Quy trình SecDevOps là “chìa khóa” đảm bảo an toàn thông tin trong chuyển đổi số

Các chuyên gia góp mặt tại hội thảo trực tuyến do VNCERT/CC tổ chức đều chung nhận định quy trình phát triển phần mềm an toàn SecDevOps chính là “chìa khóa” giúp các tổ chức, doanh nghiệp đảm bảo an toàn trong kỷ nguyên số.  

Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) thuộc Cục An toàn thông tin, Bộ TT&TT vừa tổ chức chương trình webinar định kỳ hàng tháng về hoạt động ứng cứu sự cố với chủ đề “Nâng cao khả năng đảm bảo An toàn thông tin cho các tổ chức với SecDevOps”. Chương trình được tổ chức theo hình thức trực tuyến trên nền tảng số qua các điểm cầu, dưới sự điều phối của ông Dương Xuân Hiệp, Trưởng phòng Nghiên cứu và phát triển của VNCERT/CC.

Quy trình SecDevOps là “chìa khóa” đảm bảo an toàn thông tin trong chuyển đổi số
Các chuyên gia trao đổi tại webinar chủ đề “Nâng cao khả năng đảm bảo An toàn thông tin cho các tổ chức với SecDevOps”.

Chia sẻ tại hội thảo trực tuyến, ông Dương Thành Vịnh, Trưởng phòng Ứng cứu sự cố của Trung tâm VNCERT/CC, chuyên gia đã có nhiều năm kinh nghiệm kiểm thử web và ứng dụng di động trên các nền tảng iOS, Android cho biết: Sự ra đời của quy trình phát triển phần mềm an toàn DevSecOps nhằm mục đích bổ sung tính năng "An toàn" vào trong quy trình làm phần mềm DevOps vốn đã quen thuộc với nhiều doanh nghiệp.

Với quy trình DevOps, thông thường các doanh nghiệp sẽ chạy các cuộc kiểm thử tự động sản phẩm bằng công cụ kiểm tra tự động. Tuy nhiên, việc kiểm tra này là không đủ, an toàn thông tin cần được đặt lên hàng đầu cũng như xuyên suốt quá trình phát triển. Chính vì vậy, quy trình SecDevOps ra đời nhằm đưa việc chú trọng an toàn thông tin ngay từ khâu thiết kế khi các tổ chức nhận yêu cầu về phần mềm, đồng thời giải quyết những lỗ hổng, sự cố ngay từ khi nó chưa xảy ra.

Cũng theo phân tích của ông Dương Thành Vịnh, quy trình SecDevOps được hiểu là an toàn thông tin phải gắn liền với toàn bộ quy trình phát triển, vận hành phần mềm, hệ thống. An toàn thông tin cần được quan tâm từ bước lấy thông tin yêu cầu về sản phẩm, đến khâu vận hành và theo dõi quá trình hoạt động, bàn giao sản phẩm để đưa ra các hành động phù hợp nhằm đảm bảo an toàn của hệ thống.

“Chuyển đổi số không những cần nhanh nhạy, chuyên nghiệp mà còn cần phải gắn liền với an toàn thông tin ngay từ bước đầu”, ông Dương Thành Vịnh nhấn mạnh.

Tham gia chương trình với vai trò khách mời, ông Nguyễn Mạnh Luật, Đồng sáng lập kiêm Giám đốc điều hành Công ty CyberJutsu nhận định: Lập trình viên ở Việt Nam rất giỏi, cũng như các công ty phát triển phần mềm ở Việt Nam có thế mạnh về năng lực và giá thành, tuy nhiên các công ty này chưa quan tâm và đầu tư vào khía cạnh an toàn, bảo mật của phần mềm. “Đây là điều bất lợi khi cạnh tranh với các công ty phát triển phần mềm nước ngoài trên thị trường quốc tế”, ông Nguyễn Mạnh Luật nêu quan điểm.

Các chuyên gia khẳng định rằng, việc triển khai quy trình phát triển phần mềm an toàn SecDevOps cho thấy các doanh nghiệp nên chủ động hơn khi đề cập đến vấn đề bảo mật, an toàn thông tin. Bởi lẽ, quy trình SecDevOps giúp các doanh nghiệp, tổ chức bảo đảm an toàn thông tin ở mọi giai đoạn; thiết kế các hệ thống, ứng dụng an toàn với những tính năng mà người dùng muốn.

 
Quy trình SecDevOps là “chìa khóa” đảm bảo an toàn thông tin trong chuyển đổi số
Theo Cục An toàn thông tin, nhiều ứng dụng, nền tảng số được phát triển nhưng chưa chú trọng an toàn thông tin. (Ảnh minh họa: Internet)

Trước đó, tại hội nghị triển khai kế hoạch ngành TT&TT năm 2022, đại diện Cục An toàn thông tin đã chỉ rõ: Nhiều ứng dụng, nền tảng số được phát triển nhưng chưa chú trọng an toàn thông tin.

Theo Gartner, 60% dự án phần mềm áp dụng quy trình DevSecOps. Trong khi ở Việt Nam, khoảng 90% phần mềm được phát triển chưa áp dụng quy trình DevSecOps. Những lỗi sơ đẳng trong phát triển phần mềm có thể gây mất an toàn thông tin nghiêm trọng. Một số phần mềm được sử dụng nhiều, nếu mất an toàn thông tin sẽ gây hậu quả khó lường.

Từ thực tế trên, đại diện Cục An toàn thông tin cho biết, trong năm nay, Bộ TT&TT sẽ thúc đẩy các doanh nghiệp ICT thực hiện quy trình phát triển phần mềm an toàn, cụ thể: Thay đổi từ quy trình “Phát triển - Vận hành” (DevOps) sang các quy trình “Phát triển - An toàn thông tin - Vận hành” (DevSecOps), “An toàn thông tin - Phát triển - Vận hành” (SecDevOps); Sử dụng công cụ đánh giá an toàn mã nguồn phần mềm - Scan Source Code và đào tạo, bồi dưỡng kỹ năng an toàn thông tin cho nhân lực phát triển phần mềm.

Bộ TT&TT cũng ban hành Khung phát triển phần mềm an toàn và khuyến khích cơ quan nhà nước lựa chọn nhà phát triển đáp ứng Khung này. Tiến tới, đưa quy trình phát triển phần mềm an toàn trở thành yêu cầu bắt buộc. 

Webinar chủ đề “Nâng cao khả năng đảm bảo An toàn thông tin cho các tổ chức với SecDevOps” là hội thảo trực tuyến thứ 2 trong chuỗi sự kiện về“Đảm bảo an toàn thông tin mạng quốc gia trong kỷ nguyên chuyển đổi số” được VNCERT/CC, Cục An toàn thông tin tổ chức định kỳ hàng tháng từ tháng 4/2022 và kết thúc vào tháng 12/2022. Chuỗi webinar gồm nhiều chủ đề khác nhau, hướng tới mục tiêu chung là tạo sự gắn kết cho hoạt động của Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia, giúp các thành viên được cập nhật thường xuyên các kiến thức chuyên sâu về an toàn thông tin.

Vân Anh

90% dự án phần mềm tại Việt Nam chưa tuân thủ quy trình phát triển an toàn

90% dự án phần mềm tại Việt Nam chưa tuân thủ quy trình phát triển an toàn

Hiện nay, khoảng 90% dự án phần mềm tại Việt Nam được phát triển chưa áp dụng quy trình DevSecOps (Phát triển-An toàn thông tin-Vận hành). Một nguyên nhân do doanh nghiệp ICT chưa dành nguồn lực cho an toàn thông tin khi phát triển phần mềm.

 
List comment
 

Theo Cục An toàn thông tin, Bộ TT&TT, Microsoft vẫn chưa phát hành bản vá cho lỗ hổng Follina trong Microsoft Support Diagnostic Tool. Trong khi đó, mã khai thác của lỗ hổng này đã được công bố trên Internet.

 

Để kiểm tra xem 1 website có chứa nội dung phù hợp với trẻ em hay không, người dân có thể sử dụng công cụ “Kiểm tra website an toàn với trẻ” tại trang vn-cop.vn của Mạng lưới ứng cứu, bảo vệ trẻ em trên môi trường mạng.

 

Cuộc thi tấn công mạng hàng đầu thế giới Pwn2Own Vancouver 2022 vừa công bố hai cao thủ bảo mật thuộc Công ty An ninh mạng Viettel (Viettel Cyber Security) đã giành chiến thắng.

 

Một thám tử tư Israel đang bị giam giữ tại Mỹ, đã sử dụng các hacker Ấn Độ để thực hiện các hoạt động giám sát mạng cho giới siêu giàu Nga.

 

Kênh YouTube FapTV bị hacker chiếm quyền điều khiển, đổi tên thành Tesla US và đăng tải video cùng đường link lạ để dẫn dụ người dùng.

 
 

Theo một báo cáo, thông tin cá nhân và hoạt động trên mạng của hàng triệu học sinh tham gia học trực tuyến trong dịch Covid-19 đã bị theo dõi và bán cho bên thứ ba mà không hề hay biết.  

Theo khuyến nghị của Cục An toàn thông tin, người dân có thể nâng cao kiến thức và mức độ nhận diện để tránh trở thành nạn nhân của các cuộc gọi lừa đảo bằng việc xem các video kể về quá trình bị lừa đảo của một số YouTuber.

Dù doanh nghiệp của bạn được bảo vệ kín kẽ nhưng vẫn có nguy cơ bị tấn công từ lỗ hổng bảo mật của… doanh nghiệp khác.  

Một báo cáo an ninh mạng gần đây cho thấy nhiều CEO và chủ doanh nghiệp có thể ngu ngốc đến mức nào khi đặt mật khẩu cho các hệ thống và tệp tin quan trọng.

Thiết bị đọc chip CCCD tại cây ATM không lưu giữ thông tin của công dân. Do đó, Bộ Công an nhấn mạnh việc rút tiền được bảo mật, bảo vệ dữ liệu cá nhân mà không bị thất thoát.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123