Khi bảo mật không theo kịp tốc độ phát triển
Mạng lưới vạn vật kết nối Internet đã và đang mang lại sự thoải mái và nhiều tính năng mới thú vị cho mọi người: Các hệ thống Smart Home làm cho cuộc sống của bạn dễ dàng hơn và sẽ giúp bạn sống khỏe mạnh hơn. nhưng đi đôi với những lợi thế luôn luôn có nhữn điểm yếu. An ninh CNTT là một vấn đề lớn đối với rất nhiều các thiết bị, đôi khi chỉ tồn tại duy nhất một mình và đôi khi bị thiết kế hoặc thực hiện kém hiệu quả.
Trong năm 2013, các chuyên gia đã bắt đầu xem xét các loại thiết bị khác nhau và kể từ đó phân tích hơn 30 sản phẩm. Và, họ phát hiện ra nhiều lỗ hổng để tin tặc có thể truy cập trái phép vào dữ liệu hoặc thậm chí các thao tác dữ liệu và chức năng của các thiết bị.
Tại thời điểm hiện tại, giới tin tặc đã phát triển đến một cột mốc rất nguy hiểm, chúng sẽ không tấn công nạn nhân cho vui như trước đây mà sẽ sử dụng dữ liệu thu thập được để kiếm tiền và tiến tới có thể tìm ra một mô hình kinh doanh khi tấn công các thiết bị
Chỉ trong năm 2015, hàng loạt vụ bê bối liên quan đến các thiết bị thông minh được phơi bày. Đó, là việc Fiat Chrysler Automobiles đã ra lệnh triệu hồi hơn 1,4 triệu xe tiềm ẩn nguy cơ bị hacker tấn công; Đó là việc Forbes công bố một nghiên cứu từ công ty tư vấn phân tích bảo mật Rapid7 cho biết, hầu hết sản phẩm camera giám sát trẻ em trên thị trường hiện nay đều có thể dễ dàng bị xâm nhập từ trình duyệt web. Hay Cục Y tế Liên bang Mỹ đã phải ra khuyến cáo người dùng không nên dùng máy trợ tim có kết nối mạng bởi nguy cơ tin tặc chiếm quyền điều khiển, gây ra những hậu quả đáng tiếc. Và, đó là việc người ta cảnh báo các hãng hàng không cho phép triển khai wifi trên các chuyến bay sẽ trở thành miếng mồi ngon cho các tổ chức khủng bố.
Các nhà khoa học của AVTest đã tiến hành nghiên cứu các sản phẩm IoT và nhận thấy, nhiều thiết bị đã lặp lại những sai lầm của 10 hay 15 năm trước đây trong lĩnh vực CNTT truyền thống. Lý do được biện hộ, đó là việc sửa chữa lại luôn phức tạp và có chi phí đắt đỏ. Vì vậy, họ dường như chấp nhận những sai lầm đó. Thậm chí, nhiều nhà cung cấp còn đưa ra câu hỏi: “Vì sao người ta lại phải đột nhập vào một thiết bị IoT (Ví dụ như bộ theo dõi sức khỏe)?” để biện hộ cho sự lỏng lẻo trong công tác bảo mật của mình.
Đáp án nào cho sự an toàn IoT?
Theo ông Triệu Trần Đức – Giám đốc AVAR tại Việt Nam - Tổng Giám đốc Công ty Cổ phần An ninh An toàn Thông tin CMC (CMC Infosec), số tiền mà các hacker, tội phạm mạng thu về từ việc phát tán mã độc, virus đã lên đến 1500 tỷ USD, cao gấp 30 lần so với lợi nhuận của các công ty bảo mật, an ninh mạng vì vậy chúng không tiếc tiền để đầu tư nhằm phát triển các công cụ tấn công ngày càng tinh vi, dẫn đến một kỷ nguyên chiến tranh mạng.
Bởi vậy, sẽ không có bất cứ một câu trả lời cụ thể cho việc giữ an toàn trong thế giới mạng. Nhiều nhà cung cấp IoT đã bỏ ra nhiều nỗ lực để thực hiện an ninh, nhưng đều không thành công, ví dụ như thực hiện việc mã hóa riêng thay vì sử dụng các thư viện có sẵn.
Để đi tìm câu trả lời cho công tác bảo mật, các nhà cung cấp cần phải làm rõ họ đang hướng tới cái gì? Vấn đề an ninh trong các thiết bị hay dữ liệu nhạy cảm có thể bị lạm dụng? Để từ đó đặt ra được câu hỏi mà từ đây, sẽ xây dựng được một tấm lá chắn, đó là: Những loại dữ liệu được chia sẻ? Nhạy cảm hay không nhạy cảm? và ai có thể có được quyền truy cập vào các dữ liệu và các thiết bị? Bên thứ ba được ủy quyền hay không ủy quyền?
Sẽ có những phương pháp tiếp cận khác nhau để đối phó với hai vấn đề này. Và, chắc chắn sẽ có rất nhiều cải tiến công nghệ xuất hiện để giảm thiểu nguy cơ lỗ hổng bảo mật trong các sản phẩm, điều này bao gồm việc mô hình hóa nguy cơ: Hãy nhận biết các bề mặt tấn công của thiết bị là và những loại dữ liệu đang được tạo ra/thu thập; An ninh được tạo ra từ quá trình thiết kế: An ninh là một phần không thể thiếu trong quá trình phát triển và thực hiện.
Để giải quyết điều này, cần các nhà sản xuất phải thực hiện mạnh mẽ, liên kết chặt chẽ với các tổ chức bảo mật uy tín bởi không phải tất cả các nhà cung cấp đều sở hữu đội ngũ chuyên gia về an ninh CNTT. Đôi khi, không thể sửa chữa các vấn đề trong một sản phẩm, vì một lý do nào đó. Trong trường hợp này, các bên thứ 3 có thể cung cấp các giải pháp như thiết bị an ninh bảo vệ các mạng mà tại đó thiết bị IoT được vận hành, ví dụ là các phần mềm bảo mật trên các thiết bị được sử dụng để truy cập các thiết bị như điện thoại thông minh, máy tính bảng và máy tính.
Và, trong cuộc chiến toàn cầu này, không chỉ các doanh nghiệp tham gia mà còn cần sự hành động của các quốc gia mà 2 vấn đề lớn nhất cần được bàn bạc và thống nhất. Đầu tiên, đó là Luật Bảo mật: Nó sẽ quy định về dữ liệu gì được cho phép để nhận?; Dữ liệu gì được cho phép để được truyền?; Dữ liệu gì được cho phép để được xử lý?; Ai được phép thu thập dữ liệu?; Ai được phép nhận dữ liệu?; Những gì được phép làm với dữ liệu? và, đây có phải là opt-in, opt-out hoặc thậm chí bắt buộc?
Vấn đề thứ hai, đó là việc đào tạo kiến thức cho người dùng. Phải phổ biến về tình trạng lạm dụng có thể có đối với dữ liệu của họ, đồng thời cung cấp các hướng dẫn về cách bảo mật hệ thống và thiết bị của họ.
Một câu hỏi nên được đặt ra là liệu người dùng nên từ bỏ hoàn toàn các thiết bị IoT? Câu trả lời là: Không. Thậm chí nếu bạn muốn, bạn có thể không có khả năng bởi vì bạn sẽ không thể sống mà không có các thiết bị IoT dù sớm hay muộn. Nhưng bạn nên biết những rủi ro tồn tại xung quanh các thiết bị IoT. Ngoài ra chúng có thực sự là các thiết bị an toàn và chúng ta đang nhìn thấy những cải tiến trong việc thực hiện bảo mật. Ngay bây giờ không có nhiều cuộc tấn công trong thế giới thực.
Và, tội phạm mạng sẽ có nhiều cách sáng tạo hơn và tốt hơn trong việc tìm kiếm cách để kiếm tiền từ dữ liệu của bạn. Bởi vậy, hãy luôn luôn đề phòng.