Những bi kịch về bảo mật thông tin trong ngành phần mềm
Bình luận
3
bảo mật
8
White

Giaosucan viết ngày 15/06/2018

GIAOSUCAN'S BLOG - CHIA SẺ KIẾN THỨC KĨ THUẬT THEO CÁCH BÁ ĐẠO

http://www.giaosucan.com

Làm trong ngành IT, từ fresher cho đến chuyên gia công nghệ, từ thanh niên gà mờ cho tới tay lão làng, đều biết và đều được học về ISM khi gia nhập công ty CNTT. Lý thuyết là vậy, nhưng thực tế thì khác một trời, một vực. và những sự cố về ISM đã gây nên nhiều bi kịch cho nhiều công ty.

ISM là cái giề
alt text
Dẫn nguyên văn từ Wikipedia
https://en.wikipedia.org/wiki/Information_security_management
Nói theo kiểu hàn lâm thì thế này
ISMS được viết tắt của information security management system, là hệ thống quản lý an toàn thông tin. An toàn thông tin bao gồm các tính chất bảo mật, toàn vẹn và sẵn sàng của thông tin. Ngoài ra, có thể liên quan các tính chất như: xác thực, trách nhiệm, xác nhận, tin cậy.
Trích dẫn ISO 13335-1
HỆ THỐNG QUẢN LÝ AN TOÀN THÔN TIN?
Hệ thống quản lý an toàn thông tin (information security management system) là một phần của hệ thống quản lý toàn diện, dựa trên các rủi ro có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến an toàn thông tin.
Dài dòng quá, éo hiểu, vậy giải thích theo kiểu giaosucan’s blog thế này
Công ty Y chuyên sản xuất phần mềm XXX, bộ source code của phần mềm XXX là tải sản của cty. Nó là confidential và private. được hệ thống ISM quản lý và bảo vệ, anh developer Z đi làm cho công Y dám lấy source code phần mềm đẩy lên public thì sẽ chịu mọi trách nhiệm, nhẹ thì đuổi việc, nặng thì ….
Lấy cái chết ra để đền tội.
alt text

Đào tạo về ISM

Nhiều công ty IT từ Tây, Ta đều chương trình đào tạo cho nhân viên mới vào về mảng ISM, có giáo trình hẳn hon, thậm chí nuôi cả 1 bộ phận ISM community chuyên lo việc này, đưa ra đủ mọi điều luật hết sức chi tiết kiểu như
Cấm public thông tin dự án lên mạng public…
Cấm sử dụng mạng công ty vào việc riêng
Cấm truy cập trang web XXX, YYY (kiểu thiendia hay xvideo)
Cấm quay phim, chụp ảnh trong khoang làm việc
Chặn upload, chỉ được download (Kiểu được ị nhưng ko đc đái)
Chặn gửi email ra bên ngoài

Cấm hết, cấm tuốt, chặn sạch, thà giết lầm còn hơn bỏ sót.
Những điều luật này đôi lúc gây nhiều bất tiện, nhưng cần thiết để tránh những sự cố ISM đáng tiếc, một số bạn mới đi làm sẽ cảm thấy có chịu, nhưng lâu dần thì quen. Một số dự án làm việc với KH nhật còn cầm tiệt internet theo kiểu ko quản được thì cấm luôn.

Những sự cố ISM

Khổ cái ở Việt Nam, cái gì càng cấm thì càng làm. Kiểu như khu vực treo biển cấm đái bậy, cấm đổ rác thì thực tế khu đó khai mù, thối um mùi rác. Và điều này đã gây ra những thảm họa về ISM. Đây là vài câu chuyện thực tế trong hàng đống chuyện mình đã trải qua sau hơn 10 năm đi làm
Chuyện 1 – Truy cập website có nội dung bị cấm
Đi làm công ty IT, bạn sẽ ko thể truy cập internet trực tiếp mà phải qua hệ thống proxy của công ty. Hệ thống này sẽ lọc, kiểm tra trang web bạn truy cập, nếu vào trang ko cho phép thì sẽ hiện cảnh báo warning
Ảnh dưới chỉ có tính minh họa
alt text
Mình đã gặp trường hợp ở 1 số công ty nhật, hệ thống proxy thông minh vcd, khi google search kiểu như “Ngọc Trinh Thủy Tóp” vào mấy trang kênh, mương 14 xem gái thì ko chặn, nhưng search Java, .NET click phải mấy trang nước ngoài thì dính warning. Và khi sự cố xảy ra thì phải giải trình, báo cáo abc, xyz
Tuy nhiên, developer thì rất smart
alt text
Để tiện cho việc lướt thiên địa, xvideo thì chơi kiểu này, và tất nhiên hậu quả thì nhãn tiền, nguy cơ dính virus, mailware. Nhiều công ty có cài cắm hệ thống theo dõi hoạt động của nhân viên, nên việc trên không qua mắt họ. Kết quả của các thanh niên trẻ trâu thế nào thì ai cũng rõ

Chuyện 2 – Bỏ tài liệu dự án lên Github

Một câu chuyện có thật, một thanh niên ở công ty nọ mới đi làm, a được đào tạo hướng dẫn về ISM đến tận răng, được assign vào 1 dự án với khách hàng Mỹ. Sau vài ngày đọc tìm hiểu tài liệu, một chân trời tri thức đang mở ra trước mắt anh, có lẽ phải dành cả tuổi thanh xuân để học mất, ngày 8 tiếng ở cty làm sao tiếp thu hết tri thức dự án, mà về nhà thì ko access đc???
alt text
Vậy thì người nông dân phải làm sao, chàng đã nghĩ ra 1 kế, upload hết đống tài liệu lên public github cá nhân, bao gồm tài liệu, source code. Thế là từ đây, chàng đã có thể đọc, học mọi nơi mọi lúc, từ phòng ngủ cho tới bồn cầu, không phải bó buộc trong mấy bức tường của khoang làm việc nữa. Trời biết, đất biết và mỗi mình biết. Ôi thật là diệu kế, diệu kế
alt text
Nhưng đời người ai học chữ ngờ, tưởng chỉ mình biết ai ngờ khách hàng cũng biết, một thông báo khẩn cấp được gửi từ KH
Lúc XX-YY giờ PDT, một thanh niên nào đó từ vendor Y đã publish tài liệu dự án lên github
Và thế làm thảm họa xảy ra, lập tức các ban bệ được lôi vào cuộc từ PM cho đến Manager, khẩn cấp truy tìm thủ phạm. Đương nhiên là anh thanh niên trẻ trâu bị lôi ra ánh sáng vì cái tội nhiệt tình + ngu dốt
Thường các cụ có câu “Nắm thằng có tóc, ko nắm thằng trọc đầu” con dại cái mang, mũi dại thì lái chịu đòn , KH chỉ lôi đầu các sếp cao ra xử lý vì tội quản giáo không nghiêm. Vậy là một chuỗi ngày dài, báo cáo, giải trình, gặp khách hàng xin lỗi, van nài, tốn kém bao nhiêu effort, thời gian
alt text

Kết luận

Nhiều người suy nghĩ rẵng, không sợ virus, không sợ lộ thông tin, chắc nó chừa mình ra, nhưng thực tế sẽ những chuyện không thể ngờ tới vẫn xảy ra như trên. Và hậu quả thì không thể đo đếm, nhẹ thì KH cắt dự án, đói vêu mồm, nặng thì bị kiện cáo, úy tín công ty bị ảnh hưởng.
Tốt nhất là phòng bệnh hơn chữa bệnh

Bình luận


White
{{ comment.user.name }}
Bỏ hay Hay
{{comment.like_count}}
Male avatar
{{ comment_error }}
Hủy
   

Hiển thị thử

Chỉnh sửa

White

Giaosucan

35 bài viết.
322 người follow
Kipalog
{{userFollowed ? 'Following' : 'Follow'}}
Cùng một tác giả
White
46 5
Bản quyền thuộc Fsoft Potato Tech Mag Giới thiệu series chuyện về kiến trúc Microservice từ thiết kế đển implementation Giaosucan's blog: Chia sẻ...
Giaosucan viết 7 tháng trước
46 5
White
30 3
Đón đọc những bài viết đặc sắc ở blog https://giaosucan.blogspot.com Lịch sử ra đời Những người làm trong ngành tài chính ngân hàng sẽ không xa lạ...
Giaosucan viết 12 tháng trước
30 3
White
24 5
Bản quyền thuộc Fsoft Potato Tech Mag Đón đọc những bài viết đặc sắc ở blog https://giaosucan.blogspot.com Năm Donal Trump lần thứ nhất, cách mạ...
Giaosucan viết hơn 1 năm trước
24 5
Bài viết liên quan
White
4 1
Trang http://www.meete.co/ đã lộ thông tin người dùng như thế nào ? Một ngày đẹp trời đầu tháng 12 , Tự nhiên cái dạ dày cảm thấy đói bụng nên mìn...
kid conan viết hơn 1 năm trước
4 1
White
11 2
Mở bài Chào các thành viên Kipalog :D Mình không biết viết văn, nên câu chữ lủng củng, mong mọi người hiểu được =)) Mục đích bài viết này là chi...
Nguyễn Văn Mạnh viết hơn 1 năm trước
11 2
{{like_count}}

kipalog

{{ comment_count }}

bình luận

{{liked ? "Đã kipalog" : "Kipalog"}}


White
{{userFollowed ? 'Following' : 'Follow'}}
35 bài viết.
322 người follow

 Đầu mục bài viết

Vẫn còn nữa! x

Kipalog vẫn còn rất nhiều bài viết hay và chủ đề thú vị chờ bạn khám phá!