Lộ trình giảm sự phụ thuộc vào mật khẩu của VinCSS

VinCSS phối hợp cùng CyStack triển khai Locker nhằm quản lý mật khẩu an toàn, nhanh chóng và tiện lợi trong khi vẫn đảm bảo bảo mật tối đa, cho đến khi có thể loại bỏ hoàn toàn sự phụ thuộc vào mật khẩu.

Giới thiệu về VinCSS

Công ty Cổ phần Dịch vụ An ninh mạng VinCSS thuộc Tập đoàn Vingroup được thành lập và hoạt động chính trong lĩnh vực nghiên cứu – phát triển, sản xuất các sản phẩm và cung cấp các dịch vụ an ninh mạng. Với đội ngũ nhân sự là những kỹ sư, chuyên gia hàng đầu Việt Nam và quốc tế, VinCSS tự hào mang đến cho khách hàng các giải pháp toàn diện, thông minh và tự động.

Thách thức của doanh nghiệp

“Giống như tất cả các doanh nghiệp khác trên thế giới, chúng tôi hiểu rõ tầm quan trọng của bảo mật mạng. Tuy nhiên, việc giảm sự phụ thuộc vào mật khẩu là một thử thách lớn đối với chúng tôi.” – Ông Đỗ Ngọc Duy Trác, CEO VinCSS

Mặc dù sở hữu đội ngũ bảo mật nội bộ chuyên nghiệp, và là nhà cung giải pháp xác thực không mật khẩu tiên phong tại ASEAN, tuy nhiên lộ trình giảm sự phụ thuộc vào mật khẩu của VinCSS cũng gặp không ít trở ngại. Nhiều ứng dụng của bên thứ ba hiện nay chưa hỗ trợ giải pháp “Đăng nhập không mật khẩu”, vì vậy, VinCSS vẫn phải sử dụng mật khẩu và các hình thức đăng nhập khác cho đến khi các nhà cung cấp này cập nhật khả năng đăng nhập không mật khẩu.

Thêm vào đó, với khối lượng nhân sự không nhỏ, mỗi ngày, nhu cầu về quản lý tài khoản online, cấp & xóa quyền, chia sẻ thông tin rất lớn và nhu cầu này sẽ liên tục tăng.

Cho đến khi có thể loại bỏ hoàn toàn sự phụ thuộc vào mật khẩu, VinCSS cần có một giải pháp quản lý mật khẩu an toàn, đáp ứng được tốc độ và sự thuận tiện nhưng vẫn phải đảm bảo độ bảo mật tuyệt đối.

Để giải quyết bài toán này cho VinCSS và các khách hàng của mình, đội ngũ R&D của VinCSS đã sớm phối hợp cùng đội ngũ của CyStack để tích hợp thêm khả năng xác thực không mật khẩu vào Locker, để từ đó dùng Locker như một giải pháp tối ưu để bảo vệ các mật khẩu còn tồn tại và giải quyết một số bài toán khác về an ninh bảo mật của VinCSS.

Giải pháp từ CyStack

“Đội ngũ Locker đã cập nhật cho chúng tôi tiến trình triển khai rất chi tiết và theo từng giai đoạn. Tôi rất hài lòng về sự nhiệt tình cũng như cách làm việc chuyên nghiệp của CyStack.” – Ông Đỗ Ngọc Duy Trác, CEO VinCSS

VinCSS lựa chọn Locker là nước đi chiến lược để cải thiện những vấn đề hiện hữu.

Locker là trình quản lý mật khẩu cho phép người dùng lưu trữ, khởi tạo và quản lý mật khẩu, ghi chú bí mật trên thiết bị và dịch vụ trên môi trường mạng. Locker được xây dựng trên nền tảng bảo mật và minh bạch, đảm bảo an toàn tối đa cho người dùng mà vẫn giữ được sự tiện lợi khi sử dụng.

Các mục tiêu mà VinCSS hướng đến

Nâng cao bảo mật hệ thống

Locker lưu tất cả mật khẩu và ghi chú bí mật ở trong kho dữ liệu (Vault). Nhân viên VinCSS chỉ cần đăng nhập vào Locker (thông qua công nghệ xác thực bảo mật FIDO2 do VinCSS nghiên cứu đã được tích hợp vào Locker) là có thể truy cập được. Điều này giúp họ có thể đặt mật khẩu dài và khác nhau cho từng tài khoản, giúp tăng cường độ bảo mật và giảm thiểu tối đa rủi ro trong trường hợp mật khẩu bị đánh cắp.

Dễ dàng quản lý mật khẩu, tài liệu

Locker giúp đội ngũ quản lý có thể quản trị toàn bộ các tài khoản từ bảng quản trị bảo mật, giúp việc thay đổi mật khẩu, chia sẻ tài khoản, tài liệu quan trọng trở nên dễ dàng và an toàn. Thay vì ghi ra giấy hoặc truyền miệng như trước, tất cả thông tin được chia sẻ trực tiếp trong Locker, tránh tình trạng thất lạc, đánh mất, bị hack,…

Xây dựng văn hóa bảo mật mới

Văn hóa bảo mật đã khá phổ biến ở Mỹ và 1 số nước châu Âu, nhưng chưa được nhận thức đúng mực ở thị trường Việt Nam. Ứng dụng Locker là công cụ cần thiết để VinCSS duy trì văn hóa bảo mật trong nội bộ nói riêng, và thay đổi tư duy bảo mật của khách hàng nói chung.

Trong quá trình triển khai, dù gặp nhiều khó khăn do chính sách bảo mật chặt chẽ, nhưng CyStack vẫn nhiệt tình đề xuất nhiều giải pháp trước khi thống nhất triển khai theo hướng On-premise (Locker được cài đặt và vận hành trên chính máy chủ của VinCSS) để doanh nghiệp có thể chủ động kiểm soát bảo mật.

“Chúng tôi rất hài lòng với dịch vụ của CyStack và luôn sẵn sàng giới thiệu Locker cho khách hành vì đây là một sản phẩm tốt, chất lượng ngang bằng với thế giới, lại do người Việt phát triển và mức chi phí rất dễ tiếp cận với mọi đối tượng.” – Trích lời đại diện VinCSS

Kết quả dự kiến

• VinCSS dự tính sẽ triển khai Locker trên toàn bộ hệ thống hơn 100 nhân sự ở Việt Nam và hướng đến triển khai cho toàn bộ các khách hàng của chúng tôi (hơn 100,000 nhân sự trong và ngoài nước).
• Mục tiêu trong vòng 2 tháng, toàn bộ nhân viên sẽ quen với việc quản trị mật khẩu bằng Locker, từ đó cắt giảm các đầu việc liên quan đến mật khẩu như cài đặt lại mật khẩu cho nhân viên, thay đổi mật khẩu khi nhân viên cũ rời đi, phân quyền cho nhân sự mới… Bên cạnh đó, cải thiện việc chia sẻ thông tin nội bộ nhanh chóng và thuận tiện hơn, từ đó giúp tối ưu hiệu quả làm việc.
• Xa hơn, VinCSS muốn xây dựng được văn hóa bảo mật cho toàn bộ nhân viên các cấp, giảm thiểu tối đa rủi ro bảo mật cũng như giúp làm việc từ xa trở nên thuận tiện hơn, làm tiền để để phát triển mạnh hơn nữa trên thị trường thế giới.

Kết luận

Sự hợp tác giữa CyStack và VinCSS hứa hẹn mang lại những tác động tích cực, công hưởng của hai startup Việt Nam trong quá trình tiến ra thế giới.

Bên cạnh việc làm giảm bề mặt tấn công, giảm thiểu rủi ro đến từ lạc hậu công nghệ của bên thứ ba, Locker còn thúc đẩy trao đổi, chia sẻ thông tin giữa nhân sự nội bộ và giải quyết bài toán phân quyền các tài sản số trên không gian mạng – giúp cân bằng giữa việc tiện dụng và đảm bảo an toàn, bảo mật của mọi hệ thống.