Vụ vi phạm dữ liệu xảy ra tại hãng hàng không Thổ Nhĩ Kỳ Pegasus Airlines năm 2022 đã làm lộ 6.5TB dữ liệu nhạy cảm tương đương khoảng 23 triệu tệp tin, bao gồm thông tin chuyến bay, mã nguồn và dữ liệu nhân viên. Sự cố này cho thấy rõ những nguy cơ tiềm ẩn về an toàn thông tin, đặc biệt là trong môi trường điện toán đám mây. Ngoài ra, nó còn cung cấp một Case Study quan trọng để nghiên cứu về vấn đề này.
Pegasus Airlines đã bị lộ 6.5TB dữ liệu trực tuyến (Photo: YASIN AKGUL/AFP via Getty Images)
Nguyên nhân và diễn biến vụ việc
Các nhà nghiên cứu bảo mật tại Safety Detectives, trong quá trình thực hiện dự án quét web quy mô lớn đã phát hiện ra một lỗ hổng bảo mật cho phép truy cập trái phép vào dữ liệu của Pegasus Airlines. Nguyên nhân chính là do cấu hình sai của một "bucket" (thùng chứa dữ liệu) Amazon Web Services (AWS) S3, nơi lưu trữ dữ liệu của Hệ thống túi bay điện tử (Electronic Flight Bag - EFB) của Pegasus Airlines. Bucket này đã không được bảo vệ bằng mật khẩu, cho phép bất kỳ ai cũng có thể truy cập.
Dữ liệu bị lộ bao gồm một loạt thông tin nhạy cảm liên quan đến hoạt động bay và nhân sự, cụ thể như:
Ngày 28 tháng 2 năm 2022, Safety Detectives phát hiện ra bucket không được bảo vệ của Pegasus Airlines. Công ty bảo mật này đã thông báo cho hãng hàng không vào ngày hôm sau, 1 tháng 3. Tuy vậy, mãi đến ngày 24 tháng 3, Pegasus Airlines mới khắc phục được lỗ hổng. Hiện vẫn chưa rõ liệu tin tặc có lợi dụng khoảng thời gian gần một tháng đó để đánh cắp dữ liệu hay không.
Hậu quả và tác động
Theo các nhà nghiên cứu, vụ rò rỉ này có thể ảnh hưởng đến sự an toàn của mọi hành khách và thành viên phi hành đoàn của Pegasus trên toàn thế giới. Các hãng hàng không liên kết sử dụng phần mềm EFB của Pegasus như IZair và Air Manas cũng có thể bị ảnh hưởng.
Tim Mackey, chiến lược gia bảo mật chính tại Trung tâm Nghiên cứu An ninh mạng Synopsys, cảnh báo rằng việc dữ liệu bị lộ bao gồm thông tin nhận dạng phi hành đoàn (ảnh, chữ ký, ca làm việc) là đặc biệt nguy hiểm. Ông giải thích rằng, khác với việc chỉ rò rỉ dữ liệu cá nhân (PII) thông thường, những thông tin này có thể bị lợi dụng để mạo danh phi hành đoàn, gây ra những mối đe dọa an ninh hàng không nghiêm trọng.
Với những thông tin bị lộ, kẻ xấu có khả năng gây ra những thiệt hại nghiêm trọng cho Pegasus Airlines, hành khách và an ninh hàng không. Cụ thể, chúng có thể:
Trách nhiệm và các vấn đề pháp lý
Vụ việc đặt ra câu hỏi về trách nhiệm khi xảy ra vi phạm. Ai chịu trách nhiệm? Pegasus Airlines, nhà cung cấp dịch vụ đám mây AWS, hay cả hai? Trên thực tế, việc phân định trách nhiệm thường khá phức tạp. Pegasus Airlines, với tư cách là chủ sở hữu dữ liệu, có trách nhiệm chính trong việc bảo vệ thông tin của khách hàng và nhân viên. Điều này bao gồm việc lựa chọn nhà cung cấp dịch vụ đám mây uy tín, đảm bảo cấu hình bảo mật chính xác và giám sát việc truy cập dữ liệu. Trong khi đó, AWS, theo "Mô hình trách nhiệm chung", chịu trách nhiệm bảo mật "của" đám mây (cơ sở hạ tầng), còn Pegasus chịu trách nhiệm bảo mật "trên" đám mây (dữ liệu và ứng dụng). Tuy nhiên, AWS cũng có trách nhiệm cung cấp các công cụ, hướng dẫn và cảnh báo bảo mật. Việc xác định trách nhiệm pháp lý cuối cùng còn phụ thuộc vào hợp đồng giữa hai bên và các quy định pháp luật liên quan, như GDPR hoặc luật bảo vệ dữ liệu của Thổ Nhĩ Kỳ. Câu hỏi về trách nhiệm trong các vụ vi phạm dữ liệu đám mây vẫn còn là một vấn đề gây tranh cãi và cần được xem xét kỹ lưỡng trong từng trường hợp cụ thể.
Nina Barzey, một luật sư và nhà vận động chỉ ra rằng các doanh nghiệp thường bỏ qua các hướng dẫn của GDPR (Quy định chung về bảo vệ dữ liệu của châu Âu). Theo bà, việc doanh nghiệp hiểu rõ bản chất của dữ liệu mà họ sở hữu còn quan trọng hơn vị trí lưu trữ dữ liệu đó.
Barzey còn nhấn mạnh tầm quan trọng của việc thông báo kịp thời và minh bạch cho các cá nhân bị ảnh hưởng, đặc biệt khi dữ liệu nhạy cảm như thông tin liên quan đến sức khỏe, tài chính, hoặc nhận dạng cá nhân, bị lộ. Bà giải thích rằng, các cá nhân có quyền được biết về việc dữ liệu của họ bị xâm phạm để có thể chủ động bảo vệ bản thân, giảm thiểu thiệt hại và thực hiện các hành động cần thiết như thay đổi mật khẩu hoặc theo dõi tài khoản. Hơn nữa, việc thông báo là một phần trách nhiệm pháp lý của doanh nghiệp theo các quy định như GDPR. Ngoài ra, Barzey cũng lưu ý rằng các doanh nghiệp cần phải điều tra, khắc phục sự cố và cung cấp hỗ trợ cho những người bị ảnh hưởng.
Petri Aalto, một kiến trúc sư giải pháp bảo mật và môi trường làm việc hiện đại, chỉ ra rằng việc các doanh nghiệp ưu tiên tính kinh tế của lưu trữ đám mây mà bỏ qua thiết kế kiến trúc bảo mật và đánh giá rủi ro là nguyên nhân chính dẫn đến các vụ vi phạm dữ liệu.
Bài học rút ra và vai trò của áp dụng tiêu chuẩn ISO/IEC 27001
Vụ việc Pegasus Airlines cho thấy một số bài học quan trọng và việc áp dụng một cách toàn diện tiêu chuẩn ISO/IEC 27001 có thể giúp các doanh nghiệp ngăn ngừa các tình huống tương tự.
1. Quản lý dữ liệu phi cấu trúc: Doanh nghiệp cần hiểu rõ dữ liệu của mình và có chiến lược dữ liệu mạnh mẽ. Việc không phân loại và quản lý dữ liệu phi cấu trúc một cách hiệu quả đã khiến Pegasus Airlines không nhận ra mức độ nhạy cảm của thông tin được lưu trữ trong bucket S3 bị lộ.
2. Bảo mật đám mây: Cấu hình sai là một trong những nguyên nhân hàng đầu gây ra vi phạm dữ liệu đám mây. Cần lựa chọn loại hình đám mây phù hợp với độ nhạy cảm của dữ liệu (ví dụ ưu tiên đám mây riêng cho dữ liệu nhạy cảm cao). ISO/IEC 27001 cung cấp các biện pháp kiểm soát cụ thể để quản lý rủi ro liên quan đến dịch vụ đám mây, bao gồm cả việc cấu hình đúng cách, giám sát liên tục và kiểm tra bảo mật thường xuyên.
3. Giáo dục nhân viên: Đảm bảo nhân viên hiểu rõ bản chất và tầm quan trọng của dữ liệu họ xử lý. ISO/IEC 27001 yêu cầu các doanh nghiệp phải có chương trình đào tạo và nâng cao nhận thức về an toàn thông tin cho nhân viên. Chương trình đào tạo này nên bao gồm các quy tắc về xử lý dữ liệu nhạy cảm, nhận biết các dấu hiệu lừa đảo (phishing) và các mối đe dọa an ninh mạng khác.
4. Tuân thủ pháp luật: Doanh nghiệp cần tuân thủ các quy định bảo vệ dữ liệu như GDPR. ISO/IEC 27001 giúp các doanh nghiệp xây dựng một hệ thống quản lý an toàn thông tin (ISMS) phù hợp với các yêu cầu pháp lý và quy định liên quan.
5. Giám sát nhà cung cấp: Doanh nghiệp phải duy trì sự giám sát đối với bất kỳ nhà cung cấp phụ nào, bao gồm cả nhà cung cấp CNTT, thông qua các hợp đồng chặt chẽ, đánh giá định kỳ và các cơ chế kiểm soát khác. ISO/IEC 27001 yêu cầu các doanh nghiệp phải đánh giá và quản lý rủi ro liên quan đến các bên thứ ba, bao gồm cả nhà cung cấp dịch vụ đám mây.
Vụ vi phạm dữ liệu của Pegasus Airlines là một lời nhắc nhở mạnh mẽ về những thách thức trong việc bảo vệ dữ liệu, không chỉ trong ngành hàng không mà còn đối với tất cả các doanh nghiệp đang xử lý thông tin nhạy cảm trong môi trường đám mây. Để giảm thiểu rủi ro, doanh nghiệp cần hiểu rõ dữ liệu, có chiến lược, tuân thủ pháp luật và áp dụng các tiêu chuẩn như ISO/IEC 27001. Một cách tiếp cận chủ động, dựa trên trách nhiệm giải trình và các tiêu chuẩn quốc tế, sẽ tạo ra một khung bảo vệ dữ liệu vững chắc, giúp doanh nghiệp đứng vững trước các mối đe dọa an ninh mạng ngày càng gia tăng.
Pegasus Airlines đã bị lộ 6.5TB dữ liệu trực tuyến (Photo: YASIN AKGUL/AFP via Getty Images)
Nguyên nhân và diễn biến vụ việc
Các nhà nghiên cứu bảo mật tại Safety Detectives, trong quá trình thực hiện dự án quét web quy mô lớn đã phát hiện ra một lỗ hổng bảo mật cho phép truy cập trái phép vào dữ liệu của Pegasus Airlines. Nguyên nhân chính là do cấu hình sai của một "bucket" (thùng chứa dữ liệu) Amazon Web Services (AWS) S3, nơi lưu trữ dữ liệu của Hệ thống túi bay điện tử (Electronic Flight Bag - EFB) của Pegasus Airlines. Bucket này đã không được bảo vệ bằng mật khẩu, cho phép bất kỳ ai cũng có thể truy cập.
Dữ liệu bị lộ bao gồm một loạt thông tin nhạy cảm liên quan đến hoạt động bay và nhân sự, cụ thể như:
- Biểu mẫu chấp nhận (acceptance forms) về các vấn đề nhỏ được tìm thấy trong quá trình kiểm tra trước chuyến bay.
- Biểu đồ và bản sửa đổi chuyến bay, hỗ trợ điều hướng và hạ cánh.
- Bảng tính chứa thông tin về sân bay, chuyến bay và ca làm việc của phi hành đoàn.
- Tài liệu và biên bản ghi nhớ, bao gồm tài liệu bảo hiểm, giấy phép và hướng dẫn an toàn.
- Nhật ký mức độ toàn vẹn an toàn (safety integrity level logs) chứa các quy định và mã nguồn.
Ngày 28 tháng 2 năm 2022, Safety Detectives phát hiện ra bucket không được bảo vệ của Pegasus Airlines. Công ty bảo mật này đã thông báo cho hãng hàng không vào ngày hôm sau, 1 tháng 3. Tuy vậy, mãi đến ngày 24 tháng 3, Pegasus Airlines mới khắc phục được lỗ hổng. Hiện vẫn chưa rõ liệu tin tặc có lợi dụng khoảng thời gian gần một tháng đó để đánh cắp dữ liệu hay không.
Hậu quả và tác động
Theo các nhà nghiên cứu, vụ rò rỉ này có thể ảnh hưởng đến sự an toàn của mọi hành khách và thành viên phi hành đoàn của Pegasus trên toàn thế giới. Các hãng hàng không liên kết sử dụng phần mềm EFB của Pegasus như IZair và Air Manas cũng có thể bị ảnh hưởng.
Tim Mackey, chiến lược gia bảo mật chính tại Trung tâm Nghiên cứu An ninh mạng Synopsys, cảnh báo rằng việc dữ liệu bị lộ bao gồm thông tin nhận dạng phi hành đoàn (ảnh, chữ ký, ca làm việc) là đặc biệt nguy hiểm. Ông giải thích rằng, khác với việc chỉ rò rỉ dữ liệu cá nhân (PII) thông thường, những thông tin này có thể bị lợi dụng để mạo danh phi hành đoàn, gây ra những mối đe dọa an ninh hàng không nghiêm trọng.
Với những thông tin bị lộ, kẻ xấu có khả năng gây ra những thiệt hại nghiêm trọng cho Pegasus Airlines, hành khách và an ninh hàng không. Cụ thể, chúng có thể:
- Can thiệp vào dữ liệu chuyến bay nhạy cảm và các tệp cực kỳ nhạy cảm bằng cách sử dụng mật khẩu và khóa bí mật được tìm thấy.
- Chặn thông tin EFB quan trọng đến nhân viên hàng không.
- Xác định điểm yếu trong an ninh sân bay hoặc máy bay.
- Nhận dạng nhân viên máy bay thông qua hình ảnh, chữ ký và ca làm việc, sau đó ép buộc họ buôn lậu hàng hóa, vũ khí hoặc ma túy qua biên giới.
Trách nhiệm và các vấn đề pháp lý
Vụ việc đặt ra câu hỏi về trách nhiệm khi xảy ra vi phạm. Ai chịu trách nhiệm? Pegasus Airlines, nhà cung cấp dịch vụ đám mây AWS, hay cả hai? Trên thực tế, việc phân định trách nhiệm thường khá phức tạp. Pegasus Airlines, với tư cách là chủ sở hữu dữ liệu, có trách nhiệm chính trong việc bảo vệ thông tin của khách hàng và nhân viên. Điều này bao gồm việc lựa chọn nhà cung cấp dịch vụ đám mây uy tín, đảm bảo cấu hình bảo mật chính xác và giám sát việc truy cập dữ liệu. Trong khi đó, AWS, theo "Mô hình trách nhiệm chung", chịu trách nhiệm bảo mật "của" đám mây (cơ sở hạ tầng), còn Pegasus chịu trách nhiệm bảo mật "trên" đám mây (dữ liệu và ứng dụng). Tuy nhiên, AWS cũng có trách nhiệm cung cấp các công cụ, hướng dẫn và cảnh báo bảo mật. Việc xác định trách nhiệm pháp lý cuối cùng còn phụ thuộc vào hợp đồng giữa hai bên và các quy định pháp luật liên quan, như GDPR hoặc luật bảo vệ dữ liệu của Thổ Nhĩ Kỳ. Câu hỏi về trách nhiệm trong các vụ vi phạm dữ liệu đám mây vẫn còn là một vấn đề gây tranh cãi và cần được xem xét kỹ lưỡng trong từng trường hợp cụ thể.
Nina Barzey, một luật sư và nhà vận động chỉ ra rằng các doanh nghiệp thường bỏ qua các hướng dẫn của GDPR (Quy định chung về bảo vệ dữ liệu của châu Âu). Theo bà, việc doanh nghiệp hiểu rõ bản chất của dữ liệu mà họ sở hữu còn quan trọng hơn vị trí lưu trữ dữ liệu đó.
Barzey còn nhấn mạnh tầm quan trọng của việc thông báo kịp thời và minh bạch cho các cá nhân bị ảnh hưởng, đặc biệt khi dữ liệu nhạy cảm như thông tin liên quan đến sức khỏe, tài chính, hoặc nhận dạng cá nhân, bị lộ. Bà giải thích rằng, các cá nhân có quyền được biết về việc dữ liệu của họ bị xâm phạm để có thể chủ động bảo vệ bản thân, giảm thiểu thiệt hại và thực hiện các hành động cần thiết như thay đổi mật khẩu hoặc theo dõi tài khoản. Hơn nữa, việc thông báo là một phần trách nhiệm pháp lý của doanh nghiệp theo các quy định như GDPR. Ngoài ra, Barzey cũng lưu ý rằng các doanh nghiệp cần phải điều tra, khắc phục sự cố và cung cấp hỗ trợ cho những người bị ảnh hưởng.
Petri Aalto, một kiến trúc sư giải pháp bảo mật và môi trường làm việc hiện đại, chỉ ra rằng việc các doanh nghiệp ưu tiên tính kinh tế của lưu trữ đám mây mà bỏ qua thiết kế kiến trúc bảo mật và đánh giá rủi ro là nguyên nhân chính dẫn đến các vụ vi phạm dữ liệu.
Bài học rút ra và vai trò của áp dụng tiêu chuẩn ISO/IEC 27001
Vụ việc Pegasus Airlines cho thấy một số bài học quan trọng và việc áp dụng một cách toàn diện tiêu chuẩn ISO/IEC 27001 có thể giúp các doanh nghiệp ngăn ngừa các tình huống tương tự.
1. Quản lý dữ liệu phi cấu trúc: Doanh nghiệp cần hiểu rõ dữ liệu của mình và có chiến lược dữ liệu mạnh mẽ. Việc không phân loại và quản lý dữ liệu phi cấu trúc một cách hiệu quả đã khiến Pegasus Airlines không nhận ra mức độ nhạy cảm của thông tin được lưu trữ trong bucket S3 bị lộ.
2. Bảo mật đám mây: Cấu hình sai là một trong những nguyên nhân hàng đầu gây ra vi phạm dữ liệu đám mây. Cần lựa chọn loại hình đám mây phù hợp với độ nhạy cảm của dữ liệu (ví dụ ưu tiên đám mây riêng cho dữ liệu nhạy cảm cao). ISO/IEC 27001 cung cấp các biện pháp kiểm soát cụ thể để quản lý rủi ro liên quan đến dịch vụ đám mây, bao gồm cả việc cấu hình đúng cách, giám sát liên tục và kiểm tra bảo mật thường xuyên.
3. Giáo dục nhân viên: Đảm bảo nhân viên hiểu rõ bản chất và tầm quan trọng của dữ liệu họ xử lý. ISO/IEC 27001 yêu cầu các doanh nghiệp phải có chương trình đào tạo và nâng cao nhận thức về an toàn thông tin cho nhân viên. Chương trình đào tạo này nên bao gồm các quy tắc về xử lý dữ liệu nhạy cảm, nhận biết các dấu hiệu lừa đảo (phishing) và các mối đe dọa an ninh mạng khác.
4. Tuân thủ pháp luật: Doanh nghiệp cần tuân thủ các quy định bảo vệ dữ liệu như GDPR. ISO/IEC 27001 giúp các doanh nghiệp xây dựng một hệ thống quản lý an toàn thông tin (ISMS) phù hợp với các yêu cầu pháp lý và quy định liên quan.
5. Giám sát nhà cung cấp: Doanh nghiệp phải duy trì sự giám sát đối với bất kỳ nhà cung cấp phụ nào, bao gồm cả nhà cung cấp CNTT, thông qua các hợp đồng chặt chẽ, đánh giá định kỳ và các cơ chế kiểm soát khác. ISO/IEC 27001 yêu cầu các doanh nghiệp phải đánh giá và quản lý rủi ro liên quan đến các bên thứ ba, bao gồm cả nhà cung cấp dịch vụ đám mây.
Vụ vi phạm dữ liệu của Pegasus Airlines là một lời nhắc nhở mạnh mẽ về những thách thức trong việc bảo vệ dữ liệu, không chỉ trong ngành hàng không mà còn đối với tất cả các doanh nghiệp đang xử lý thông tin nhạy cảm trong môi trường đám mây. Để giảm thiểu rủi ro, doanh nghiệp cần hiểu rõ dữ liệu, có chiến lược, tuân thủ pháp luật và áp dụng các tiêu chuẩn như ISO/IEC 27001. Một cách tiếp cận chủ động, dựa trên trách nhiệm giải trình và các tiêu chuẩn quốc tế, sẽ tạo ra một khung bảo vệ dữ liệu vững chắc, giúp doanh nghiệp đứng vững trước các mối đe dọa an ninh mạng ngày càng gia tăng.
GIC Việt Nam tổng hợp
