Tập đoàn FPT triển khai tập huấn an toàn thông tin cho IT ngành dọc

Với mục tiêu nâng cao ý thức an ninh thông tin (ANTT), giúp các CTTV nắm được các lỗi cơ bản trong quá trình phát triển, vận hành hệ thống CNTT, đồng thời trang bị kiến thức kỹ năng cơ bản trong việc phát hiện, ứng cứu và xử lý sự cố ANTT liên quan tới ứng dụng web. Sự kiện có sự tham gia của Giám đốc CNTT tập đoàn cùng đại diện chuyên gia IT đến từ 8 CTTV, gồm: FPT Smart Cloud, FPT Software, Synnex FPT, FPT Telecom, FPT Online, FPT Education, FPT IS và FPT Retail.

Toàn cảnh lớp tập huấn an toàn thông tin cho IT ngành dọc.

Theo số liệu thống kê, rà soát trong vòng 10 tháng đầu năm 2023, đại diện Ban Công nghệ thông tin Tập đoàn cho biết các hệ thống ứng dụng trong tập đoàn còn tồn tại nhiều lỗ hổng, trong đó 63% là các lỗ hổng bảo mật rất cơ bản như tiết lộ thông tin nhạy cảm quá mức (Information leak), XSS hay SQL Injection. Nguyên nhân chủ yếu của các lỗ hổng nói trên là trong trong quá trình phát triển, vận hành các ứng dụng không xử lý đúng cách các trusted data (Dữ liệu được hệ thống xử lý và cung cấp ra ngoài) và untrusted data (Dữ liệu hệ thống nhận được từ bên ngoài để xử lý).

Theo đại diện FIM, hệ thống ứng cần phải áp dụng các cơ chế xác minh dữ liệu chặt chẽ, phù hợp, bao gồm xác minh dữ liệu đầu ra (Output Data Validation) và xác minh dữ liệu đầu vào (Input Data Validation). Tập đoàn khuyến nghị các đơn vị CTTV áp dụng các tiêu chuẩn cũng như hướng dẫn bảo mật trong phát triển, vận hành các hệ thống ứng dụng như OWASP Cheet sheet, NISTIR 8397, Microsoft .Net Secure coding guidelines…​ đồng thời tuân thủ chặt chẽ quy định về phát triển, vận hành, cập nhật, nâng cấp hệ thống, thường xuyên giám sát, cập nhật bản vá cho hệ thống ứng dụng.

Trong khuôn khổ buổi tập huấn, Ban Công nghệ thông tin FPT cũng đã đưa ra tình huống thực tế dành cho các CTTV. Với kịch bản giả lập sự cố xảy ra ở một công ty có quy mô nhỏ, duy trì một hệ thống quản trị doanh nghiệp CRM/ERP. Trong quá trình hoạt động, công ty phát hiện ra rằng toàn bộ dữ liệu mới nhất về khách hàng của công ty được giả lập bị rò rỉ. Bài toán được đặt ra đối với các chuyên gia CNTT tại sự kiện đó là: ở vai trò là một người ứng cứu xử lý sự cố, hãy điều tra truy vết, phân tích sự cố, tìm cách khắc phục hậu quả đồng thời giảm thiểu mức thiệt hại tối đa nhất.

Trong khoảng thời gian 3 tiếng mà BTC giới hạn, hầu như các đơn vị đã tiếp cận và tìm hiểu được cơ bản về sự cố giả lập, có hướng tiếp cận khác nhau và tìm được dấu vết, bằng chứng số về cuộc tấn công giả lập. Trong đó, một số đơn vị đã hoàn thành tốt nhất, có cách tiếp cận chính xác nhất, tìm được đầy đủ nhất các bằng chứng số được đại diện ban tổ chức, anh Nguyễn Xuân Việt, CIO FPT trao thưởng bao gồm giải nhất 1.000 Gold cho Trung tâm an ninh mạng FPT Telecom (CSOC), và hai giải khuyến khích cho Nhóm ứng cứu sự cố FCI và Nhóm ứng cứu sự cố FPT IS, mỗi đơn vị 500 Gold.

Đơn vị CSOC của FPT Telecom xuất sắc với giải Nhất vì đã hoàn thành sớm nhất và có đáp án chính xác nhất trong việc giải bài toán sự cố giả lập tại buổi diễn tập

Thông qua sự kiện lần này, các đơn vị cần nâng cao hơn nữa ý thức và trang bị kiến thức về ANTT cho quản trị viên, lập trình viên, cán bộ bảo mật thông tin trong phát triển vận hành, giám sát hệ thống đặc biệt các ứng dụng web. Ngoài ra, để giảm thiểu các sự cố tấn công cũng như rủi ro đối với hệ thống, các IT man nhà F cần chủ động tham gia các sự kiện tương tự để cập nhật sớm các kiến thức về an toàn thông tin đồng thời tăng cường giám sát và xây dựng quy trình bảo mật hệ thống chặt chẽ.

Trong thời gian tới, Ban Công nghệ thông tin Tập đoàn sẽ tăng cường tổ chức nhiều hơn các sự kiện tương tự, đẩy mạnh hình thức đào tạo dành riêng cho IT ngành dọc.

Thu Hiền