Những bi kịch về bảo mật thông tin trong ngành phần mềm



Làm trong ngành IT, từ fresher cho đến chuyên gia công nghệ, từ thanh niên gà mờ cho tới tay lão làng, đều biết và đều được học về ISM khi gia nhập công ty CNTT. Lý thuyết là vậy, nhưng thực tế thì khác một trời, một vực. và những sự cố về ISM đã gây nên nhiều bi kịch cho nhiều công ty.

ISM là cái giề
Image result for Information Security Management
Dẫn nguyên văn từ Wikipedia
Nói theo kiểu hàn lâm thì thế này
ISMS được viết tắt của information security management system, là hệ thống quản lý an toàn thông tin. An toàn thông tin bao gồm các tính chất bảo mật, toàn vẹn và sẵn sàng của thông tin. Ngoài ra, có thể liên quan các tính chất như: xác thực, trách nhiệm, xác nhận, tin cậy.
Trích dẫn ISO 13335-1
HỆ THỐNG QUẢN LÝ AN TOÀN THÔN TIN?
Hệ thống quản lý an toàn thông tin (information security management system) là một phần của hệ thống quản lý toàn diện, dựa trên các rủi ro có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến an toàn thông tin.
Dài dòng quá, éo hiểu, vậy giải thích theo kiểu giaosucan’s blog thế này
Công ty Y chuyên sản xuất phần mềm XXX, bộ source code của phần mềm XXX là tải sản của cty. Nó là confidential và private. được hệ thống ISM quản lý và bảo vệ, anh developer Z đi làm cho công Y dám lấy source code phần mềm đẩy lên public thì sẽ chịu mọi trách nhiệm, nhẹ thì đuổi việc, nặng thì ….
Lấy cái chết ra để đền tội.
Bao Cong khai dao

Đào tạo về ISM

Nhiều công ty IT từ Tây, Ta đều chương trình đào tạo cho nhân viên mới vào về mảng ISM, có giáo trình hẳn hon, thậm chí nuôi cả 1 bộ phận ISM community chuyên lo việc này, đưa ra đủ mọi điều luật hết sức chi tiết kiểu như
Cấm public thông tin dự án lên mạng public…
Cấm sử dụng mạng công ty vào việc riêng
Cấm truy cập trang web  XXX, YYY (kiểu thiendia hay xvideo)
Cấm quay phim, chụp ảnh trong khoang làm việc
Chặn upload, chỉ được download (Kiểu được ị nhưng ko đc đái)
Chặn gửi email ra bên ngoài
Cấm hết, cấm tuốt, chặn sạch, thà giết lầm còn hơn bỏ sót.
Những điều luật này đôi lúc gây nhiều bất tiện, nhưng cần thiết để tránh những sự cố ISM đáng tiếc, một số bạn mới đi làm sẽ cảm thấy có chịu, nhưng lâu dần thì quen. Một số dự án làm việc với KH nhật còn cầm tiệt internet theo kiểu ko quản được thì cấm luôn.

Những sự cố ISM

Khổ cái ở Việt Nam, cái gì càng cấm thì càng làm. Kiểu như  khu vực treo biển cấm đái bậy, cấm đổ rác thì thực tế khu đó khai mù, thối um mùi rác. Và điều này đã gây ra những thảm họa về ISM. Đây là vài câu chuyện thực tế trong hàng đống chuyện mình đã trải qua sau hơn 10 năm đi làm

Chuyện 1 – Truy cập website có nội dung bị cấm

Đi làm công ty IT, bạn sẽ ko thể truy cập internet trực tiếp mà phải qua hệ thống proxy của công ty. Hệ thống này sẽ lọc, kiểm tra trang web bạn truy cập, nếu vào trang ko cho phép thì sẽ hiện cảnh báo warning
Ảnh dưới chỉ có tính minh họa
proxy warning
Mình đã gặp trường hợp ở 1 số công ty nhật, hệ thống proxy thông minh vcd, khi google search kiểu như “Ngọc Trinh Thủy Tóp” vào mấy trang kênh, mương 14 xem gái thì ko chặn, nhưng search Java, .NET click phải mấy trang nước ngoài thì dính warning. Và khi sự cố xảy ra thì phải giải trình, báo cáo abc, xyz
Tuy nhiên, developer thì rất smart
Proxy by pass
Để tiện cho việc lướt thiên địa, xvideo thì chơi kiểu này, và tất nhiên hậu quả thì nhãn tiền, nguy cơ dính virus, mailware. Nhiều công ty có cài cắm hệ thống theo dõi hoạt động của nhân viên, nên việc trên không qua mắt họ. Kết quả của các thanh niên trẻ trâu thế nào thì ai cũng rõ

Chuyện 2 – Bỏ tài liệu dự án lên Github

Một câu chuyện có thật, một thanh niên ở công ty nọ mới đi làm, a được đào tạo hướng dẫn về ISM đến tận răng, được assign vào 1 dự án với khách hàng Mỹ. Sau vài ngày đọc tìm hiểu tài liệu, một chân trời tri thức đang mở ra trước mắt anh, có lẽ phải dành cả tuổi thanh xuân để học mất, ngày 8 tiếng ở cty làm sao tiếp thu hết tri thức dự án, mà về nhà thì ko access đc???
Dành cả tuổi thanh xuân để học
Vậy thì người nông dân phải làm sao, chàng đã nghĩ ra 1 kế, upload hết đống tài liệu lên public github cá nhân, bao gồm tài liệu, source code. Thế là từ đây, chàng đã có thể đọc, học mọi nơi mọi lúc, từ phòng ngủ cho tới bồn cầu, không phải bó buộc trong mấy bức tường của khoang làm việc nữa. Trời biết, đất biết và mỗi mình biết. Ôi thật là diệu kế, diệu kế
Ôi tôi phục tôi quá cơ
Nhưng đời người ai học chữ ngờ, tưởng chỉ mình biết ai ngờ khách hàng cũng biết, một thông báo khẩn cấp được gửi từ KH
Lúc XX-YY giờ PDT, một thanh niên nào đó từ vendor Y đã publish tài liệu dự án lên github
Và thế làm thảm họa xảy ra, lập tức các ban bệ được lôi vào cuộc từ PM cho đến Manager, khẩn cấp truy tìm thủ phạm. Đương nhiên là anh thanh niên trẻ trâu bị lôi ra ánh sáng vì cái tội nhiệt tình + ngu dốt. Khổ thân thanh niên, phải ngồi giải trình trước Boad of Director, run như cầy sấy, mặt cắt không còn chút máu, mắt rưng rưng
Thường các cụ có câu “Nắm thằng có tóc, ko nắm thằng trọc đầu” con dại cái mang, mũi dại thì lái chịu đòn , KH chỉ lôi đầu các sếp cao ra xử lý vì tội quản giáo không nghiêm. Vậy là một chuỗi ngày dài, báo cáo, giải trình, gặp khách hàng xin lỗi, van nài, tốn kém bao nhiêu effort, thời gian
Chừa này chừa này

Kết luận

Nhiều người suy nghĩ rẵng, không sợ virus, không sợ lộ thông tin, chắc nó chừa mình ra, nhưng thực tế sẽ những chuyện không thể ngờ tới vẫn xảy ra như trên. Và hậu quả thì không thể đo đếm, nhẹ thì KH cắt dự án, đói vêu mồm, nặng thì bị kiện cáo, úy tín công ty bị ảnh hưởng.
Tốt nhất là phòng bệnh hơn chữa bệnh

Powered by Blogger.