Theo đánh giá của Cục An toàn thông tin, Bộ Thông tin và Truyền thông, thời gian gần đây, nhiều sản phẩm công nghệ thông tin (CNTT), đặc biệt các ứng dụng phục vụ Chính phủ điện tử, Chính phủ số, có tồn tại hoặc phát sinh nhiều điểm yếu, lỗ hổng bảo mật gây mất an toàn thông tin, lộ lọt thông tin, dữ liệu của người dân, tổ chức trong quá trình sử dụng sản phẩm, ứng dụng. Điều này có thể ảnh hưởng lớn đến niềm tin của xã hội và quá trình chuyển đổi số.
Thực tế, lỗ hổng bảo mật đã được chuyên gia nhận định là một trong những nguyên nhân hàng đầu gây ra các cuộc tấn công mạng nhắm vào hệ thống thông tin của các tổ chức, doanh nghiệp trên thế giới và tại Việt Nam. Thống kê toàn cầu cho thấy, hiện có khoảng 40 điểm yếu, lỗ hổng được phát hiện mỗi ngày và con số này được dự báo có thể tăng gấp 2 lần vào năm 2025.
Riêng về an toàn trong phát triển phần mềm, đây là một trong những vấn đề nổi cộm cần được giải quyết để đảm bảo an toàn cho chuyển đổi số, phát triển Chính phủ số. Bởi lẽ, tại Việt Nam nhiều phần mềm chưa áp dụng quy trình phát triển phần mềm an toàn DevSecOps và những lỗi sơ đẳng có thể gây ra những ảnh hưởng an toàn thông tin nghiêm trọng. Nguyên nhân của thực trạng này là do các doanh nghiệp ICT chưa giành nguồn lực cho an toàn thông tin, nhân lực thiếu kỹ năng an toàn thông tin và chủ đầu tư cũng chưa đưa yêu cầu an toàn thông tin nghiêm ngặt.
Theo Cục An toàn thông tin, để giải quyết vấn đề trên, các giải pháp cần được tập trung triển khai đồng bộ chủ đầu tư các dự án phần mềm đưa quy trình DevSecOps thành yêu cầu bắt buộc, doanh nghiệp ICT trang bị công cụ rà quét lỗ hổng phần mềm, đồng thời yêu cầu các nhân sự phát triển phần mềm có kỹ năng an toàn thông tin.
Với các ứng dụng CNTT dự kiến sẽ đặt hàng hoặc phát triển mới, mọi tổ chức, doanh nghiệp cần đưa các tiêu chí an toàn vào thiết kế từ đầu và yêu cầu đơn vị phát triển áp dụng mô hình DevSecOps. Cùng với đó là, kiểm tra đánh giá an toàn tất cả các sản phẩm ứng dụng trước khi đưa vào sử dụng và mỗi khi có cập nhật, thay đổi.
Chủ yếu để hỗ trợ các đơn vị phát triển phần mềm, Cục An toàn thông tin vừa ban hành bộ tài liệu “Hướng dẫn kiểm tra an toàn thông tin đối với các lỗ hổng bảo mật phổ biến trên ứng dụng”, phiên bản 1.0
Theo đó, bên cạnh việc liệt kê danh mục 10 điểm yếu, lỗ hổng bảo mật phổ biến trên các ứng dụng hiện nay như Broken Access Control, Cryptographic Failures, Injection, Insecure Design… trong bộ tài liệu mới phát hành, Cục An toàn thông tin, trực tiếp là Trung tâm Giám sát an toàn không gian mạng quốc gia cũng đưa ra quy trình và hướng dẫn cụ thể cho các nhà phát triển phần mềm để kiểm tra với từng lỗ hổng bảo mật dành cho nhà phát triển nhằm phát triển sớm và có phương án xử lý trước khi phát hành ứng dụng.
Cục An toàn thông tin khuyến nghị các đơn vị áp dụng tài liệu “Hướng dẫn kiểm tra an toàn thông tin đối với các lỗ hổng bảo mật phổ biến trên ứng dụng” phiên bản 1.0 trong quá trình nghiên cứu, xây dựng và phát triển phần mềm.
Trước đó, Cục An toàn thông tin cũng đã ban hành hướng dẫn “Khung phát triển phần mềm an toàn (phiên bản 1.0)”. Các tài liệu này, các tổ chức, doanh nghiệp có thể xem bản đầy đủ trên trang tinnhiemmang.vn.
Theo đánh giá của Cục An toàn thông tin, Bộ Thông tin và Truyền thông, thời gian gần đây, nhiều sản phẩm công nghệ thông tin (CNTT), đặc biệt các ứng dụng phục vụ Chính phủ điện tử, Chính phủ số, có tồn tại hoặc phát sinh nhiều điểm yếu, lỗ hổng bảo mật gây mất an toàn thông tin, lộ lọt thông tin, dữ liệu của người dân, tổ chức trong quá trình sử dụng sản phẩm, ứng dụng. Điều này có thể ảnh hưởng lớn đến niềm tin của xã hội và quá trình chuyển đổi số.
Thực tế, lỗ hổng bảo mật đã được chuyên gia nhận định là một trong những nguyên nhân hàng đầu gây ra các cuộc tấn công mạng nhắm vào hệ thống thông tin của các tổ chức, doanh nghiệp trên thế giới và tại Việt Nam. Thống kê toàn cầu cho thấy, hiện có khoảng 40 điểm yếu, lỗ hổng được phát hiện mỗi ngày và con số này được dự báo có thể tăng gấp 2 lần vào năm 2025.
Riêng về an toàn trong phát triển phần mềm, đây là một trong những vấn đề nổi cộm cần được giải quyết để đảm bảo an toàn cho chuyển đổi số, phát triển Chính phủ số. Bởi lẽ, tại Việt Nam nhiều phần mềm chưa áp dụng quy trình phát triển phần mềm an toàn DevSecOps và những lỗi sơ đẳng có thể gây ra những ảnh hưởng an toàn thông tin nghiêm trọng. Nguyên nhân của thực trạng này là do các doanh nghiệp ICT chưa giành nguồn lực cho an toàn thông tin, nhân lực thiếu kỹ năng an toàn thông tin và chủ đầu tư cũng chưa đưa yêu cầu an toàn thông tin nghiêm ngặt.
Theo Cục An toàn thông tin, để giải quyết vấn đề trên, các giải pháp cần được tập trung triển khai đồng bộ chủ đầu tư các dự án phần mềm đưa quy trình DevSecOps thành yêu cầu bắt buộc, doanh nghiệp ICT trang bị công cụ rà quét lỗ hổng phần mềm, đồng thời yêu cầu các nhân sự phát triển phần mềm có kỹ năng an toàn thông tin.
Với các ứng dụng CNTT dự kiến sẽ đặt hàng hoặc phát triển mới, mọi tổ chức, doanh nghiệp cần đưa các tiêu chí an toàn vào thiết kế từ đầu và yêu cầu đơn vị phát triển áp dụng mô hình DevSecOps. Cùng với đó là, kiểm tra đánh giá an toàn tất cả các sản phẩm ứng dụng trước khi đưa vào sử dụng và mỗi khi có cập nhật, thay đổi.
Chủ yếu để hỗ trợ các đơn vị phát triển phần mềm, Cục An toàn thông tin vừa ban hành bộ tài liệu “Hướng dẫn kiểm tra an toàn thông tin đối với các lỗ hổng bảo mật phổ biến trên ứng dụng”, phiên bản 1.0
Theo đó, bên cạnh việc liệt kê danh mục 10 điểm yếu, lỗ hổng bảo mật phổ biến trên các ứng dụng hiện nay như Broken Access Control, Cryptographic Failures, Injection, Insecure Design… trong bộ tài liệu mới phát hành, Cục An toàn thông tin, trực tiếp là Trung tâm Giám sát an toàn không gian mạng quốc gia cũng đưa ra quy trình và hướng dẫn cụ thể cho các nhà phát triển phần mềm để kiểm tra với từng lỗ hổng bảo mật dành cho nhà phát triển nhằm phát triển sớm và có phương án xử lý trước khi phát hành ứng dụng.
Cục An toàn thông tin khuyến nghị các đơn vị áp dụng tài liệu “Hướng dẫn kiểm tra an toàn thông tin đối với các lỗ hổng bảo mật phổ biến trên ứng dụng” phiên bản 1.0 trong quá trình nghiên cứu, xây dựng và phát triển phần mềm.
Trước đó, Cục An toàn thông tin cũng đã ban hành hướng dẫn “Khung phát triển phần mềm an toàn (phiên bản 1.0)”. Các tài liệu này, các tổ chức, doanh nghiệp có thể xem bản đầy đủ trên trang tinnhiemmang.vn.
Tín nhiệm mạng | Năm ứng dụng dropper Android với tổng cộng hơn 130.000 lượt cài đặt được phát hiện trên Cửa hàng Google Play đang phát tán mã độc banking trojan như SharkBot và Vultur, có khả năng đánh cắp dữ liệu tài chính và thực hiện gian lận trên thiết bị.
Tín nhiệm mạng | Google đã phát hành các bản cập nhật bảo mật khẩn cấp để ngăn chặn một lỗ hổng zero-day đang bị tin tặc khai thác trong trình duyệt web Chrome.
Tín nhiệm mạng | Lừa đảo nhận quà từ nước ngoài là chiêu trò lừa đảo qua mạng đã xuất hiện tại Việt Nam trong vài năm trở lại đây. Mặc dù được cơ quan chức năng cảnh báo rộng rãi nhưng đến nay vẫn có rất nhiều người nhẹ dạ cả tin mà đánh mất cả trăm triệu với hy vọng nhận được món quà giá trị từ nước ngoài gửi về.
Tín nhiệm mạng | Lừa đảo trúng thưởng, dẫn dụ người dùng truy cập các trang web giả mạo để đánh cắp thông tin và chiếm đoạt tài sản không còn là hình thức lừa đảo mới, nhưng vẫn không ít người "sập bẫy" bởi chiêu trò này.
Tín nhiệm mạng | Lừa đảo kêu gọi đầu tư tài chính, tiền ảo bằng cách kêu gọi người chơi bỏ tiền tham gia đầu tư, mua - bán, giao dịch các loại "tiền ảo", "tiền kỹ thuật số", "tiền mã hóa" trên các sàn giao dịch nhị phân (Binary Option - BO), sàn đầu tư ngoại hối… không phải là một hình thức lừa đảo mới nữa. Tuy nhiên, vẫn còn rất nhiều người thiếu hiểu biết, mù quáng tin theo và trở thành nạn nhân của chiêu trò lừa đảo này
Tín nhiệm mạng | Một lỗ hổng bảo mật mức cao đã được phát hiện trong thư viện cơ sở dữ liệu SQLite, tồn tại từ lần thay đổi mã nguồn từ tháng 10 năm 2000 và có thể cho phép kẻ tấn công gây ra sự cố hoặc kiểm soát các chương trình.