặn tội phạm và “góp phần quan trọng trong việc bảo vệ Úc,” bà Andrews tuyên bố như vậy vào Thứ Hai. Bà cũng phê phán rằng phản ứng của chính phủ là “quá mờ nhạt” trong vụ Medibank và vụ Optus vừa qua.

Tháng trước, Đảng Lao động Úc đã đưa ra Quốc hội về việc tăng hạn mức trừng phạt từ 2 triệu lên đến 50 triệu cho công ty nào thất bại trong việc bảo vệ thông tin riêng tư của khách hàng.