اشتیاق، فداکاری و ماموریت برای تسلط بر فناوری امنیت اطلاعات جهان

شور و شوق هکرهای جوان و مجموعه‌ای از «اولین» نشانه‌ها

۲۰ سال پیش، بیش از ۲۰ هکر جوان با اشتیاق به امنیت سایبری گرد هم آمدند تا یک گروه تحقیقاتی برای اجرای پروژه شبکه امنیت اطلاعات ویتنام، تحت نظر مرکز علوم، فناوری و توسعه استعدادهای جوان - کمیته مرکزی اتحادیه جوانان کمونیست هوشی مین - تشکیل دهند.

در میان آنها نام‌های بسیار مشهوری وجود دارد که مورد احترام جامعه هکرها هستند، مانند: Phung Anh Tuan، Do Ngoc Duy Trac، Truong Duc Luong... بقیه دانشجویان سال سوم یا بالاتر دانشگاه‌ها هستند.

هکرها شبکه امنیت اطلاعات ویتنام را در سال ۲۰۰۳ ایجاد کردند.

با هدف ارائه خدمات حرفه‌ای امنیت اطلاعات، یک مرکز تحقیقاتی و ارائه‌دهنده خدمات مطابق با استانداردهای ایالات متحده به سرعت تحت نظارت اتحادیه مرکزی جوانان تشکیل شد.

آقای ترونگ دوک لونگ، رئیس شرکت سهامی امنیت سایبری ویتنام (VSEC)، روزهای اولیه را به یاد می‌آورد: «در آن زمان، اتحادیه مرکزی جوانان، طبقه سوم و چهارم ساختمان شماره ۷ دائو دوی آن را به عنوان «دفتر مرکزی» ما به همراه یک آزمایشگاه تحت حمایت خارجی در اختیار ما قرار داد. دانش مرتبط با امنیت اطلاعات، بر اساس چارچوب سیستم آموزشی SANS - یک سازمان خصوصی معتبر آمریکایی در جهان برای آموزش امنیت اطلاعات - سیستماتیک شد. هر کس یک نقشه راه برای تحقیق فعال از منظر خارجی داشت.»

آقای ترونگ دوک لونگ، رئیس شرکت سهامی امنیت سایبری ویتنام (VSEC).

شور، اشتیاق و فداکاری برای یافتن سرزمین‌های جدید بود که تیم تحقیقاتی را بر آن داشت تا در اولین سال تأسیس، برخی از «اولین‌ها» را در ویتنام رقم بزنند: ارائه اولین سرویس آموزش امنیت اطلاعات در ویتنام، مواد آموزشی خودساخته بر اساس مرجع سیستم آموزشی SANS؛ ارائه اولین سرویس ارزیابی امنیت اطلاعات در ویتنام با اولین مشتریان وزارت امنیت عمومی و ادارات اطلاعات و ارتباطات.

سال بعد، تیم تحقیقاتی «اولین» دیگری را رقم زد: استقرار اولین مرکز هشدار امنیت اطلاعات در ویتنام.

آقای لونگ گفت: «در آن زمان، طبق مشاهدات ما، هیچ واحدی در ویتنام متخصص آموزش امنیت اطلاعات وجود نداشت. بنابراین، برنامه آموزشی VSEC در جامعه طنین‌انداز شد. مجموعه‌ای از دوره‌ها که از هانوی شروع شد و به شهر هوشی مین گسترش یافت، دانشجویان زیادی را از وزارت امنیت عمومی، وزارت دفاع ملی، سایر آژانس‌های دولتی و مناطق دیگر جذب کرد... انجمن‌های تخصصی فناوری همگی کیفیت آموزش را بسیار خوب ارزیابی کردند.»

رئیس VSEC در مورد تأسیس این شرکت توضیح داد: «علاوه بر فعالیت‌های آموزشی، ما خدمات ارزیابی امنیتی (ممیزی تست نفوذ) را نیز ارائه می‌دهیم. تقاضای بازار وجود داشت، اما هزینه این فعالیت برای سازمان‌ها و مشاغل زیاد نبود. در آن زمان، ما تقریباً فقط به دلیل اشتیاق کار می‌کردیم. به عنوان یک گروه تحقیقاتی تحت نظر اتحادیه مرکزی جوانان، که توسط سازمان‌های دولتی حمایت مالی می‌شد، حتی آموزش پرسنل در ادارات اطلاعات و ارتباطات محلی نیز ماهیت حمایتی داشت. بنابراین، منابع زیادی برای تأمین مالی سرمایه‌گذاری برای توسعه پایدار در آینده وجود نداشت. ایده ایجاد یک کسب‌وکار شروع به شکل‌گیری کرد.»

این سفر لحظات آرام و تنگناهای زیادی دارد.

شرکت VSEC رسماً در سال ۲۰۰۹ تأسیس شد. کسب‌وکار اصلی آن ممیزی نفوذ است که از سازمان‌ها/شرکت‌ها نه تنها برای ارزیابی سطح امنیت اطلاعات، بلکه برای شناسایی حفره‌های امنیتی خطرناک در سیستم نیز پشتیبانی می‌کند و به تیم فناوری اطلاعات کمک می‌کند تا قابلیت‌های دفاعی خود را بهبود بخشیده و آسیب‌ها را به حداقل برساند.

VSEC نقش پزشکی را بازی می‌کند که سیستم‌های اطلاعاتی را بررسی می‌کند، سپس هشدار می‌دهد و برای آنها دارو تجویز می‌کند تا خودشان آن را بخرند.

آقای لونگ گفت: «VSEC نقش پزشکی را بازی می‌کند که سیستم‌های اطلاعاتی را بررسی می‌کند، سپس هشدار می‌دهد و داروهایی را برای خرید خودشان تجویز می‌کند. اولین مشتری بزرگ، یک شرکت مخابراتی ویتنامی است. ما یک سیستم بسیار بزرگ آنها را بررسی کردیم، به دنبال آسیب‌پذیری‌ها گشتیم و با موفقیت از آنها بهره‌برداری کردیم تا آنها ببینند. آنها که از نتایج تحت تأثیر قرار گرفته بودند، قراردادی را برای VSEC امضا کردند تا ظرف 6 ماه خدمات حسابرسی نفوذ را مستقر کند. ارزش قرارداد حدود 10،000 دلار آمریکا است.»

با این حال، مسیر توسعه VSEC یک نقطه توقف حدود ۵ ساله داشت. وقتی اکثر رهبران شرکت همزمان چندین کار را انجام می‌دادند، تمرکز آنها بر VSEC به تدریج کاهش یافت و آن را فقط به عنوان یک شغل پاره وقت در نظر گرفتند.

در سال ۲۰۱۴، دولت در مورد تدوین قانون امنیت اطلاعات بحث کرد. این بدان معناست که بسیاری از مسائل مربوط به امنیت اطلاعات که قبلاً فقط توصیه بودند و می‌توانستند انجام شوند یا نشوند، به مقررات اجباری تبدیل می‌شوند که باید رعایت شوند.

آقای لونگ با پیش‌بینی پتانسیل «صعودی» بازار خدمات امنیت اطلاعات، کار در شرکت‌های دیگر را متوقف کرد، بر VSEC تمرکز کرد و گروهی متشکل از ۷ متخصص را برای کاوش در فناوری تشکیل داد و بر دو حوزه اصلی تمرکز کرد: ممیزی تست نفوذ؛ مهندسی معکوس اطلاعات بدافزار، آماده برای پاسخگویی به نیازهای روزافزون جامعه پس از لازم‌الاجرا شدن قانون امنیت اطلاعات.

VSEC تیمی از "جنگجویان" را گرد هم آورده است که صاحب پروژه‌های تحقیقاتی زیادی هستند که می‌توانند بر بسیاری از سیستم‌های فناوری در ویتنام تأثیر بگذارند. نمونه‌های بارز شامل تحقیق برای یافتن خطاهای بسیار جدی است که می‌تواند محتوای مودم‌های مورد استفاده در خانوارها را تغییر دهد؛ یا خطاهای بسیار جدی در بانک‌ها که می‌توانند محتوای نقل و انتقالات پول را تغییر دهند...

با این حال، یک «گلوگاه» ظاهر شد و حدود ۲ سال وجود داشت: منابع انسانی کافی برای ارائه خدمات و توسعه محصولات برای فروش در بازار وجود نداشت. منابع انسانی، با وجود داشتن کیفیت‌ها، مهارت‌های تخصصی و شناخته شدن توسط جامعه متخصص، هنوز هم نمی‌توانند وقتی منابع پراکنده هستند، قوی‌تر توسعه یابند.

همه‌گیری کووید-۱۹ باعث شد رهبران VSEC نیاز به تغییر را احساس کنند. و سپس تصمیم گرفتند تیم را بازسازی و تجدید ساختار کنند و روی تنها خدمتی که در آن بهترین هستند تمرکز کنند. نمودار توسعه VSEC همچنان رو به افزایش بود.

در سال ۲۰۱۹، VSEC به طور مداوم توسط جامعه اجتماعی مورد اشاره قرار گرفت، زمانی که مجموعه‌ای از محصولات آن جوایز بزرگی را دریافت کردند: دستگاه USB فوق امن USEC DataSafe و راهکار نرم‌افزاری نظارت بر امنیت اطلاعات Vadar جایزه Sao Khue را دریافت کردند؛ راهکار جامع نظارت بر وب‌سایت SafeSAI جایزه ملی مسابقه CBC را دریافت کرد...

در سال ۲۰۲۰، VSEC مدل مرکز نظارت و عملیات امنیت اطلاعات (SOC) را راه‌اندازی کرد و سپس به سرعت مجوز تأیید اتصال و اشتراک‌گذاری اطلاعات با مرکز ملی نظارت بر امنیت سایبری (NCSC) را دریافت کرد. کیفیت خدمات SOC ارائه شده توسط VSEC در بین ۳ شرکت برتر ویتنام امروز رتبه‌بندی شده است.

خدمات آموزشی و رزمایش امنیت اطلاعات VSEC، رعایت مقررات وزارت امنیت اطلاعات - وزارت اطلاعات و ارتباطات - را تضمین می‌کند.

رئیس VSEC با افتخار گفت: «با ارائه خدمات امنیتی با کیفیت بالا که نیازهای سازمان‌ها و مشاغل را برآورده می‌کند، صرف نظر از الزامات استقرار، مقیاس یا پیچیدگی سیستم زیرساخت فناوری اطلاعات، ظرفیت نظارت یا ظرفیت مدیریت، اکنون به بیش از ۱۰۰۰ مشتری از جمله مشاغل و سازمان‌های دولتی خدمت‌رسانی کرده‌ایم. خدمات آموزش و تمرین امنیت اطلاعات VSEC، رعایت مقررات وزارت امنیت اطلاعات - وزارت اطلاعات و ارتباطات - را تضمین می‌کند و انتخاب شماره یک وزارتخانه‌ها، ادارات، شعب، بانک‌ها و شرکت‌های بزرگ در ویتنام است. VSEC همچنین به عضویت بسیاری از انجمن‌ها و سازمان‌های داخلی و خارجی مانند: شبکه ملی واکنش به حوادث VNCert؛ انجمن امنیت اطلاعات ویتنام، FS-ISAC، Blackpanda، RAPID، Affinitas Global، CoreSecurity، RecorderdFuture...» درآمده است.

با اعتماد به نفس و در سطح بین‌المللی به دنیای بیرون قدم بگذارید

VSEC از بدو تأسیس، با رویکردی به استانداردهای بین‌المللی، تیمی از پرسنل واجد شرایط را تشکیل داده است که ۱۰۰٪ آنها متخصصانی با گواهینامه‌های بین‌المللی هستند و تجربه گسترده‌ای در تشخیص CVEها (آسیب‌پذیری‌ها و نقاط ضعف رایج)، تحقیق در مورد آسیب‌پذیری‌های 0 روزه (آسیب‌پذیری‌های نرم‌افزاری یا سخت‌افزاری ناشناخته و اصلاح نشده) با امتیاز CVSS (سیستم امتیازدهی آسیب‌پذیری‌های رایج) تا ۹.۱ دارند. ارزیابی‌های امنیت اطلاعات توسط متخصصان به طور جامع از محیط، فناوری تا افراد اجرا می‌شود تا اطمینان حاصل شود که هیچ آسیب‌پذیری امنیتی از قلم نیفتاده است.

از ماموریت اولیه: «ارائه خدمات در سطح جهانی به بازار ویتنام»، VSEC با اطمینان به سمت ماموریت جدیدی حرکت می‌کند: «مردم ویتنام کاملاً بر فناوری‌های امنیت اطلاعات جهان تسلط دارند، همیشه آماده پشتیبانی و مشارکت فعال در توسعه مشترک در زمینه امنیت اطلاعات جامعه هستند».

نام VSEC زمانی به جهانیان شناخته شد که در سال ۲۰۱۶ در میان ۶ فینالیست برتر مسابقه استارت‌آپ‌های «استارت اورشلیم» که توسط وزارت امور خارجه و سازمان توسعه اورشلیم - اسرائیل برگزار شد، قرار گرفت.

پنج سال بعد، VSEC اولین ارائه‌دهنده خدمات امنیت اطلاعات مدیریت‌شده (MSSP) در ویتنام شد که گواهینامه CREST را برای هر دو سرویس تست نفوذ و SOC دریافت کرد و این نشان‌دهنده ظرفیت شرکت‌های ویتنامی برای برآورده کردن سختگیرانه‌ترین الزامات نه تنها در ویتنام، بلکه در سطح جهانی است. استاندارد CREST یک سازمان بریتانیایی، معتبرترین استاندارد در صنعت برای شرکت‌های MSSP است.

در همان سال ۲۰۲۱، VSEC اولین MSSP در ویتنام بود که به انجمن FS-ISAC پیوست - تنها جامعه جهانی اشتراک‌گذاری اطلاعات سایبری که صرفاً بر خدمات مالی متمرکز است.

اخیراً، در سال ۲۰۲۳، VSEC طبق رتبه‌بندی MSSP Alert، تنها واحد ویتنام در بین ۲۵۰ MSSP برتر بود.

ترونگ دوک لونگ، رئیس هیئت مدیره و همکارانش، با قرار دادن VSEC به عنوان یک MSSP در سطح بین‌المللی در ویتنام، در حال برنامه‌ریزی یک برنامه بلندمدت برای «رسیدن به اقیانوس» هستند. استانداردهای بین‌المللی مانند CREST به کسب‌وکارهای ویتنامی کمک کرده است تا راحت‌تر با شرکای بین‌المللی ارتباط برقرار کنند و «شبکه شعب» خود را در بازارهای خارجی گسترش دهند.

کارشناسان VSEC تنها نمایندگان ویتنامی هستند که در کنفرانس CRESTCon استرالیا در سپتامبر 2023 شرکت می‌کنند.

سپتامبر گذشته، کارشناسان VSEC تنها نمایندگان ویتنامی بودند که در کنفرانس CRESTCon استرالیا شرکت کردند و این امر، ظرفیت و تلاش‌های یک شرکت فناوری ویتنامی را که به جهان خدمت‌رسانی می‌کند، بیش از پیش تأیید کرد.

رئیس VSEC در مورد مسیر آینده گفت: «از پایان سال گذشته، ما طبق نقشه راه ۳ تا ۵ ساله، در حال آماده‌سازی برای حضور برند VSEC در خارج از کشور بوده‌ایم. تعدادی از شرکت‌های خارجی پیشنهاد سرمایه‌گذاری یا ادغام و تملک برای رشد بهتر VSEC را داده‌اند. در حال حاضر، ما ۴ شریک در بازار بین‌المللی داریم و همچنان با تعدادی دیگر از شرکای خارجی در ارتباط هستیم. با پیروی از شعار «حداقل هزینه، حداکثر نتایج را ایجاد می‌کند»، ما در تلاش برای یافتن شرکا و مشتریان هستیم و یک سنگ بنای اساسی و پایدار برای مراحل بعدی ایجاد می‌کنیم.»

کل بازار بین‌المللی که VSEC می‌خواهد به آن دسترسی پیدا کند، حدود ۱.۶ میلیارد دلار تخمین زده می‌شود. رهبران VSEC واقعاً امیدوارند که شرکت‌های ویتنامی بیشتری در مسیر «جهانی شدن» با آنها همراه شوند تا بتوانند سریع‌تر بازار را به دست بگیرند.

«تنها با تعهد می‌توانیم به نتیجه برسیم. و نتایج امروز - نه تنها شرکت‌های ویتنامی، بلکه شرکت‌های خارجی نیز به VSEC آمده‌اند - «میوه شیرین» تعهد بی‌وقفه ما در طول 20 سال گذشته است. ما هرگز در این سفر تردید نداشته‌ایم. «موج» فناوری جهانی هرگز از حرکت باز نایستاده است. اگر VSEC فقط به سفر «به سوی دریای بزرگ» متعهد می‌شد، ما فقط یک نقطه بسیار کوچک بودیم. اگر تعهد گروهی از شرکت‌های امنیتی ویتنامی وجود داشت، بسیاری از نقاط کوچک یک گره قرمز ایجاد می‌کردند که جایگاه ویتنام را در بازار امنیت سایبری جهان که همیشه باز است، تأیید می‌کرد.» این جمله را ترونگ دوک لونگ، رئیس هیئت مدیره، به طور محرمانه بیان کرد.

Vietnamnet.vn