Tại sao chính phủ mất hơn 300 ngày để vá lỗ hổng phần mềm?

[Trần Anh Quân]

Cơ quan chính phủ và khoản “nợ bảo mật” ngày càng lớn​

Báo cáo mới từ Veracode chỉ ra rằng các cơ quan chính phủ đang tích tụ một lượng lớn “nợ bảo mật” – các lỗ hổng phần mềm chưa được vá – tồn tại trong nhiều năm, đặt cả chính phủ và công chúng vào nguy cơ bị tấn công mạng nghiêm trọng.

Cụ thể, gần 80% các cơ quan chính phủ có các lỗ hổng chưa xử lý ít nhất một năm. Khoảng 55% trong số đó vẫn tồn tại lâu dài mà không có biện pháp khắc phục triệt để, khiến nguy cơ bị khai thác càng gia tăng. Trung bình, phải mất tới 315 ngày để xử lý một nửa số lỗi này, cao hơn đáng kể so với mức trung bình 252 ngày của khu vực công và tư nhân nói chung.

Một nguyên nhân quan trọng là thiếu năng lực kỹ thuật và quy trình vá lỗi hiệu quả. Chris Wysopal – chuyên gia bảo mật tại Veracode – cho biết: “Nhiều tổ chức tập trung vào xây tính năng mới hơn là khắc phục sự cố bảo mật. Quy trình xử lý lỗi không đủ nhanh để theo kịp với số lượng lỗi phát sinh từ mã mới.”

Hạ tầng cũ kỹ và rủi ro từ phần mềm bên thứ ba​

Hệ thống CNTT lỗi thời cũng là gốc rễ của vấn đề. Theo Veracode, nhiều cơ quan vẫn đang sử dụng các ứng dụng cũ xây dựng trên nền tảng không còn được hỗ trợ. Tom Kennedy – Phó chủ tịch hệ thống liên bang tại Axonius – chỉ ra rằng hạ tầng này thường thiếu khả năng tích hợp và giám sát, gây cản trở trong việc phát hiện và xử lý các lỗ hổng kịp thời.

Đáng chú ý, phần mềm bên thứ ba và mã nguồn mở – dù chỉ chiếm 10% tổng nợ bảo mật – lại chiếm tới 70% nợ bảo mật ở mức nghiêm trọng. Điều này cho thấy các thành phần bên ngoài có thể là mắt xích yếu nhất, nhưng lại thường bị xem nhẹ trong các chính sách bảo mật nội bộ.

Georgianna Shea – chuyên gia công nghệ tại FDD – nhận định: “Không có phần mềm nào hoàn hảo. Ngay khi viết ra, mã nguồn đã mang theo rủi ro bảo mật. Nếu không kiểm soát, phần mềm an toàn hôm nay có thể trở thành hiểm họa ngày mai.”

Các cơ quan nhà nước vốn đã bị giới hạn bởi ngân sách và nhân lực, nay còn đối mặt với những đe dọa an ninh ngày càng tinh vi. Việc cắt giảm ngân sách và sa thải nhân viên trong các cơ quan liên bang càng làm trầm trọng thêm tình hình.

Cuối năm 2024, tin tặc có liên quan đến nhà nước đã tấn công Bộ Tài chính Hoa Kỳ sau khi đánh cắp một khóa truy cập kỹ thuật đám mây – một minh chứng rõ ràng cho rủi ro từ chuỗi cung ứng phần mềm.

Nguồn bài viết: https://www.cybersecuritydive.com/news/software-vulnerabilities-government-agencies/750549/

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview