Singapore lập trung tâm chứng nhận, đánh giá an ninh mạng
An toàn thông tin - Ngày đăng : 15:24, 20/05/2022
Các nhà sản xuất và nhà phát triển có thể kiểm thử và chứng nhận sản phẩm của họ tại trung tâm mới này, qua đó chính phủ Singapore kỳ vọng sẽ thúc đẩy lĩnh vực thử nghiệm, kiểm thử và chứng nhận (TIC) về an ninh mạng.
Hai đơn vị cho biết việc tiếp cận các cơ sở đánh giá an ninh rất khó khăn, phần lớn là do chi phí thiết bị cao và chuyên môn sâu thường được yêu cầu để thực hiện đánh giá an ninh mạng, ở các cấp độ đảm bảo cao nhất.
Niềm tin đóng một vai trò quan trọng trong việc người tiêu dùng sẵn sàng chia sẻ dữ liệu cá nhân của họ, nhưng lòng tin sẽ bị xói mòn nếu các doanh nghiệp (DN) tiếp tục được cấp quyền truy cập rộng hơn vào dữ liệu cá nhân và người dân Singapore không cảm thấy được họ được bảo chủ động.
Nằm trong khuôn viên thông minh của NTU, NICE sẽ cung cấp quyền truy cập này cho các nhà đánh giá và nhà phát triển cũng như có một nhóm nghiên cứu và nhân viên kỹ thuật có chuyên môn để sử dụng thiết bị.
Phó chủ tịch và giáo sư điều hành của NTU Ling San cho biết: "Mối đe dọa ngày càng tăng của các cuộc tấn công mạng khiến các tổ chức, công ty và cơ quan phải đi trước một bước trước các cuộc tấn công mạng. Đánh giá đúng phần cứng để đảm bảo chúng được thiết kế với tính bảo mật sẽ có giá trị hơn là duy trì an toàn cho các hệ thống vật lý mạng của chúng tôi như là bước đi đầu tiên".
Giám đốc điều hành và ủy viên an ninh mạng của CSA David Koh cho biết thêm điều quan trọng là phải đảm bảo các công nghệ mới nổi được thiết kế an toàn, khi Singapore hướng tới một tương lai số.
IoT và việc sử dụng ngày càng nhiều các hệ thống mạng đã dẫn đến sự phát triển của các thiết bị và phần cứng như các điểm giao tiếp và cảm biến. Trích dẫn dự báo từ Business Insider Intelligence, CSA cho biết sẽ có 64 tỷ thiết bị IoT trên toàn thế giới vào năm 2025.
CSA cho biết: "Những thành phần này tự cho thấy như là những điểm xâm nhập tiềm ẩn cho tin tặc và các tác nhân độc hại. Người dùng cuối có rất ít phương tiện để đánh giá xem các thành phần này có an toàn hay không và cần phải dựa vào các chuyên gia độc lập để thực hiện đánh giá bảo mật đó".
Điều này có ý nghĩa khi NICE sẽ hỗ trợ thúc đẩy đánh giá bảo mật cao hơn bằng cách cung cấp một nền tảng trung tâm để kiểm thử và chứng nhận sản phẩm. Trung tâm cũng sẽ tạo điều kiện cho việc nghiên cứu và phát triển các kỹ thuật đánh giá bảo mật tiên tiến.
Ngoài ra, Hội đồng Công nhận Singapore (SAC) sẽ hợp tác chặt chẽ với CSA và NICE để phát triển các chương trình công nhận có liên quan, bao gồm các chương trình kiểm thử CNTT của SAC cho phép các công ty TIC được công nhận đảm bảo tính chính xác và nhất quán của các báo cáo thử nghiệm và chứng chỉ của họ nhằm tạo điều kiện cho các sáng kiến của CSA như Sơ đồ dán nhãn an ninh mạng (CLS).
Tính đến cuối tháng 4/2022, hơn 200 sản phẩm đã được nộp để dán nhãn theo chương trình này.
Để hợp lý hóa hơn nữa quy trình dán nhãn, CSA cũng đã công bố một sáng kiến mới, được đặt tên là "CLS-Ready" cho phép các chức năng bảo mật được phần cứng CLS-Ready kích hoạt để bỏ qua yêu cầu kiểm tra lại ở cấp thiết bị cuối.
Ví dụ, các nhà sản xuất có thể sử dụng chip đã được chứng nhận CLS-Ready trong thiết bị người dùng cuối của họ, giúp họ tiết kiệm thời gian và chi phí khi kiểm tra thiết bị của họ với CLS cấp 4. Bằng cách sử dụng chip CLS-Ready, các thiết bị này sẽ không cần phải sử dụng thông qua một vòng kiểm tra CLS cấp 4 khác, vì cơ chế bảo mật cốt lõi trong chip đã được đảm bảo như CLS-Ready, CSA giải thích.
Các nhà sản xuất nộp hồ sơ đăng ký nhãn CLS-Ready sẽ phải nộp đơn có các báo cáo chứng minh và đánh giá của phòng thí nghiệm đã được phê duyệt. Các nhãn này sẽ vẫn có hiệu lực miễn là thiết bị được hỗ trợ các bản cập nhật bảo mật, tối đa là 5 năm.
Để khuyến khích việc áp dụng, CSA cho biết sẽ miễn phí đăng ký nhãn CLS-Ready cho đến tháng 10/2022.
Được giới thiệu lần đầu tiên vào tháng 10/2020, kế hoạch dán nhãn đã được mở rộng vào tháng 1/2021 để bao gồm tất cả các thiết bị IoT của người tiêu dùng như đèn thông minh, khóa cửa thông minh, máy in thông minh và camera IP. Đề án, ban đầu chỉ áp dụng cho bộ định tuyến Wi-Fi và hub nhà thông minh, xếp hạng các thiết bị theo mức độ các tính năng an ninh mạng.
Mặc dù mang tính tự nguyện, sáng kiến này nhằm thúc đẩy các nhà sản xuất phát triển các sản phẩm an toàn hơn, vượt ra ngoài việc thiết kế các thiết bị để tối ưu hóa chức năng và chi phí, cũng như cho phép người tiêu dùng xác định các sản phẩm có tính năng bảo mật tốt hơn, CSA cho biết.
CLS đánh giá và xếp hạng các thiết bị thông minh thành 4 cấp độ dựa trên số lượng dấu hoa thị (asterisk), mỗi dấu hoa thị chỉ ra một cấp độ kiểm thử và đánh giá bổ sung mà sản phẩm đã trải qua. Ví dụ, cấp 1 là một sản phẩm đã đáp ứng các yêu cầu bảo mật cơ bản như đảm bảo mật khẩu mặc định duy nhất và cung cấp các bản cập nhật phần mềm, trong khi sản phẩm cấp 4 đã trải qua các bài kiểm thử thâm nhập có cấu trúc bởi các phòng thí nghiệm kiểm tra của bên thứ ba được phê duyệt và đáp ứng các yêu cầu cấp 3./.