Phát động chương trình tìm kiếm lỗ hổng bảo mật cho các nền tảng chuyển đổi số quốc gia
An toàn thông tin - Ngày đăng : 17:23, 18/10/2021
Với tầm nhìn đưa Việt Nam trở thành quốc gia số, phát triển ổn định và thịnh vượng vào năm 2030, Chương trình CĐS quốc gia được Thủ tướng Chính phủ phê duyệt từ tháng 6/2020 cũng đã nhấn mạnh quan điểm: Bảo đảm an toàn, an ninh mạng (ATANM) là then chốt để CĐS thành công và bền vững, đồng thời là thành phần xuyên suốt, không thể tách rời của CĐS.
Trên cơ sở nhận thức rõ tầm quan trọng của ATANM trong CĐS, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Cục ATTT, Bộ TT&TT mong muốn việc bảo đảm ATANM phải được các cơ quan, tổ chức chú trọng ngay từ đầu. Việc tổ chức chương trình Bug Bounty cũng nhằm chủ động tìm ra các lỗ hổng bảo mật, từ đó bảo vệ tốt hơn các nền tảng CĐS quốc gia.
Chương trình Bug Bounty là hoạt động thường niên, năm đầu tiên triển khai từ tháng 10/2021 đến tháng 10/2022. Tổng giải thưởng năm đầu tiên dự kiến lên đến 1 tỷ đồng và dự kiến sẽ tăng dần theo thực tiễn triển khai các năm tiếp theo.
Theo đó, sẽ tổ chức vinh danh bảng xếp hạng top 50 chuyên gia có nhiều đóng góp cho việc tìm kiếm, phát hiện lỗ hổng bảo mật vào ngày ATTT Việt Nam diễn ra vào tháng 11 hằng năm. Đặc biệt, 03 chuyên gia xuất sắc nhất, có nhiều phát hiện và đóng góp lớn sẽ được nhận sẽ được giải thưởng và bằng khen của Bộ trưởng Bộ TT&TT.
Quá trình tham gia tìm kiếm và thông báo lỗ hổng bảo mật phải tuân thủ những quy định đã được NCSC phối hợp cùng các đơn vị liên quan xây dựng và ban hành. Ngoài ra, NCSC cũng có hướng dẫn cụ thể về các bước kiểm tra, đánh giá và xác nhận lỗ hổng; xử lý, khắc phục lỗ hổng.
Về phạm vi và các chính sách quan trọng của chương trình sẽ lần lượt được công bố tại nền tảng Bugrank. Bên cạnh đó, danh sách các chuyên gia đóng góp và tổng thành tích sẽ được công bố, vinh danh thường xuyên chính thức tại website Tín nhiệm mạng.
Với sự phát triển nóng và nhanh chóng của công nghệ như hiện nay thì bất kỳ một hệ thống thông tin nào cũng sẽ phải đối mặt với các nguy cơ tấn công mạng. Do vậy việc phát hiện sớm và khắc phục kịp thời các lỗ hổng bảo mật của các ứng dụng, hệ thống sẽ giúp giảm thiểu rủi ro và các thiệt hại mang lại đối với hệ thống đó.
Đại diện NCSC nhận định, chương trình Bug bounty là giải pháp giúp Chính phủ dễ dàng kết nối được với các chuyên gia bảo mật hàng đầu trong nước và trên thế giới, giúp rút ngắn thời gian, tiết kiệm công sức và chi phí cho việc bảo đảm ATANM trong việc tìm kiếm và phát hiện lỗ hổng trên các nền tảng CĐS quốc gia. Điều này sẽ giúp các cơ quan, tổ chức tiết kiệm thời gian và tập trung nguồn lực vào chuyên môn quan trọng thay vì lo lắng xử lý các nguy cơ tấn công mạng do lỗ hổng bảo mật gây ra.
"Không gian mạng luôn biến động, các nguy cơ tấn công mạng và lỗ hổng bảo mật mới luôn xuất hiện; khi ngăn chặn được nguy cơ này thì có thể sẽ xuất hiện thêm các nguy cơ mới. Do vậy, việc phát hiện sớm và khắc phục kịp thời các lỗ hổng bảo mật của các ứng dụng, hệ thống sẽ giúp giảm thiểu rủi ro và các thiệt hại mang lại đối với tất cả các nền tảng CĐS quốc gia", đại diện NCSC cho hay.
Trước đó, ngày 25/8, NCSC cũng đã ra mắt chương trình tìm kiếm lỗ hổng bảo mật cho các nền tảng số hỗ trợ công tác phòng, chống dịch COVID-19. Sau hơn 1 tháng triển khai chương trình với sự hưởng ứng và chung tay đóng góp của hơn 88 chuyên gia bảo mật, đã có hơn 81 báo cáo lỗ hổng, điểm yếu trên các nền tảng được gửi tới chương trình. Trong đó, có 44 báo cáo lỗ hổng đã được ghi nhận, xác minh là điểm yếu, lỗ hổng bảo mật. Các lỗ hổng đã được gửi trực tiếp tới các đơn vị phát triển để khắp phục kịp thời ngay sau khi nhận được thông tin.
Trên thế giới, nền tảng tìm kiếm lỗ hổng bảo mật đã không còn là mô hình kết nối cộng đồng xa lạ trong lĩnh vực bảo mật và ATTT. Những "hacker mũ trắng" - hay chuyên gia lỗ hổng bảo mật tham gia tìm kiếm lỗ hổng bảo mật trên các nền tảng của các doanh nghiệp lớn như Google, Mircosoft hay Bug Crowd… Cơ quan An ninh mạng CISA, một cơ quan liên bang của chính phủ Hoa Kỳ, đã chọn Bug Crowd và EnDyna để triển khai chính sách tìm kiếm lỗ hổng bảo mật trên các nền tảng công nghệ của Chính phủ trên toàn liên bang./.