Tại sao các công ty nên gửi người đến TetCon
Trong lần nói chuyện ở ngày hội an toàn thông tin ở VNISA, tôi có nói trái với hiểu biết thông thường của nhiều người hầu hết các thiết bị và giải pháp bảo mật có sẵn thường làm cho hệ thống của người mua kém an toàn hơn (xem tóm tắt báo cáo của tôi ở đây). Mấy tuần vừa rồi xảy ra một sự kiện chứng minh cho luận điểm này.
Nhóm Project Zero phát hiện ra một lỗi chạy lệnh từ xa trên các thiết bị của FireEye. Lỗi chạy lệnh từ xa là dạng lỗi nguy hiểm nhất vì chúng cho phép toàn quyền điều khiển mục tiêu có lỗi. Các thiết bị của FireEye thường được đặt ở những khu vực trọng yếu trong hệ thống, có thể thấy hết toàn bộ dữ liệu đi ra đi vào hệ thống, từ email, tài liệu, cho đến mật khẩu, v.v. Nói cách khác, các thiết bị này trở thành mục tiêu "béo bở" nhất. Vấn đề là chất lượng an ninh phần mềm của các thiết bị như vậy thường không được đảm bảo, bởi các công ty làm thiết bị an ninh, trớ trêu thay, lại thường không có đội làm an ninh phần mềm. Ngoài FireEye, Project Zero còn phát hiện được lỗi của hầu hết các phần mềm chống virut khác, cũng là một vấn đề mà tôi đã nêu lên ở hội nghị của VNISA.
Các công ty bán giải pháp có sẵn ở Việt Nam ắt hẳn không thích nghe tin này. Đó là lý do TetCon không được các công ty như vầy tài trợ, trong khi hội thảo của VNISA thì đầy ắp. Tôi chủ trương giữ TetCon độc lập, thuần túy chuyên môn, tuyệt đối không có các bài nói chuyện quảng cáo của nhà tài trợ như các hội thảo khác ở Việt Nam. Tôi đã nói đi nói lại nhiều lần, nhưng tôi chưa bao giờ thấy chán khi nói rằng cách tốt nhất để đảm bảo an toàn thông tin là phải có đội ngũ kỹ sư lành nghề. Muốn như vậy thì phải gửi kỹ sư đến các hội thảo, gửi họ đi học, phải tạo điều kiện cho họ được tiếp cận với giới chuyên gia và được cập nhật những nghiên cứu phát triển mới nhất trên thế giới.
Nói cách khác, phải mua vé và đến dự TetCon!
Nhưng đừng tự bỏ tiền túi ra (trừ khi bạn là chủ doanh nghiệp, làm tự do, hoặc chưa đi làm). Tôi thất vọng khi các lớp training của TetCon không có đủ người và có những người phải tự trả tiền túi, thay vì được công ty trả cho. Tôi chưa từng thấy ai tự trả tiền để đi Black Hat hay đi học các lớp training ở đó. Nếu bạn phải tự trả tiền để đi dự TetCon, có lẽ nên tính đến chuyện tìm công ty khác. $500 và 500.000 đồng là những con số quá nhỏ, nếu các công ty không sẵn lòng chi số tiền này để giúp kỹ sư của họ giỏi lên, tôi nghĩ chẳng đáng để làm việc cho họ.
Ở Google, nhóm của tôi mỗi năm mỗi người có một suất chính thức đi dự bất kỳ hội thảo nào, ở bất cứ nơi nào trên thế giới. Công ty sẽ trả toàn bộ chi phí. Thật sự chỉ cần có thời gian và có lý do, một năm có thể đi vài chuyến như vậy. Vừa rồi tôi đi Pháp để dự một hội thảo nhỏ về crypto, công ty trả hết chi phí khách sạn, di chuyển và ăn uống. Về đào tạo thì chủ trương của công ty đã có sẵn, ai cũng có thể lấy lớp học để nâng cao trình độ. Tôi mua sách crypto, sách toán và sách cho công việc chưa bao giờ phải tự trả tiền túi.
Comments
Thân
Năm nay cũnh sẽ gửi người tới Tencon
Và mình cũng xin nhấn mạnh luôn là khi thực hiện đánh giá rủi ro hoạt động CNTT thì rủi ro về con người vẫn luôn là rủi ro lớn nhất của phần lớn các tổ chức ở Việt Nam đến giờ vẫn đang bó tay bó chân các lãnh đạo