Không muốn trả cả tỷ đồng mỗi năm cho sàn nước ngoài, chuyên gia bảo mật Việt phát triển nền tảng riêng, cho các doanh nghiệp dùng miễn phí

Chiều 4/10, Bộ Thông tin và Truyền thông (TT&TT) đã tổ chức Chương trình phát động chiến dịch tìm kiếm lỗ hổng bảo mật cho các nền tảng công nghệ chống dịch. Trong đó, có nội dung đáng chú ý liên quan đến nền tảng BugRank.

Đây là một chương trình phi lợi nhuận, VnSecurity kết hợp cùng Trung tâm Giám sát an toàn An ninh mạng quốc gia (NCSC) phát triển. Trên BugRank, các chuyên gia bảo mật sẽ báo cáo những lỗ hổng tìm được ở hệ thống của các doanh nghiệp và nhận thưởng - được gọi là Bug Bounty.

Theo ông Nguyễn Lê Thành, trưởng nhóm VnSecurity, Bug Bounty là xu hướng phổ biến trên thế giới, là nơi kết nối giữa doanh nghiệp và người làm an toàn thông tin để họ có thể báo cáo những lỗ hổng đối với những hệ thống của doanh nghiệp giúp doanh nghiệp khắc phục trước khi có những hậu quả.

Hiện trên thế giới có hai nền tảng lớn là Bugcrowd và HackerOne. Tuy nhiên, các nền tảng này đều là sàn thương mại, tức doanh nghiệp phải trả tiền để đưa phần mềm của mình lên sàn đó và kết nối với các chuyên gia nghiên cứu về bảo mật an toàn thông tin. Số tiền doanh nghiệp phải trả có thể từ vài chục tới vài trăm ngàn đô mỗi năm.

Theo ông Thành, đây là một trong những lý do VnSecurity ra mắt nền tảng phi lợi nhuận và mở, cho phép doanh nghiệp kết nối với nhà nghiên cứu, các chuyên gia bảo mật trên thế giới với nhau.

Điểm đặc biệt của BugRank là cho phép mã hoá các báo cáo từ người nghiên cứu, các chuyên gia bảo mật gửi cho doanh nghiệp, tổ chức. Đảm bảo chỉ người báo cáo và doanh nghiệp mới có thể đọc được lỗi đó, giúp doanh nghiệp an toàn thông tin để xử lý lỗi.

Ông Thành cho biết, BugRank hoàn toàn được xây dựng bởi đội ngũ của VnSecurity và các cộng tác viên. Trong thời gian tới, sau giai đoạn thử nghiệm sẽ mở cho các doanh nghiệp trong nước tiếp tục đăng ký.

Tương lai xa, sau khi triển khai tại Việt Nam, BugRank sẽ xúc tiến triển khai tại Hong Kong, Malaysia và một số quốc gia khác.

Thưởng tiền để tìm ra lỗi bảo mật

Sau hơn một tháng triển khai, chương trình Bug Bounty của BugRank đã thu hút sự tham gia của hơn 88 chuyên gia bảo mật với tổng tiền thưởng được trao là 48 triệu đồng. Các chuyên gia này thông báo 81 lỗi trên hàng loạt nền tảng chống dịch như PC-Covid, tokhaiyte.vn, tiemchungcovid19.gov.vn, ứng dụng Bluezone, Sổ sức khỏe điện tử...

Sau khi xác minh, 44 lỗi được ghi nhận là điểm yếu, lỗ hổng bảo mật. Trong đó, 16 lỗ hổng ở mức Nghiêm trọng, 4 ở mức Cao, 10 ở mức Trung bình, 14 ở mức Thấp. Các lỗi này đã được chuyển tới đơn vị phát triển để khắc phục.

"Các rủi ro về an toàn thông tin luôn hiện hữu. Hệ thống bảo mật có thể xuất hiện với bất kỳ hệ thống nào. Trách nhiệm của những người làm hệ thống an toàn thông tin là phát hiện nhanh nhất những điểm yếu bảo mật và chủ lý xử lý các lỗ hổng này", ông Trần Quang Hưng, Giám đốc NCSC chia sẻ.

Đại diện Bộ Thông tin & Truyền thông cũng khuyến khích các chuyên gia tìm kiếm lỗ hổng bảo mật trên những nền tảng chống dịch, đặc biệt tập trung vào hai ứng dụng PC-COVID và Sổ sức khỏe điện tử, qua đó xây dựng các ứng dụng an toàn, tiện lợi để sớm đưa cuộc sống trở lại bình thường sau thời gian dịch bệnh kéo dài.