Thông tin liên quan đến hơn 14.000 thành viên của Super SA đã bị tin tặc xâm phạm.(www.supersa.sa.gov.au)

 

 

"Đơn giản là sự ứng phó không đủ tốt."

Đó là lời của Bộ trưởng Ngân khố Nam Úc, Stephen Mullighan, phản ứng tại Nghị viện vào hôm thứ Tư, ngày 17/10, khi ông được hỏi về một vụ vi phạm an ninh mạng liên quan đến cơ quan cung cấp tiền  hưu bổng Super SA của chính quyền tiểu bang.

 

Thông tin liên quan đến hơn 14.000 thành viên của quỹ hưu bổng đã bị tin tặc xâm phạm khoảng hai tháng trước.

 

Tuy nhiên, ông Mullghan cho biết ông chỉ biết đến vụ việc này cách đây chưa đầy hai tuần.

 

Đây là lần thứ hai trong vòng chưa đầy hai năm dữ liệu cá nhân từ một cơ quan chính quyền tiểu bang, do một công ty bên thứ ba nắm quyền quản lý, bị truy cập bất hợp pháp.

 

Vào tháng Mười một năm 2021, tin tặc đã tấn công Frontier Software, là công ty cung cấp bảng lương, ảnh hưởng đến hơn 90.000 công chức.

 

Đây là những gì chúng ta biết về vụ vi phạm an ninh mạng mới nhất cho đến hai tuần rồi.

 

Vụ tấn công mạng này liên quan đến vụ vi phạm hồi năm 2019

Chính quyền cho biết vụ vi phạm an ninh gần đây nhất bắt nguồn từ một cuộc tấn công mạng trước đó liên quan đến cơ quan quản lý tiền hưu bổng Super SA vào tháng Mười một năm 2019.

 

Dữ liệu liên quan đến 14.011 thành viên của quỹ hưu bổng Super SA đã bị xâm phạm trong vụ việc vừa rồi.

 

Chính quyền cho biết dữ liệu đã bị xâm nhập trong khi được quản lý bởi công ty Contact 121 có trụ sở tại Adelaide. (Four Corners: Cyber War)

 

 

Để giúp với các thành viên bị ảnh hưởng trong vụ việc dữ liệu bị đột nhập này, cơ quan Super SA đã thuê dịch vụ của công ty Contact 121 - có trụ sở tại Adelaide – vào năm 2020.

 

Sau khi hợp đồng với Super SA kết thúc, chính quyền cho biết, Contact 121 đã lưu giữ dữ liệu của các thành viên và khoảng hai tháng trước khi thông tin đó đã được đột nhập.

 

Chính quyền phủ cho biết cơ quan Super SA đã biết về sự cố an ninh mạng mới nhất xảy ra vào ngày 1 tháng Chín năm nay, nhưng họ không nhận được sự xác nhận rằng hành vi đột nhập đã xảy ra cho đến ngày 4 tháng Mười.

 

Super SA cho biết tất cả các thành viên có dữ liệu bị đột nhập hồi năm 2019 cũng bị ảnh hưởng bởi cuộc tấn công mới nhất này.

 

 

Bộ trưởng Ngân khố, Stephen Mullighan, cho biết ông đã không được thông báo về vụ đột nhập dữ liệu mạng trong nhiều tuần. (ABC News: Che Chorley)

 

 

Hồi hai tuần trước, o6ng Mullighan nói với nghị viện rằng Thủ hiến và Nội Các đã được thông báo về vụ đột nhập dữ liệu mạng mới nhất vào ngày 18 tháng Tám, nhưng ông chỉ được thông báo vào thứ Năm, ngày 12 tháng Mười.

 

Hôm thứ Tư, ngày 17/10, ông nói: “Các cơ quan chính phủ trước tiên cần phải làm tốt hơn rất nhiều, cố gắng tự bảo vệ mình tốt nhất có thể trước những cuộc tấn công này ngay từ đầu, nhưng thứ hai là phải ứng phó với chúng một cách kịp thời, kỹ lưỡng và thích đáng”.

 

Chính quyền vẫn đang điều tra .

Ông Mullighan cho biết chính quyền đang điều tra lý do tại sao trung tâm Contact 121 lại lưu dữ liệu của các thành viên Super SA trên hệ thống của họ.

 

Ông nói tại Nghị viện vào ngày 17/10 “Điều đó đặt ra… một loạt câu hỏi nữa - có yêu cầu gì để các cơ quan này không tiếp tục lưu giữ dữ liệu của chính quyền trên hệ thống điện toán của họ sau khi họ hoàn thành công việc cho chính phủ hay là không?”

“Rõ ràng là cách quản lý các sự cố này là chưa đủ tốt vì nó khiến dữ liệu nhạy cảm của người dân Nam Úc bị lộ, và, bị truy cập bất hợp pháp.”

 

 

Chính quyền Nam Úc cho biết cơ quan Super SA đã biết về vụ dữ liệu bị đột nhập hồi tháng Chín. (Reuters: Samantha Sais)

 

 

Hôm thứ Năm, ngày 19/10, ông Mullighan nói với nghị viện rằng chính quyền không còn sử dụng dịch vụ của Contact 121 nữa.

 

Ông nói: “Chúng tôi không biết các cơ quan nào khác của chính quyền sẽ sử dụng dịch vụ của Contact 121 sau năm 2020”.

“Chúng tôi không biết có cơ quan nào của chính quyền tiếp tục sử dụng công ty này cho đến nay hay không”.

 

Trong khi đó, cơ quan Super SA đã nói với các thành viên của mình vào hôm 16/10 rằng họ đang “hết sức thận trọng để bảo mật trương mục (tài khoản) của các thành viên”.

“Ở giai đoạn này vẫn chưa biết liệu dữ liệu Super SA có bị xâm phạm hay không.”

 

ABC News đã liên hệ với Liên hệ 121 để xin bình luận.

 

Các chuyên gia kêu gọi bảo vệ dữ liệu mạnh mẽ hơn

Darren Kruse, là luật sư về an ninh mạng ở thành phố Adelaide, cho biết các công ty ở Nam Úc và trên toàn quốc không bị yêu cầu xóa dữ liệu khách hàng một khi dữ liệu đó không còn được sử dụng thực tế nữa.

 

Ông nói: “Rõ ràng họ có nhiệm vụ lưu giữ thông tin một cách an toàn và bảo mật”.

“Nhưng không có luật cụ thể nào về việc quản lý dữ liệu hoặc phương pháp lưu giữ dữ liệu đó.”

 

Ông Kruse cho biết chính quyền tiểu bang Nam Úc đã phát hành một bộ quy tắc, không bắt buộc, nêu rõ cách thu thập, sử dụng, truyền tải và quản lý dữ liệu của cơ quan chính quyền, nhưng ông mô tả nó là "lỗi thời" do được soạn thảo hồi năm 2018.

 

Ông nói: “Vấn đề vi phạm dữ liệu sẽ không biến mất.”

 

Jeff Foster, là chuyên gia nghiên cứu an ninh mạng của Đại học Macquarie, nói với đài ABC Regional Drive rằng có thể mất “khá nhiều thời gian” để các công ty bị ảnh hưởng bởi các hành vi đột nhập dữ liệu có thể tìm ra thông tin nào đã bị xâm phạm.

 

Tiến sĩ Foster nói: “Trong trường hợp này của cơ quan South Australian Super, chúng tôi thực sự không biết cái gì đã bị lấy đi hoặc liệu có bất kỳ thông tin nhận dạng cá nhân nào bị lấy đi hay không”.

“Có thể rất khó để tìm ra chính xác những gì đã bị đánh cắp, những gì đã bị xâm nhập và nó được xâm nhập như thế nào trong vụ đột nhập dữ liện này.”

 

 

 

Heidi Girolamo, phát ngôn nhân của phe đối lập, nói rằng an ninh mạng là việc quan trọng trong lãnh vực công. (ABC News)

 

 

Phát ngôn nhân của phe đối lập Heidi Girolamo cho biết điều quan trọng là phải có sự đầu tư của chính quyền trong việc bảo vệ dữ liệu khỏi tin tặc, và các chính sách đó “luôn cần được xem xét và cải tiến liên tục”.

 

Bà nói: “Rõ ràng sau vụ đột nhập dữ liệu mà chúng ta đang chứng kiến hiện nay, nó đã làm nổi bật những lỗ hổng cần được giải quyết”.

"Đó là lĩnh vực đang thay đổi mỗi ngày.”

“Đó là lĩnh vực trọng tâm trong khu vực tư nhân và tôi nghĩ khu vực công cần bảo đảm rằng họ có sẵn hệ thống phù hợp.”