Trong quý I, ISM phát hiện các trường hợp vi phạm quy định lưu trữ của dự án. Cụ thể các tài liệu, mã nguồn (source code) của dự án liên quan đến khách hàng Nhật đã bị tải lên các trang chia sẽ dữ liệu công cộng.
Theo đó, hồi tháng 1, một dự án tại Hà Nội bị khách hàng Nhật phát hiện source code đã bị đưa lên GitHub (trang chia sẻ dữ liệu công cộng). Mặc dù dự án đã kết thúc nhưng khách hàng vẫn đang yêu cầu đội dự án điều tra, giải trình và chịu trách nhiệm cho sự cố.
Đầu tháng 3, khi tìm kiếm từ khóa của dự án, một CBNV vô tình phát hiện và báo cho ISM về việc nhân viên cũ của dự án (đã nghỉ việc) đăng tải các thiết kế hệ thống của khách hàng lên trang cá nhân từ 3 năm trước. Ngay lập tức, ISM đã yêu cầu rà soát để gỡ các dữ liệu liên quan. Tuy nhiên, điều này vẫn tiềm ẩn các rủi ro về về bảo mật thông tin.
 |
| Các vụ việc vi phạm bảo mật thông tin dự án chủ yếu liên quan đến các CBNV đã nghỉ việc tại FPT Software. Ảnh: PYMNTS.com. |
Cũng trong tháng 3 này, quản lý FPT Okinawa-RD phát hiện ra một dự án làm với khách hàng trong 2 tháng đã sử dụng GitHub thay vì Git của FPT Software để lưu trữ thông tin dự án. ISM đã kiểm tra vụ việc và nhận thấy việc đăng tải dữ liệu được để ở chế độ Private (riêng tư). ISM đã tiến hành các bước để xóa toàn bộ dữ liệu nên chưa phát sinh thêm ảnh hưởng. Tuy nhiên, đây là hành vi vi phạm nghiêm trọng quy định của khách hàng.
Chia sẻ về nguyên nhân của các sự cố trên, anh Nguyễn Phạm Tuyên, Trưởng phòng Bảo mật thông tin FPT Japan, cho biết: "Các sự cố trên bắt nguồn từ việc nhân viên dự án không tuân thủ quy định bảo mật thông tin của công ty". Anh Tuyên cho biết, ISM muốn gióng lên hồi chuông cảnh báo đến PM (Quản trị dự án), QA (Đảm bảo chất lượng) dự án và các quản lý thuộc các trung tâm sản xuất.
"Các anh/chị PM, QA dự án cần có cơ chế để thực hiện việc rà soát định kỳ, yêu cầu dự án kiểm soát chặt chẽ các đăng ký và kết nối bên trong dự án để tránh phát sinh các sự cố ngoài ý muốn", anh Tuyên cho hay.
Ban Bảo mật thông tin FPT Software yêu cầu thành viên các dự án tuân thủ theo Quy định bảo mật thông tin mà công ty đã đề ra. Chỉ lưu trữ file đúng nơi quy định (file server/SVN của FPT Software hoặc các hệ thống của khách hàng. Đây là các nơi lưu trữ được chỉ định, có tính bảo mật, được phê duyệt bởi công ty). Phân quyền và xóa quyền truy cập của các thành viên tùy theo vị trí công việc, và thời gian tham gia vào dự án.
Trước đó, ngày 7/3, ISM cũng đã cảnh báo nguy cơ lộ thông tin tại phòng họp của FPT Software do các CBNV không xóa bảng sau khi sử dụng. Điều này có thể làm lộ thông tin bảo mật, ảnh hưởng đến hiệu quả dự án và khách hàng, đối tác.
| Ban Bảo mật thông tin ISM FPT Software được thành lập vào năm 2010. ISM có nhiệm vụ tổ chức xây dựng và triển khai hệ thống bảo mật thông tin của FPT Software; kiểm tra, đánh giá sự tuân thủ với hệ thống bảo mật thông tin của các bộ phận, nhân viên, tổ chức; chuẩn bị các chương trình và tài liệu đào tạo về bảo mật thông tin và làm việc với các tổ chức bên ngoài về các vấn đề liên quan tới hệ thống bảo mật thông tin của công ty. |
Diệu Anh
Ý kiến
()