Phát động chiến dịch tìm kiếm lỗ hổng bảo mật cho PC-COVID, Sổ Sức khỏe điện tử

Nguyễn Khiêm| 04/10/2021 21:43
Theo dõi ICTVietnam trên

Theo Bộ TT&TT, sau hơn một tháng, chương trình tìm lỗ hổng bảo mật cho các nền tảng phòng chống dịch COVID-19 đã phát hiện hơn 81 báo cáo lỗ hổng. Từ kết quả này, ngày 4/10, Bộ TT&TT phát động chiến dịch mới để cộng đồng tiếp tục chung tay bảo vệ các nền tảng, đặc biệt là PC-COVID, Sổ Sức khỏe điện tử (SKĐT).

Tiếp tục chung tay tìm kiếm lỗ hổng bảo mật cho PC-COVID và Sổ SKĐT

Chia sẻ tại Chương trình phát động chiến dịch tìm kiếm lỗ hổng bảo mật cho các nền tảng công nghệ, ông Trần Quang Hưng, Giám đốc Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), thuộc Cục An toàn thông tin (ATTT) - Bộ TT&TT, với sự phát triển nóng và nhanh chóng của công nghệ như hiện nay thì bất kỳ một hệ thống thông tin nào cũng sẽ phải đối mặt với các nguy cơ tấn công mạng. Do vậy, việc phát hiện sớm và khắc phục kịp thời các lỗ hổng bảo mật của các ứng dụng, hệ thống sẽ giúp giảm thiểu rủi ro và các thiệt hại mang lại đối với hệ thống đó. Theo xu hướng này, ngày nay các tổ chức, doanh nghiệp (DN) dần lựa chọn hình thức "Bug bounty" nhằm tận dụng nguồn lực các chuyên gia an toàn, an ninh mạng trên toàn thế giới để chỉ ra những lỗ hổng sớm nhất trên các hệ thống của mình.

Trên tinh thần đó, ngày 25/8, NCSC và VNSecurity đã phối hợp ra mắt nền tảng tìm kiếm lỗ hổng bảo mật trên BugRank tại địa chỉ: https://bugrank.io/user/NCSC/policy

Sau hơn 1 tháng triển khai, chương trình đã nhận được sự hưởng ứng và chung tay đóng góp của hơn 88 chuyên gia bảo mật. Cụ thể, có hơn 81 báo cáo lỗ hổng, điểm yếu trên các nền tảng được gửi tới Chương trình, trong đó có 44 báo cáo lỗ hổng đã được ghi nhận, xác minh là điểm yếu, lỗ hổng bảo mật. Trong số 44 báo cáo lỗ hổng có 16 lỗ hổng mức Nghiêm trọng, 04 lỗ hổng mức Cao, 10 lỗ hổng mức Trung bình, 14 lỗ hổng mức Thấp. Các lỗ hổng đã được gửi tới trực tiếp tới các đơn vị phát triển để khắp phục kịp thời ngay sau khi nhận được thông tin.

Để cảm ơn những đóng góp và chung tay của các chuyên gia bảo mật trong việc góp phần tăng cường mức độ bảo mật cho các nền tảng thành viên của Trung tâm Công nghệ phòng, chống dịch COVID-19 Quốc gia, NCSC đã trao thưởng và vinh danh cho những chuyên gia có đóng góp và tìm ra lỗ hổng bảo mật được chấp nhận tại địa chỉ: https://bugrank.io/hall-of-famehttps://tinnhiemmang.vn/vinh-danh

Kết quả tích cực này cho thấy đây là một mô hình tốt cho việc hoàn thiện các ứng dụng, nền tảng công nghệ phục vụ số đông cũng như các hệ thống khác của Việt Nam trong tương lai. "NCSC cũng bất ngờ vì nhận được sự ủng hộ của cộng đồng ATTT ở Việt Nam, chỉ ra những vấn đề cốt lõi để ứng dụng phòng chống dịch tốt hơn. Chúng tôi ghi nhận và cảm ơn cộng đồng chuyên gia về những đóng góp này", ông Hưng chia sẻ.

Chính vì vậy, Bộ TT&TT đã phát động một chiến dịch mới với mong muốn các chuyên gia bảo mật tiếp tục chung tay tìm kiếm lỗ hổng bảo mật cho các nền tảng số hỗ trợ công tác phòng, chống dịch COVID-19, cụ thể chiến dịch tập trung vào các nền tảng như: PC-COVID, Sổ SKĐT,….

Cũng theo ông Hưng, mặc dù các sản phẩm đều đã được đội ngũ ATTT của cơ quan quản lý và DN đánh giá, nhưng do các sản phẩm đều được thực hiện trên tinh thần "chống dịch như chống giặc" nên các ứng dụng đều được cập nhật liên tục với các phiên bản mới. Do đó, các ứng dụng sẽ thường xuyên sẽ có những lỗ hổng bảo mật và cần đến sự giúp đỡ, chung tay của cả cộng đồng.

Phát động chiến dịch tìm kiếm lỗ hổng bảo mật cho PC-COVID, Sổ Sức khỏe điện tử - Ảnh 1.

Ông Trần Quang Hưng: Dù đều đã được đội ngũ ATTT đánh giá, nhưng do các sản phẩm được cập nhật liên tục, nên sẽ có những lỗ hổng bảo mật và cần đến sự giúp đỡ, chung tay của cả cộng đồng.

Ông Nguyễn Lê Thành, Trưởng nhóm VNSecurity cho biết, nền tảng Bug bounty đang là xu hướng trên thế giới để các chuyên gia ATTT có thể báo cáo lỗ hổng cho các DN, tổ chức trước khi gây ra những sự cố bảo mật nghiêm trọng. Hầu hết các nước trên thế giới, các nền tảng này là nền tảng thương mại, DN phải trả tiền để đưa lên và cộng đồng chuyên gia ATTT sẽ tìm kiếm các lỗ hổng cho đơn vị đó.

VNSecurity đưa ra sàn phi lợi nhuận (BugRank) để kết nối chuyên gia bảo mật với DN, cho phép mã hóa các báo cáo từ người nghiên cứu, chuyên gia bảo mật để chỉ có DN, tổ chức đọc được các báo cáo lỗi, đảm bảo ATTT cho việc xử lý lỗi. Sau giai đoạn thử nghiệm với NCSC, BugRank sẽ mở rộng ra cho các DN trong nước sử dụng, đưa ra các chương trình trả thưởng trên nền tảng. Ngoài ra, trên tinh thần phi lợi nhuận, BugRank cũng sẽ triển khai và liên kết với cộng đồng nước ngoài ở Hồng Kông và Malaysia.

Khuyến nghị công bố lỗi qua BugRank để có thể sửa lỗi nhanh nhất có thể

Trước câu hỏi sau khi phát hiện ra lỗi bảo mật thì thời gian khắc phục sự cố trong bao lâu, đại diện Trung tâm Công nghệ phòng, chống dịch COVID-19 quốc gia cho biết, sau khi biết được lỗi bảo mật, Trung tâm sẽ cố gắng để cập nhật trong thời gian sớm nhất có thể. Tuy nhiên, vẫn sẽ có những độ trễ nhất định, từ lúc phát hiện cho đến lúc ghi nhận, từ lúc ghi nhận cho đến khắc phục sự cố, từ lúc sửa chữa cho đến lúc bản cập nhật đến tay người dùng.

"Anh em công nghệ của Trung tâm sẽ khắc phục sự cố nhanh nhất có thể, nhưng để bản cập nhật vá lỗi đến tay người dùng thì còn phải phụ thuộc vào các kho tải của Google, Apple", đại diện Trung tâm nói.

Tuy nhiên, trong "độ trễ" thời gian này, người dùng sẽ gặp những rủi ro nhất định, nên Trung tâm sẽ phải cấu hình hệ thống lại. Đó cũng là lý do tại sao trong thời gian chuyển đổi vừa qua, hệ thống gặp trục trặc và không thể kết nối dữ liệu một cách thông suốt. Đối với các lỗi ghi nhận, có thể công bố qua BugRank hoặc một cách nào khác, nhưng khuyến nghị mọi người sử dụng nền tảng này để đội ngũ kỹ thuật có thể biết thông tin lỗi bảo mật nhanh nhất có thể.

Phát động chiến dịch tìm kiếm lỗ hổng bảo mật cho PC-COVID, Sổ Sức khỏe điện tử - Ảnh 2.

Toàn cảnh Chương trình phát động chiến dịch tìm kiếm lỗ hổng bảo mật cho các nền tảng công nghệ.

Trung tâm cũng nhấn mạnh, việc phát hiện ra lỗi không phải là hành vi vi phạm pháp luật nhưng hành vi lợi dụng lỗi đó để tấn công, khai thác, lấy dữ liệu lại là vi phạm pháp luật, nhất là khi đây là những nền tảng do cơ quan nhà nước quản lý và vận hành.

Còn theo ông Hưng, từ lúc việc phát hiện ra lỗi, sửa chữa và bản cập nhật đến tay người dùng còn phụ thuộc vào việc phê duyệt của kho tải. Ví dụ như bản cập nhật QR Code của ứng dụng PC-COVID, sửa chữa lỗi lộ thông tin cá nhân khi chia sẻ lên mạng, NCSC đã sửa chữa, khắc phục nhưng phải mất một thời gian nhất định thì bản cập nhật lỗi này mới đến toàn bộ người dùng. "Với những lỗi bảo mật ghi nhận, chúng tôi cam kết sẽ khắc phục sự cố trong thời gian sớm nhất", ông Hưng khẳng định.

Đối với các lỗi phát hiện, thay vì công bố trên các mạng xã hội như Facebook, các chuyên gia ATTT có thể gửi đến tổ chức, DN chủ quản hệ thống đó thông qua điện thoại, email hoặc cho Trung tâm NCSC. "Nếu các tổ chức, DN không xử lý, chúng tôi sẽ đứng ra làm cầu nối và xử lý", ông Hưng chia sẻ.

BugRank là một nền tảng Bug bounty nguồn mở và phi lợi nhuận được phát triển bởi VNSecurity Foundation. Các tổ chức, DN có thể đưa các chương trình của tổ chức mình lên và sẽ được đánh giá, kiểm thử bởi tất cả các Researcher (nhà nghiên cứu, chuyên gia bảo mật...) trên toàn thế giới. Nền tảng này đã được trình bày tại hội thảo HITB Lockdown 2020 và đón nhận được sự quan tâm đông đảo của cộng đồng, chuyên gia an toàn, an ninh mạng trên thế giới./.

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Bộ TT&TT bổ nhiệm một Phó Giáo sư giữ chức Phó Vụ trưởng Vụ HTQT
    PGS. TS. Hoàng Hữu Hạnh, Giám đốc Trung tâm đào tạo quốc tế kiêm phụ trách khoa Đa phương tiện, Học viện Công nghệ Bưu chính Viễn thông được bổ nhiệm giữ chức Phó Vụ trưởng Vụ HTQT, Bộ TT&TT.
  • Người dùng có thể đo tốc độ truy cập Internet Việt Nam tự động
    Hệ thống đo tốc độ truy cập Internet Việt Nam i-Speed vừa được nâng cấp, bao gồm: nâng cấp phiên bản mới (phiên bản 4.0, bản dành cho hệ điều hành Android) cho ứng dụng i-Speed và nâng cấp hệ thống thống kê, chia sẻ, cung cấp số liệu đánh giá tốc độ truy cập Internet Việt Nam.
  • Sự cố CrowdStrike ảnh hưởng đến 49 triệu người, gây thiệt hại 1,4 tỷ USD
    Thiệt hại ban đầu từ sự cố ngừng hoạt động công nghệ toàn cầu ngày 19/7 được các nhà phân tích thị trường ước tính lên tới hơn 1,4 tỷ USD, với hơn 49 triệu người bị ảnh hưởng.
  • Lưu trữ: người hùng thầm lặng của việc triển khai AI
    Nhiều doanh nghiệp (DN) chỉ tập trung vào sức mạnh tính toán và mạng khi triển khai các dự án trí tuệ nhân tạo (AI). Nhưng họ có thể đang bỏ qua bức tranh toàn cảnh về nhu cầu lưu trữ lớn của mình.
  • Lỗ hổng bảo mật của SAP đặt ra câu hỏi về sự vội vàng trong AI
    Công ty bảo mật đám mây Wiz đã công bố một báo cáo chi tiết về các lỗ hổng bảo mật của SAP, hiện đã được vá, đặt ra những câu hỏi đáng báo động về vai trò thứ yếu của trí tuệ nhân tạo (AI) trong phòng thủ an ninh mạng.
  • Tình cảm đặc biệt của Tổng Bí thư Nguyễn Phú Trọng dành cho "quê hương Kinh Bắc - Bắc Ninh"
    Trên cương vị người đứng đầu Đảng ta, Tổng Bí thư Nguyễn Phú Trọng đã 5 lần về thăm, làm việc với Bắc Ninh. Đối với vùng quê Kinh Bắc, Tổng Bí thư luôn dành một tình cảm đặc biệt. Trong nhiều bài phát biểu, nói chuyện, Tổng Bí thư Nguyễn Phú Trọng vẫn nhận mình là người Bắc Ninh. Những ý tứ "Bắc Ninh quê tôi", "Quan họ quê tôi"... cũng được Tổng Bí thư nhắc đến nhiều lần trong bài kết luận sâu sắc tại Hội nghị Văn hóa toàn quốc năm 2021.
  • Cha mẹ hiểu biết để bảo vệ trẻ em trên không gian mạng
    Các chủ đề bảo mật, an toàn mạng trên quy mô toàn cầu là một phần công việc và dịch vụ hàng ngày mà các công ty viễn thông cung cấp cho người dùng. Mặc dù Internet đại diện cho một nguồn khả năng vô tận, nhưng bên cạnh những mặt tích cực, các công nghệ mới cũng ẩn chứa rất nhiều rủi ro nếu chúng được sử dụng một cách liều lĩnh và chúng ta không nhận thức được những rủi ro này. Đó là lý do tại sao phải nâng cao nhận thức cho người dùng, đặc biệt là những người trẻ tuổi nhất biết bảo vệ bản thân trong môi trường ảo.
  • Tổng Bí thư Nguyễn Phú Trọng dành sự quan tâm đặc biệt cho việc xây dựng nền báo chí cách mạng
    Đồng chí Nguyễn Phú Trọng bắt đầu sự nghiệp bằng nghề báo. Ông trải qua các vị trí công tác ở Tạp chí Học tập, nay là Tạp chí Cộng sản từ cán bộ tư liệu, biên tập viên, Trưởng ban, Phó Tổng Biên tập đến Tổng Biên tập. Là một nhà báo, ông còn tham gia giảng dạy, đào tạo đội ngũ người làm báo Việt Nam tại Học viện Báo chí-Tuyên truyền.
  • 7 bài học rút ra từ sự cố CrowdStrike
    Sự cố CrowdStrike xảy ra mới đây là một lời cảnh tỉnh cho các công ty, chính phủ và ngành công nghệ. Và các đội ngũ CNTT có thể học được điều gì từ thảm họa cập nhật phần mềm đã gây chấn động này?
  • Nền tảng số Việt Nam hiện diện trên bản đồ AI thế giới
    Nền tảng nhận diện hình ảnh bằng trí tuệ nhân tạo VNPT SmartVision giành thắng lợi toàn diện tại đấu trường AI City Challenge 2024, uy tín thế giới và qua đây khẳng định mạnh mẽ cho trí tuệ Việt Nam đang vươn tầm thế giới.
Phát động chiến dịch tìm kiếm lỗ hổng bảo mật cho PC-COVID, Sổ Sức khỏe điện tử
POWERED BY ONECMS - A PRODUCT OF NEKO