Пристрасть, відданість та місія опанувати світові технології інформаційної безпеки

Пристрасть юних хакерів та серія «перших» оцінок

20 років тому понад 20 молодих хакерів, захоплених кібербезпекою, об'єдналися, щоб створити дослідницьку групу для реалізації проекту «Мережа інформаційної безпеки В'єтнаму» під егідою Центру науки, технологій та розвитку молодих талантів – Центрального комітету Комуністичного союзу молоді Хошиміна .

Серед них є кілька досить відомих імен, шанованих хакерською спільнотою, таких як: Фунг Ань Туан, До Нгок Зуй Трак, Труонг Дик Луонг... Решта — студенти третього або вищого курсу університетів.

Хакери створили В'єтнамську мережу інформаційної безпеки у 2003 році.

З метою надання професійних послуг інформаційної безпеки, під егідою Центрального союзу молоді було швидко сформовано дослідницький центр та постачальника послуг за стандартами США.

«У той час Центральний союз молоді надав нам 3-й та 4-й поверхи будівлі 7 за адресою Дао Зуй Ань як нашу «штаб-квартиру» з лабораторією, що спонсорується іноземними компаніями. Знання, пов’язані з інформаційною безпекою, були систематизовані на основі системи навчання SANS – престижної американської приватної організації у світі з навчання інформаційній безпеці. У кожного був план проактивних досліджень з іноземної точки зору», – згадував перші дні пан Труонг Дик Луонг, голова В’єтнамської акціонерної компанії з кібербезпеки (VSEC).

Пан Труонг Дик Луонг, голова правління В'єтнамської акціонерної компанії з кібербезпеки (VSEC).

Саме пристрасть, ентузіазм та відданість пошуку нових земель мотивували дослідницьку групу досягти «перших» успіхів у В'єтнамі вже в перший рік свого існування: надання першої у В'єтнамі послуги з навчання інформаційній безпеці, самостійно розроблені навчальні матеріали на основі навчальної системи SANS; надання першої у В'єтнамі послуги з оцінки інформаційної безпеки, першими клієнтами якої стали Міністерство громадської безпеки та Департаменти інформації та комунікацій.

Наступного року дослідницька група здійснила ще одне «перше»: розгорнула перший Центр попередження інформаційної безпеки у В'єтнамі.

«На той час, за нашими спостереженнями, у В’єтнамі не було підрозділу, що спеціалізується на навчанні з інформаційної безпеки. Тому навчальна програма VSEC знайшла відгук у громаді. Серія курсів, що починалися з Ханоя та поширювалися на Хошимін, залучила багатьох студентів з Міністерства громадської безпеки, Міністерства національної оборони, інших державних установ та населених пунктів... На спеціалізованих технологічних форумах якість навчання була оцінена як дуже хороша», – сказав пан Луонг.

«Окрім навчальної діяльності, ми також надаємо послуги з оцінки безпеки (пентест-аудит). Був ринковий попит, але вартість цієї діяльності організацій та бізнесу була невеликою. На той час ми працювали майже лише через захоплення. Як дослідницька група при Центральному союзі молоді, що спонсорувалася державними установами, навіть навчання персоналу в місцевих відділах інформації та комунікацій мало допоміжний характер. Тому джерел інвестиційного фінансування сталого розвитку в майбутньому було не так багато. Ідея створення бізнесу почала набувати форми», – пояснив голова VSEC про народження компанії.

У подорожі багато тихих моментів і перешкод.

Компанія VSEC була офіційно заснована у 2009 році. Її основним напрямком діяльності є пентест-аудит, що допомагає організаціям/підприємствам не лише оцінювати рівень інформаційної безпеки, але й виявляти небезпечні діри в безпеці системи, допомагаючи ІТ-команді покращувати оборонні можливості та мінімізувати збитки.

VSEC грає роль лікаря, який досліджує інформаційні системи, потім видає попередження та призначає ліки, які вони купують самі.

«VSEC грає роль лікаря, який досліджує інформаційні системи, потім видає попередження та виписує ліки, які вони купують самі. Першим великим клієнтом є в'єтнамська телекомунікаційна корпорація. Ми перевірили їхню дуже велику систему, шукали вразливості та успішно використали їх, щоб вони могли їх побачити. Вражені результатами, вони підписали контракт з VSEC на розгортання послуг пентест-аудиту протягом 6 місяців. Вартість контракту становить близько 10 000 доларів США», – сказав пан Луонг.

Однак, шлях розвитку VSEC мав перерву приблизно в 5 років. Коли більшість керівників компанії виконували багато завдань одночасно, їхня увага до VSEC поступово зменшувалася, і вони розглядали її лише як роботу на умовах неповного робочого дня.

У 2014 році Уряд обговорював тлумачення Закону про інформаційну безпеку. Це означає, що багато питань інформаційної безпеки, які раніше були лише рекомендаціями, які можна було виконувати або не виконувати, стануть обов'язковими нормативними актами, яких необхідно дотримуватися.

Передбачивши «висхідний» потенціал ринку послуг інформаційної безпеки, пан Луонг припинив роботу в інших компаніях, зосередився на VSEC, створив групу з 7 експертів для заглиблення в технології, зосередившись на двох основних напрямках: Pentest-аудит; зворотна інженерія інформації про шкідливе програмне забезпечення, готову задовольнити зростаючі потреби спільноти після набрання чинності Закону про інформаційну безпеку.

VSEC об’єднує команду «воїнів», які володіють багатьма дослідницькими проектами, що можуть вплинути на багато технологічних систем у В’єтнамі. Типовими прикладами є дослідження з метою виявлення дуже серйозних помилок, які можуть змінити вміст модемів, що використовуються в домогосподарствах; або дуже серйозні помилки в банках, які можуть змінити вміст грошових переказів...

Однак, виникло «вузьке місце», яке існувало близько 2 років: не вистачало людських ресурсів як для надання послуг, так і для розробки продуктів для продажу на ринку. Людські ресурси, незважаючи на наявність якостей, спеціалізованих навичок та визнання експертною спільнотою, все одно не можуть розвиватися сильніше, коли ресурси розпорошені.

Пандемія Covid-19 змусила керівництво VSEC відчути потребу в змінах. І тоді вони вирішили реструктуризувати, перебудувати команду та зосередитися на єдиній послузі, яку вони роблять найкраще. Графік розвитку VSEC продовжував зростати.

У 2019 році VSEC постійно згадувалася в соціальних мережах, коли низка продуктів була відзначена на головних нагородах: надзахищений USB-пристрій USEC DataSafe та програмне забезпечення для моніторингу інформаційної безпеки Vadar отримали нагороду Сао Хуе; комплексне рішення для моніторингу веб-сайтів SafeSAI отримало нагороду національного переможця конкурсу CBC...

У 2020 році VSEC запустила модель Центру моніторингу та управління інформаційною безпекою (SOC), а потім швидко отримала ліцензію на підтвердження підключення та обміну інформацією з Національним центром моніторингу кібербезпеки (NCSC). Якість послуг SOC, що надаються VSEC, входить до трійки найкращих підприємств В'єтнаму сьогодні.

Навчальні та навчальні послуги з інформаційної безпеки VSEC забезпечують дотримання правил Департаменту інформаційної безпеки Міністерства інформації та зв'язку.

«Надаючи високоякісні послуги безпеки, що відповідають потребам організацій та бізнесу, незалежно від вимог до розгортання, масштабу чи складності системи ІТ-інфраструктури, можливостей моніторингу чи управління, ми вже обслужили понад 1000 клієнтів, включаючи підприємства та урядові організації. Навчальні та практичні послуги VSEC з інформаційної безпеки забезпечують дотримання правил Департаменту інформаційної безпеки – Міністерства інформації та зв’язку, і є вибором номер один для міністерств, відомств, філій, банків та великих підприємств у В’єтнамі. VSEC також стала членом багатьох вітчизняних та іноземних асоціацій та організацій, таких як: Національна мережа реагування на інциденти VNCert; В’єтнамська асоціація інформаційної безпеки, FS-ISAC, Blackpanda, RAPID, Affinitas Global, CoreSecurity, RecorderFuture…», – з гордістю сказав голова VSEC.

Впевнено виходьте у світ з міжнародним класом

Орієнтуючись на міжнародні стандарти з моменту свого заснування, VSEC створила команду кваліфікованого персоналу, 100% експертів якої мають міжнародні сертифікати, великий досвід виявлення CVE (загальних вразливостей та слабких місць), дослідження 0-day вразливостей (невідомих та невиправлених програмних або апаратних вразливостей) з оцінкою CVSS (загальна система оцінювання вразливостей) до 9,1. Оцінки інформаційної безпеки експертами комплексно впроваджуються від середовища, технологій до людей, щоб гарантувати, що жодна вразливість безпеки не буде пропущена.

Від початкової місії: «Надання послуг світового класу в'єтнамському ринку», VSEC впевнено рухається до нової місії: «В'єтнамці повністю володіють світовими технологіями інформаційної безпеки, завжди готові підтримувати та активно сприяти спільному розвитку в галузі інформаційної безпеки суспільства».

Назва VSEC стала відомою світові, коли у 2016 році вона увійшла до 6 фіналістів конкурсу стартапів Start Jerusalem, організованого Міністерством закордонних справ та Управлінням розвитку Єрусалима – Ізраїль.

П'ять років по тому VSEC стала першим постачальником послуг керованої інформаційної безпеки (MSSP) у В'єтнамі, який отримав сертифікат CREST як для тестування на проникнення, так і для послуг SOC, що демонструє здатність в'єтнамських підприємств відповідати найсуворішим вимогам не лише у В'єтнамі, а й у світі. Стандарт CREST британської організації є найнадійнішим стандартом у галузі для компаній MSSP.

У тому ж 2021 році VSEC стала першою MSSP у В'єтнамі, яка приєдналася до Асоціації FS-ISAC – єдиної глобальної спільноти обміну кіберрозвідувальною інформацією, що зосереджена виключно на фінансових послугах.

Зовсім недавно, у 2023 році, VSEC стала єдиним підрозділом у В'єтнамі, що потрапив до 250 найкращих MSSP згідно з рейтингом MSSP Alert.

Позиціонуючи VSEC не лише як постачальника послуг з обслуговування клієнтів міжнародного класу у В'єтнамі, голова правління Труонг Дик Луонг та його колеги планують довгостроковий план «досягнення океану». Міжнародні стандарти, такі як CREST, допомогли в'єтнамському бізнесу легше спілкуватися з міжнародними партнерами, розширюючи свою «мережу філій» на іноземних ринках.

Експерти VSEC – єдині представники В'єтнаму, які відвідають конференцію CRESTCon Australia у вересні 2023 року.

Минулого вересня експерти VSEC були єдиними представниками В'єтнаму, які відвідали конференцію CRESTCon Australia, що ще раз підтвердило потенціал та зусилля в'єтнамського технологічного підприємства, що спрямовані на охоплення всього світу.

«З кінця минулого року ми готуємося до того, щоб бренд VSEC був присутній за кордоном відповідно до дорожньої карти на 3-5 років. Низка іноземних компаній пропонувала інвестиції або злиття та поглинання для кращого розвитку VSEC. Наразі у нас є 4 партнери на міжнародному ринку, і ми продовжуємо співпрацювати з низкою інших іноземних партнерів. Керуючись девізом «мінімальні витрати створюють максимальні результати», ми докладаємо зусиль для пошуку партнерів та клієнтів, створюючи базовий та сталий трамплін для наступних кроків», – розкрив майбутній напрямок голова VSEC.

Загальний обсяг міжнародного ринку, до якого VSEC хоче отримати доступ, оцінюється приблизно в 1,6 мільярда доларів США. Керівництво VSEC дуже сподівається, що більше в'єтнамських компаній об'єднаються зусиллями у шляху «Виходу на світовий ринок», щоб мати змогу швидше захопити ринок.

«Тільки завдяки зобов’язанням ми досягнемо результатів. І сьогоднішні результати – до VSEC приєдналися не лише в’єтнамські, а й іноземні підприємства – це «солодкі плоди» нашої невпинної відданості протягом останніх 20 років. Ми ніколи не сумнівалися в цій подорожі. Глобальна технологічна «хвиля» ніколи не зупинялася. Якби тільки VSEC вирушила в подорож «до великого моря», ми були б лише дуже маленькою цяткою. Якби була відданість групи в’єтнамських підприємств безпеки, багато маленьких цяток створили б червоний вузол, що підтверджує позицію В’єтнаму на світовому ринку кібербезпеки, який завжди відкритий», – запевнив голова Чуонг Дик Лионг.

Vietnamnet.vn