Tiến sĩ Nguyễn Duy Lân - cựu kỹ sư bảo mật của Microsoft: Từ 'nỏ thần An Dương Vương' đến 'Trojan Virus'

Tiến sĩ Nguyễn Duy Lân - cựu kỹ sư bảo mật của Microsoft.

Tiến sĩ Nguyễn Duy Lân - cựu kỹ sư bảo mật của Microsoft.

“Sàng khôn” từ Microsoft

Trước khi chuyển về làm việc tại Facebook Việt Nam, “cô gái vàng” Lê Diệp Kiều Trang từng cùng chồng sáng lập nên Misfit và sau này bán cho Fossil Group... Còn con đường của anh lại hoàn toàn ngược lại: Quyết định “ra riêng”, sau non 9 năm đầu quân cho “ông lớn” Microsoft, vì sao?

- Mỗi con đường sẽ đưa tới những cơ hội khác nhau và ngược lại, những cơ hội cũng sẽ mở ra những ngả rẽ khác nhau. Với cá nhân tôi, thời điểm quyết định rời Microsoft là lúc tôi cảm thấy đã “đủ lông đủ cánh” và đã đến lúc cần có sự thay đổi, với kỳ vọng sự thay đổi này sẽ giúp chúng tôi có những đóng góp lớn hơn nhiều cho thế giới và cho xã hội, đồng thời cho phép chúng tôi được làm những công việc mình thực sự yêu thích và tạo nên những sản phẩm mình thực sự tâm huyết...

Gần 10 năm “nộp mình” cho Microsoft, “sàng khôn” đáng kể nhất là gì?

- Thứ nhất, là những kiến thức về công nghệ, kỹ thuật. MSFT là công ty hàng đầu thế giới với nguồn tài nguyên công nghệ rất phong phú và cho phép mình có thể lựa chọn để làm việc trong nhiều lĩnh vực khác nhau, từ đó mình có thể học được nhiều kiến thức khác nhau, cả sâu và rộng; đồng thời cập nhật những xu hướng công nghệ tiên tiến nhất trên thế giới.

Thứ hai, là kỹ năng làm việc nhóm và với các nhóm khác nhau. MSFT có rất nhiều nhân tài và những chuyên gia hàng đầu thế giới. Được làm việc với họ thực sự là một vinh hạnh và may mắn, giúp mình tích lũy được rất nhiều từ những cách tư duy, kiến thức và phong cách chuyên nghiệp hiệu quả cao của họ, đem lại cho mình áp lực cần thiết để phấn đấu và có thể gọi là cảm giác khoan khoái khi được tiếp cận với cái gì đó thú vị, đẹp đẽ, hoàn hảo...

Xung quanh tranh cãi về việc có nên yêu cầu Google, Facebook... đặt máy chủ tại Việt Nam, ngày 4.4 vừa qua, Ủy ban Quốc phòng – An ninh đã thống nhất chỉnh lý dự thảo Luật An ninh mạng theo hướng bỏ quy định đó. Quan điểm của anh?

- Xét trên tiêu chí kỹ thuật, việc đặt máy chủ tại Việt Nam không hẳn là một điều gì quá khó. Tuy nhiên thì các “ông lớn” cũng còn phải cân nhắc trên nhiều tiêu chí khác nữa để dung hòa các quyền lợi. Theo tôi được biết, quy định này đã được chỉnh sửa thành yêu cầu “dữ liệu đặt ở Việt Nam”, thay vì yêu cầu “máy chủ đặt ở Việt Nam”. Vẫn dưới góc độ kỹ thuật, thì điều này sẽ giúp cho công tác điều tra về những vụ việc liên quan đến dữ liệu số trên không gian mạng sẽ dễ dàng hơn rất nhiều, cũng như kiểm soát tốt hơn những tài sản số của Việt Nam.

“Chẳng có bữa trưa nào là miễn phí”

Facebook hôm 5.4 vừa xong đã thừa nhận bê bối rò rỉ dữ liệu trên thực tế đã làm ảnh hưởng tới 87 triệu người dùng chứ không phải khoảng 50 triệu như ước tính trước đó. Một “ông lớn” liệu có thể từng “ngây thơ” đến thế không, theo anh?

- Đây quả thực là một ví dụ điển hình của những thách thức trong lĩnh vực an ninh mạng nói riêng và xu hướng phát triển chung của thế giới ngày nay: Số hóa, thu thập dữ liệu, kết nối, phân tán, đám mây, trí tuệ nhân tạo... Các công ty, tổ chức, chính phủ và người dùng làm sao có thể bảo vệ hiệu quả những thông tin cá nhân và thông tin nhạy cảm, song song với việc sử dụng hiệu quả những thông tin này cho sự phát triển của thế giới.

Facebook là 1 trong những công ty đi đầu trong xu hướng này, với tiềm lực rất mạnh cả về nhân sự và tài chính. Và mặc dù được miễn phí, người dùng lại là yếu tố quan trọng bậc nhất cho Facebook, nên Facebook luôn thể hiện sự ưu tiên số một cho người dùng trong suốt quá trình phát triển của công ty nhưng thật bất ngờ là vẫn để xảy ra một sự cố đáng tiếc như vậy.

Tuy nhiên, gần như ngay sau đó, Facebook cũng đã kịp đưa ra những phản ứng tích cực: Siết chặt chính sách bảo mật, tạo giao diện bảo mật dễ dùng hơn cho người dùng, dừng hoặc chấm dứt những ứng dụng có nguy cơ rò rỉ thông tin người dùng, kiểm tra việc xóa dữ liệu hiệu quả hơn…

Dù sao thì đây cũng mới chỉ là phần nổi của tảng băng và mới là một khía cạnh của vấn đề đã bị phanh phui, dựa vào những sai lầm trong chính sách và quy trình bảo đảm an toàn thông tin, chứ chưa liên quan đến những khía cạnh khác là những cuộc tấn công mạng (ví dụ như các vụ: Equifax, Yahoo...) – đều có thể tác động lớn lên kinh tế - chính trị - xã hội.., không ngoại trừ là yếu tố chính cho thắng lợi sít sao của Trump lên Clinton, hay Brexit, hay bầu cử ở Kenya và Nigeria...

Tiếp xúc thực tế đã đưa tới những nhận định nào của anh về tình hình an ninh mạng ở Việt Nam? Những bất cập nào đang gây khó cho công tác tăng cường bảo mật?

- Nhìn chung, an ninh mạng ở Việt Nam đang phải đối diện với những nguy cơ lớn. Thứ nhất là trong nhiều năm liền, Việt Nam luôn nằm trong những nước bị tấn công mạng và nhiễm mã độc nhiều nhất thế giới (theo thống kê của Crowdstrike). Như trong báo cáo của Microsoft, tỉ lệ của các máy tính ở Việt Nam gặp phải mã độc luôn cao gấp hơn 2 lần trung bình thế giới, và bị nhiễm mã độc thì luôn gấp khoảng 3 lần trung bình thế giới.

Thứ hai là vấn đề con người. Nguồn nhân sự làm về an ninh mạng còn rất mỏng. Ý thức về an toàn thông tin của người dùng và thậm chí là các nhân viên IT còn thấp. Phần đông có lẽ còn chưa có nhận thức được tình trạng như trên và những nguy cơ trên không gian mạng. Chẳng hạn như phần mềm lậu vẫn được dùng chùa nhiều, và đây là một con đường dễ dàng cho mã độc xâm nhập... Người Mỹ có câu: “No free lunch!” (chẳng có bữa trưa nào là miễn phí cả!), đừng mong có được sự an toàn tuyệt đối, chừng nào chúng ta còn giữ thói quen “xài chùa” không hợp pháp!

Thứ ba là chất lượng và hiệu quả sử dụng của các giải pháp an ninh mạng tại Việt Nam chưa cao. Điều này một phần vì không có nhiều công ty tổ chức có đủ đầu tư tài chính cho an ninh mạng, có thể vì nguồn lực tài chính không đủ, hoặc vì họ không có nhận thức cao như đã nói ở trên. Dẫn đến việc là những sản phẩm chất lượng cao, thường là khá đắt, không thấy được sử dụng nhiều ở Việt Nam, mà thường thấy là nhưng sản phẩm rẻ hơn và theo phương pháp cũ hơn. Như đã nói, nguồn nhân sự mỏng nên việc sử dụng hiệu quả các sản phẩm cũng là một vấn đề...

Tuy nhiên, gần đây cũng đã có được những tiến bộ như: Tăng lương cho người làm bảo mật, ngày càng có thêm nhiều dự án tăng cường bảo mật hơn, hoạt động bảo mật hiệu quả hơn, công tác truyền thông truyền đạt thông tin và kiến thức về bảo mật cũng được chú trọng hơn, mã ngành bảo mật cũng trở nên “hút hàng” và có giá hơn...

Kho tàng văn học dân gian Việt Nam từng có một “câu chuyện cảnh giác” rất hay: “Sự tích nỏ thần An Dương Vương”. Nếu kể lại câu chuyện này theo hướng cách tân, anh sẽ sửa chi tiết nào?

- Truyền thuyết này cũng như chuyện con ngựa thành Trojan quả là những câu chuyện bổ ích đáng đọc với các chuyên gia bảo mật vì nó cho thấy tầm quan trọng vô cùng của công tác bảo mật, có thể liên quan mật thiết đến nền an ninh quốc gia tới mức nào. Sửa thì không, nhưng nếu cần thì tôi sẽ đánh liều gọi anh chàng người yêu của Mỵ Châu là “Trọng Thủy Virus” vậy, cũng như những dòng Trojan Virus đang hoành hành trong không gian mạng ngày nay! (cười).

Xin cảm ơn anh!

Thủy Nguyên (thực hiện)