Cẩn trọng với hệ thống IoT

An toàn thông tin - Ngày đăng : 14:39, 11/11/2020

Từng đồ dùng, từng ngôi nhà, từng thành phố ngày càng trở nên tiện dụng hơn, thông minh hơn nhờ sử dụng nền tảng IoT. Nhưng hệ thống này lại đang có nguy cơ cao mất an toàn an ninh mạng.

Thiết bị IoT đang tăng chóng mặt

Tại Hội thảo và Triển lãm quốc tế về An toàn, an ninh mạng 2020 diễn ra vào ngày 10/11/2020 tại Hà Nội, ông Bill Feng, Chuyên gia cao cấp về giải pháp an ninh mạng và bảo mật dữ liệu của Huawei Carrier BG chia sẻ: "Với việc tăng tốc triển khai mạng 5G, các kịch bản ứng dụng Internet vạn vật (IoT) với độ trễ thấp và độ tin cậy cao sẽ ngày càng trở nên đa dạng. Nhiều thiết bị nhà thông minh được kết nối với Internet. Thành phố thông minh có nhiều ứng dụng, chẳng hạn như đèn đường thông minh, bãi đậu xe thông minh và giao thông thông minh. Ngoài ra, còn có các nhà máy thông minh, thiết bị đeo thông minh và thiết bị đọc đồng hồ thông minh. IoT đã thay đổi cuộc sống của mọi người".

Cẩn trọng với hệ thống IoT - Ảnh 1.

Toàn cảnh Hội thảo

Nền tảng IoT là một trong những trụ cột chính của cuộc cách mạng công nghiệp (IoT) 4.0. Hầu hết các ngành nghề hiện nay đều phát triển hơn dựa trên sự kết nối linh hoạt của mạng lưới IoT, bao gồm từ giáo dục, nông nghiệp, công nghiệp, y tế,… Điển hình như các nhà máy sản xuất bắt đầu áp dụng cảm biến cho các thành phần làm ra sản phẩm. Từ đó theo dõi hoạt động của chúng và nâng cao chất lượng. Hay các doanh nghiệp (DN) sử dụng công nghệ IoT để quản lý nhân sự, dữ liệu công ty cải thiện hiệu suất làm việc.

Các thiết bị IoT đã và đang mang lại sự tiện dụng trong thời đại số, không chỉ cho lĩnh vực công nghiệp mà còn cho cả người dùng. Các sản phẩm như tủ lạnh thông minh, đồng hồ thông minh, máy theo dõi sức khỏe, khóa xe đạp thông minh và thậm chí là một tấm thảm yoga thông minh ngày nay đã dần trở nên phổ biến.

Theo báo cáo mới đây của McKinsey, tỷ lệ DN sử dụng IoT tăng từ 13% lên 25% trong giai đoạn từ năm 2014-2019. Ứng dụng của công nghệ IoT rất đa dạng lĩnh vực, bao gồm công nghiệp, nông nghiệp, bán lẻ và dịch vụ y tế.

Theo dự báo của IDC, số lượng thiết bị IoT trên toàn thế giới sẽ đạt 41,6 tỷ vào năm 2025. GSMA dự báo thị trường IoT toàn cầu sẽ đạt doanh thu 900 tỷ USD trong 5 năm tới, cao gần gấp 3 lần so với năm 2019. Bản đồ phát triển IoT của GSMA cho thấy NB- IoT hay LTE-M IoT đã nhanh chóng được triển khai ở hầu hết các khu vực trên thế giới. Sự tăng trưởng này đã tạo ra cơ hội cho các DN trong việc xây dựng các sản phẩm IoT sáng tạo.

Đe dọa bảo mật thiết bị IoT cũng tăng nhanh không kém

Chính vì được kết nối với Internet, nên những thiết bị IoT không nằm ngoài tầm ngắm của tội phạm mạng. Đây là hệ thống mạng lưới các thiết bị được trang bị bằng công nghệ nhúng. Điều này cho phép các thiết bị tương tác với nhau hoặc với môi trường bên ngoài. Do có số lượng lớn các thiết bị, IoT đã trở thành một mục tiêu hấp dẫn đối với tội phạm mạng. Bằng cách xâm nhập thành công các thiết bị IoT, tội phạm có thể theo dõi người dùng, tống tiền họ, và thậm chí kín đáo làm cho họ trở thành đối tác của chúng. Tệ hơn, các botnet như Mirai và Hajime đã cho thấy sự tăng lên của các mối đe dọa mạng. Với sự phát triển nhanh chóng của các ứng dụng IoT, các sự cố bảo mật của IoT không ngừng xảy ra.

Các phương tiện truyền thông đã đưa tin về nhiều sự cố IoT như virus Stuxnet, sự cố lưới điện Ukraine và sự cố mất kết nối Internet ở Đông Mỹ do virus Mirai lây nhiễm trên một số lượng lớn camera. Trong năm 2019, nhiều khóa cửa thông minh cũng được phát hiện có lỗ hổng bảo mật. Những kẻ tấn công có thể sử dụng các lỗ hổng để mở cửa và đột nhập vào nhà từ xa.

Cẩn trọng với hệ thống IoT - Ảnh 2.

Sự cố bảo mật IoT diễn ra liên tục

Các mối đe dọa bảo mật IoT đến từ các thiết bị đầu cuối, đường truyền, nền tảng, đám mây và ứng dụng. Các thiết bị IoT thường có yêu cầu chi phí thấp, môi trường triển khai cũng rất phức tạp, thậm chí triển khai tại hiện trường dẫn đến rủi ro lớn.

Giữa cơn bão của IoT, các công ty công nghệ lớn đua nhau thuyết phục chúng ta nhồi nhét càng nhiều thiết bị thông minh vào nhà, văn phòng, xe hơi của chúng ta. Hầu hết trong số này là giá rẻ, trong nhiều trường hợp với mục đích khuyến khích chúng ta mua càng nhiều càng tốt. Một thiết bị có thể có các rủi ro như mô phỏng danh tính, thay thế phần mềm hay firmware, điều khiển từ xa và gỡ bỏ bất hợp pháp. Do số lượng lớn các thiết bị IoT trên mạng trực tiếp, mạng của các nhà mạng đang phải đối mặt với nguy cơ bị tấn công DDoS.

Theo nghiên cứu gần đây, bảo mật dữ liệu chính là mối quan tâm lớn nhất đối với IoT của các kỹ sư điện tử. Mặt khác, khi kết nối các thiết bị với đám mây, mạng sẽ truyền dữ liệu đến nơi lưu trữ. Toàn bộ quá trình này tạo ra cho tin tặc nhiều cơ hội đánh cắp dữ liệu trong kho lưu trữ hoặc trong quá trình truyền tải. Thậm chí, nhưng ngay cả khi không có sự đe dọa của tin tặc, người dùng vẫn lo ngại về việc những gã khổng lồ công nghệ như Amazon, Google, Apple truy cập vào những cuộc trò chuyện và tương tác thân mật, riêng tư của họ.

Những dữ liệu từ các máy ảnh, micrô và cảm biến chuyển động này có một cuộc sống thứ hai ngoài việc đơn giản là làm cho cuộc sống của bạn dễ dàng hơn. Trong nhiều trường hợp, dữ liệu mà các cảm biến thu thập được trong suốt cả ngày được lưu trữ, phân tích và đóng gói lại. Nó được tái sử dụng bởi các công ty muốn hiểu chúng ta và những gì chúng ta làm.

Do tồn tại nhiều yếu điểm, các thiết bị IoT dễ dàng bị kiểm soát bởi tin tặc. Các thiết bị này được sử dụng làm bàn đạp cho tấn công leo thang vào những thiết bị thông tin trọng yếu của tổ chức. Một trong các điểm yếu phổ biến liên quan đến bảo mật của thiết bị IoT chính là mật khẩu truy cập thiết bị. Nhiều tổ chức không thay đổi và sử dụng chính mật khẩu mặc định của thiết bị, dẫn đến việc các thiết bị này dễ dàng bị khai thác và chiếm quyền do độ mạnh và phức tạp của mật khẩu gần như không có.

Mặt khác, số liệu từ hãng công nghệ Palo Alto cho thấy, 98% dữ liệu IoT không được mã hóa. Thông qua hình thức nghe lén, tin tặc có thể dễ dàng thu thập và đọc được các dữ liệu mật được trao đổi giữa các thiết bị trên hệ thống với nhau hoặc giữa chúng với hệ thống quản lý, giám sát; 57% các thiết bị IoT trong hệ thống được xem là các rủi ro an toàn thông tin (ATTT) và khởi nguồn cho các cuộc tấn công mạng quy mô vừa và lớn; 83% các thiết bị y khoa phục vụ công tác chẩn đoán bằng hình ảnh đang sử dụng các hệ điều hành đã ngừng hỗ trợ từ hãng. Số liệu có sự tăng vọt so với năm 2018, với 56%.

Nguyên nhân chính của vấn đề này bắt nguồn từ việc Microsoft đã chính thức khai tử Windows 7 từ đầu năm 2020. Việc tiếp tục sử dụng các thiết bị y tế với hệ điều hành không còn cập nhật các bản vá lỗi có thể dẫn đến các rủi ro lộ lọt thông tin y tế nhạy cảm hoặc gây gián đoạn hoạt động khám chữa bệnh trong trường hợp tin tặc khai thác các lỗ hổng bảo mật trên hệ điều hành.

Cả nhà nước và DN đều phải vào cuộc

Mặc dù thận trọng với rủi ro mạng là cần thiết, song các DN hoàn toàn có thể hạn chế tối đa rủi ro từ IoT và khai thác triệt để lợi ích của công nghệ này.

"Để ngăn ngừa rủi ro IoT, chúng tôi khuyến nghị rằng các thiết bị đầu cuối, đường truyền và nền tảng IoT được bảo vệ và liên tục thực hiện O&M (vận hành và bảo trì) an ninh mạng", ông Bill Feng chia sẻ.

Cẩn trọng với hệ thống IoT - Ảnh 3.

Kết hợp bảo mật chip và hệ điều hành sẽ tăng cường tính an toàn cho thiết bị

Hiện nay, có một giải pháp mới đó là AIoT - sự kết hợp giữa AI với IoT. AIoT mang tính biến đổi và cùng có lợi cho cả hai loại công nghệ khi AI tăng giá trị cho IoT thông qua khả năng học máy và IoT tăng giá trị cho AI thông qua kết nối, báo hiệu, trao đổi dữ liệu. Sự kết hợp giữa hai xu hướng công nghệ này có tiềm năng trở thành bước đột phá công nghệ lớn nhất kể từ khi Internet ra đời. Gartner dự báo nếu AIoT sớm khởi động, nó sẽ là ngành công nghiệp trị giá 3.000 tỷ USD vào năm 2025.

Tuy nhiên, AIoT cũng đặt ra nhu cầu lớn hơn về bảo mật đối với chính các thiết bị. Do đó, hiện các kỹ sư điện tử đang làm việc để sản xuất chip AIoT bao gồm các tính năng bảo mật nâng cao như khởi động an toàn, lưu trữ khóa có thể lập trình một lần, tạo số ngẫu nhiên thực và hướng dẫn mã hóa, giải mã tùy chỉnh... Các tính năng này được thiết kế để đảm bảo an toàn cho cả dữ liệu và việc đưa ra các quyết định.

Do mức tiêu thụ điện năng thấp và yêu cầu chi phí thấp cho các thiết bị IoT, các giải pháp bảo mật đơn giản cũng được sử dụng trên các thiết bị. Trong trường hợp này, các thiết bị dễ dàng bị tin tặc tấn công và chiếm quyền điều khiển để tạo thành các mạng botnet, khởi động các cuộc tấn công DDoS, dẫn đến sự cố mạng và gián đoạn dịch vụ. Do đó, mạng của các nhà mạng, đặc biệt là các trạm gốc không dây, phải có khả năng chống lại các cuộc tấn công DDoS. Cơ chế kiểm soát lưu lượng dựa trên mức độ ưu tiên của dịch vụ và mức độ tắc nghẽn là một biện pháp hiệu quả để giảm nguy cơ bị tấn công DDoS. Khi một cuộc tấn công xảy ra, các dịch vụ ưu tiên cao sẽ có sẵn và độ tin cậy và tính sẵn sàng của mạng được cải thiện.

Cẩn trọng với hệ thống IoT - Ảnh 4.

Thiết kế kiến trúc bảo mật đa lớp, ngăn chặn các thiết bị IoT bị tấn công

Tại Mỹ, điều luật SB-327 - California có hiệu lực từ ngày 01/01/2020 đã quy định về việc ngăn cấm sử dụng mật khẩu mặc định với thiết bị IoT có kết nối Internet. Nguyên nhân bắt nguồn Điều luật này chính là lỗ hổng từ việc sử dụng mật khẩu mặc định trên thiết bị IoT, dẫn đến việc các thiết bị này được sử dụng làm bàn đạp (nạn nhân của hệ thống botnet) cho tấn công leo thang vào các thiết bị thông tin trọng yếu của tổ chức.

Gần đây, chính phủ Anh đã thực hiện một nỗ lực đầu tiên khi đưa ra dự thảo một bộ quy tắc về bảo mật IoT mà các nhà sản xuất tiện ích phải tuân theo nếu họ muốn bán thiết bị của họ ở nước này. Ví dụ, họ yêu cầu: Tất cả mật khẩu thiết bị được kết nối Internet của người tiêu dùng phải là duy nhất và không thể được đặt lại thành bất kỳ cài đặt mặc định chung nào (universal factory setting); Các nhà sản xuất thiết bị IoT phải cung cấp một điểm liên lạc công khai để bất kỳ ai cũng có thể báo cáo lỗ hổng và phải được xử lý kịp thời; Các nhà sản xuất thiết bị IoT phải nêu rõ thời gian tối thiểu mà thiết bị sẽ nhận được cập nhật bảo mật tại điểm bán, tại cửa hàng hoặc trực tuyến.

Bộ quy tắc này sẽ sớm được ban hành kèm với các điều luật. Nhưng những điều này xem ra là chưa đủ, và nó gần như bỏ qua vấn đề quyền riêng tư của người dùng.

Khu vực châu Á, Nhật Bản đã thực hiện các chính sách về an toàn không gian mạng, trong đó chú trọng vào hạ tầng thiết bị IoT. Nhằm hoàn thành mục tiêu tạo ra hệ thống IoT đảm bảo an toàn, nâng cao uy tín quốc tế về hệ thống IoT Nhật Bản, chính phủ nước này nỗ lực thực hiện các nhiệm vụ: An toàn từ khâu thiết kế (Security by Design); Tạo kết nối giữa các đơn vị liên quan với chính phủ đóng vai trò trung tâm; Thiết lập các tiêu chuẩn chung về bảo mật IoT.

"Đảm bảo an ninh IoT đòi hỏi nỗ lực và hợp tác chung của tất cả các bên liên quan. Chính phủ điều chỉnh bảo mật IoT thông qua pháp luật, các tổ chức tiêu chuẩn hóa phát triển các tiêu chuẩn và thông số kỹ thuật của ngành, các nhà mạng xây dựng và duy trì các mạng an toàn và linh hoạt, các nhà cung cấp thiết bị cung cấp các sản phẩm và thiết bị an toàn và tin cậy dựa trên các tiêu chuẩn và các nhà cung cấp dịch vụ đảm bảo an ninh nền tảng dịch vụ và bảo vệ quyền riêng tư của người dùng. Chúng tôi tin rằng bảo mật IoT sẽ được đảm bảo một cách hiệu quả thông qua những nỗ lực và hợp tác chung trong toàn ngành", ông Bill Feng khẳng định.

Minh Thiện