Áp dụng tiêu chuẩn FDO - chìa khoá giúp giải bài toán ATTT cho thiết bị IoT

Bước đi tiếp theo trong việc lan toả công nghệ xác thực không mật khẩu

Năm 2021, Liên minh xác thực trực tuyến thế giới (FIDO Alliance) đã công bố tiêu chuẩn FIDO Device Onboarding (FDO) - tiêu chuẩn cho toàn ngành IoT thế giới về triển khai thiết bị IoT một cách tự động, an toàn và hiệu quả. Việc ứng dụng tiêu chuẩn này được đánh giá là không đơn giản bởi nó yêu cầu đội ngũ chuyên gia phát triển sản phẩm phải có trình độ cao, am hiểu sâu về kỹ thuật.

Đầu tháng 12/2022, trong khuôn khổ sự kiện FIDO Seminar tại Nhật Bản, công ty VinCSS, một startup đến từ Việt Nam thuộc Tập đoàn Vingroup đã chính thức ra mắt và sẵn sàng khai thác thương mại nền tảng VinCSS IoT FDO theo tiêu chuẩn FIDO Device Onboarding thiết lập và cấu hình an toàn cho các thiết bị IoT một cách tự động, từ đó giúp doanh nghiệp tối ưu hiệu quả triển khai.

Các thành phần của giải pháp bao gồm: FDO Protocol (được tích hợp vào thiết bị ngay ở khâu sản xuất), VinCSS IoT platform (hệ thống quản lý, cài đặt, vận hành thiết bị IoT trên nền tảng Cloud), các máy chủ Rendezvous Server (các máy chủ làm nhiệm vụ kích hoạt và chứng thực thiết bị IoT thông qua FDO Protocol).

Đây là một trong số ít giải pháp ứng dụng tiêu chuẩn FDO được thương mại hoá đầu tiên trên thế giới. Nền tảng VinCSS IoT FDO ra mắt đã thu hút sự chú ý của các đại diện doanh nghiệp, chuyên gia trong lĩnh vực xác thực mạnh, IoT và công nghệ thông tin tại Nhật Bản cũng như trên thế giới.

Trước đó, từ tháng 08/2022, VinCSS đã hợp tác với Pavana để tích hợp công nghệ FDO nhằm ra đời dòng camera thương mại an toàn bậc nhất thế giới.

Chia sẻ về lý do ra mắt sản phẩm, ông Đỗ Ngọc Duy Trác, CEO VinCSS cho biết, hiện quy mô thị trường Internet vạn vật (Internet of Things - IoT) toàn cầu được các chuyên gia kinh tế dự đoán sẽ cán mốc 2.500 tỷ USD vào năm 2029 với tốc độ tăng trưởng kép trên 26% (theo Fortune Business Insights). Tuy nhiên, sự phát triển mạnh mẽ đó tỷ lệ thuận với việc gia tăng các mối nguy mất an toàn trong quá trình triển khai thiết bị IoT, nhất là khi các thiết bị đang được bảo vệ rất kém và chưa có tiêu chuẩn chung. Công bố của Kaspersky cũng cho thấy có hơn 1,5 tỷ vụ rò rỉ dữ liệu từ thiết bị IoT trong năm 2021, tăng 639 triệu vụ so với năm 2020.

Không chỉ dừng lại ở bài toán đảm bảo an toàn, các tập đoàn, dự án lớn cũng gặp phải vấn đề về chi phí và sự phức tạp khi triển khai các thiết bị IoT. Vì vậy, việc ra mắt sản phẩm VinCSS IoT FDO sẽ giúp nâng cao độ bảo mật, tiện lợi trong việc triển khai cũng như giảm chi phí vận hành. Chưa kể hệ thống VinCSS IoT FDO có thể triển khai linh động cho cả lưu trữ dữ liệu tại chỗ (on-premise) và đám mây (cloud).

“Là một startup hướng đến mục tiêu cung cấp các sản phẩm, dịch vụ đảm bảo an ninh cho cuộc sống số, VinCSS đã đầu tư mạnh cho R&D trong 4 năm qua. Nền tảng VinCSS IoT FDO là bước tiếp theo trong chiến lược lan toả, ứng dụng đa dạng công nghệ xác thực mạnh không mật khẩu theo tiêu chuẩn FIDO2 vào các lĩnh vực tiềm năng khác như IoT…”, ông Trác cho biết thêm.

Khó khăn chủ yếu đến từ việc phải dàn trải khi làm việc với nhà sản xuất, đơn vị cung cấp

Cũng theo ông Trác, trong quá trình phát triển VinCSS IoT FDO, đội ngũ xây dựng sản phẩm đã gặp không ít khó khăn. Đầu tiên, do FDO là một chuẩn mới nên chưa có nhiều hỗ trợ từ FIDO cũng như các tài liệu triển khai còn khá hạn chế.

Tiếp theo, do đội ngũ phát triển của VinCSS phải làm việc trực tiếp với nhiều hệ chip (MCU) trên các thiết bị IoT khác nhau, nên việc triển khai dàn trải, dẫn đến tồn nhiều tài nguyên và nhân lực.

Khó khăn thứ 3 là do FDO là mô hình trực tiếp làm việc với nhà sản xuất (manufacturers) và đơn vị cung cấp (vendors) nên đòi hỏi cần nhiều thời gian để nghiên cứu, liên kết và triển khai.

Để vượt qua những rào cản này, đội ngũ VinCSS đã dành rất nhiều thời gian cho việc chuẩn bị tìm hiểu, nghiên cứu cũng như đánh giá tiềm năng của FDO khi triển khai.

Còn về những điểm thuận lợi, chủ yếu đến từ việc VinCSS có đội ngũ nghiên cứu và phát triển mạnh, đã có kinh nghiệm triển khai FIDO2 nên dễ dàng hơn khi thực hiện FDO. “Chúng tôi cũng may mắn có được sự tin tưởng từ tập đoàn, đối tác hỗ trợ như Pavana và MFG… để có thể thử nghiệm và phát triển sản phẩm”, ông Trác bày tỏ.

Theo ông Trác, việc ra mắt VinCSS IoT FDO FDO vào thời điểm này là phù hợp, để có thời gian giới thiệu và đào tạo (educate) người dùng về những lợi ích của tiêu chuẩn mới này.

Hiện tại, đối với sản phẩm IoT FDO, VinCSS chủ yếu hướng đến khách hàng doanh nghiệp, các nhà cung cấp và đơn vị sản xuất ở cả Việt Nam và nước ngoài, trước khi có thể phục vụ người dùng cá nhân trong tương lai. Tại sự kiện FIDO Taipei Seminar 2023 đầu tháng 2/2023, sản phẩm VinCSS IoT FDO cũng đã nhận được rất nhiều sự quan tâm của các nhà sản xuất phần cứng trên thế giới.

“Sắp tới, VinCSS sẽ liên kêt thêm nhiều hãng sản xuất, nhà cung cấp để ra mắt nhiều thiết bị hỗ trợ FDO hơn cũng như cải tiến, nâng cấp các hệ thống hiện tại”, ông Trác chia sẻ thêm.

Khi được hỏi về sự khác biệc của sản phẩm, ông Trác khẳng định, hiện VinCSS là đơn vị duy nhât đã có thử nghiệm trên thiết bị phần cứng đầu tiên trên thế giới được giới thiệu tại Hội nghị các nhà phát triển FIDO tại Đài Loan vào tháng 2/2023. Việc triển khai theo tiêu chuẩn FDO sẽ giúp các thiết bị IoT an toàn hơn so với các chuẩn khác trên thế giới. Mặc dù vậy, khó khăn lớn nhất của tiêu chuẩn này là các hãng như VinCSS sẽ phải làm việc trực tiếp với nhà sản xuất và nhà cung cấp để có thể triển khai lên thiết bị.

Cần sự tham gia của các hãng làm phần cứng cho việc bảo đảm ATTT cho các thiết bị IoT

CEO VinCSS khẳng định, trong các thiết bị IoT, camera là một trong những thiết bị được bảo mật yếu nhất và thường được hacker nhắm đến. Điều này thể hiện qua việc có rất nhiều trường hợp lộ clip làm ảnh hưởng đến cuộc sống cá nhân khi camera bị tấn công. Vì vậy, có thể nói, việc lắp camera an ninh nhưng lại không đảm bảo ATTT sẽ gây ra nhiều tai hoạ hơn cả việc không lắp camera.

Do đó, để bảo vệ mình, người dùng cần mua những loại camera đảm bảo được an ninh như của các hãng lớn và cần thận trọng lưu giữ các tài khoản quản lý các thiết bị này. Chưa kể đến, việc cài đặt camera tương đối mất thời gian và rủi ro, nhất là với những người không rành về công nghệ. Đó là lý do tại sao việc này thường được giao cho kỹ thuật viên nhưng đây phần lớn lại chính là mắt xích làm lộ thông tin quản lý ra ngoài.

“Vì vậy, việc ra đời các giải pháp dựa trên tiêu chuẩn FDO là để ngăn chặn việc đó, giúp cho người dung có thể tự cài đặt một cách đơn giản hơn và không sợ lộ tài khoản quản lý camera”, ông Trác chia sẻ.

Khi được hỏi đến thời điểm nào, người dùng sẽ quan tâm đúng mức đến việc bảo đảm ATTT cho các thiết bị IoT thay vì chủ yếu tìm kiếm theo giá tiền như hiện nay, ông Trác cho rằng mặc dù các cơ quan truyền thông cũng như đơn vị ATTT đã cảnh báo rất nhiều lần và có sự để ý hơn nhưng việc này sẽ cần đến sự hỗ trợ từ các cấp chính quyền, cơ quan báo đài tuyên truyền về an ninh mạng. Ngoài ra, còn cần đến sự hỗ trợ cũng như tham gia của các hãng làm phần cứng cho việc bảo đảm ATTT cho các thiết bị IoT, trong đó có việc triển khai tiêu chuẩn FDO.

Bên cạnh đó, các thiết bị IoT hiện nay quá rẻ và bán tràn lan không kiểm định. Đồng thời các vi mạch ngày càng nhỏ, càng dễ mang theo và khó phát hiện. Cơ quan quản lý cần đưa ra tiêu chuẩn chung cho các thiết bị phải tuân thủ một giao thức an ninh khi thiết lập.

Ngoài ra, theo ông Trác, do các thiết bị IoT hiện nay quá rẻ và bán tràn lan không kiểm định. Đồng thời các vi mạch ngày càng nhỏ, càng dễ mang theo và khó phát hiện. Do đó, để giải quyết vấn đề này, cơ quan quản lý cần đưa ra tiêu chuẩn chung cho các thiết bị, ví dụ như phải tuân thủ một giao thức an ninh khi thiết lập. Từ đó có thể để đảm bảo việc bảo vệ những thiết bị IoT nói riêng và mạng gia đình của người sử dụng nói chung. “FDO là một tiêu chuẩn được FIDO Alliance đưa ra và cơ quan quản lý có thể tham khảo chuẩn này để ban hành quy định”, ông Trác nói.

Cuối cùng, để tự bảo vệ bản thân mình và gia đình trước các nguy cơ về ATTT, người dùng cần lựa chọn các thiết bị từ những nhà sản xuất có tên tuổi. Còn đối với các hãng, những đơn vị này nên có các quy trình triển khai thiết bị IoT và đáp ứng các tiêu chuẩn cần thiết về bảo mật trước khi đưa sản phẩm ra thị trường./