Phát động chiến dịch tìm kiếm lỗ hổng bảo mật cho PC-COVID, Sổ Sức khỏe điện tử

Chia sẻ tại Chương trình phát động chiến dịch tìm kiếm lỗ hổng bảo mật cho các nền tảng công nghệ, ông Trần Quang Hưng, Giám đốc Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), thuộc Cục An toàn thông tin (ATTT) – Bộ TT&TT, với sự phát triển nóng và nhanh chóng của công nghệ như hiện nay thì bất kỳ một hệ thống thông tin nào cũng sẽ phải đối mặt với các nguy cơ tấn công mạng. Do vậy, việc phát hiện sớm và khắc phục kịp thời các lỗ hổng bảo mật của các ứng dụng, hệ thống sẽ giúp giảm thiểu rủi ro và các thiệt hại mang lại đối với hệ thống đó. Theo xu hướng này, ngày nay các tổ chức, doanh nghiệp (DN) dần lựa chọn hình thức “Bug bounty” nhằm tận dụng nguồn lực các chuyên gia an toàn, an ninh mạng trên toàn thế giới để chỉ ra những lỗ hổng sớm nhất trên các hệ thống của mình.

Trên tinh thần đó, ngày 25/8, NCSC và VNSecurity đã phối hợp ra mắt nền tảng tìm kiếm lỗ hổng bảo mật trên BugRank tại địa chỉ: https://bugrank.io/user/NCSC/policy

Sau hơn 1 tháng triển khai, chương trình đã nhận được sự hưởng ứng và chung tay đóng góp của hơn 88 chuyên gia bảo mật. Cụ thể, có hơn 81 báo cáo lỗ hổng, điểm yếu trên các nền tảng được gửi tới Chương trình, trong đó có 44 báo cáo lỗ hổng đã được ghi nhận, xác minh là điểm yếu, lỗ hổng bảo mật. Trong số 44 báo cáo lỗ hổng có 16 lỗ hổng mức Nghiêm trọng, 04 lỗ hổng mức Cao, 10 lỗ hổng mức Trung bình, 14 lỗ hổng mức Thấp. Các lỗ hổng đã được gửi tới trực tiếp tới các đơn vị phát triển để khắp phục kịp thời ngay sau khi nhận được thông tin.

Để cảm ơn những đóng góp và chung tay của các chuyên gia bảo mật trong việc góp phần tăng cường mức độ bảo mật cho các nền tảng thành viên của Trung tâm Công nghệ phòng, chống dịch COVID-19 Quốc gia, NCSC đã trao thưởng và vinh danh cho những chuyên gia có đóng góp và tìm ra lỗ hổng bảo mật được chấp nhận tại địa chỉ: https://bugrank.io/hall-of-fame và https://tinnhiemmang.vn/vinh-danh

Kết quả tích cực này cho thấy đây là một mô hình tốt cho việc hoàn thiện các ứng dụng, nền tảng công nghệ phục vụ số đông cũng như các hệ thống khác của Việt Nam trong tương lai. “NCSC cũng bất ngờ vì nhận được sự ủng hộ của cộng đồng ATTT ở Việt Nam, chỉ ra những vấn đề cốt lõi để ứng dụng phòng chống dịch tốt hơn. Chúng tôi ghi nhận và cảm ơn cộng đồng chuyên gia về những đóng góp này”, ông Hưng chia sẻ.

Chính vì vậy, Bộ TT&TT đã phát động một chiến dịch mới với mong muốn các chuyên gia bảo mật tiếp tục chung tay tìm kiếm lỗ hổng bảo mật cho các nền tảng số hỗ trợ công tác phòng, chống dịch COVID-19, cụ thể chiến dịch tập trung vào các nền tảng như: PC-COVID, Sổ SKĐT,….

Cũng theo ông Hưng, mặc dù các sản phẩm đều đã được đội ngũ ATTT của cơ quan quản lý và DN đánh giá, nhưng do các sản phẩm đều được thực hiện trên tinh thần “chống dịch như chống giặc” nên các ứng dụng đều được cập nhật liên tục với các phiên bản mới. Do đó, các ứng dụng sẽ thường xuyên sẽ có những lỗ hổng bảo mật và cần đến sự giúp đỡ, chung tay của cả cộng đồng.

Ông Nguyễn Lê Thành, Trưởng nhóm VNSecurity cho biết, nền tảng Bug bounty đang là xu hướng trên thế giới để các chuyên gia ATTT có thể báo cáo lỗ hổng cho các DN, tổ chức trước khi gây ra những sự cố bảo mật nghiêm trọng. Hầu hết các nước trên thế giới, các nền tảng này là nền tảng thương mại, DN phải trả tiền để đưa lên và cộng đồng chuyên gia ATTT sẽ tìm kiếm các lỗ hổng cho đơn vị đó.

VNSecurity đưa ra sàn phi lợi nhuận (BugRank) để kết nối chuyên gia bảo mật với DN, cho phép mã hóa các báo cáo từ người nghiên cứu, chuyên gia bảo mật để chỉ có DN, tổ chức đọc được các báo cáo lỗi, đảm bảo ATTT cho việc xử lý lỗi. Sau giai đoạn thử nghiệm với NCSC, BugRank sẽ mở rộng ra cho các DN trong nước sử dụng, đưa ra các chương trình trả thưởng trên nền tảng. Ngoài ra, trên tinh thần phi lợi nhuận, BugRank cũng sẽ triển khai và liên kết với cộng đồng nước ngoài ở Hồng Kông và Malaysia.

Khuyến nghị công bố lỗi qua BugRank để có thể sửa lỗi nhanh nhất có thể

Trước câu hỏi sau khi phát hiện ra lỗi bảo mật thì thời gian khắc phục sự cố trong bao lâu, đại diện Trung tâm Công nghệ phòng, chống dịch COVID-19 quốc gia cho biết, sau khi biết được lỗi bảo mật, Trung tâm sẽ cố gắng để cập nhật trong thời gian sớm nhất có thể. Tuy nhiên, vẫn sẽ có những độ trễ nhất định, từ lúc phát hiện cho đến lúc ghi nhận, từ lúc ghi nhận cho đến khắc phục sự cố, từ lúc sửa chữa cho đến lúc bản cập nhật đến tay người dùng.

“Anh em công nghệ của Trung tâm sẽ khắc phục sự cố nhanh nhất có thể, nhưng để bản cập nhật vá lỗi đến tay người dùng thì còn phải phụ thuộc vào các kho tải của Google, Apple”, đại diện Trung tâm nói.

Tuy nhiên, trong “độ trễ” thời gian này, người dùng sẽ gặp những rủi ro nhất định, nên Trung tâm sẽ phải cấu hình hệ thống lại. Đó cũng là lý do tại sao trong thời gian chuyển đổi vừa qua, hệ thống gặp trục trặc và không thể kết nối dữ liệu một cách thông suốt. Đối với các lỗi ghi nhận, có thể công bố qua BugRank hoặc một cách nào khác, nhưng khuyến nghị mọi người sử dụng nền tảng này để đội ngũ kỹ thuật có thể biết thông tin lỗi bảo mật nhanh nhất có thể.

Trung tâm cũng nhấn mạnh, việc phát hiện ra lỗi không phải là hành vi vi phạm pháp luật nhưng hành vi lợi dụng lỗi đó để tấn công, khai thác, lấy dữ liệu lại là vi phạm pháp luật, nhất là khi đây là những nền tảng do cơ quan nhà nước quản lý và vận hành.

Còn theo ông Hưng, từ lúc việc phát hiện ra lỗi, sửa chữa và bản cập nhật đến tay người dùng còn phụ thuộc vào việc phê duyệt của kho tải. Ví dụ như bản cập nhật QR Code của ứng dụng PC-COVID, sửa chữa lỗi lộ thông tin cá nhân khi chia sẻ lên mạng, NCSC đã sửa chữa, khắc phục nhưng phải mất một thời gian nhất định thì bản cập nhật lỗi này mới đến toàn bộ người dùng. “Với những lỗi bảo mật ghi nhận, chúng tôi cam kết sẽ khắc phục sự cố trong thời gian sớm nhất”, ông Hưng khẳng định.

Đối với các lỗi phát hiện, thay vì công bố trên các mạng xã hội như Facebook, các chuyên gia ATTT có thể gửi đến tổ chức, DN chủ quản hệ thống đó thông qua điện thoại, email hoặc cho Trung tâm NCSC. “Nếu các tổ chức, DN không xử lý, chúng tôi sẽ đứng ra làm cầu nối và xử lý”, ông Hưng chia sẻ.