Giảm thiểu rủi ro bảo mật IoT để khai thác lợi ích cho doanh nghiệp

Ứng dụng IoT trong doanh nghiệp

Ngày nay việc ứng dụng IoT trong doanh nghiệp sản xuất đang dần đóng vai trò quyết định trong việc giảm chi phí và tăng hiệu quả quản lý cũng như năng suất trong hoạt động của tổ chức, doanh nghiệp.

Có thể thấy, cơ hội nhận được khi ứng dụng IoT trong doanh nghiệp rất thực tế. Kết nối đang định hình lại quá trình thiết kế sản phẩm. Kết nối IoT cho phép con người thu thập dữ liệu có thể sử dụng để dự đoán nhu cầu và làm ra các sản phẩm hiệu quả và chất lượng hơn. Mặt khác, đây cũng là cơ hội cho các công ty cung cấp dịch vụ gia tăng giá trị, giúp mở rộng khả năng của họ trên thị trường. Những lợi ích khác từ các hệ thống dựa trên IoT bao gồm tăng năng suất, hiệu suất và giám sát sự hài lòng của khách hàng, kiểm soát hàng tồn kho, bảo trì máy, quản lý nhiệt độ và kiểm soát truy cập,…

Theo nghiên cứu của Gartner, các sản phẩm và dịch vụ IoT sẽ tạo ra doanh thu gia tăng vượt 300 tỷ USD vào năm 2020. Viện nghiên cứu McKinsey Global cũng cho rằng IoT sẽ có tác động mạnh mẽ về mặt kinh tế với tất cả những công nghệ đột phá, có thể đạt 36 nghìn tỷ USD trong chi phí vận hành.

Tuy nhiên, bên cạnh những lợi ích có thể mang lại thì các mối lo ngại về bảo mật vẫn tiếp tục cản trở các tổ chức, doanh nghiệp ứng dụng IoT. Để hưởng lợi từ các hệ thống này mà không phải hứng chịu những rủi ro không cần thiết, các doanh nghiệp cần đảm bảo việc tích hợp hệ thống IoT được nghiên cứu, lên kế hoạch và thực hiện cẩn thận.

Liên quan tới vấn đề bảo mật IoT, một cuộc khảo sát vào tháng 1/2019 của công ty bảo mật kỹ thuật số Gemalto cho thấy: chỉ 48% các công ty châu Âu có thể phát hiện khi có vi phạm đối với bất kỳ thiết bị kết nối Internet nào của họ. Tại Anh, con số này giảm xuống còn 42%, mức thấp thứ hai ở châu Âu sau Pháp, nơi chỉ có 36% công ty được khảo sát cho biết họ có thể phát hiện bất kỳ thiết bị IoT nào bị vi phạm.

Hạn chế tối đa rủi ro từ IoT

Dự báo, các doanh nghiệp sẽ chi tới 6 tỷ USD cho các thiết bị này vào năm 2021, nhưng để thực sự mở khóa các giá trị của IoT việc đầu tiên là phải đảm bảo an toàn cho mạng của tổ chức, doanh nghiệp mình. Mặc dù thận trọng với rủi ro mạng là cần thiết, song các doanh nghiệp hoàn toàn có thể hạn chế tối đa rủi ro từ IoT và khai thác triệt để lợi ích của công nghệ này. Sau đây là một số kinh nghiệm trong phát triển, triển khai và quản lý ứng dụng IoT do Geoff Burns, trưởng phòng kinh doanh tại công ty viễn thông và CNTT  Nice Network đề xuất:

1. Mã hóa dữ liệu

Các quy định như Tiêu chuẩn bảo mật dữ liệu công nghiệp thẻ thanh toán (PCI DSS) và Chỉ thị về các công cụ tài chính (MiFID II) có hiệu lực ở châu Âu khuyến nghị tất cả dữ liệu số được truyền tải qua Internet phải được mã hóa, có nghĩa là nếu ai đó quản lý truy cập dữ liệu nhạy cảm, họ cũng không thể đọc nó.

Theo Burns, các tổ chức nên xem xét mã hóa dữ liệu và sử dụng tường lửa để bảo vệ các ứng dụng web IoT, các giao thức không dây với mã hóa tích hợp và giao thức bảo mật SSL (Secure Sockets Layer) cho các công cụ trực tuyến.

Mặc dù hầu hết các nhà cung cấp thiết bị IoT hiện đang sử dụng mã hóa, tuy nhiên theo Burns vẫn có các công cụ trên thị trường không được tích hợp mã hóa.

2. Cải thiện quy trình xác thực dữ liệu

Thông thường, các vấn đề về bảo mật IoT không được liên quan tới chính các thiết bị hoặc công cụ mà là mật khẩu và phương thức xác thực được các nhân viên sử dụng để truy cập tài khoản của họ.

Theo Burns, có rất nhiều người sử dụng cùng một mật khẩu cho mọi tài khoản họ có. Điều này có nghĩa là khi ai đó có thể đánh cắp mật khẩu email của nhân viên của bạn, họ cũng có thể truy cập vào hệ thống IoT của bạn.

Xác thực đa yếu tố (MFA) là một công cụ bảo mật tuyệt vời và luôn được các chuyên gia bảo mật khuyến nghị sử dụng để tăng cường bảo mật IoT. Khi đó, ngay cả khi tin tặc đánh cắp, bẻ khóa hoặc đoán được mật khẩu, họ vẫn không thể đăng nhập vào tài khoản của nhân viên được.

3. Quản lý phần cứng và phần mềm

Bảo mật IoT cần được triển khai trên nhiều cấp độ, theo Burns. Từ góc độ phần cứng, điều quan trọng là cần lưu trữ các thiết bị một cách an toàn và giới hạn số lượng nhân viên có thể truy cập chúng.

Từ góc độ phần mềm, các triển khai IoT cần phải được thường xuyên nâng cấp theo thời gian. Người chịu trách nhiệm quản lý các công cụ và ứng dụng IoT cần thường xuyên cập nhật chương trình firmware mới để vá các lỗ hổng cũ trong hệ thống, nhằm đảm bảo rằng tất cả các thiết bị IoT đều được cập nhật để giảm thiểu mọi cuộc tấn công không cần thiết. Burns cho biết đôi khi quá trình ngày có thể được tự động hóa.

4. Cô lập các thiết bị IoT

Đối với các mạng doanh nghiệp an toàn, theo Burns cần cô lập các thiết bị IoT. Điều này có nghĩa là nếu tin tặc xâm nhập vào một thiết bị IoT nào đó thì cũng không thể truy cập vào toàn bộ ngăn xếp công nghệ của doanh nghiệp.

Một số mô hình kiến trúc cơ bản để triển khai IoT bao gồm:

- Thiết bị tới thiết bị: Các ứng dụng IoT trong cùng một mạng kết nối với nhau thông qua các giao thức như Bluetooth.

- Thiết bị tới đám mây: Các thiết bị IoT trong mạng doanh nghiệp kết nối trực tiếp với đám mây và truyền dữ liệu tương ứng.

- Thiết bị đến cổng: Các thiết bị IoT liên kết đến một hệ thống số thông qua một cổng thông tin, biên dịch các giao thức, lọc dữ liệu và mã hóa thông tin cùng một lúc.

Hầu hết các thực tiễn bảo mật IoT tốt nhất, theo Burns, liên quan đến việc thực hiện một cách tiếp cận nhiều lớp để bảo vệ các kết nối và thiết bị.

5. Đầu tư vào giám sát các thiết bị di động

Cho đến nay, một trong những dịch vụ bảo mật IoT hiệu quả nhất mà bất kỳ doanh nghiệp nào cũng có thể đầu tư vào, theo Burns, là giám sát các thiết bị di động.

“Trong khi mạng mã hóa từ đầu cuối tới đầu cuối là rất cần thiết, thì việc nắm rõ trạng thái hiện tại của tất cả các thiết bị IoT trong thời gian thực cũng quan trọng không kém”, Burns cho biết.

Mặc dù, các thiết bị IoT có thể mang lại nhiều lợi ích cho các doanh nghiệp hiện đại, nhưng trước những lỗ hổng tiềm ẩn của chúng, các doanh nghiệp cần phải nhận biết được những rủi ro và thách thức để đảm bảo rằng tất cả các thiết bị được kết nối Internet an toàn

Khảo sát 950 người ra quyết định về CNTT và kinh doanh trên toàn cầu, Gemalto phát hiện ra rằng các công ty đang kêu gọi chính phủ can thiệp, với 79% yêu cầu các hướng dẫn mạnh mẽ hơn về bảo mật IoT và 59% tìm cách làm rõ ai chịu trách nhiệm bảo vệ IoT.

Thực tế là nhiều chính phủ đã ban hành hoặc công bố các quy định cụ thể về bảo mật IoT, tuy nhiên hầu hết (95%) các doanh nghiệp cho rằng nên có các quy định thống nhất.

Chính phủ Anh là một trong những quốc gia đi đầu trong vấn đề này bằng cách phát triển và ban hành Tiêu chuẩn kỹ thuật về bảo mật thiết bị IoT tiêu dùng đối với các hãng sản xuất vào tháng 10/2018. Đến tháng 5/2019, chính phủ tuyên bố sẽ tiến hành các kế hoạch để bảo vệ các thiết bị IoT tốt hơn khỏi những cuộc tấn công mạng bằng cách đưa ra các biện pháp để đảm bảo những tính năng bảo mật mạng cơ bản được tích hợp vào các thiết bị kết nối Internet.