Drama Delve: Bóc phốt cú lừa Fake Compliance as a Service

Anh em dev chắc chả lạ gì cái cảnh đang code mượt mà thì bị giật cùi chỏ bắt đi điền mấy cái form compliance (tuân thủ bảo mật) vớ vẩn. Vừa nãy lướt Hacker News thấy bài Delve – Fake Compliance as a Service bay lên top với hơn 500 upvote, đọc mà thấy hả dạ vãi chưởng.

Tóm cái váy lại: Rốt cuộc trò hề này là sao?

Bài viết đập thẳng mặt cái ngành công nghiệp 'Compliance as a Service' (kiểu mấy tool như Vanta, Drata...). Start-up mua mấy cái tool này về, hy vọng có cái mác SOC2 hay ISO27001 để dễ bề chém gió với khách hàng. Nhưng thực tế thì sao?

Văn mẫu vạn năng: Tool tự động nhét cho công ty một đống policy bảo mật gen bằng AI, đọc rỗng tuếch chả ăn nhập mẹ gì với hệ thống thực tế.
Diễn kịch bảo mật (Security Theater): Dev thì bị lùa đi bấm 'I accept' mấy khóa training chống phishing cho qua chuyện.
Lỗ hổng sờ sờ: Hệ thống thì vẫn nát. Anh em cắm cái vps cấu hình default, mở port bừa bãi nhưng trên giấy tờ tích đủ checkbox thì vẫn pass audit như một vị thần.
Mục đích thực sự: Chả phải bảo vệ data gì sất, chỉ là mua cái tick xanh để đội Sales dễ lùa gà khách Enterprise thôi.

Giang cư mận Hacker News chia phe combat

Topic này gãi đúng chỗ ngứa nên anh em dev vào xả xui ầm ầm. Đọc comment mà thấy toàn những linh hồn đồng điệu:

Phe Dev/Kỹ sư thực dụng: Vỗ đùi đen đét. 'Chuẩn cmnr! Bọn auditor (kiểm toán) toàn hỏi mấy câu ngáo ngơ, chỉ nhăm nhăm đòi screenshot màn hình với file PDF chứ biết đ*o gì về kiến trúc hệ thống.'
Phe Founder/Sales: Thở dài bất lực. 'Thì biết là rác, là diễn kịch, nhưng đ*o có SOC2 thì Enterprise nó cấm cửa, đành cắn răng nộp tô thôi các đạo hữu ạ.'
Phe Security/Infosec chúa: Tuyệt vọng. 'Bọn tao cố xây dựng bảo mật thật, nhưng sếp thà vứt tiền cho mấy cái tool Fake Compliance này để lấy giấy khen còn hơn là cấp budget cho team tao vá lỗi.'

Góc nhìn từ C4F: Bài học sinh tồn chốn giang hồ

Tóm lại, anh em cứ coi cái đống SOC2/ISO này như một loại 'thuế kinh doanh'. Sếp bắt làm thì mình làm, tick bừa vài cái checkbox cho êm chuyện để rảnh tay mà code.

Nhưng tuyệt đối đừng ảo tưởng rằng có chứng nhận là hệ thống bất tử. Khi server bị hack thật, data user bị tuồn lên mạng thì cái tờ A4 chứng nhận đó đ*o cứu được anh em đâu. Auditor nó lấy tiền xong là ủi mất dép rồi. Nên là cứ lo viết code cho tử tế, config cho đàng hoàng nhé các lão quái!

Nguồn: Deep Delver Substack

Tóm cái váy lại: Rốt cuộc trò hề này là sao?

Văn mẫu vạn năng: Tool tự động nhét cho công ty một đống policy bảo mật gen bằng AI, đọc rỗng tuếch chả ăn nhập mẹ gì với hệ thống thực tế.

Diễn kịch bảo mật (Security Theater): Dev thì bị lùa đi bấm 'I accept' mấy khóa training chống phishing cho qua chuyện.

Lỗ hổng sờ sờ: Hệ thống thì vẫn nát. Anh em cắm cái vps cấu hình default, mở port bừa bãi nhưng trên giấy tờ tích đủ checkbox thì vẫn pass audit như một vị thần.

Mục đích thực sự: Chả phải bảo vệ data gì sất, chỉ là mua cái tick xanh để đội Sales dễ lùa gà khách Enterprise thôi.

Giang cư mận Hacker News chia phe combat

Topic này gãi đúng chỗ ngứa nên anh em dev vào xả xui ầm ầm. Đọc comment mà thấy toàn những linh hồn đồng điệu:

Phe Dev/Kỹ sư thực dụng: Vỗ đùi đen đét. 'Chuẩn cmnr! Bọn auditor (kiểm toán) toàn hỏi mấy câu ngáo ngơ, chỉ nhăm nhăm đòi screenshot màn hình với file PDF chứ biết đ*o gì về kiến trúc hệ thống.'

Phe Founder/Sales: Thở dài bất lực. 'Thì biết là rác, là diễn kịch, nhưng đ*o có SOC2 thì Enterprise nó cấm cửa, đành cắn răng nộp tô thôi các đạo hữu ạ.'

Phe Security/Infosec chúa: Tuyệt vọng. 'Bọn tao cố xây dựng bảo mật thật, nhưng sếp thà vứt tiền cho mấy cái tool Fake Compliance này để lấy giấy khen còn hơn là cấp budget cho team tao vá lỗi.'

Góc nhìn từ C4F: Bài học sinh tồn chốn giang hồ