Страсть молодых хакеров и череда «первых» отметок

20 лет назад более 20 молодых хакеров, увлеченных кибербезопасностью, объединились, чтобы сформировать исследовательскую группу для реализации проекта «Вьетнамская сеть информационной безопасности» под эгидой Центра науки, технологий и развития молодых талантов Центрального комитета Коммунистического союза молодежи имени Хо Ши Мина .

Среди них есть довольно известные имена, пользующиеся уважением хакеров, такие как: Фунг Ань Туан, До Нгок Зуй Трак, Труонг Дык Лыонг... Остальные — студенты третьего и более курсов университетов.

Изображение VSEC 2.jpg

В 2003 году хакеры создали Вьетнамскую сеть информационной безопасности.

Под эгидой Центрального союза молодежи был оперативно создан исследовательский центр и поставщик услуг по обеспечению профессиональной информационной безопасности, отвечающий стандартам США.

«В то время Центральный союз молодёжи предоставил нам третий и четвёртый этажи здания №7 по улице Дао Зуй Ань в качестве нашей «штаб-квартиры», где также располагалась лаборатория, спонсируемая зарубежными специалистами. Знания в области информационной безопасности были систематизированы на основе учебной программы SANS — престижной американской частной организации, занимающейся обучением в сфере информационной безопасности. У каждого был план действий по активному обучению с точки зрения зарубежного опыта», — вспоминает первые годы г-н Чыонг Дык Лыонг, председатель правления Vietnam Cyber Security Joint Stock Company (VSEC).

Изображение VSEC 1.jpg

Г-н Труонг Дык Лыонг, председатель Вьетнамской акционерной компании по кибербезопасности (VSEC).

Именно страсть, энтузиазм и преданность делу открытия новых земель побудили исследовательскую группу сделать первые шаги во Вьетнаме уже в первый год работы: предоставить первую во Вьетнаме услугу по обучению в области информационной безопасности, самостоятельно разработать учебные материалы на основе учебной системы SANS; предоставить первую во Вьетнаме услугу по оценке информационной безопасности, первыми клиентами которой стали Министерство общественной безопасности и Департамент информации и коммуникаций.

В следующем году исследовательская группа добилась еще одного «первого» результата: развернула первый Центр оповещения об информационной безопасности во Вьетнаме.

«В то время, по нашим наблюдениям, во Вьетнаме не было ни одного подразделения, специализирующегося на обучении информационной безопасности. Поэтому программа обучения VSEC нашла отклик в обществе. Серия курсов, начавшаяся в Ханое и распространившаяся на Хошимин, привлекла множество слушателей из Министерства общественной безопасности, Министерства национальной обороны, других государственных ведомств и местных органов власти... Все форумы, специализирующиеся на технологиях, оценили качество обучения как очень хорошее», — сказал г-н Лыонг.

«Помимо обучения, мы также предоставляем услуги по оценке безопасности (пентест-аудит). Спрос на рынке был, но затраты на эту деятельность для организаций и предприятий были невысокими. В то время мы работали практически исключительно из энтузиазма. Будучи исследовательской группой при Центральном союзе молодёжи, спонсируемой государственными органами, даже обучение персонала в местных отделах информации и коммуникаций носило вспомогательный характер. Поэтому источников инвестиционных средств для устойчивого развития в будущем было немного. Идея создания бизнеса начала обретать форму», — рассказал председатель VSEC о зарождении компании.

В путешествии много тихих моментов и узких мест.

Компания VSEC была официально основана в 2009 году. Основным направлением ее деятельности является проведение аудита на проникновение, оказание поддержки организациям/предприятиям не только в оценке уровня информационной безопасности, но и в обнаружении опасных уязвимостей в системе, помогая ИТ-отделам улучшать возможности защиты и минимизировать ущерб.

Изображение VSEC 3.jpg

VSEC играет роль врача, который проверяет информационные системы, затем выносит предупреждения и выписывает лекарства, которые пользователи должны купить самостоятельно.

«VSEC играет роль врача, который проверяет информационные системы, затем выдаёт предупреждения и прописывает лекарства, которые они могут купить сами. Первым крупным клиентом стала вьетнамская телекоммуникационная корпорация. Мы проверили их очень большую систему, нашли уязвимости и успешно проэксплуатировали их, чтобы они могли их увидеть. Впечатлённые результатами, они подписали контракт с VSEC на проведение аудита на проникновение в течение 6 месяцев. Стоимость контракта составляет около 10 000 долларов США», — сказал г-н Лыонг.

Однако развитие VSEC прервалось примерно на 5 лет. Когда большинство руководителей компании занялись несколькими задачами одновременно, их внимание к VSEC постепенно ослабло, и они стали рассматривать её лишь как вариант временной работы.

В 2014 году правительство обсуждало разработку Закона об информационной безопасности. Это означает, что многие вопросы информационной безопасности, которые ранее были лишь рекомендациями, которые можно выполнять или не выполнять, станут обязательными к исполнению нормами.

Прогнозируя «восходящий» потенциал рынка услуг информационной безопасности, г-н Лыонг оставил работу в других компаниях, сосредоточился на VSEC и создал группу из 7 экспертов для изучения технологий, сосредоточившись на двух основных направлениях: аудит пентестов; обратная разработка вредоносной информации, готовясь удовлетворить растущие потребности сообщества после вступления в силу Закона об информационной безопасности.

VSEC собирает команду «воинов», которые занимаются множеством исследовательских проектов, способных повлиять на многие технологические системы Вьетнама. Как правило, исследования направлены на поиск очень серьёзных ошибок, способных изменить содержимое модемов, используемых в домохозяйствах; или очень серьёзных ошибок в банковской системе, способных изменить содержимое денежных переводов...

Однако возникло «узкое место», которое просуществовало около двух лет: нехватка человеческих ресурсов как для предоставления услуг, так и для разработки продуктов для продажи на рынке. Несмотря на наличие качеств, специализированных навыков и признание экспертного сообщества, сотрудники всё равно не могли развиваться более эффективно в условиях рассредоточения ресурсов.

С началом пандемии COVID-19 руководители VSEC ощутили необходимость перемен. Тогда они решили провести реструктуризацию, перестроить команду и сосредоточиться на единственном сервисе, который у них получается лучше всего. График развития VSEC продолжал расти.

В 2019 году компания VSEC постоянно упоминалась в социальных сетях, а ряд ее продуктов были отмечены крупными наградами: сверхзащищенное USB-устройство USEC DataSafe и программное решение для мониторинга информационной безопасности Vadar получили премию Sao Khue Award; комплексное решение для мониторинга веб-сайтов SafeSAI получило национальную награду CBC Competition Award...

В 2020 году VSEC запустила модель Центра мониторинга и управления информационной безопасностью (SOC) и оперативно получила лицензию на подключение и обмен информацией с Национальным центром мониторинга кибербезопасности (NCSC). Качество услуг SOC, предоставляемых VSEC, на сегодняшний день входит в тройку лучших предприятий Вьетнама.

Изображение VSEC 5.jpg

Услуги VSEC по обучению и тренировке в области информационной безопасности гарантируют соблюдение положений Департамента информационной безопасности Министерства информации и коммуникаций.

«Предоставляя высококачественные услуги безопасности, отвечающие потребностям организаций и предприятий, независимо от требований к развертыванию, масштаба или сложности ИТ-инфраструктуры, возможностей мониторинга или управления, мы уже обслужили более 1000 клиентов, включая коммерческие и государственные организации. Услуги VSEC по обучению и отработке навыков информационной безопасности гарантируют соблюдение нормативных требований Департамента информационной безопасности Министерства информации и коммуникаций и являются выбором номер один для министерств, ведомств, филиалов, банков и крупных предприятий Вьетнама. VSEC также стала членом многих отечественных и зарубежных ассоциаций и организаций, таких как: Национальная сеть реагирования на инциденты VNCert; Вьетнамская ассоциация информационной безопасности, FS-ISAC, Blackpanda, RAPID, Affinitas Global, CoreSecurity, RecorderdFuture…», — с гордостью заявил председатель VSEC.

Уверенно выйти в мир с международным классом

Ориентируясь на международные стандарты с момента своего основания, VSEC сформировал команду высококвалифицированных специалистов, 100% которых имеют международные сертификаты и богатый опыт обнаружения CVE (распространённых уязвимостей и слабых мест), исследования уязвимостей нулевого дня (неизвестных и неисправленных уязвимостей программного или аппаратного обеспечения) с рейтингом CVSS (система оценки распространённых уязвимостей) до 9,1. Эксперты проводят комплексную оценку информационной безопасности, охватывающую как окружающую среду и технологии, так и персонал, что гарантирует отсутствие любых уязвимостей безопасности.

От первоначальной миссии: «Оказание услуг мирового уровня на вьетнамском рынке», VSEC уверенно движется к новой миссии: «Вьетнамцы в совершенстве владеют мировыми технологиями информационной безопасности, всегда готовы поддерживать и активно содействовать общему развитию в области информационной безопасности общества».

Название VSEC стало известно миру, когда в 2016 году компания вошла в шестерку финалистов конкурса стартапов Start Jerusalem, организованного Министерством иностранных дел и Управлением развития Иерусалима (Израиль).

Пять лет спустя VSEC стала первым поставщиком услуг управляемой информационной безопасности (MSSP) во Вьетнаме, получившим сертификат CREST как на услуги тестирования на проникновение, так и на услуги SOC, продемонстрировав способность вьетнамских компаний соответствовать самым строгим требованиям не только во Вьетнаме, но и во всем мире. Стандарт CREST британской организации является самым надежным в отрасли для компаний, предоставляющих услуги MSSP.

В том же 2021 году VSEC стала первой организацией MSSP во Вьетнаме, присоединившейся к консорциуму FS-ISAC — единственному глобальному сообществу по обмену киберразведкой, сосредоточенному исключительно на финансовых услугах.

Совсем недавно, в 2023 году, VSEC стала единственным подразделением во Вьетнаме, вошедшим в топ-250 MSSP по рейтингу MSSP Alert.

Позиционируя VSEC не только как MSSP международного уровня во Вьетнаме, председатель Чыонг Дык Лыонг и его коллеги планируют долгосрочный план по «выходу на океан». Международные стандарты, такие как CREST, помогли вьетнамским компаниям легче взаимодействовать с зарубежными партнёрами, расширяя свою «сеть филиалов» на зарубежных рынках.

Изображение VSEC 6.jpg

Эксперты VSEC — единственные представители Вьетнама, которые посетят конференцию CRESTCon Australia в сентябре 2023 года.

В сентябре прошлого года эксперты VSEC были единственными представителями Вьетнама, посетившими конференцию CRESTCon Australia, что еще раз подтвердило потенциал и усилия вьетнамского технологического предприятия, ориентированного на мир.

«С конца прошлого года мы готовимся к выходу бренда VSEC за рубеж в соответствии с дорожной картой, рассчитанной на 3–5 лет. Ряд иностранных компаний предложили VSEC инвестиции или сделки слияния и поглощения для дальнейшего развития. В настоящее время у нас четыре партнера на международном рынке, и мы продолжаем налаживать связи с рядом других иностранных партнеров. Следуя девизу «минимальные затраты — максимальный результат», мы прилагаем усилия для поиска партнеров и клиентов, создавая прочную и устойчивую основу для следующих шагов», — раскрыл будущее направление деятельности председатель VSEC.

Общий объём международного рынка, на который VSEC хочет выйти, оценивается примерно в 1,6 млрд долларов США. Руководство VSEC искренне надеется, что больше вьетнамских компаний присоединятся к программе «Go Global», чтобы быстрее выйти на рынок.

«Только благодаря решимости мы добьёмся результатов. И сегодняшние результаты – в VSEC пришли не только вьетнамские, но и иностранные предприятия – это «сладкий плод» нашей неустанной работы на протяжении последних 20 лет. Мы никогда не сомневались в этом пути. Глобальная технологическая «волна» никогда не останавливалась. Если бы VSEC взяла на себя обязательство отправиться «в большое море», мы были бы лишь крошечной точкой. Если бы группа вьетнамских предприятий в сфере безопасности взяла на себя обязательство, множество маленьких точек образовали бы красную точку, подтверждающую позиции Вьетнама на мировом рынке кибербезопасности, который всегда открыт», – заявил председатель Чыонг Дык Лыонг.

Vietnamnet.vn