Sau gần một năm thử nghiệm, tới nay, nền tảng tìm kiếm lỗ hổng bảo mật của Viettel Cyber Security đã triển khai được 20 chương trình, thu hút hơn 200 chuyên gia nghiên cứu hàng đầu tại Việt Nam. Mặc dù, đây không phải là chương trình đầu tiên xuất hiện tại Việt Nam, nhưng đến thời điểm hiện tại, có thể đánh giá đây là một trong những chương trình tìm kiếm lỗ hổng phổ biến và thu hút nhiều “hacker mũ trắng” nhất Việt Nam.

PV: Nền tảng tìm kiếm lỗ hổng bảo mật không còn mô hình mới trên thế giới. Tuy nhiên, mô hình này lại có sự phát triển kém lạc quan tại Việt Nam, ông lý giải điều này như thế nào?

Ông Dương Văn Khôi: Đầu tiên, tôi có thể khẳng định, Việt Nam sở hữu rất nhiều các chuyên gia có trình độ cao, uy tín trong lĩnh vực bảo mật và an toàn thông tin (ATTT) trong nước và trên thế giới. Thực tế đã chứng minh điều này khi có rất nhiều chuyên gia Việt được vinh danh trên các bảng xếp hạng tìm kiếm lỗ hổng của các tổ chức lớn trên toàn cầu. Tại VCS, chúng tôi có những chuyên gia được vinh danh Top 100 cao thủ bảo mật thế giới năm 2018 hay xếp thứ hạng cao trong bảng vinh danh của các hãng bảo mật lớn như Facebook, Microsoft, HackerOne…

Tuy nhiên, mô hình tìm kiếm lỗ hổng ở nước ta còn rất mới mẻ với các tổ chức/doanh nghiệp (TC/DN) trong nước. Điều này là nguyên nhân dẫn đến mô hình này chưa phát triển mạnh mẽ. Bởi các TC/DN còn vẫn còn giữ những quan niệm cũ về giữ uy tín, lộ lọt thông tin… Bên cạnh đó, nhiều nền tảng tìm kiếm lỗ hổng sau một thời gian triển khai chưa bám sát với thực tế, số lượng chương trình hạn chế, chính sách trả thưởng chưa hấp dẫn. Khi sân chơi chưa đủ lớn thì việc các chuyên gia Việt đi tìm kiếm các lỗ hổng trên thế giới là điều khó tránh khỏi.

PV: Chúng ta đang nói nhiều về chuyển đổi số, Cách mạng công nghiệp lần thứ tư, Chính phủ điện tử… thì mối quan tâm về bảo mật và an toàn thông tin cũng gia tăng. Theo ông, SafeVuln đứng ở vị trí nào trong bức tranh này?

Ông Dương Văn Khôi: Trước các mối đe dọa về an ninh thông tin ngày càng gia tăng, thì vấn đề đảm bảo ATTT cho các TC/DN ngày càng trở nên cấp thiết. Trong đó, công nghệ không phải là biện pháp đảm bảo an toàn tuyệt đối cho TC/DN, mà cần có cách tiếp cận đồng bộ các yếu tố: quy trình, công nghệ và con người.

Trong bức tranh này, là giải pháp tác động cả 3 yếu tố cốt lõi. Về mặt quy trình, các TC/DN có thể cung cấp các sản phẩm, dịch vụ trong và sau quá trình cung ứng. Thông tin lỗ hổng được phát hiện sẽ giúp TC/DN hoàn thiện các sản phẩm, dịch vụ. Từ đó tác động đến yếu tố công nghệ trong chính sản phẩm đó. Bên cạnh đó, SafeVuln tạo ra sân chơi cho cộng đồng, giúp nâng cao trình độ chuyên môn của các chuyên gia ATTT. Điều này đóng góp vào việc kiến tạo một xã hội số an toàn. Hiện nay, Viettel là 1 trong những đơn vị tiên phong trong việc trả thưởng cho chuyên gia tìm ra lỗ hổng cho các sản phẩm của mình.

Giao diện nền tảng tìm kiếm lỗ hổng

PV: Như vậy, SafeVuln sẽ phù hợp với các TC/DN nào? Các chương trình của SafeVuln có giới hạn với các sản phẩm, dịch vụ nào không?

Ông Dương Văn Khôi: SafeVuln là nền tảng linh hoạt phù hợp với mọi ứng dụng công nghệ thông tin, đặc biệt là các sản phẩm, dịch vụ được công khai trên Internet của các TC/DN. Mô hình này được tùy biến để phù hợp với hành lang pháp lý, quy mô của các TC/DN, chuyên gia tại Việt Nam.

Đặc biệt, SafeVuln góp phần thúc đẩy làn sóng “Make in Vietnam”. Bởi chúng tôi tâm niệm: Xây dựng nền móng an ninh mạng Việt Nam từ chính người Việt.

PV: SafeVuln cam kết sẽ là nền tảng tìm kiếm lỗ hổng bảo mật công khai – minh bạch – trách nhiệm. Ông có thể cho biết điều đặc biệt nào làm nên cam kết này?

Ông Dương Văn Khôi: SafeVuln minh bạch trong mô hình triển khai, với 2 loại chương trình trao thưởng công khai và bí mật. Ngoài quy định chung của Safevuln, mỗi chương trình sẽ có chính sách riêng do TC/DN quy định bao gồm: các quy định về tiền thưởng, phạm vi tìm lỗ hổng… Tất các các nhà nghiên cứu khi tham gia phải tuân thủ quy định này. Quyết định trao thưởng cho lỗ hổng thuộc về TC/DN vì chỉ có họ mới hiểu được lỗ hổng đó có tác động như thế nào tới hệ thống, tổ chức của mình.

Khi xảy ra tranh chấp, VCS sẽ dựa vào chính sách của chương trình được quy định từ trước để giải quyết. SafeVuln không thiết kế các chức năng xóa, những thay đổi trong dữ liệu đều được lưu lại, để đảm bảo cho việc truy vết. Điều này sẽ đảm bảo công bằng cho chuyên gia và TC/DN.

Nếu các TC/DN không thừa nhận hay âm thầm vá lỗ hổng, thì VCS sẽ dựa trên những bằng chứng trong báo cáo lỗ hổng để buộc TC/DN trả thưởng theo đúng quy định. Vì thế ở phía các chuyên gia, chúng tôi khuyến khích các nhà nghiên cứu đưa ra các bằng chứng cụ thể, chi tiết chứng minh về lỗ hổng.

Bên cạnh đó, để tránh trùng lặp lỗ hổng, SafeVuln hỗ trợ chuyên gia có thể thấy được tiêu đề, loại lỗi, thời gian gửi của báo cáo bị trùng lặp. Trong thời gian tới, chúng tôi sẽ phát triển thêm tính năng cho phép chuyên gia xem được nhiều nội dung hơn của báo cáo trùng lặp nhằm tăng tính minh bạch.

PV: Bên cạnh chế độ tiền thưởng, các chuyên gia sẽ có những quyền lợi gì khi tham gia SafeVuln?

Ông Dương Văn Khôi: Hiện tại, tính điểm cho mỗi chuyên gia dựa trên các báo cáo hợp lệ theo mức độ nghiêm trọng của lỗ hổng và vinh danh trên bảng xếp hạng. Bên cạnh đó, dựa trên một số tiêu chí, chúng tôi sẽ đề xuất một số lượng hạn chế các chuyên gia đủ tiêu chuẩn để mời vào các chương trình tìm kiếm lỗ hổng riêng tư.

PV: Cảm ơn chia sẻ của ông!