Cần tăng các quy định bảo mật khi mở rộng IoT

Trong khi các doanh nhân và giám đốc điều hành của các doanh nghiệp lớn thường chùn bước với các quy định, khi nói đến internet kết nối vạn vật (IoT) và IoT trong công nghiệp (IIoT), các nhà phát triển và nhà cung cấp dịch vụ tiên tiến nên nắm lấy các luật và quy định mới được thiết kế để bảo vệ quyền riêng tư cá nhân và bảo vệ chống lại các cuộc tấn công mạng.

An ninh là vấn đề hàng đầu. Với chiến lược sản phẩm phù hợp và các đối tác hệ sinh thái công nghệ, việc đưa ra thị trường với thiết bị, ứng dụng, đám mây, hệ thống và kết nối an toàn nhất có thể thúc đẩy thành công.

Không suy nghĩ trước và không chú ý đến các mối đe dọa tiềm tàng, ngay cả thiết bị được kết nối mạnh nhất với lợi ích đáng kể nhất cũng có thể trở thành cơn ác mộng khi bị tấn công. Điều này dẫn đến hậu quả nghiêm trọng về uy tín và tài chính, bao gồm cả khoản tiền phạt đáng kể.

IoT và IIoT đã đưa công nghệ truyền thông theo thời gian thực vào các sản phẩm vật lý và ngày càng trở nên tinh vi. Ví dụ, thế hệ mới nhất của máy điều hòa cấy ghép Tim và máy bơm insulin có thể gửi thông tin qua internet và cho phép các bác sĩ hoặc hệ thống tự động gửi lệnh trở lại.

Hậu quả liên quan đến internet kết nối y tế (IoMT) giờ đây là sự sống và cái chết. Điều tương tự cũng xảy ra với những chiếc xe được kết nối và những chiếc xe tự lái hay không người lái bị hack và điều khiển gây ra tình trạng hỗn loạn và thương vong hàng loạt trên đường cao tốc trong tương lai.

Các hệ thống càng được liên kết và kết nối với nhau, bề mặt tấn công mở rộng càng lớn - và hậu quả nghiêm trọng hơn khi các tác nhân xấu xâm nhập vào hệ thống và kiểm soát.

Trong khi chính phủ liên bang Hoa Kỳ chưa sẵn sàng điều chỉnh IoT mạnh mẽ như những nước khác thì tiểu bang California đã dẫn đầu trong việc điều chỉnh các thiết bị IoT tại tiểu bang. Không có nhà sản xuất thiết bị nào có thể đủ khả năng rời khỏi thị trường ở California, nơi có nền kinh tế đáng kể hơn nhiều nơi trên thế giới và nền kinh tế công nghệ không thể phủ nhận là một trong những bang mạnh nhất trên thế giới.

Luật pháp yêu cầu các tính năng bảo mật phải có khả năng bảo vệ thiết bị và thông tin trên thiết bị đó, khỏi nhiều mối đe dọa khác nhau và phù hợp với bản chất của thiết bị và dữ liệu mà nó thu thập.

Trong khi các nhà phát triển thiết bị vẫn đang chờ đợi để tìm hiểu thêm về các chi tiết cụ thể của pháp luật, một số công ty đã vận động hành lang, nói rằng những gì luật hiện hành gọi là "bảo mật hợp lý" là không thể thực hiện được và, khi công nghệ được mở rộng, việc tuân thủ là không thể.

Phần nổi bật nhất của quy định, ở mức cao, là mật khẩu mặc định sẽ là bất hợp pháp. Tuy nhiên, mật khẩu không phải là lỗ hổng duy nhất trong các thiết bị được kết nối hiện nay.

FCC đã không hoàn toàn im lặng về vấn đề bảo mật thiết bị và tiếp tục đưa ra cảnh báo. Do các lỗ hổng bảo mật với các thiết bị không dây không an toàn, FCC đã ủng hộ trách nhiệm giải trình trên mạng.

Đồng thời, FCC tiếp tục giám sát và điều tiết mạnh mẽ hơn về bảo mật internet ở tầng mạng, điều này có tác động tích cực đến đổi mới, bao gồm ảo hóa các mạng hiện có thể được kiểm soát ở mức độ lớn hơn bằng cách sử dụng mạng được xác định bằng phần mềm (SDN) .

Các nhà cung cấp thiết bị IoT đang được yêu cầu thực hiện "bảo mật theo thiết kế". FCC nêu định nghĩa là "Một thực tiễn phát triển giúp giảm rủi ro không gian mạng bằng cách sử dụng quy trình kiểm tra liên tục có kỷ luật, bảo vệ xác thực và tuân thủ các thực tiễn phát triển tốt nhất".

Cuối cùng, việc giám sát theo quy định là cần thiết bởi vì "số lượng lớn các nhà cung cấp IoT” đang cản trở nỗ lực phối hợp để xây dựng hệ thống bảo mật bằng cách thiết kế vào IoT trên cơ sở tự nguyện."

Gần cuối năm 2018, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), một phần của Bộ Thương mại Hoa Kỳ, đã đưa ra một dự án hợp tác để phát triển khung bảo mật "tự nguyện" cho IoT phản ánh Khung bảo mật không gian mạng tương tự để quản lý rủi ro. Sáng kiến ​​này có có ý nghĩa quan trọng, dựa trên mức độ phụ thuộc lẫn nhau của IoT và mức độ quan trọng của việc bảo mật IoT và IIoT ở mọi cấp độ (không chỉ các thiết bị, mà cả các ứng dụng, đám mây và cơ sở dữ liệu).

Tất cả điều này kết hợp với nhau trên mạng internet, đó là lý do tại sao chúng tôi tin rằng bảo mật được nhúng vào các mạng riêng xuất hiện trên internet công cộng có ý nghĩa nhất đối với các công ty tung ra các sản phẩm và dịch vụ được kết nối.

Chúng tôi hoan nghênh các cơ quan liên bang ở Hoa Kỳ và các dự án trên khắp thế giới thực hiện công việc quan trọng mang lại lợi ích và bảo vệ hàng tỷ người. Hơn nữa, luật pháp táo bạo của California có lợi cho tất cả. Khi California bắt buộc các tiêu chuẩn bảo mật trên các thiết bị IoT, các nhà sản xuất sẽ viết lại phần mềm của họ để tuân thủ và hợp lý để duy trì một phiên bản duy nhất, an toàn và bán ra ở mọi nơi.

Ngày nay, IoT thực sự là miền đất mới của cộng đồng công nghệ, với các nhà sản xuất đưa ra thị trường với các sản phẩm có giá cả cạnh tranh và họ thường bỏ qua bước bảo mật quan trọng đó.

Khi chính phủ bước vào và áp đặt các quy định nghiêm ngặt hơn, các công ty có động cơ để đáp ứng các tiêu chuẩn đó, điều này đã thúc đẩy sự đổi mới bảo mật. Những đổi mới này bao gồm các phần mềm và phần mềm có thể mở rộng có giá cả phải chăng và có thể được nhúng trong các thiết bị được sản xuất hàng loạt và đăng ký vào mạng an toàn. Ví dụ bao gồm các sản phẩm được kết nối quan trọng như thiết bị chăm sóc sức khỏe, xe tự lái, lưới điện, hệ thống giám sát và an toàn công cộng và các triển khai khác.

Bản thân mạng có thể tương tác an toàn hơn với các thiết bị được kết nối khi mạng bao gồm phần mềm xử lý mọi phiên giao dịch và lệnh bằng các phương pháp mã hóa, thông minh giúp giảm rủi ro bằng cách ngăn chặn các cuộc tấn công để bảo vệ dữ liệu.