Đạo luật cải thiện an ninh mạng IoT có tác động như thế nào đến người dùng?

Trương Khánh Hợp| 02/03/2019 20:09
Theo dõi ICTVietnam trên

Khi thế giới có xu hướng hướng tới nhiều thiết bị kết nối internet hơn, vấn đề bảo mật đang cố gắng bắt kịp với xu hướng đó. Các tiêu chuẩn cần phải tồn tại hoặc chúng ta có thể gặp rủi ro. Đạo luật cải thiện an ninh mạng IoT có thể là một bước đi đúng hướng.

How-the-IoT-Cybersecurity-Improvements-Act-Impacts-You

Chúng ta hiện kết nối nhiều hơn, nhưng ít an toàn hơn. Công nghệ Internet of Things (IoT) đang vượt xa các quy định hiện hành. Trước đây, chỉ có điện thoại hoặc máy tính được kết nối web, nhưng bây giờ xe hơi, lò nướng bánh, máy quay video và khóa cửa cũng có khả năng tương tự. Nhiều trong số các thiết bị này được kết nối mà không quan tâm nhiều đến sự bảo mật của chúng, vì vậy luật pháp cuối cùng đã bắt kịp vấn đề. Đạo luật cải thiện an ninh mạng IoT của Hoa Kỳ, sẽ bổ sung các yêu cầu bảo mật quan trọng cho các nhà cung cấp. Nó sẽ đi một chặng đường dài hướng tới việc cải thiện bảo mật IoT.

Đạo luật An ninh mạng IoT là gì?

Về cơ bản, Đạo luật cải thiện an ninh mạng IoT đặt ra các yêu cầu mới về mua sắm cho các cơ quan chính phủ. Cụ thể, các cơ quan sẽ được yêu cầu bao gồm một loạt các điều khoản trong hợp đồng mua bán của mình, bắt buộc các tiêu chuẩn bảo mật cao hơn cho các thiết bị kết nối internet.

Tại sao nó lại quan trọng

Các thiết bị kết nối Internet đang phát triển theo cấp số nhân, từ 23 tỷ vào năm 2018 lên con số dự đoán 75 tỷ vào năm 2025. Nhiều sự kiện tấn công gần đây, như các sự kiện được liệt kê dưới đây, có thể ngăn chặn được bởi các chiến lược an ninh mạng, như các chiến lược được sử dụng trong dự luật này.

Vào tháng 10 năm 2016, một cuộc tấn công đã đánh sập internet ở phần lớn khu vực phía Đông Hoa Kỳ bằng cách sử dụng nỗ lực phối hợp của các thiết bị kết nối internet, bao gồm baby monitors (một hệ thống truyền dẫn không dây hình ảnh kết hợp với âm thanh nhỏ gọn, dùng trong phạm vi hẹp) và webcam.

Một phần các cuộc tấn công vào Equifax (một trong 3 hãng Đánh giá tín dụng lớn nhất Hoa Kỳ đã tiết lộ thông tin nhạy cảm của 143 triệu người Mỹ) gần đây có thể được bắt nguồn từ việc người dùng  sử dụng từ khóa admin cho tên người dùng và mật khẩu.

Đạo luật cải thiện an ninh mạng IoT sẽ làm những gì

Dự luật này sẽ bắt buộc một loạt các điều khoản trong các hợp đồng mua bán có liên quan được ký bởi các cơ quan chính phủ Hoa Kỳ. Các mệnh đề này được chia thành hai loại:

Xác minh: nhà cung cấp sẽ được yêu cầu thực hiện xác minh về thiết bị của họ

Yêu cầu hành vi: nhà cung cấp sẽ được yêu cầu hoàn thành thực hành bảo mật

Xác minh

Bất kỳ nhà cung cấp nào bán thiết bị kết nối internet sẽ phải xác nhận những điều sau về thiết bị:

  • Không chứa bất kỳ lỗ hổng bảo mật đã biết nào
  • Sử dụng công nghệ tiêu chuẩn công nghiệp cho an ninh và truyền thông
  • Có thể được truy cập và cập nhật an toàn bởi các nhà cung cấp
  • Không có bất kỳ thông tin cố định hoặc mã hóa cứng

Hành vi bắt buộc

Sau khi thiết bị được cung cấp cho chính phủ Hoa Kỳ, nhà cung cấp sẽ được yêu cầu thực hiện như sau:

  • Thông báo cho chính phủ Hoa Kỳ nếu sau đó họ biết về một lỗ hổng trên thiết bị
  • Cập nhật thiết bị để đảm bảo an ninh
  • Sửa chữa hoặc thay thế các thiết bị, nếu có nhu cầu bảo mật
  • Cung cấp thông tin về tiếp tục hỗ trợ bảo mật, bao gồm dòng thời gian hỗ trợ và thông báo khi ngừng hỗ trợ

Trong khi động lực đằng sau một số quy định này là tương đối rõ ràng, những yêu cầu khác lại cần một số giải thích. Sau đây là một số giải thích.

1. Thông tin xác thực cứng

Hãy tưởng tượng nếu mọi chiếc iPhone có thể được truy cập bởi cùng một mật khẩu. Cho dù một cá nhân đã tạo mật khẩu cá nhân an toàn đến mức nào, một hacker biết  skeleton key (chìa khóa vạn năng) này vẫn có thể đột nhập. Tim Cook, CEO của Apple, đã gọi khả năng đó là cực kỳ nguy hiểm.

Thông tin nhúng trực tiếp vào mã nguồn (Hard-coded): tên người dùng và mật khẩu được tích hợp trong máy. Nhiều lỗ hổng đã được khai thác vì các cá nhân không bao giờ thay đổi mật khẩu mặc định của họ.

Nguy hiểm hơn nữa là loại backlink được mã hóa cứng này, bởi vì người dùng không thể loại bỏ lỗ hổng. Vì chúng ta có thể mua hàng ngàn thiết bị được kết nối internet, một cửa sau có thể gây ra rủi ro bảo mật lớn.

2. Truy cập và cập nhật

Điện thoại và máy tính có thể có thời gian sử dụng hai hoặc ba năm. Trong khi an ninh mạng có thể dự đoán nhiều mối đe dọa ngắn hạn, nhiều thiết bị kết nối internet mới có tuổi thọ lên đến 15 hoặc 20 năm.

Những cập nhật này sẽ cho phép chính phủ Hoa Kỳ bắt kịp với các mối đe dọa trong một khoảng thời gian dài hơn nhiều. Nếu không có khả năng cập nhật, một lỗ hổng có thể không được phát hiện trong nhiều năm và ngay cả sau khi nó tìm thấy, nó vẫn có thể không thể sửa chữa được. Nếu dự luật này được thông qua, hợp đồng mua bán của chính phủ Hoa Kỳ sẽ bao gồm:

Một điều khoản yêu cầu thiết bị kết nối internet như vậy phải được cập nhật hoặc thay thế, theo cách cho phép bất kỳ lỗ hổng bảo mật nào trong tương lai có thể được vá lỗi.

3. Tiếp tục hỗ trợ bảo mật

Khi các thiết bị IoT thâm nhập vào tất cả các lĩnh vực của cuộc sống, chính phủ Hoa Kỳ sẽ bị ngập trong các cân nhắc về an ninh. Họ yêu cầu nhà cung cấp cung cấp hai loại thông tin:  thời gian để kết thúc hỗ trợ bảo mật và thông báo chính thức khi kết thúc. Không chỉ hỗ trợ bảo mật sẽ được cung cấp bởi các nhà cung cấp; dự luật này cũng sẽ bắt buộc họ quản lý quá trình. Dự luật sẽ yêu cầu tất cả các nhà cung cấp cung cấp những điều sau đây:

  • Thông tin về khả năng cập nhật của thiết bị, chẳng hạn như  thời gian dự kiến ​​để kết thúc hỗ trợ bảo mật liên quan đến thiết bị được kết nối Internet
  • Thông báo chính thức khi ngừng hỗ trợ bảo mật

Tác động rộng hơn

Theo văn bản, dự luật này chỉ tăng tiêu chuẩn bảo mật cho các nhà cung cấp bán thiết bị kết nối internet cho chính phủ Hoa Kỳ. Tuy nhiên nó có khả năng có tác động rộng hơn.

Nó đặt tiền lệ cho nhiều đạo luật hơn

Nhiều chuyên gia tin rằng bảo mật IoT bị chậm hơn nhiều năm, vì vậy đạo luật này mới chỉ là khởi đầu. Khi luật pháp có được lực đẩy, họ có thể truyền cảm hứng nhiều hơn, cả ở Hoa Kỳ và nước ngoài. Ví dụ, Quốc hội Hoa Kỳ cũng đang xem xét Đạo luật Bảo mật IoT, sẽ tạo ra các tiêu chuẩn an ninh mạng cho các thiết bị phát ra tần số vô tuyến. California đã thông qua một đạo luật độc lập tương tự vào ngày 28 tháng 9, yêu cầu các tính năng bảo mật nâng cao cho các thiết bị kết nối internet.

Mặc dù đạo luật tại California không toàn diện như Đạo luật cải thiện an ninh mạng IoT, nó bao gồm các phần tương tự, chẳng hạn như các yêu cầu của nó về thông tin đăng nhập. Ngoài ra, đạo luật tại California áp dụng cho tất cả các thiết bị được sản xuất hoặc bán tại California, điều này cũng áp dụng cho hàng hóa hướng đến người tiêu dùng. Luật này có hiệu lực vào năm 2020 và vì California là nền kinh tế lớn thứ 5 trên thế giới, mong muốn các tiêu chuẩn bảo mật của công ty sẽ được cập nhật. Ngoài ra, giống như đối tác quốc gia của nó, việc thông qua dự kiến ​​sẽ thúc đẩy luật pháp trong tương lai.

Bằng cách yêu cầu các yếu tố này được bao gồm trong hợp đồng với nhà cung cấp, chính phủ Hoa Kỳ  đang đặt trách nhiệm cho các nhà cung cấp. Họ nhận ra rằng họ có thể bảo đảm an toàn cho tất cả các mặt hàng họ mua. Bằng cách đó, nếu họ nhận được một thiết bị dễ bị tổn thương, họ có thể quy lỗi, hoặc thậm chí bắt nhà cung cấp phải chịu trách nhiệm pháp lý.

Nó tăng sự tập trung vào an ninh mạng IoT

Mặc dù nó chỉ ảnh hưởng trực tiếp đến việc mua sắm của chính phủ Hoa Kỳ, nhưng dự luật này có thể tình cờ nâng cao mức độ an toàn cho toàn quốc gia. Ví dụ, nó có thể bắt đầu xu hướng giữa các tập đoàn tư nhân như lệnh cấm đối với các thông tin được mã hóa cứng. Ngoài ra, trong khi các tiêu chuẩn bảo mật của nó dựa trên Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ, nó cũng bao gồm các điều khoản, thay vì tuân thủ mức độ bảo mật này, một nhà cung cấp có thể tuân thủ một cấp độ thay thế miễn là nó tốt hơn. Đối với bảo mật IoT, có vẻ hợp lý khi tin rằng dự luật này sẽ đặt giới hạn thấp hơn.

Nó không có tác dụng đối với người tiêu dùng

Mặc dù người tiêu dùng sẽ trải nghiệm các hiệu ứng công nghiệp, nhưng họ không thể thấy bất kỳ hiệu ứng cụ thể nào đối với họ. Hợp đồng của chính phủ thường lớn, vì vậy các công ty có thể chỉ cần tạo một phiên bản đặc biệt của thiết bị, điều đó có nghĩa là phiên bản dành cho người tiêu dùng không nhất thiết phải tuân theo các nguyên tắc này. Ngoài ra, người tiêu dùng không có sức mua của chính phủ Hoa Kỳ, do đó, ít có khả năng họ đã thành công trong việc đưa bảo mật vào các nhà cung cấp.

Kết luận

Khi số lượng thiết bị kết nối internet tăng tốc đáng kể, chúng ta sẽ bắt đầu thấy ngày càng nhiều các đạo luật về an ninh mạng. Khi thế giới có xu hướng hướng tới nhiều thiết bị kết nối internet hơn, bảo mật đang bắt kịp xu hướng này. Những tiêu chuẩn này cần phải tồn tại hoặc chúng ta có thể gặp rủi ro.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Đạo luật cải thiện an ninh mạng IoT có tác động như thế nào đến người dùng?
POWERED BY ONECMS - A PRODUCT OF NEKO