Bốn trong năm ngân hàng và tổ chức tài chính Thụy Điển sử dụng các thành phần công nghệ web với các lỗ hổng đã biết. Đã đến lúc ngành tài chính cần cải thiện sự tập trung và giám sát của họ đối với các thành phần được sử dụng trong các giải pháp quan trọng.
Lời của Daniel Parmenvik, Giám đốc điều hành và chịu trách nhiệm về sản phẩm bảo mật CNTT Bytesafe. Công ty đã điều tra việc sử dụng các thành phần mã nguồn mở với các lỗ hổng đã biết giữa các thành viên của Hiệp hội Ngân hàng Thụy Điển.
– “Kết quả thật đáng thất vọng và không đủ tốt. Theo Daniel Parmenvik, có tới 78% các trang web được xem xét sử dụng ít nhất một thành phần có lỗi bảo mật.
Công nghệ được chú trọng: Các thành phần JavaScript, thường đã lỗi thời và bị bỏ quên. Một phần do quy trình đánh giá tự động và liên tục của các thành phần bị lỗi.
Cũng như sự thiếu minh bạch, nơi các bên liên quan kinh doanh có trách nhiệm không nhận thức được rủi ro.
– “Trong nhiều trường hợp, các nhà phát triển hiểu rõ về những thành phần nào hiện đang được sử dụng, nhưng các tổ chức lại thiếu các công cụ bao quát để quản lý các ứng dụng theo thời gian.
Đồng thời, phía doanh nghiệp thường quan tâm đến các dự án đang triển khai hơn là đầu tư thời gian vào các chi tiết của bảo mật CNTT ”, Daniel Parmenvik nói.
Một phần lớn các ứng dụng hiện đại bao gồm các thành phần sẵn sàng sử dụng mà mọi người đã phát triển bên ngoài tổ chức, thường ở dạng các thành phần mã nguồn mở.
Lợi ích của việc tái sử dụng mã rất rõ ràng: giảm chi phí và đẩy nhanh tốc độ phát triển. Đồng thời, nó dẫn đến rủi ro trong việc sử dụng lại mã bên ngoài từ các nguồn nằm ngoài sự kiểm soát trực tiếp của tổ chức.
– ”Nói chung, các tổ chức không có đủ quyền kiểm soát đối với các thành phần và phiên bản nào được sử dụng trong các ứng dụng của họ và độ cũ của chúng. Ví dụ, trong nghiên cứu của mình, chúng tôi phát hiện ra các thành phần có tuổi đời trên 12 năm, làm tăng nguy cơ có lỗ hổng bảo mật, ”Daniel Parmenvik nói.
Ông tin rằng con đường tiếp theo là giới thiệu các hệ thống tốt hơn liên tục giám sát các thành phần phần mềm nào đang được sử dụng và cảnh báo nếu phát sinh các lỗ hổng bảo mật mới.
– “Các lỗ hổng được phát hiện theo thời gian và các tổ chức phải thực hiện các quy trình và công cụ liên tục kiểm tra các thành phần để giảm thiểu rủi ro CNTT.
Daniel Parmenvik nói rằng việc sử dụng các thành phần trực tiếp từ các thư viện mã công cộng mà không có bất kỳ sự giám sát nào có thể rất nguy hại.
.
Coinpedia
