Tiêu chuẩn cho bảo mật IoT là gì?

Hiện tại, việc mua một sản phẩm IoT giống như việc xăm mình: bạn muốn có một hình xăm bởi vì chúng rất tuyệt và tất cả bạn bè của bạn đều có chúng, nhưng tiêu chuẩn chất lượng nào dành cho mực được sử dụng và trình độ nghệ thuật của nghệ sĩ? Tương tự như vậy, không có tiêu chuẩn cho vấn đề bảo mật IoT cũng như và bất kỳ điểm hấp dẫn bề ngoài nào của các thiết bị IoT, điều này có nghĩa là không có gì để đảm bảo rằng bạn sẽ không nhận được nhiều hơn những gì bạn đã trả.

Điều đó không có nghĩa là mọi thiết bị đều có nguy cơ, nhưng người tiêu dùng cần phải biết họ đang chào đón những gì vào nhà của họ và hiểu rằng mọi thiết bị được tích hợp một cách không an toàn mà họ kết nối với internet đều là mục tiêu tiềm năng cho các cuộc tấn công. Điều này có thể bao gồm việc theo dõi người dùng và gia đình của họ, như đã được nêu bật trong một chương trình Panorama gần đây, hay việc chèn phần mềm độc hại hoặc ăn cắp dữ liệu của người dùng hoặc thậm chí sử dụng thiết bị của họ để cấp nguồn cho cuộc tấn công DDoS.

Ngoài ra còn có các trường hợp ngẫu nhiên do các phần mềm phụ trợ không đầy đủ. Tại thời điểm này, các nhà sản xuất không cần phải cung cấp bất kỳ sự đảm bảo nào về sự an toàn của thiết bị của họ ngoài việc tuân thủ các yêu cầu về nguồn điện.

Vào tháng 3 năm 2018, chính phủ Anh đã công bố dự thảo mã thực hành cho các sản phẩm IoT trong báo cáo An toàn từ Thiết kế (Secure by Design), mặc dù đây vẫn là một công việc đang được tiến hành. Vào tháng 6, EU đã thông báo rằng họ đang tạo ra một khung chứng nhận an toàn không gian mạng được thiết kế để giúp đảm bảo việc tuân thủ các yêu cầu bảo mật mạng được chỉ định. Tuy nhiên, không có hạn định khi nào việc này sẽ được triển khai, và có những cảnh báo trước.

Chứng nhận sẽ là tùy chọn trừ khi được quy định theo yêu cầu pháp lý theo luật của EU hoặc luật thành viên của Nhà nước, vì vậy có thể không áp dụng cho các sản phẩm được phát triển hoặc bán ở Vương quốc Anh và ở cấp độ chứng nhận cơ sở, nhà sản xuất hoặc nhà cung cấp dịch vụ tự mình thực hiện đánh giá sự phù hợp.

Theo quan điểm của tôi, trách nhiệm cần phải được quy định rõ ràng đối với các nhà sản xuất các sản phẩm IoT. Họ cần phải đảm bảo sự an toàn của thiết bị họ bán, cũng giống như các nhà sản xuất xe hơi nên đảm bảo rằng chiếc xe của họ được an toàn. Sau khi tất cả, các nhà sản xuất là những người được hưởng lợi từ IoT, ví dụ như khi một chiếc xe sẽ cho họ biết rằng nó cần một dịch vụ.

Thiết bị thực hiện báo cáo trở lại cơ sở là một lợi thế to lớn cho nhà sản xuất: khu cung cấp cho người dùng một sản phẩm, họ thu được khối lượng lớn dữ liệu về hành vi của người dùng một cách miễn phí - dữ liệu họ có thể sử dụng để giúp tạo ra thế hệ sản phẩm kế tiếp thông minh hơn. Nếu cơ sở của họ nằm ngoài EU, dữ liệu được gửi ở đây sẽ không bị chi phối bởi GDPR (Luật bảo vệ dữ liệu chung), do đó không có đảm bảo về bảo mật thông tin cá nhân của người dùng.

Có một số bước mà các nhà sản xuất cần phải thực hiện. Đầu tiên, họ có bất kỳ đảm bảo nào về tính bảo mật của các thành phần mà họ sử dụng không? Chúng tôi đã thấy những trường hợp camera CCTV của Trung Quốc có thể chứa 'cửa sau' (back door) cho phép truy cập trái phép qua internet.

Các nhà sản xuất cần phải tự đảm bảo rằng không chỉ phần mềm của riêng họ mà tất cả các thành phần đều an toàn, và họ nên thực hiện các cuộc kiểm tra và chứng nhận của riêng mình trước khi sản phẩm được tung ra thị trường. Giấy chứng nhận của EU có thể trợ giúp các nhà sản xuất ở đây, bằng cách cung cấp các tiêu chuẩn, tuy nhiên vẫn không phải trong hiện tại.

Thứ hai, các nhà sản xuất cần cung cấp các bản sửa lỗi, chẳng hạn như cập nhật phần mềm, nếu các vấn đề nghiêm trọng về an toàn được xác định sau sản xuất. Chúng ta đã quen thuộc với những điều này thông qua điện thoại di động của mình và nên người dùng có thể mong đợi tương tự cho các tiện ích IoT. Tuy nhiên, điều này vẫn còn hiếm.

Trong lĩnh vực CCTV, ví dụ, cập nhật phần mềm tự động gần như chưa từng thấy, và nhiều nhà sản xuất đưa vào phần mềm cửa sau, thường được tiết lộ trên internet.

Thứ ba, các nhà sản xuất cần phải giao tiếp thường xuyên với người dùng của họ. Họ nên giải thích các biện pháp bảo mật mà họ triển khai, và cho người dùng biết họ nên làm gì để đảm bảo thiết bị của họ được bảo mật, chẳng hạn như thay đổi mật khẩu mặc định.

Tôi rất ngạc nhiên khi biết rằng có nhiều cảnh báo bức xạ vi sóng từ màn hình có thể có hại, nhưng khá ít người xem xét những rủi ro an ninh mạng thực tế mà các thiết bị này có thể gây ra.

Nhiều nhà sản xuất các sản phẩm IoT chi phí thấp như camera IP xem bảo mật là một loại chi phí, chi phí cản trở việc bán hàng và làm phức tạp các thủ tục hỗ trợ kỹ thuật hoặc ngăn họ bán các sản phẩm thế hệ tiếp theo.

Tôi hy vọng rằng với những lo ngại ngày càng tăng về an ninh và sự phát triển của các tiêu chuẩn này sẽ nhanh chóng thay đổi, và các nhà sản xuất sẽ bắt đầu xem bảo mật mạng như là tính năng giá trị gia tăng quan trọng.