Nghiên cứu cũng cho thấy nhiều tổ chức đang gặp khó khăn trong việc quản lý rủi ro an ninh mạng trong chuỗi cung ứng của mình và không đánh giá các lỗ hổng bảo mật trong phần mềm của mình trước khi phát hành.
Ông Drew Kilbourne, giám đốc điều hành tư vấn bảo mật cho Tập đoàn Synopsys Software Integrity Group cho biết: “Trong khi ngành công nghiệp dịch vụ tài chính tương đối trưởng thành về bảo mật phần mềm, các tổ chức vẫn đang gặp khó khăn trong bối cảnh công nghệ phát triển nhanh chóng và họ phải đối mặt với những đối thủ ngày càng tinh vi”.
Ông cũng cho biết: “Không có cách tiếp cận đúng đắn duy nhất nào đối với bảo mật phần mềm, nhưng nghiên cứu này cho thấy điều rõ ràng rằng cần phải cải thiện đáng kể việc quản lý rủi ro chuỗi cung ứng.
Có những cơ hội cho nhiều tổ chức để có thể mở rộng phạm vi của các chương trình bảo mật phần mềm của họ, để bao quát tất cả các ứng dụng quan trọng trong kinh doanh của họ và chuyển những nỗ lực của họ tiến xa hơn trong vòng đời phát triển phần mềm (SDLC - software development life cycle).
Synopsys đã ủy quyền cho Viện nghiên cứu Ponemon để kiểm tra các thực hành và rủi ro bảo mật phần mềm hiện tại trong ngành dịch vụ tài chính (FSI - financial services industry).
Viện nghiên cứu Ponemon đã khảo sát hơn 400 học viên bảo mật công nghệ thông tin trong các lĩnh vực khác nhau của ngành dịch vụ tài chính, bao gồm ngân hàng, bảo hiểm, cho vay / xử lý thế chấp và các công ty môi giới. Vai trò của người trả lời khảo sát bao gồm phát triển, cài đặt và triển khai các ứng dụng cho ngành dịch vụ tài chính.
Những phát hiện chính
Phần lớn các nỗ lực ngăn chặn các cuộc tấn công mạng của các tổ chức FSI không mang lại hiệu quả. Hơn một nửa số người được hỏi đã trải qua những lỗi hệ thống hoặc thời gian ngừng hoạt động (56%) hoặc đánh cắp dữ liệu khách hàng nhạy cảm (51%) do phần mềm hoặc công nghệ không an toàn.
Không có gì đáng ngạc nhiên, nghiên cứu cho thấy rằng nhiều tổ chức có hiệu quả trong việc phát hiện (56%) và xử lý (53%) các cuộc tấn công mạng hơn là ngăn chặn các cuộc tấn công (31%).
Nhiều tổ chức FSI đang vật lộn để quản lý rủi ro an ninh mạng trong chuỗi cung ứng của họ. Gần 3/4 (74%) số người được hỏi quan tâm hoặc rất quan tâm đến vị thế bảo mật của phần mềm và hệ thống của bên thứ ba.
Bất chấp mối lo ngại này, chỉ có 43% số người được hỏi cho biết các tổ chức của họ áp đặt các yêu cầu an ninh mạng đối với các bên thứ ba, liên quan đến việc phát triển phần mềm và hệ thống tài chính. Hơn nữa, chỉ có 43% số người được hỏi cho biết họ có một quy trình chính thức để kiểm kê và quản lý mã nguồn mở trong danh mục đầu tư phần mềm của họ.
Các tổ chức FSI không đánh giá các lỗ hổng bảo mật trên phần mềm trước khi phát hành
Mặc dù hầu hết các tổ chức tuân theo quy trình vòng đời phát triển phần mềm an toàn, nhưng những người được hỏi báo cáo rằng trung bình họ chỉ kiểm tra 34% tất cả các phần mềm và công nghệ tài chính do tổ chức của họ phát triển hoặc sử dụng cho các lỗ hổng an ninh mạng.
Đối với phần mềm và công nghệ được kiểm tra lỗ hổng, chỉ 48% số người được hỏi báo cáo rằng thử nghiệm bảo mật xảy ra trong các giai đoạn trước khi phát hành của vòng đời phát triển phần mềm, như giai đoạn yêu cầu và thiết kế hoặc giai đoạn phát triển và thử nghiệm.
