Sự đam mê của những hacker trẻ và loạt dấu ấn “đầu tiên”

20 năm trước, hơn 20 hacker trẻ đam mê an ninh mạng đã cùng nhau thành lập nhóm nghiên cứu triển khai dự án Mạng An toàn thông tin Việt Nam, trực thuộc Trung tâm Phát triển khoa học công nghệ và tài năng trẻ - Trung ương Đoàn Thanh niên cộng sản Hồ Chí Minh.

Trong đó có một số tên tuổi khá “đình đám”, được giới haker nể phục như: Phùng Anh Tuấn, Đỗ Ngọc Duy Trác, Trương Đức Lượng… Còn lại là sinh viên năm thứ ba trở lên của các trường đại học.

Những hacker tạo nên Mạng an toàn thông tin Việt Nam năm 2003.

Hướng tới dịch vụ an toàn thông tin chuyên nghiệp, trung tâm nghiên cứu và cung cấp dịch vụ theo tiêu chuẩn Hoa Kỳ nhanh chóng được hình thành dưới sự bảo trợ của Trung ương Đoàn.

“Lúc ấy, bên Trung ương Đoàn cho chúng tôi mượn tầng 3 – 4 tại tòa nhà số 7 Đào Duy Anh làm “đại bản doanh”, có cả phòng lab do nước ngoài tài trợ. Các kiến thức liên quan an toàn thông tin được hệ thống hóa lại, dựa theo sườn của hệ thống đào tạo SANS - một tổ chức tư nhân Hoa Kỳ uy tín hàng đầu thế giới về đào tạo an toàn thông tin. Mọi người có lộ trình để chủ động nghiên cứu theo góc tiếp cận của nước ngoài”, ông Trương Đức Lượng, Chủ tịch Công ty Cổ phần An ninh mạng Việt Nam (VSEC) nhớ lại những ngày đầu.

Ông Trương Đức Lượng, Chủ tịch Công ty Cổ phần An ninh mạng Việt Nam (VSEC).

Chính sự đam mê, nhiệt huyết, dấn thân tìm kiếm những mảnh đất mới đã tạo động lực để nhóm nghiên cứu làm nên một số dấu ấn “đầu tiên” tại Việt Nam ngay trong năm đầu thành lập: Cung cấp dịch vụ đào tạo an toàn thông tin đầu tiên tại Việt Nam, học liệu đào tạo tự xây dựng dựa trên sự tham khảo hệ thống đào tạo của SANS; Cung cấp dịch vụ đánh giá an toàn thông tin đầu tiên tại Việt Nam với những khách hàng đầu tiên là Bộ Công an và các sở thông tin và truyền thông.

Tiếp năm sau, nhóm nghiên cứu lại ghi thêm dấu ấn “đầu tiên” khác: Triển khai Trung tâm Cảnh báo an ninh thông tin đầu tiên tại Việt Nam.

“Thời kỳ đó, theo quan sát của chúng tôi, tại Việt Nam chưa có đơn vị nào chuyên đào tạo an toàn thông tin. Vì thế, chương trình đào tạo của VSEC có tiếng vang trong cộng đồng. Một loạt khóa học khởi đầu từ Hà Nội, mở rộng sang Thành phố Hồ Chí Minh, thu hút rất nhiều học viên đến từ Bộ Công an, Bộ Quốc phòng, các cơ quan nhà nước và địa phương khác… Các diễn đàn chuyên sâu về công nghệ đều đánh giá chất lượng đào tạo rất tốt”, ông Lượng cho hay.

“Bên cạnh hoạt động đào tạo, chúng tôi còn cung cấp cả dịch vụ đánh giá bảo mật (pentest audit). Nhu cầu thị trường đã có, song chi phí dành cho hoạt động này của các tổ chức, doanh nghiệp không nhiều. Hồi đấy anh em đi làm gần như chỉ vì đam mê. Với danh nghĩa nhóm nghiên cứu trực thuộc Trung ương Đoàn, được cơ quan nhà nước bảo trợ, nên kể cả việc đi đào tạo nhân sự tại các sở thông tin và truyền thông địa phương cũng mang tính chất hỗ trợ. Vì thế không có nhiều nguồn kinh phí đầu tư cho sự phát triển bền vững trong tương lai. Ý tưởng thành lập doanh nghiệp bắt đầu được nhen nhóm”, Chủ tịch VSEC lý giải về sự ra đời của công ty.

Hành trình không ít khoảng lặng và điểm nghẽn

Công ty VSEC chính thức thành lập năm 2009. Hoạt động kinh doanh chính là pentest audit, hỗ trợ các tổ chức/doanh nghiệp không chỉ đánh giá được mức độ an toàn thông tin mà còn có thể phát hiện những lỗ hổng bảo mật nguy hiểm trên hệ thống, giúp đội ngũ công nghệ thông tin nâng cao khả năng phòng thủ và giảm thiểu thiệt hại.

VSEC đóng vai trò bác sĩ đi khám bệnh cho các hệ thống thông tin, sau đó đưa ra cảnh báo, mách thang thuốc để họ tự đi mua.

“VSEC đóng vai trò bác sĩ đi khám bệnh cho các hệ thống thông tin, sau đó đưa ra cảnh báo, mách thang thuốc để họ tự đi mua. Khách hàng lớn đầu tiên là một tổng công ty viễn thông của Việt Nam. Chúng tôi đã kiểm tra một hệ thống rất lớn của họ, tìm kiếm lỗ hổng, khai thác thành công cho họ xem. Ấn tượng với kết quả đạt được, họ đã ký hợp đồng để VSEC triển khai dịch vụ audit pentest trong vòng 6 tháng. Giá trị hợp đồng khoảng 10.000 USD”, ông Lượng kể.

Tuy nhiên, hành trình phát triển VSEC đã có một điểm ngắt quãng tầm 5 năm. Khi đa số lãnh đạo công ty cùng lúc làm nhiều công việc, giảm dần sự tập trung cho VSEC, chỉ coi đây là chỗ làm thêm.

Năm 2014, Chính phủ bàn việc xây dựng Luật An toàn thông tin. Đồng nghĩa nhiều vấn đề về an toàn thông tin trước kia chỉ mang tính chất khuyến nghị, làm cũng được mà không làm cũng chẳng sao, sẽ trở thành quy định bắt buộc phải tuân thủ.

Dự báo khả năng “đi lên” của thị trường dịch vụ an toàn thông tin, ông Lượng dừng hẳn công việc ở công ty khác, chuyên tâm vào VSEC, lập nhóm 7 chuyên gia làm sâu về kỹ thuật, tập trung hai mảng chính: Pentest audit; Dịch ngược thông tin mã độc, sẵn sàng đáp ứng nhu cầu gia tăng của cộng đồng sau khi Luật An toàn thông tin đi vào cuộc sống.

VSEC quy tụ một đội ngũ “chiến binh” sở hữu nhiều công trình nghiên cứu có khả năng tác động đến rất nhiều hệ thống công nghệ của Việt Nam. Điển hình như nghiên cứu tìm ra những lỗi rất nghiêm trọng có khả năng thay đổi nội dung của modem sử dụng tại các hộ gia đình; hoặc những lỗi rất nghiêm trọng của ngân hàng, có thể thay đổi nội dung chuyển tiền...

Tuy nhiên, một “điểm nghẽn” xuất hiện và tồn tại trong khoảng 2 năm: Không đủ nguồn nhân lực để vừa cung cấp dịch vụ vừa phát triển sản phẩm bán ra thị trường. Đội ngũ nhân sự dù có tố chất, kỹ năng chuyên sâu, được cộng đồng chuyên gia công nhận, vẫn không thể phát triển mạnh mẽ hơn khi nguồn lực bị phân tán.

Đại dịch Covid-19 xuất hiện càng khiến các lãnh đạo VSEC thấy cần phải thay đổi. Và rồi họ đã quyết định tái cấu trúc, gây dựng lại đội ngũ, tập trung vào duy nhất một dịch vụ mình đang làm tốt nhất. Đồ thị phát triển của VSEC lại tiếp tục theo hướng đi lên.

Năm 2019, VSEC liên tiếp được cộng đồng xã hội nhắc tên khi loạt sản phẩm được vinh danh tại các giải thưởng lớn: Thiết bị USB siêu bảo mật USEC DataSafe và Giải pháp phần mềm giám sát an toàn thông tin Vadar đạt Danh hiệu Sao Khuê; Giải pháp giám sát website toàn diện SafeSAI nhận Giải thưởng National winner CBC Competition…

Năm 2020, VSEC ra mắt mô hình Trung tâm Giám sát và vận hành an toàn thông tin (SOC), tiếp đó nhanh chóng nhận Giấy phép xác nhận kết nối, chia sẻ thông tin với Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC). Chất lượng dịch vụ SOC do VSEC cung cấp được đánh giá trong Top 3 doanh nghiệp tốt nhất tại Việt Nam hiện nay.

Dịch vụ đào tạo và diễn tập thực chiến an toàn thông tin của VSEC đảm bảo các quy định của Cục An toàn thông tin - Bộ Thông tin và Truyền thông.

“Cung cấp dịch vụ bảo mật với chất lượng cao, đáp ứng nhu cầu của các tổ chức, doanh nghiệp, bất kể yêu cầu triển khai, quy mô hay sự phức tạp của hệ thống hạ tầng công nghệ thông tin, năng lực giám sát hay khả năng quản lý, hiện chúng tôi đã phục vụ hơn 1.000 khách hàng gồm các doanh nghiệp và tổ chức chính phủ. Dịch vụ đào tạo và diễn tập thực chiến an toàn thông tin của VSEC đảm bảo các quy định của Cục An toàn thông tin - Bộ Thông tin và Truyền thông, là lựa chọn số một của các bộ, ban, ngành, các ngân hàng và doanh nghiệp lớn tại Việt Nam. VSEC cũng đã trở thành thành viên của nhiều hiệp hội, tổ chức trong và ngoài nước như: Mạng lưới Ứng cứu sự cố quốc gia VNCert; Hiệp hội An toàn thông tin Việt Nam, FS-ISAC, Blackpanda, RAPID, Affinitas Global, CoreSecurity, RecorderdFuture…”, Chủ tịch VSEC tự hào nói.

Tự tin ra thế giới với đẳng cấp quốc tế

Định hướng hoạt động theo tiêu chuẩn quốc tế ngay từ ngày đầu thành lập, VSEC đã gây dựng được đội ngũ nhân sự chất với 100% chuyên gia đạt chứng chỉ quốc tế, nhiều kinh nghiệm phát hiện CVE (các điểm yếu và lỗ hổng thường gặp), nghiên cứu các lỗ hổng 0-day (lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục) với điểm CVSS (hệ thống chấm điểm lỗ hổng phổ biến) lên đến 9.1. Việc đánh giá an toàn thông tin từ các chuyên gia được triển khai toàn diện từ môi trường, công nghệ cho đến con người nhằm đảm bảo không bỏ sót lỗ hổng an toàn nào.

Từ sứ mệnh ban đầu: “Cung cấp dịch vụ đẳng cấp quốc tế cho thị trường Việt Nam”, VSEC vững tin hướng tới sứ mệnh mới: “Người Việt Nam hoàn toàn làm chủ được các công nghệ an toàn thông tin của thế giới, luôn sẵn sàng ủng hộ, đóng góp tích cực cho sự phát triển chung trong lĩnh vực bảo mật an toàn thông tin của xã hội”.

Tên gọi VSEC bắt đầu được thế giới biết đến khi lọt vào Top 6 Chung kết Cuộc thi khởi nghiệp Start Jerusalem năm 2016 do Bộ Ngoại giao và Cơ quan phát triển Jerusalem - Israel tổ chức.

5 năm sau, VSEC trở thành nhà cung cấp dịch vụ quản trị an toàn thông tin (MSSP) đầu tiên tại Việt Nam được chứng nhận CREST cho cả hai dịch vụ Penetration Testing (kiểm thử xâm nhập) và SOC, thể hiện rõ năng lực của doanh nghiệp Việt trong việc đáp ứng những yêu cầu khắt khe nhất không chỉ tại Việt Nam mà còn là trên toàn cầu. Tiêu chuẩn CREST của một tổ chức Anh đang là tiêu chuẩn đáng tin cậy nhất trong ngành cho các công ty MSSP.

Cùng năm 2021, VSEC là MSSP đầu tiên của Việt Nam gia nhập Hiệp hội FS-ISAC - cộng đồng chia sẻ thông tin tình báo mạng toàn cầu duy nhất chỉ tập trung vào các dịch vụ tài chính.

Mới đây nhất, năm 2023, VSEC trở thành đơn vị duy nhất tại Việt Nam nằm trong Top 250 MSSP theo xếp hạng của MSSP Alert.

Định vị VSEC không chỉ là một MSSP đẳng cấp quốc tế tại Việt Nam, Chủ tịch Trương Đức Lượng cùng các cộng sự đang tính đường dài “vươn ra biển lớn”. Những tiêu chuẩn quốc tế như CREST đã giúp doanh nghiệp Việt dễ nói chuyện hơn với các đối tác quốc tế, mở rộng “mạng lưới chân rết” trên thị trường ngoại.

Chuyên gia của VSEC là đại diện Việt Nam duy nhất tham dự Hội nghị CRESTCon Australia hồi tháng 9/2023.

Tháng 9 vừa qua, chuyên gia của VSEC là đại diện Việt Nam duy nhất tham dự Hội nghị CRESTCon Australia, khẳng định thêm năng lực cũng như nỗ lực của một doanh nghiệp công nghệ Việt đang vươn mình ra thế giới.

“Ngay từ cuối năm ngoái, chúng tôi đã chuẩn bị cho việc thương hiệu VSEC hiện diện ở nước ngoài theo lộ trình 3 – 5 năm tới. Đã có một số công ty nước ngoài đề xuất đầu tư hoặc M&A để VSEC tăng trưởng tốt hơn. Hiện chúng tôi đã có 4 đối tác ở thị trường quốc tế, đang tiếp tục kết nối với một số đối tác ngoại khác. Theo phương châm “chi phí tối thiểu tạo kết quả tối đa”, chúng tôi đang nỗ lực tìm kiếm đối tác, khách hàng, tạo bước đệm căn bản, bền vững cho những bước đi tiếp theo”, Chủ tịch VSEC tiết lộ hướng đi tương lai.

Ước tính tổng dung lượng thị trường quốc tế mà VSEC muốn tiếp cận có giá trị khoảng 1,6 tỷ USD. Lãnh đạo VSEC rất mong muốn có thêm nhiều công ty Việt chung vai sát cánh trên hành trình “Go Global” (đi ra toàn cầu) để có thể chiếm lĩnh thị trường nhanh hơn.

“Có dấn thân mới có thành quả. Và thành quả của ngày hôm nay - không chỉ có doanh nghiệp tại Việt Nam mà ở cả doanh nghiệp nước ngoài cũng tìm đến VSEC - chính là “trái ngọt” của sự dấn thân không ngừng nghỉ trong 20 năm qua. Chúng tôi chưa từng nghi ngờ hành trình này. “Làn sóng” công nghệ toàn cầu chưa bao giờ ngừng chuyển động. Nếu chỉ có VSEC dấn thân trên hành trình “ra biển lớn”, chúng tôi sẽ chỉ là một dấu chấm rất nhỏ. Nếu có sự dấn thân của cả một tập thể doanh nghiệp làm bảo mật Việt, nhiều dấu chấm nhỏ sẽ tạo ra một node đỏ khẳng định vị thế Việt Nam trên thị trường an ninh mạng thế giới vốn luôn rộng mở”, Chủ tịch Trương Đức Lượng trải lòng.