Bảo mật IoT: Các quy tắc giúp bảo vệ người dùng của bạn khỏi tin tặc
Diễn đàn - Ngày đăng : 15:11, 20/10/2018
Một chương trình do chính phủ tài trợ đã ra mắt nhằm giải quyết vấn đề bảo mật kém trong Internet of Things (IoT) bằng cách khuyến khích các nhà sản xuất tạo ra các thiết bị IoT an toàn bởi thiết kế và dễ dàng cập nhật
Quy tắc thực hành “Secure by Design” (An toàn bởi thiết kế) cho IoT được ban hành bởi Bộ Văn hóa, Truyền thông và Thể thao (DCMS), Trung tâm an ninh mạng quốc gia (NCSC) và dựa trên lời khuyên từ các chuyên gia ngành, chuyên gia bảo mật, học viện và các tổ chức tiêu dùng.
Các nguyên tắc bao gồm việc các nhà sản xuất phần cứng loại bỏ tên người dùng và mật khẩu mặc định phổ biến cho các thiết bị IoT để đảm bảo các sản phẩm không được bán với thông tin xác thực đăng nhập cơ bản khiến chúng dễ dàng bị kẻ tấn công xâm phạm. Bảo mật bằng mật khẩu kém là nguyên nhân của nhiều vi phạm bảo mật liên quan đến IoT.
Các khuyến nghị khác đối với các nhà sản xuất sản phẩm IoT là họ nên thực hiện chính sách báo cáo lỗ hổng để bất kỳ lỗ hổng bảo mật nào cũng có thể được báo cáo và có hình thức xử lý kịp thời, các bản cập nhật phần mềm bảo mật phải được cung cấp thường xuyên, các bản vá phải dễ áp dụng và không ảnh hưởng đến chức năng của thiết bị.
Các thiết bị IoT cũng nên được xây dựng theo cách đơn giản để người tiêu dùng dễ dàng cài đặt và bảo trì thiết bị mà không có rủi ro về bảo mật. Hướng dẫn cũng cho biết mọi dữ liệu được lưu trữ trên thiết bị phải được lưu trữ an toàn - với một phương tiện dễ dàng giúp người tiêu dùng xóa dữ liệu của họ nếu họ chọn làm như vậy.
Nhìn chung, quy tắc thực hành Secure by Design có 13 đề xuất cho các nhà sản xuất thiết bị IoT để giữ cho khách hàng của họ an toàn - và tuân thủ GDPR.
Hy vọng rằng các nhà bán lẻ cũng sẽ lưu ý quy định này và chỉ bán các thiết bị tuân theo các khuyến nghị đó.
Tiến sĩ Ian Levy, giám đốc kỹ thuật của NCSC cho biết: “Với số lượng thiết bị kết nối mà tất cả chúng ta sử dụng ngày càng tăng, đây là thời điểm thích hợp nhất để Quy tắc Thực hành hàng đầu thế giới này được ban hành”.
"NCSC cam kết trao quyền cho người tiêu dùng để họ đưa ra quyết định sáng suốt về an ninh dù cho họ mua đồng hồ thông minh, ấm đun nước hay búp bê. Chúng tôi muốn các nhà bán lẻ chỉ bán thiết bị được kết nối internet đáp ứng các nguyên tắc này để người tiêu dùng Anh tin tưởng các công nghệ mà họ mang vào nhà của họ sẽ được hỗ trợ phù hợp trong suốt cuộc đời của mình."ông nói thêm.
Hiện tại, hai nhà sản xuất công nghệ đã công khai cam kết tuân theo quy tắc thực hành một cách tự nguyện - Centrica Hive và HP. Nhưng đó chỉ là hai trong một biển lớn các nhà sản xuất sản phẩm IoT - nhiều trong số đó có thể chọn bỏ qua các khuyến nghị.
"Mặc dù chắc chắn đó là một bước đi đúng hướng khi chính phủ Anh ban hành một quy tắc thực hành để giúp các nhà sản xuất cải thiện tính bảo mật của các thiết bị kết nối internet nhưng không chắc ngành công nghiệp sẽ hành động theo vì nó là tự nguyện" John Sheehy, phó chủ tịch chiến lược của công ty bảo mật mạng IOActive cho biết.
"Thật không may, nhiều nhà sản xuất các thiết bị IoT quan tâm đến việc có được một sản phẩm khả dụng tối thiểu với thị trường hơn là quan tâm đến việc sản phẩm có an toàn hay không. Kết quả là, nhiều thiết bị IoT đẩy chủ sở hữu của họ đến các rủi ro đáng kể", ông nói thêm.
Mặc dù các tổ chức có thể chọn bỏ qua các hướng dẫn, nhưng việc họ chọn không áp dụng Secure by Design ngay từ đầu sẽ đặt họ - và người dùng của mình – vào rủi ro bị tin tặc tấn công.
Trước đây, chính phủ đã đề xuất rằng có thể sẽ "xem xét việc đưa các nguyên tắc này thành bắt buộc thông qua luật" nếu các nhà sản xuất không thực hiện các nguyên tắc này.
Vương quốc Anh không đơn độc trong nỗ lực bảo vệ Internet of Things - ENISA, cơ quan an ninh mạng của Liên minh châu Âu, cũng đang hướng tới xây dựng luật trong lĩnh vực này trong khi chính phủ Hoa Kỳ cũng đang tìm cách điều chỉnh IoT trong nỗ lực bảo vệ chống lại tấn công mạng.
Quy tắc thực hành này có thể đóng một vai trò quan trọng trong việc định hình một nỗ lực quốc tế về cải thiện an ninh IoT. Vương quốc Anh đang hướng tới việc đưa quy tắc thực hành này và xây dựng một tiêu chuẩn quốc tế có thể được công nhận và thực thi trên toàn thế giới.
Để thực hiện điều đó, quy tắc thực hành đã được dịch ra sang tiếng Pháp, tiếng Đức, tiếng Nhật, tiếng Hàn, tiếng Quan Thoại, tiếng Bồ Đào Nha và tiếng Tây Ban Nha.