Anh ra dự luật mới, siết chặt yêu cầu bảo mật cho thiết bị IoT

Chính phủ Vương quốc Anh hôm nay chính thức trình một dự luật mới lên Quốc hội, nhằm mục đích bảo vệ tốt hơn nữa các thiết bị Internet of Things (IoT) của người tiêu dùng khỏi tin tặc.

Dự luật Cơ sở hạ tầng viễn thông và an ninh sản phẩm (PSTI) của Anh đặt ra các tiêu chuẩn an toàn thông tin mạng (ATTTM) mới đối với các nhà sản xuất, nhập khẩu và phân phối các thiết bị có thể kết nối internet, chẳng hạn như điện thoại, máy tính bảng, TV thông minh và thiết bị theo dõi tập thể dục. Luật cũng sẽ áp dụng cho các sản phẩm có thể kết nối với nhiều thiết bị khác nhưng không kết nối trực tiếp với Internet, như bóng đèn thông minh và bộ điều nhiệt thông minh.

Dự luật đưa ra các yêu cầu như cấm sử dụng các mật khẩu mặc định phổ biến, buộc các công ty phải minh bạch về những hoạt động sửa lỗi bảo mật trong sản phẩm của họ và tạo ra một hệ thống báo cáo công khai tốt hơn nếu có bất kỳ lỗ hổng nào được phát hiện ra. Ngoài ra, các công ty có nhiệm vụ điều tra các lỗi về tuân thủ chính sách bảo mật, đưa ra các tuyên bố về sự tuân thủ và duy trì những chính sách bảo mật phù hợp.

Các tổ chức, công ty không tuân thủ dự luật có thể phải chịu các khoản phạt nặng do cơ quan quản lý mới đưa ra - lên đến 10 triệu bảng Anh hoặc 4% doanh thu toàn cầu của công ty, cũng như lên đến 20.000 bảng Anh một ngày trong trường hợp liên tục vi phạm. Cơ quan quản lý cũng sẽ được trao quyền yêu cầu các công ty tuân thủ các yêu cầu bảo mật, thu hồi sản phẩm hoặc ngừng bán, ngừng cung cấp sản phẩm. Có thể sẽ còn có thêm nhiều điều luật siết chặt tình hình ATTTM hơn nữa, do các bộ trưởng sẽ đề xuất thêm các yêu cầu an ninh khi xuất hiện các mối đe dọa mới.

Đạo luật được đưa ra trong bối cảnh xu hướng sử dụng các thiết bị IoT đang gia tăng. Trung bình mỗi hộ gia đình ở Vương quốc Anh có khoảng 9 thiết bị IoT. Không có gì ngạc nhiên khi những thiết bị này ngày càng trở thành mục tiêu của bọn tội phạm mạng trong những năm gần đây. Ví dụ, đầu năm nay, trang Which đã công bố một cuộc điều tra cho thấy các ngôi nhà thông minh có thể phải đối mặt với rủi ro hơn 12.000 cuộc tấn công mạng chỉ trong một tuần.

Bộ trưởng Truyền thông, Dữ liệu và Cơ sở hạ tầng Kỹ thuật số của Anh, Julia Lopez, nhận xét: “Hàng ngày, tin tặc cố gắng đột nhập vào các thiết bị thông minh của mọi người. Hầu hết chúng ta đều cho rằng nếu một sản phẩm được bán thì sản phẩm đó “hiển nhiên” an toàn và bảo mật. Tuy nhiên, nhiều sản phẩm không đạt mức độ an toàn bảo mật như vậy, khiến quá nhiều người trong chúng ta có nguy cơ bị lừa đảo và trộm cắp”.

“Dự luật của chúng tôi sẽ đặt một bức tường lửa xung quanh công nghệ mà mọi người dân sử dụng hàng ngày, từ điện thoại và máy điều nhiệt cho đến máy rửa bát, màn hình trẻ em và chuông cửa, đồng thời đưa ra các khoản phạt khổng lồ cho những ai vi phạm các tiêu chuẩn bảo mật mới”.

Tiến sĩ Ian Levy, Giám đốc kỹ thuật của Trung tâm an ninh mạng quốc gia (NCSC), cho biết: “Tôi rất vui mừng trước sự ra đời của dự luật này, nó sẽ đảm bảo an ninh cho các thiết bị tiêu dùng được kết nối và yêu cầu các nhà sản xuất thiết bị phải đảm bảo các yêu cầu ATTTM cơ bản”.

“Dự luật này do Bộ Số, Văn hóa, Truyền thông, và Thể thao Vương quốc Anh (DCMS) và NCSC cùng phát triển với sự tham vấn của các tổ chức trong ngành, đã đánh dấu sự khởi đầu của hành trình đảm bảo rằng các thiết bị được kết nối Internet trên thị trường đáp ứng tiêu chuẩn bảo mật. Đây thực sự là một thông lệ tốt”.

Bình luận về luật mới, Gerhard Zehethofer, Phó Chủ tịch, IoT & sản xuất tại ForgeRock, cho biết: "Đây là một bước đi tích cực của chính phủ Vương quốc Anh. Thiết bị IoT đã được nói đến trong nhiều năm qua như một công nghệ thực sự chuyển đổi, nhưng việc áp dụng đã chậm hơn dự kiến. Năm 2012, người ta dự đoán sẽ có một nghìn tỷ thiết bị được kết nối trên toàn cầu vào năm 2020, giờ đây, con số thực tế ước tính chỉ là 36 tỷ”.

Gerhard Zehethofer cho rằng vượt qua những lo ngại về an toàn bảo mật xung quanh các thiết bị IoT sẽ là điều quan trọng để tạo điều kiện cho đà tăng trưởng thị trường IoT. Các quy định dành riêng cho thiết bị IoT như quy định này có vai trò thúc đẩy chính đưa thị trường phát triển. Các yêu cầu nghiêm ngặt như cấm sử dụng mật khẩu mặc định và khuyến khích các nhà sản xuất phát hành các bản cập nhật bảo mật và lỗ hổng bảo mật sẽ giúp bảo vệ người tiêu dùng và dữ liệu của họ, xây dựng niềm tin rằng thị trường IoT cần được khai phá đầy đủ tiềm năng và phát triển.

Theo Kaspersky, số lượng các cuộc tấn công nhắm vào các thiết bị IoT đã tăng gần gấp đôi từ nửa cuối năm 2020 đến 6 tháng đầu năm nay. 

Sau khi bị xâm nhập, các thiết bị IoT có thể được đưa vào mạng botnet và được sử dụng để khai thác bất hợp pháp các loại tiền điện tử, khởi chạy các cuộc tấn công DDoS, đánh cắp dữ liệu cá nhân và hơn thế nữa.

“Kể từ khi các thiết bị IoT, từ đồng hồ thông minh đến phụ kiện nhà thông minh, đã trở thành một phần thiết yếu trong cuộc sống hàng ngày của chúng ta, tội phạm mạng đã chuyển sự chú ý của chúng sang lĩnh vực này một cách khéo léo. Chúng tôi thấy rằng một khi sự quan tâm của người dùng đối với các thiết bị thông minh tăng lên, các cuộc tấn công cũng sẽ gia tăng”, chuyên gia bảo mật Dan Demeter của Kaspersky giải thích.

“Một số người tin rằng các thiết bị IoT tiêu dùng không đủ quan trọng nên sẽ không thu hút tội phạm mang, nhưng chúng tôi đã quan sát mức độ gia tăng của các cuộc tấn công vào thiết bị thông minh trong năm qua. Hầu hết các cuộc tấn công này đều có thể ngăn ngừa được. Đó là lý do tại sao chúng tôi khuyên người dùng nhà thông minh nên cài đặt một giải pháp bảo mật đáng tin cậy để giúp họ luôn an toàn”.

Tuy nhiên, thách thức với các thiết bị IoT là chúng không thể hỗ trợ các tác nhân bảo mật điểm cuối truyền thống. Điều đó có nghĩa là bảo mật phải được cắm ở lớp mạng nhà thông minh.

 Kaspersky cũng đề xuất vá nhanh mọi bản cập nhật chương trình cơ sở và thay đổi mật khẩu mặc định ban đầu thành thông tin đăng nhập mạnh hơn, phức tạp hơn.