Thứ ba, 02/09/2025
   

Kiểm soát lỗ hổng bảo mật ứng dụng với DevSecOps trong ngành ngân hàng

Sáng 21/03/2024, Hiệp hội Ngân hàng Việt Nam đã phối hợp với PwC Việt Nam tổ chức hội thảo trực tuyến “Kiểm soát lỗ hổng bảo mật ứng dụng với DevSecOps trong Ngành tài chính - Ngân hàng” cho khoảng gần 370 cán bộ, nhân viên các tổ chức tín dụng hội viên để cùng trao đổi với các chuyên gia về chủ đề này.
bảo mật ứng dụng
Các diễn giả trong buổi hội thảo “Kiểm soát lỗ hổng bảo mật ứng dụng với DevSecOps trong Ngành tài chính - Ngân hàng”

Ông Phó Đức Giang, Giám đốc Công ty TNHH Dịch vụ An toàn Thông tin PwC Việt Nam cho biết, theo báo cáo về bảo mật phần mềm của Veracode thì trên 75% các ứng dụng có chứa ít nhất một lỗ hổng bảo mật. Nghĩa là cứ khoảng 100 ứng dụng thì có đến 75 ứng dụng có lỗ hổng bảo mật. Như vậy, các ứng dụng có lỗ hổng bảo mật rất là phổ biến.

Bên cạnh đó, theo khảo sát của Forrester Research - Công ty nghiên cứu thị trường của Mỹ, chuyên cung cấp lời khuyên về tác động tiềm tàng và tiềm ẩn của công nghệ tới khách hàng và công chúng, cũng chia sẻ có tới 42% các doanh nghiệp gặp phải tấn công mạng đến từ bên ngoài liên quan đến lỗ hổng của phần mềm hay ứng dụng.

Từ đó, thấy được tầm quan trọng liên quan đến an ninh, an toàn và bảo mật của phần mềm hay ứng dụng. Trong đó, các phần mềm hay ứng dụng có thể được doanh nghiệp mua từ bên ngoài hay tự phát triển nhưng quá trình kiểm thử ứng dụng để phát hiện lỗ hổng bảo mật là chưa được toàn diện và triệt để.

Đặc biệt, đối với ngân hàng đòi hỏi việc phát triển phần mềm, ứng dụng cần nhanh chóng, tiện lợi và linh hoạt hơn để từ đó có thể cung cấp những các sản phẩm dịch vụ tiện ích cho khách hàng.

Theo ông Giang, kiểm soát lỗ hổng bảo mật ứng dụng với DevSecOps(Development - Security - Operations) là phương pháp tích hợp kiểm thử bảo mật ở mọi giai đoạn của quy trình phát triển phần mềm. Đây là phương pháp bao gồm các công cụ và quy trình khuyến khích cộng tác giữa các nhà phát triển, chuyên gia bảo mật và đội ngũ vận hành nhằm xây dựng phần mềm hoặc ứng dụng vừa hiệu quả và an toàn.

Trong đó, DevSecOps mang đến sự chuyển đổi văn hóa, biến việc bảo mật trở thành trách nhiệm chung đối với tất cả các cá nhân xây dựng phần mềm. Nhờ vậy, DevSecOps đã giúp rút ngắn được tối đa quá trình kiểm thử về an toàn thông tin một cách nhanh nhất mà vẫn kịp thời phát hiện những lỗ hổng bảo mật của phần mềm hay ứng dụng.

Việc kiểm soát lỗ hổng bảo mật của phần mềm hay ứng dụng với mô hình DevSecOps sẽ mang lại 5 lợi ích chủ yếu như: Một là, DevSecOps đảm bảo được tiến độ; Hai là, xây dựng được văn hóa bảo mật phát triển phần mềm an toàn hơn; Bà là, nâng cao thêm kiến thức, chất lượng về an toàn bảo mật; Bốn là, phần mềm hay ứng dụng được tăng cường bảo mật hơn; Năm là, giúp giám sát an toàn thông tin liên tục ở mức ứng dụng.

Hội thảo trực tuyến “Kiểm soát lỗ hổng bảo mật ứng dụng với DevSecOps trong Ngành tài chính - Ngân hàng”

Ông Bùi Văn Hạnh - Trưởng phòng - Công ty TNHH Dịch vụ An toàn Thông tin PwC Việt Nam cho biết, DevSecOps có tầm quan trọng đặc biệt, vì là một phần tất yếu của các phương pháp phát triển phần mềm hiện đại. Trong đó, lợi ích chính của phương pháp tiếp cận DevSecOps pipeline là nó giúp kích hoạt bảo mật DevOps mà không làm gián đoạn các chu kỳ phát hành trong phát triển ứng dụng hiện đại.

Theo ông Hạnh, cách tiếp cận DevSecOps cần hài hòa 3 yếu tố là con người, quy trình và công nghệ. Trong đó, đối với con người, do thực tế, các vụ vi phạm dữ liệu xảy ra do bảo mật kém hiệu quả từ lỗi con người đang ngày càng gia tăng. Vì vậy, để có một mô hình DevSecOps vững chắc không thể thiếu yếu tố con người. Theo đó, các chuyên gia bảo mật sẽ đóng vai trò quan trọng trong việc đưa DevSecOps đi đúng hướng.

Đối với quy trình, sẽ bao gồm nhiều thành phần và quan trọng nhất là tài liệu và tiêu chuẩn hóa quy trình làm việc. Thông thường, các nhóm khác nhau trong một tổ chức sẽ thực hiện các quy trình khác nhau. Trong DevSecOps, các quy trình thường được thỏa thuận và cùng thực thi để tăng cường mức độ bảo mật trong quá trình phát triển.

Đối với công nghệ nhằm hỗ trợ cho con người thực thi các quy trình DevSecOps một cách hiệu quả hơn. Một số công nghệ phổ biến được sử dụng trong DevSecOps như tự động hóa và quản lý cấu hình, Bảo mật dưới dạng mã (Security as Code), quét tự động bắt buộc (automated compliance scans),…

Tại hội thảo, ông Jeff Lau - Trưởng phòng cấp cao PwC Hong Kong đã trình bày kinh nghiệm triển khai DevSecOps tại các ngân hàng ở Hồng Kông (Trung Quốc). Bởi việc phát triển mã nguồn và quy trình DevSecOps cụ thể cho từng nền tảng cũng đối diện với các thách thức riêng. Tuy nhiên, với đặc tính “viết một lần, chạy ở bất kỳ đâu” có thể cung cấp cho các nhóm DevSecOps những lợi ích tương tự như khi các lập trình viên viết mã phù hợp với nhiều nền tảng khác nhau. Trong phát triển phần mềm đa nền tảng, việc thực hiện kiểm tra bảo mật trên nhiều nền tảng là một phần quan trọng của DevSecOps.

Mỗi khi có sự thay đổi trên một nền tảng cụ thể - bất kể là để cải thiện tính đọc hiểu, sửa lỗi, hoặc nâng cao bảo mật - thì việc áp dụng những thay đổi này lên các nền tảng khác cũng phải được thực hiện cẩn thận. Nếu thực hiện đúng cách, điều này thường không gây ra vấn đề lớn, nhưng lại tạo thêm công việc bảo trì và đảm bảo tính đồng nhất trên các nền tảng khác nhau.

Bên cạnh đó, khi một nền tảng mới được đưa cho các nhóm DevSecOps, sẽ phải bắt đầu việc xây dựng và kiểm tra bảo mật cho nền tảng đó từ đầu. Đối với các nền tảng độc quyền, việc chuyển đổi sang một nền tảng khác có thể kéo theo rủi ro bị ràng buộc bởi nhà cung cấp của nền tảng đó.

Ngoài ra, khi mỗi nền tảng yêu cầu mã nguồn và tập lệnh xây dựng riêng, thường sẽ có các chuyên gia đặc biệt về từng nền tảng. Nếu một chuyên gia về một nền tảng cụ thể rời khỏi tổ chức, điều này có thể tạo áp lực cho các chuyên gia khác đang làm việc trên các nền tảng khác để đảm bảo tiếp tục duy trì các quy trình DevSecOps cho nền tảng đó, cộng thêm công việc hàng ngày mà họ đã đảm nhận…

Thảo luận tại hội thảo đại diện ngân hàng đã đưa ra các câu hỏi về vấn đề kiểm soát mã nguồn ứng dụng khi lựa chọn DevSecOps của tổ chức tài chính ngân hàng tại Việt Nam trong bối cảnh không chia sẻ mã nguồn với đối tác ngoài. Đồng thời phân biệt giữa DAST và IAST. Trong đó, DAST là kiểm tra các sản phẩm trong quá trình hoạt động và cung cấp phản hồi. Ngoài ra, IAST là kết hợp giữa SAST & DAST, sử dụng thiết bị phần mềm để phân tích các ứng dụng đang chạy….

  • PVcomBank giảm 1% lãi suất vay cho khách hàng dùng POS

    PVcomBank giảm 1% lãi suất vay cho khách hàng dùng POS

    Từ ngày 11/8/2025, Ngân hàng TMCP Đại Chúng Việt Nam (PVcomBank) triển khai chính sách ưu đãi lãi suất, giảm tới 1%/năm cho khách hàng cá nhân là tiểu thương, hộ kinh doanh và doanh nghiệp vừa và nhỏ (SME) khi sử dụng dịch vụ thanh toán qua thiết bị POS của ngân hàng.

  • NCB hỗ trợ doanh nghiệp và ngành kinh tế trọng điểm

    NCB hỗ trợ doanh nghiệp và ngành kinh tế trọng điểm

    Trong bối cảnh dòng vốn ngày càng trở thành “đòn bẩy” then chốt giúp doanh nghiệp bứt tốc, Ngân hàng TMCP Quốc Dân (NCB) đã liên tục triển khai các giải pháp tài chính linh hoạt, từ chiết khấu chứng từ xuất khẩu đến gói tín dụng chuyên biệt dành cho doanh nghiệp du lịch - giải trí và công ty chứng khoán.

  • VIB dẫn đầu thị trường với hơn 1 triệu thẻ tín dụng

    VIB dẫn đầu thị trường với hơn 1 triệu thẻ tín dụng

    Theo số liệu Hội thẻ Ngân hàng Việt Nam, đến cuối năm 2024 VIB chiếm gần 7% thị phần thẻ tín dụng lưu hành và mở mới toàn ngành. Đặc biệt, ngân hàng đang đứng Top 1 chi tiêu thẻ Mastercard, Top 3 chi tiêu toàn thị trường, với tổng chi tiêu tăng 80% trong 8 tháng đầu năm 2025.

  • Techcombank tiếp sức doanh nghiệp, hộ kinh doanh chuyển đổi số

    Techcombank tiếp sức doanh nghiệp, hộ kinh doanh chuyển đổi số

    Ngân hàng TMCP Kỹ Thương Việt Nam (Techcombank) vừa phối hợp cùng Sở Tài chính TP.HCM, Ngân hàng Nhà nước Khu vực 2, Cục Thuế TP.HCM và chính quyền địa phương tổ chức “Hội nghị thúc đẩy chuyển đổi số và tiếp cận tài chính cho doanh nghiệp và hộ kinh doanh” tại TP Dĩ An. Sự kiện quy tụ gần 150 đại biểu từ các cơ quan quản lý, cộng đồng doanh nghiệp và hộ kinh doanh.

  • S&P nâng xếp hạng tín nhiệm Vietcombank lên BB+, triển vọng "Ổn định"

    S&P nâng xếp hạng tín nhiệm Vietcombank lên BB+, triển vọng "Ổn định"

    Ngày 25/8/2025, Tổ chức xếp hạng tín nhiệm toàn cầu Standard & Poor’s (S&P) công bố nâng hệ số tín nhiệm nhà phát hành dài hạn của Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank) từ mức “BB” lên “BB+”, triển vọng "Ổn định". Đây là mức cao nhất trong số các ngân hàng Việt Nam được S&P đánh giá, đồng thời bằng ngưỡng tín nhiệm quốc gia.

  • Ấn tượng gian triển lãm ngành Ngân hàng tại Triển lãm thành tựu Đất nước "80 năm Hành trình Độc lập - Tự do - Hạnh phúc"

    Ấn tượng gian triển lãm ngành Ngân hàng tại Triển lãm thành tựu Đất nước "80 năm Hành trình Độc lập - Tự do - Hạnh phúc"

    Trong khuôn khổ Triển lãm thành tựu Đất nước "Trong khuôn khổ Triển lãm thành tựu Đất nước "80 năm Hành trình Độc lập - Tự do - Hạnh phúc" (diễn ra từ ngày 28/8 đến 5/9/2025), gian triển lãm của ngành Ngân hàng mang chủ đề "Ngành Ngân hàng Việt Nam - Tự hào quá khứ, vững vàng hiện tại, kiến tạo tương lai" là điểm hẹn không thể bỏ qua.

  • ABBank hợp tác chiến lược cùng Omoda & Jaecoo Việt Nam

    ABBank hợp tác chiến lược cùng Omoda & Jaecoo Việt Nam

    Ngày 22/8/2025, tại Hà Nội, Ngân hàng TMCP An Bình (ABBank) và Omoda & Jaecoo Việt Nam đã ký kết thỏa thuận hợp tác chiến lược, mở ra những giải pháp tài chính linh hoạt đi kèm các dòng xe hiện đại, mang đến trải nghiệm toàn diện cho khách hàng từ khâu sở hữu đến sử dụng.

  • KienlongBank miễn phí trọn đời dịch vụ chi lương K-BizPayroll

    KienlongBank miễn phí trọn đời dịch vụ chi lương K-BizPayroll

    Ngân hàng TMCP Kiên Long (KienlongBank) vừa triển khai chương trình “K-BizPayroll - Chi lương không phí”, nhằm hỗ trợ doanh nghiệp tối ưu chi phí và nâng cao hiệu quả quản trị tài chính.

  • VDB đồng loạt ký kết tín dụng cho các dự án thủy điện và điện gió

    VDB đồng loạt ký kết tín dụng cho các dự án thủy điện và điện gió

    Trong hai ngày 22 - 23/8/2025, Ngân hàng Phát triển Việt Nam (VDB) và các đơn vị trực thuộc đã liên tiếp ký kết hợp đồng tín dụng đầu tư ba dự án thủy điện và điện gió tại Lai Châu, Quảng Trị và Cà Mau.

  • Ngành ngân hàng góp sức cùng Chính phủ xóa nhà tạm, dột nát

    Ngành ngân hàng góp sức cùng Chính phủ xóa nhà tạm, dột nát

    Ngày 26/8/2025, tại Hội nghị trực tuyến toàn quốc tổng kết phong trào thi đua “Cả nước chung tay xóa nhà tạm, nhà dột nát”, Thủ tướng Chính phủ đã biểu dương nhiều ngân hàng thương mại vì những đóng góp nổi bật trong công tác an sinh xã hội.

Tính lãi tiền gửi
VNĐ
%/year
month
Tính lãi tiền gửi

Tính toán khoản vay
VNĐ
%/year
month
Tính toán khoản vay