Đề phòng mặt trái của thiết bị IoT

Hệ sinh thái IoT (Internet of Things) đang lớn mạnh nhanh chóng trên phạm vi toàn cầu. IoT được biết đến với những cơ hội, lợi ích và doanh thu nếu biết khai thác khả năng kết nối vạn vật và chia sẻ thông tin mọi nơi mọi lúc trên mọi thiết bị.

Trong một báo cáo được thực hiện tháng 4/2016, Gartner đã dự đoán thế giới sẽ có 6,4 tỷ thiết bị kết nối, tăng 30% so với 2015, và năm 2018 con số này sẽ đạt 11,4 tỷ. Theo một nghiên cứu gần đây tại thị trường Mỹ, 70% người Mỹ có kế hoạch trong vòng 5 năm tới, sở hữu một thiết bị điện tử dân dụng thông minh như tủ lạnh hoặc máy điều hòa nhiệt độ có kết nối internet. Đó là một tỉ lệ tiếp nhận công nghệ mới rất cao, vì hiện nay, số người sở hữu thiết bị gia dụng thông minh tại Mỹ chỉ chiếm 4%.

Tuy nhiên, IoT cũng ẩn chứa những rủi ro lớn về bảo mật và an toàn thông tin. Lổ hổng bảo mật trong các sản phẩm thông minh hiện nay rất nhiều, mở ra một cơ hội khác cho tin tặc, botnet và các dạng tội phạm mạng theo đó nảy nở. Một xu hướng mất ATTT dễ tiên đoán là botnet có trong thiết bị IoT. Thay vì tấn công máy tính xách tay và cài botnet vào để tạo thành một đội quân máy tính thì hacker lại tận dụng các thiết bị IoT, như camera giám sát CCTV, smartTV hay các hệ thống tự động trong nhà. Đã có những ví dụ như camera CCTV trở thành một đội quân botnet, tạo ra tấn công DDoS vào ngân hàng và các mục tiêu khác. Hồi đầu năm 2016, đã diễn ra một làn sóng tấn công tủ lạnh thông minh. Không như máy tính bàn hay xách tay, chúng ta rất khó phát hiện botnet có trong thiết bị IoT.

Dự báo về xu hướng an ninh mạng năm nay, các chuyên gia Bkav cho rằng, sự bùng nổ thiết bị kết nối Internet (IoT) như Router Wi-Fi, Camera IP... khiến an ninh trên các thiết bị này thành vấn đề nóng; và IoT sẽ là “đích nhắm” của hacker trong năm 2017.

Có thể người dùng cho rằng trợ lý ảo Amazon Echo cực tiện lợi, nhưng ai dám đảm bảo chúng an toàn. Liệu ai đó có nghe lén các mẩu hội thoại riêng tư của bạn? Hay như camera của smartTV, ai dám chắc chúng ta không bị xem trộm.

Những lo ngại này là có thật bởi các thiết bị thông minh đều được kết nối Internet, mà tất cả thiết bị kết nối Internet đều có nguy cơ bị nghe lén hoặc xâm nhập.

Đôi khi những thiết bị an ninh thông minh lại phản tác dụng. Chẳng hạn, bạn mua camera an ninh để kiểm soát căn nhà từ xa, nhưng nếu bị tin tặc xâm nhập, camera sẽ trở thành tai mắt của kẻ trộm. Bạn đi đâu, làm gì trong nhà chúng đều biết rõ như lòng bàn tay.

Sự việc như vậy đã xảy ra trong thực tế. Trung tuần tháng 7/2016, hàng ngàn camera và webcam trên toàn thế giới, trong đó có Mỹ và Tây Âu phát hiện bị xem trộm bởi một trang web đặt ở Nga. Rõ ràng kể cả những đoạn băng tưởng như cá nhân vẫn có thể bị trộm. Trang web đánh cắp hình ảnh nói trên hoạt động như một máy quét dò các đoạn băng trên mạng. Như vậy, hầu hết các camera hay webcam có liên kết tải video lên internet rất nhiều khả năng sẽ bị trộm hình ảnh. Trang web đánh cắp sẽ dựa vào địa chỉ IP của máy để xác định khu vực của các đoạn video.

Ngoài ra, những camera này đã bị các tin tặc chiếm quyền sử dụng để thực hiện các cuộc tấn công mạng nhắm vào các trang web cơ quan chính phủ và ngân hàng trực tuyến tại nhiều quốc gia (theo báo cáo của Arbor Networks). Phạm vi tấn công diễn ra trên toàn cầu, tập trung chủ yếu tại Mỹ và các nước phương Tây. Khi các camera bị chiếm quyền điều khiển, chúng được tập hợp lại thành một mạng botnet (máy ma). Sau đó, botnet này được sử dụng để tấn công từ chối dịch vụ (DDOS) đến các ngân hàng, trang web game, chính phủ và các nhà cung cấp Internet.

Mới đây, hãng chuyên sản xuất TV thông minh Vizio vừa bị tuyên phạt hơn 2 triệu USD vì thu thập dữ liệu của khách hàng dùng Smart TV của mình khi chưa được phép. Vizio là một trong những nhà sản xuất TV thông minh lớn nhất thế giới. Các TV do hãng sản xuất được cài đặt phần mềm nhận diện nội dung tự động (gọi tắt là ACR) có thể theo dõi những nội dung người dùng xem trên TV. Việc thu thập dữ liệu thông tin khách hàng của Vizio bắt đầu từ năm 2014 và hơn 11 triệu TV bị ảnh hưởng trong quá trình này. Chuyện thu thập dữ liệu khi chưa được khách hàng đồng ý, hoặc khách hàng không được biết về việc này, rõ ràng gây ra tâm lý bất an với người dùng về tính riêng tư và việc bảo vệ thông tin.

Một vấn đề đáng quan ngại khác về tất cả các thiết bị được kết nối với Internet, lưu trữ trực tuyến và giao tiếp thông qua các trung tâm dữ liệu này chính là khả năng bảo mật. Các chuyên gia đã mô tả những lỗ hổng trong các thiết bị từ những con búp bê có thể kết nối WiFi cho tới những chiếc ô tô có thể truy cập Internet. Đây đều là các vấn đề lý thuyết chứ không phải vụ việc đã diễn ra nhưng rõ ràng là có khả năng xảy ra. Một búp bê Barbie có thể không phải vấn đề lớn nhưng một chiếc xe tự lái hay thiết bị y tế bị hack có thể gây ra những nguy hiểm thực sự tới cuộc sống. Một vài nhà phân tích tranh luận rằng nên sử dụng 1 mạng kết nối hoàn toàn riêng biệt cho IoT, với các sản phẩm đã có mặt trên thị trường phục vụ mục đích này.

Nhưng dù vậy, thế giới thiết bị IoT không có dấu hiệu chững lại mà vẫn lớn mạnh. Do đó, không có gì là ngạc nhiên khi bảo mật trong kỷ nguyên IoT đang trở thành đề tài nóng trên mọi diễn đàn lớn nhỏ trên thế giới. Tốc độ ứng dụng các thiết bị IoT càng cao thì khả năng xảy ra rủi ro về bảo mật càng lớn. Gartner cũng đã dự đoán thế giới sẽ chi 348 triệu đô la cho việc bảo mật IoT trong năm 2016, tăng 24% so với khoản chi của năm 2015 và dự kiến con số này sẽ đạt 547 triệu đô la năm 2018.

Không gian mạng đang ngày càng mở rộng nhanh chóng. 100.000 đối tượng mới kết nối với Internet mỗi giờ. Vào năm 2020, sẽ có khoảng 200 tỷ thiết bị kết nối Internet Vạn vật và 5,9 tỷ điện thoại thông minh. Do đó, việc nâng cao nhận thức của người sử dụng về các mối đe dọa mạng và đưa ra những lời khuyên về việc làm thế nào bảo vệ thiết bị đầu cuối của họ để không trở thành một phần của mạng botnet, là một việc làm cấp thiết. Mỗi cơ quan, tổ chức trong nước cũng cần ban hành và tuân thủ nghiêm ngặt quy trình về đảm bảo ATTT để tự bảo vệ mình trước cuộc chiến tranh mạng ngày càng phức tạp và dai dẳng.