Bộ Quốc phòng Singapore tiếp tục thưởng lớn cho người phát hiện lỗ hổng

Diễn đàn - Ngày đăng : 08:57, 01/10/2019

Với số tiền thưởng lớn từ 150 - 10.000 đô USD, Bộ Quốc phòng Singapore hy vọng các lỗ hổng trong 11 hệ thống và trang web truy cập Internet với sự trợ giúp của 400 tin tặc mũ trắng từ cộng đồng toàn cầu HackerOne.

Bộ Quốc phòng Singapore (Mindef) đã khởi động chương trình trao thưởng cho người tìm ra lỗ hổng lần thứ hai với hy vọng phát hiện ra các lỗ hổng trong 11 hệ thống và trang web truy cập Internet. Chương trình đã thu hút HackerOne khi mời 400 tin tặc mũ trắng (white-hat hacker) tham gia vào diễn tập năm nay, với các khoản trao thưởng từ 150 - 10.000 USD.

Bộ Quốc phòng Singapore cho biết trong một tuyên bố, bắt đầu từ ngày 30/9 đến ngày 21/10, chương trình trao thưởng cho người tìm ra lỗi hệ thống sẽ bao gồm các hệ thống thuộc về Bộ Quốc phòng cũng như Lực lượng Vũ trang Singapore và các cơ quan khác trong lĩnh vực quốc phòng.

Cuộc diễn tập năm nay cũng sẽ tập trung phần lớn cho việc bảo vệ dữ liệu cá nhân, với tiền thưởng bổ sung sẽ được trao cho người phát hiện các lỗ hổng có thể dẫn đến việc mất dữ liệu cá nhân.

So với 11 hệ thống được đưa vào chương trình năm nay, thì chương trình đầu tiên được diễn ra trong năm ngoái với 8 hệ thống.

Trong số 400 hacker mũ trắng tham gia chương trình trao thưởng phát hiện lỗi lần thứ hai này, 200 tin tặc là ở tại Singapore. 400 hacker mũ trắng là con số gần gấp đôi năm 2018 với 264 hacker tham gia chương trình lần đầu tiên.

Theo HackerOne, 35 lỗi đã được xác định - và đã được giải quyết - trong chương trình tiền thưởng lỗi của Bộ Quốc phòng Singapore năm ngoái, với tổng số tiền thưởng là 14.750 USD được trao cho những người tham gia.

Trích dẫn Báo cáo bảo mật Hacker-Powered 2019, nền tảng trao thưởng cho người tìm ra lỗi cho biết các tổ chức ở Singapore, bao gồm Đại học Quốc gia Singapore và GovTech, cũng đã có các chương trình trao thưởng và trao cho tin tặc hơn 270.000 USD - số tiền cao nhất ở khu vực châu Á - Thái Bình Dương.

Người quản lý chương trình của Bộ Quốc phòng Singapore tại HackerOne, Fifi Handayani, cho biết: "Chúng tôi muốn vui mừng khi Bộ Quốc phòng, một trong số ít các cơ quan chính phủ đầu tiên nắm bắt cách tiếp cận tư duy tiến bộ như vậy đối với bảo mật. Việcđầu tư liên tục cho bảo mật với sự hỗ trợ của hacker là minh chứng chochính phủ và các công ty nhìn thấy từ việc hợp tác với cộng đồng hacker để giảm thiểu rủi ro”.

Lĩnh vực quốc phòng của Singapore vào tháng 2 đã tiết lộ kế hoạch tự trang bị cho 300 chuyên gia được đào tạo về các kỹ năng an ninh mạng như một phần trong nỗ lực bảo vệ tốt hơn các hệ thống và mạng lưới của họ.

Bộ Quốc phòng Singapore cũng mở một trường học để chuẩn bị tuyển dụng nhân sự trong tương lai với các kỹ năng có liên quan trong lĩnh vực không gian mạng. Những người được thuê mới sẽ thực hiện các nhiệm vụ khác nhau như phản ứng sự cố mạng, đánh giá lỗ hổng, cũng như chịu trách nhiệm lập kế hoạch hoạt động và xây dựng chính sách, cùng với nhiều việc khác.

Bộ Quốc phòng có kế hoạch thuê 300 chuyên gia được đào tạo trong các lĩnh vực như giám sát mạng và đánh giá lỗ hổng để bảo vệ tốt hơn các hệ thống của họ và đã mở một trường học để tuyển dụng các tân binh trong tương lai với các kỹ năng điều khiển mạng.

Ủy ban đánh giá cũng nhận thấy các nhân viên CNTT thiếu nhận thức và tài nguyên về an ninh mạng và mạng lưới của SingHealth bị cấu hình sai cùng với các lỗ hổng bảo mật, giúp tin tặc thành công trong việc xâm phạm các hệ thống của họ.

Chính phủ Singapore đưa ra một sáng kiến trao thưởng cho người tìm ra lỗi vào cuối năm 2018, khi tin tặc trong nước và quốc tế sẽ được mời kiểm tra các hệ thống để tìm lỗ hổng, cũng như một trung tâm an ninh mạng vào năm tới để tạo điều kiện cho các nỗ lực hợp tác và đào tạo giữa các nước thành viên ASEAN.

Dự kiến sẽ được đưa vào như một phần của sửa đổi sắp tới đối với luật bảo vệ dữ liệu của Singapore, các hướng dẫn mới mà các doanh nghiệp nhà nước phải mất không quá 30 ngày để điều tra xâm phạm bị nghi ngờ và thông báo cho chính quyền 72 giờ sau khi hoàn thành đánh giá xâm phạm.

Sau một loạt các xâm phạm dữ liệu ảnh hưởng đến bệnh nhân chăm sóc sức khỏe tại Singapore năm ngoái tại SingHealth, một sai sót khác đã xảy ra. Một máy chủ chứa thông tin cá nhân của 808.201 người hiến máu không được bảo mật đúng cách bởi nhà cung cấp bên thứ ba, có khả năng lộ dữ liệu như nhóm máu và số nhận dạng quốc gia.

Lan Phương