Các tổ chức FSI không đánh giá các lỗ hổng bảo mật trên phần mềm trước khi phát hành

Hợp Trương| 12/08/2019 16:53
Theo dõi ICTVietnam trên

Báo cáo của Synopsys tiết lộ: Hơn một nửa các tổ chức hiện nay đã trải qua những vụ vi phạm trộm cắp dữ liệu nhạy cảm của khách hàng hoặc lỗi hệ thống và thời gian ngừng hoạt động do phần mềm hoặc công nghệ không an toàn.

Kết quả hình ảnh cho security vulnerabilities before release

Nghiên cứu cũng cho thấy nhiều tổ chức đang gặp khó khăn trong việc quản lý rủi ro an ninh mạng trong chuỗi cung ứng của mình và không đánh giá các lỗ hổng bảo mật trong phần mềm của mình trước khi phát hành.

Ông Drew Kilbourne, giám đốc điều hành tư vấn bảo mật cho Tập đoàn Synopsys Software Integrity Group cho biết: “Trong khi ngành công nghiệp dịch vụ tài chính tương đối trưởng thành về bảo mật phần mềm, các tổ chức vẫn đang gặp khó khăn trong bối cảnh công nghệ phát triển nhanh chóng và họ phải đối mặt với những đối thủ ngày càng tinh vi”.

Ông cũng cho biết: “Không có cách tiếp cận đúng đắn duy nhất nào đối với bảo mật phần mềm, nhưng nghiên cứu này cho thấy điều rõ ràng rằng cần phải cải thiện đáng kể việc quản lý rủi ro chuỗi cung ứng.

Có những cơ hội cho nhiều tổ chức để có thể mở rộng phạm vi của các chương trình bảo mật phần mềm của họ, để bao quát tất cả các ứng dụng quan trọng trong kinh doanh của họ và chuyển những nỗ lực của họ tiến xa hơn trong vòng đời phát triển phần mềm (SDLC - software development life cycle).

Synopsys đã ủy quyền cho Viện nghiên cứu Ponemon để kiểm tra các thực hành và rủi ro bảo mật phần mềm hiện tại trong ngành dịch vụ tài chính (FSI - financial services industry).

Viện nghiên cứu Ponemon đã khảo sát hơn 400 học viên bảo mật công nghệ thông tin trong các lĩnh vực khác nhau của ngành dịch vụ tài chính, bao gồm ngân hàng, bảo hiểm, cho vay / xử lý thế chấp và các công ty môi giới. Vai trò của người trả lời khảo sát bao gồm phát triển, cài đặt và triển khai các ứng dụng cho ngành dịch vụ tài chính.

Những phát hiện chính

Phần lớn các nỗ lực ngăn chặn các cuộc tấn công mạng của các tổ chức FSI không mang lại hiệu quả. Hơn một nửa số người được hỏi đã trải qua những lỗi hệ thống hoặc thời gian ngừng hoạt động (56%) hoặc đánh cắp dữ liệu khách hàng nhạy cảm (51%) do phần mềm hoặc công nghệ không an toàn.

Không có gì đáng ngạc nhiên, nghiên cứu cho thấy rằng nhiều tổ chức có hiệu quả trong việc phát hiện (56%) và xử lý (53%) các cuộc tấn công mạng hơn là ngăn chặn các cuộc tấn công (31%).

Nhiều tổ chức FSI đang vật lộn để quản lý rủi ro an ninh mạng trong chuỗi cung ứng của họ. Gần 3/4 (74%) số người được hỏi quan tâm hoặc rất quan tâm đến vị thế bảo mật của phần mềm và hệ thống của bên thứ ba.

Bất chấp mối lo ngại này, chỉ có 43% số người được hỏi cho biết các tổ chức của họ áp đặt các yêu cầu an ninh mạng đối với các bên thứ ba, liên quan đến việc phát triển phần mềm và hệ thống tài chính. Hơn nữa, chỉ có 43% số người được hỏi cho biết họ có một quy trình chính thức để kiểm kê và quản lý mã nguồn mở trong danh mục đầu tư phần mềm của họ.

Các tổ chức FSI không đánh giá các lỗ hổng bảo mật trên phần mềm trước khi phát hành

Mặc dù hầu hết các tổ chức tuân theo quy trình vòng đời phát triển phần mềm an toàn, nhưng những người được hỏi báo cáo rằng trung bình họ chỉ kiểm tra 34% tất cả các phần mềm và công nghệ tài chính do tổ chức của họ phát triển hoặc sử dụng cho các lỗ hổng an ninh mạng.

Đối với phần mềm và công nghệ được kiểm tra lỗ hổng, chỉ 48% số người được hỏi báo cáo rằng thử nghiệm bảo mật xảy ra trong các giai đoạn trước khi phát hành của vòng đời phát triển phần mềm, như giai đoạn yêu cầu và thiết kế hoặc giai đoạn phát triển và thử nghiệm.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Các tổ chức FSI không đánh giá các lỗ hổng bảo mật trên phần mềm trước khi phát hành
POWERED BY ONECMS - A PRODUCT OF NEKO