Chính phủ Hàn Quốc ngày 28/5 công bố chương trình thí điểm đầu tiên trong nước về cơ chế tiếp nhận, xử lý và công khai lỗ hổng bảo mật theo hình thức thường trực, qua đó cho phép hacker mũ trắng tìm kiếm và báo cáo lỗ hổng trong khuôn khổ được cho phép.

Theo Ủy ban Chiến lược AI quốc gia, Bộ Khoa học và ICT Hàn Quốc, Cơ quan Tình báo Quốc gia Hàn Quốc và Cơ quan Internet và An ninh Hàn Quốc (KISA), chương trình thí điểm “cơ chế tiếp nhận và xử lý lỗ hổng bảo mật thường trực” được triển khai nhằm xây dựng một hệ sinh thái an ninh mạng an toàn và minh bạch hơn.

Mô hình này gồm hai cấu phần: chính sách tiếp nhận báo cáo lỗ hổng (VDP), cho phép hacker mũ trắng tìm và gửi báo cáo lỗ hổng theo cơ chế hợp lệ; và chính sách công khai lỗ hổng có điều phối (CVD), theo đó thông tin chỉ được công bố sau khi lỗ hổng đã được khắc phục.

Mỹ và châu Âu đã vận hành các cơ chế tương tự, trong khi Hàn Quốc đến nay vẫn chưa áp dụng. Sau hàng loạt sự cố an ninh mạng lớn trong năm ngoái, chính phủ nước này đã xây dựng một gói giải pháp tổng thể về bảo vệ thông tin, đồng thời thúc đẩy lộ trình tiếp nhận, xử lý và công khai lỗ hổng để sớm đưa cơ chế vào thực tế.

Chương trình thí điểm được thiết kế nhằm nâng cao nhận thức của công chúng và kiểm chứng hiệu quả vận hành trước khi thể chế hóa từ năm tới. Trước nguy cơ tấn công mạng sử dụng AI ngày càng gia tăng, ban tổ chức cũng dự kiến cho phép hacker mũ trắng sử dụng AI trong quá trình kiểm thử.

Có 15 đơn vị tham gia chương trình, gồm 7 doanh nghiệp và 8 cơ quan công. Nhóm doanh nghiệp gồm LG Uplus, Nexon, NC, Toss Payments, Samsung Life, ESTsecurity và INCA Internet.

Ở khối công, các hệ thống và dịch vụ tham gia gồm National Safety 24, Cơ quan Đánh giá và Rà soát Bảo hiểm Y tế, Vaccination Helper, KEPCO ON, Trung tâm Thông tin Giao thông Quốc gia, Cyber Inspection Office, Economic Statistics System và hệ thống thông tin tuyển dụng cơ quan công.

Mọi công dân Hàn Quốc từ 19 tuổi trở lên đều có thể đăng ký tham gia và không giới hạn số lượng. Để ngăn rò rỉ dữ liệu cá nhân hoặc gián đoạn hoạt động mạng, chính phủ sẽ áp dụng thêm các biện pháp kiểm soát như xây dựng chính sách cấp quyền theo từng đơn vị, đào tạo về đạo đức trước khi tham gia, yêu cầu cam kết tuân thủ quy định và ký thỏa thuận liên quan đến xử lý dữ liệu cá nhân.

Thời gian tiếp nhận hồ sơ kéo dài hai tuần, từ ngày 29/5 đến 12/6, thông qua website của chương trình. Trong tháng 6, ban tổ chức sẽ tiến hành đào tạo về đạo đức và phê duyệt tư cách tham gia. Hoạt động tìm kiếm, báo cáo và xử lý lỗ hổng sẽ diễn ra đến tháng 11, tương đương khoảng 5 tháng. Kết quả cuối cùng dự kiến được công bố vào cuối năm.

Những hacker mũ trắng phát hiện lỗ hổng nổi bật sẽ được trao tổng cộng 16 hạng mục khen thưởng với tổng giá trị 20 triệu won, áp dụng cho cả khối công và tư.

Bae Kyung-hoon, Phó thủ tướng kiêm Bộ trưởng Bộ Khoa học và ICT Hàn Quốc, đồng thời là Phó chủ tịch Ủy ban Chiến lược AI quốc gia, nhấn mạnh an ninh trong thời đại AI là nền tảng cốt lõi của kinh tế và an ninh quốc gia. Ông cho biết chính phủ sẽ xem chương trình thí điểm này là đòn bẩy để góp phần hình thành một hệ sinh thái “K-security” an toàn hơn.

Cơ quan Tình báo Quốc gia Hàn Quốc cho biết kỳ vọng có thể tận dụng chuyên môn của hacker mũ trắng, lực lượng đối tác quan trọng trong lĩnh vực an ninh mạng quốc gia, để sớm phát hiện và khắc phục các lỗ hổng tiềm ẩn tại cơ quan nhà nước và cơ quan công. Cơ quan này cũng khẳng định sẽ bảo đảm chương trình được triển khai chặt chẽ để cơ chế sớm vận hành ổn định.