Anh cấm bán thiết bị IoT nếu không tuân thủ quy định mới

Hầu hết các thiết bị có giá rẻ, trong nhiều trường hợp là khuyến khích chúng ta mua càng nhiều càng tốt.

Thiết bị camera an ninh web có thể cho chúng ta biết ai đang đứng trước cửa hay con vật trong nhà làm gì trong khi chúng ta ra ngoài.

Trợ lý kỹ thuật số đi kèm với microphone để các thiết bị này có thể “nghe” chúng ta đặt hẹn giờ, bật đèn hoặc phát một bản nhạc yêu thích. Cảm biến chuyển động (motion sensor) thông báo chúng ta biết khi cửa mở và bộ điều nhiệt thông minh thông báo cho chúng ta biết nếu căn nhà lạnh lẽo, để chúng ta có thể chuyển đổi hệ thống sưởi để làm ấm mọi thứ trước khi chúng ta trở về nhà.

Trong nhiều trường hợp, dữ liệu mà các cảm biến thu thập được trong suốt cả ngày được lưu trữ, phân tích và đóng gói lại. Dữ liệu được chia nhỏ và được các công ty tái sử dụng những dữ liệu này để nghiên cứu thói quen người dùng. Đó là lý do tại sao rất nhiều thiết bị khá rẻ để mua sắm.

Gần đây, Vương quốc Anh đã thực hiện một nỗ lực đầu tiên khi đưa ra một dự thảo bộ quy định về bảo mật IoT mà các nhà sản xuất thiết bị phải tuân theo nếu họ muốn bán thiết bị của họ ở nước này.

Các quy định bảo mật yêu cầu:

• Tất cả mật khẩu thiết bị được kết nối Internet của người tiêu dùng phải là duy nhất và không thể được nhà máy sản xuất cài đặt lại theo cài đặt chung cho các thiết bị.

• Các nhà sản xuất thiết bị IoT tiêu dùng phải cung cấp thông tin liên hệ công khai để bất kỳ ai cũng có thể báo cáo lỗ hổng và công ty phải xử lý kịp thời.

• Mọi thiết bị IoT phải đi kèm với một lời giải thích rõ ràng về cách bất kỳ dữ liệu nào được tạo ra được truyền đi, cách thức và nơi nó được lưu trữ và trong bao lâu.

• Mọi thiết bị IoT cần làm rõ dữ liệu mà thiết bị tạo ra có được mã hóa hay không và ai có quyền truy cập vào dữ liệu và các khóa (keys).

• Các nhà sản xuất thiết bị IoT phải lưu một danh sách những dữ liệu được thu thập mà họ đang phân tích, kiếm tiền hoặc bán lại, ngay cả khi được ẩn danh và danh sách các bên họ đã bán dữ liệu.

• Người dùng thiết bị IoT sẽ có thể xem dữ liệu nào đang được lưu giữ và có quyền xóa dữ liệu vĩnh viễn.

• Tất cả các thiết bị IoT phải có khả năng tự động nâng cấp nếu việc sửa lỗi là cần thiết.

Mục đích của các quy định này là giúp bảo vệ công dân và doanh nghiệp Vương quốc Anh khỏi các mối đe dọa từ tội phạm mạng ngày càng nhắm mục tiêu vào các thiết bị IoT.

Bằng cách tấn công các thiết bị IoT, tội phạm mạng có thể thực hiện các cuộc tấn công DDoS, phá hủy các dịch vụ trực tuyến. Các thiết bị IoT được bảo mật kém cũng có thể là một phương tiện để tin tặc xâm nhập dễ dàng vào mạng và các hệ thống khác trên một mạng lưới.

Các dự thảo quy định trên được Cục Văn hóa, Truyền thông và Thể thao (DCMS) Vương Quốc Anh cùng với Trung tâm An ninh mạng quốc gia (NCSC) đề xuất sau một thời gian tham khảo ý kiến với các chuyên gia bảo mật thông tin, nhà sản xuất thiết bị, nhà bán lẻ và các bên.

"Quy định mới của chúng tôi sẽ buộc các công ty sản xuất và bán các thiết bị kết nối Internet vào tài khoản và ngăn chặn tin tặc đe dọa sự riêng tư, an toàn của mọi người", Matt Warman, người đứng đầu bộ phận kỹ thuật số và băng thông rộng tại DCMS cho biết.

Hiện tại vẫn chưa rõ các quy định định này có được đưa vào luật nào đó trong tương lai. Mặc dù chính phủ Anh cho biết "tham vọng" là ban hành luật trong lĩnh vực này và điều này sẽ được thực hiện "càng sớm càng tốt", tuy nhiên, chưa có thông tin chi tiết về việc xây dựng luật. Người phát ngôn của DCMS cho ZDNet rằng DCMS sẽ làm việc với các nhà bán lẻ và nhà sản xuất khi các quy định được thống nhất.

Nhiều thiết bị được kết nối Internet được bán với mật khẩu mặc định, thậm chí trong nhiều trường hợp không thể thay đổi, trong khi một số nhà sản xuất sản phẩm IoT thường không có thông tin về liên hệ để báo cáo lỗ hổng - đặc biệt là nếu thiết bị đó được sản xuất ở ngoài quốc gia.

Ngoài ra, các sản phẩm IoT được biết đến thường bị ngừng nhận hỗ trợ từ các nhà sản xuất và được cung cấp thời gian chính xác mà các thiết bị sẽ được hỗ trợ để người dùng biết được khả năng bảo mật trong dài hạn.

Nếu các sản phẩm không tuân theo các quy định này, các thiết bị này có khả năng bị cấm bán tại Vương quốc Anh.

"Quy định mới của chúng tôi sẽ buộc các công ty sản xuất, bán các thiết bị kết nối Internet vào tài khoản và ngăn chặn tin tặc đe dọa sự riêng tư, an toàn của mọi người. Điều đó có nghĩa là các tiêu chuẩn bảo mật mạnh mẽ được xây dựng từ giai đoạn thiết kế", ông Warman thêm.

Nicola Hudson, Giám đốc chính sách và truyền thông tại NCSC cho biết "Công nghệ thông minh ngày càng tập trung vào cách chúng ta sống, vì vậy việc xây dựng luật riêng để đảm bảo rằng chúng ta được bảo vệ tốt hơn rất cần được ủng hộ. Luật sẽ giúp người mua tăng sự an tâm rằng công nghệ mà họ đang mang vào nhà là an toàn và các vấn đề như mật khẩu được cài đặt sẵn hay việc ngừng các cập nhật bảo mật đột ngột trở thành quá khứ."

Vương quốc Anh không đơn độc trong nỗ lực bảo mật IoT, ENISA, cơ quan an ninh mạng của Liên minh châu Âu, cũng đang xây dựng quy định trong lĩnh vực này, trong khi chính phủ Mỹ cũng đang tìm cách quản lý các thiết bị IoT trong nỗ lực bảo vệ chống lại các cuộc tấn công mạng.