Sự phát triển mạnh mẽ của công nghệ Internet vạn vật (IoT) kết hợp với mạng 5G, điện toán đám mây và dữ liệu lớn đang mang lại những chuyển đổi lớn lao cho các doanh nghiệp và người tiêu dùng. Theo dự báo của Tập đoàn Dữ liệu Quốc tế (International Data Corporation), đến năm 2025 sẽ có hơn 40 tỷ thiết bị IoT được triển khai trên toàn thế giới. Các thiết bị này sẽ thu thập một lượng dữ liệu kỷ lục - 79 zetabytes (ZB) [1].
Những ứng dụng IoT đang xuất hiện ngày càng nhiều, trong đời sống hàng ngày (camera giám sát, các thiết bị điều khiển nhà thông minh) cũng như trong các hoạt động xã hội thiết yếu (giám sát ô nhiễm môi trường, điều hành giao thông và các phương tiện công cộng, xử lý rác thải, cung cấp nước, điện và ga). Trong công nghiệp, IoT được sử dụng rộng rãi trong kiểm soát, điều hành nhà máy và các dây chuyền sản xuất. Trong tương lai, IoT là một thành phần thiết yếu của hệ sinh thái công nghiệp 4.0 cũng với trí tuệ nhân tạo. Cùng với việc triển khai công nghệ 5G, các thiết bị IoT sẽ có mặt ở mọi lúc, mọi nơi của đời sống xã hội.
Mặt khác, những ứng dụng IoT cũng chứa đựng nhiều mối đe dọa mới về bảo mật. Đó có thể là rò rỉ thông tin cá nhân của người nổi tiếng thông qua camera giám sát. Đó cũng có thể là mất kiểm soát một dây chuyền công nghiệp dẫn đến hậu quả nghiêm trọng. Một hệ thống điều hành giao thông bị tin tặc tấn công có thể làm tê liệt cả một đô thị lớn. Làm thế nào để đảm bảo độ tin cậy cho các ứng dụng IoT? Đây là một câu hỏi không dễ dàng cho tất cả các xã hội hiện đại trong thời điểm hiện nay.
Hình 1. Những thành phần chính của một hệ sinh thái IoT
Những thành phần của một hệ sinh thái IoT được trình bày trên Hình 1. Những thiết bị IoT (như camera, cảm ứng, đồng hồ đo) triển khai trên thực địa, nhờ cảm biến (sensor/actuator) truyền số liệu thu thập được tới cổng mạng (gateway) hoặc truyền trực tiếp thông qua mạng truyền thông (3G/4G/5G) đến mạng lõi (core network). Từ đây, các thông tin này sẽ được đi đến các máy chủ (server) trên môi trường điện toán đám mây. Những số liệu này sẽ được khai thác bởi các ứng dụng trung gian (application): mỗi ứng dụng cung cấp một hay nhiều dịch vụ giá trị gia tăng. Những dịch vụ này có thể là tính hóa đơn (điện, nước, ga), giám sát và điều khiển (giao thông, ô nhiễm môi trường), can thiệp tại chỗ (camera chống trộm). Những ứng dụng trung gian cũng dùng mạng truyền thông để gửi các mệnh lệnh điều khiển xuống các thiết bị IoT.
Hệ sinh thái IoT có thể bị tấn công từ nhiều hướng khác nhau. Tin tặc có thể chiếm quyền điều khiển các thiết bị IoT triển khai trên thực địa. Tin tặc cũng có thể tập trung tấn công vào các máy chủ trên môi trường điện toán đám mây. Một số hệ sinh thái IoT đã bị tin tặc chiếm và lợi dụng để tấn công các hệ thống thông tin khác (ví dụ như tấn công từ chối truy cập thông qua hệ thống đèn giao thông).
Những hiểm họa này là đáng lo ngại vì bảo mật thường ít được chú trọng trong quá trình phát triển các ứng dụng IoT. Thống kê của các công ty chuyên ngành cho thấy, phần lớn các thiết bị IoT có những lỗ hổng bảo mật phần mềm nghiêm trọng như:
Đối với phần cứng, để giảm chi phí tối đa, nhiều thiết bị IoT sử dụng một dây chuyền cung cấp (supply chain) phức tạp khó kiểm soát chất lượng. Khi phần cứng chứa lỗ hổng an toàn thì không có cách nào để sửa chữa các thiết bị đã được triển khai trên thực địa. Ví dụ, tháng 9/2019, một lỗ hổng bảo mật (Checkm8) được công bố trên các bộ vi xử lý do Apple thiết kế (từ A5 đến A11) cho phép vô hiệu hóa các cơ chế bảo mật bằng phần mềm. Lỗ hổng này được đánh giá là không sửa chữa được.
Xây dựng và triển khai những phương pháp kiểm định an toàn thông tin độc lập là giải pháp lâu dài để nâng cao độ tin cậy các ứng dụng IoT. Cách tiếp cận này dựa trên những nguyên tắc cơ bản sau:
Kiểm định an toàn thông tin có thể làm theo nhiều phương pháp khác nhau: (a) hộp đen (black box) – nhà sản xuất không cung cấp thông tin về sản phẩm, cơ quan kiểm định tự tìm hiểu để kiểm định sản phẩm, (b) hộp trắng (white box) – nhà sản xuất cung cấp thông tin về sản phẩm kể cả mã nguồn, (c) hộp xám (grey box) – kết hợp giữa hai phương pháp trên.
Nguyên tắc 4 thể hiện sự khác nhau giữa kiểm định độc lập và quá trình tìm lỗi lấy thưởng (Bug Bounty). Trong khi Bug Bounty (thường là hộp đen) là cách tiếp cận theo chiều sâu trong khoảng thời gian ngắn nhất để xác định một vài lỗi thì kiểm định là cách tiếp cận theo chiều rộng với lượng thời gian cần thiết để đánh giá mức độ an toàn chung của sản phẩm.
Common Criteria (ISO/IEC15408) [2] là bộ chuẩn kiểm định an toàn đang được trển khai rộng rãi nhất trên thê giới. Một sản phẩm đã được kiểm định theo chuẩn Common Criteria được công nhận về độ tin cậy tại hơn 30 nước tham gia liên minh. Nhược điểm của Common Criteria là chi phí cao và thiếu độ mềm dẻo cần thiết để triển khai trên những công nghệ mới, biến động nhanh như IoT. Thật vậy, một dự án Common Criteria thường kéo dài ít nhất 6 tháng, kết hợp cả kiểm thử xâm nhập (pentest) trên sản phẩm mẫu và phân tích một lượng tài liệu lớn (conformity). Đối với các sản phẩm có vòng đời ngắn như IoT, đây là một thách thức lớn vì phiên bản sản phẩm kiểm định xong rất có thể không còn được sử dụng nữa.
Đáp ứng sự bùng nổ của các ứng dụng IoT, các nước châu Âu đang xây dựng nhiều phương pháp kiểm định linh hoạt với chi phí thấp hơn. Một trong các phương pháp thành công nhất là CSPN (Certification de Sécurité de Premier Niveau - Chứng chỉ an toàn cấp cơ sở), được triển khai ở Pháp từ năm 2008 và đang được “xuất khẩu” sang các nước lân cận như Đức, Hà Lan và Tây Ban Nha. Một dự án CSPN không kéo dài quá 8 tuần: kiểm định CPSN tập trung nỗ lực vào quá trình pentest, trong khi giảm tối thiểu công đoạn phân tích tài liệu. Về chi phí, khối lượng công việc chuẩn của một dự án CSPN là 25 ngày (man-day): trên thực tế khối lượng này giao động giữa 15 và 50 ngày tùy theo độ phức tạp của sản phẩm.
Do sự đa dạng của các ứng dụng IoT, một phương pháp kiểm định duy nhất khó có thể đạt hiệu quả cao. Thay vào đó, cần có nhiều phương pháp đa dạng. Tại châu Âu, sự ra đời gần đây của Bộ luật an toàn thông tin EU (EU Cybersececurity Act - CSA) [4] cung cấp một thiết chế minh bạch cho việc xây đựng và triển khai các phương pháp kiểm định thích hợp với từng lĩnh vực sản phẩm và dịch vụ. Theo Bộ luật an toàn thông tin, các lĩnh vực của nền kinh tế số được chia làm ba loại khác nhau dựa theo yêu cầu về độ tin cậy:
Để đạt được độ tin cậy cao và trung bình, sản phẩm và dịch vụ phải được kiểm định an toàn bởi một cơ quan độc lập có đủ kỹ năng và chất lượng (theo chuẩn chất lượng ISO17025).
Với Bộ luật an toàn thông tin, cộng đồng châu Âu hướng tới nâng cao độ tin cậy cho các sản phẩm và dịch vụ số đồng thời kích thích sự phát triển của một hệ sinh thái an toàn thông tin với các thành phần thiết yếu sau đây:
Nhiệm vụ của những cơ quan chính phủ là áp dụng luật để đảm bảo tính công bằng của luật chơi trên toàn hệ sinh thái. Hệ sinh thái an toàn thông tin không những nâng cao độ tin cậy của các sản phẩm “Made in EU” mà còn duy trì sự phát triển nhân lực an toàn thông tin, đảm bảo tính độc lập về công nghệ của liên minh châu Âu trên một lĩnh vực đang có cạnh tranh quốc tế quyết liệt [5]. Theo dự đoán, đến năm 2022, Cộng đồng châu Âu sẽ thiếu 350 nghìn chuyên gia về an toàn thông tin. Trên quy mô toàn thế giới, mức thiếu hụt về nhân lực lên tới 2 triệu người [5].
Sự phát triển mạnh mẽ và đa dạng của các ứng dụng IoT là xu hướng công nghệ tất yếu ở Việt nam. Tuy nhiên, nếu quá trình này không được theo dõi và giám sát thì thị trường trong nước sẽ dễ dàng rơi vào bẫy của giới tin tặc quốc tế. Theo báo cáo gần đây nhất của hãng tư vấn Kapersky, Việt Nam hiện đứng thứ hai thế giới (chỉ sau Afghanistan) về nguy cơ lây nhiễm mã độc trên máy tính cá nhân [6]. Những rủi ro an toàn thông tin cũng có thể xem là một cơ hội phát triển mới cho đất nước. Thật vậy, một thiết chế nhà nước linh hoạt và hiệu quả sẽ kích thích sự ra đời và phát triển của một hệ sinh thái an toàn thông tin trong nước. Hệ sinh thái này không những nâng cao độ tin cậy của các sản phẩn và dịch vụ mà còn nuôi dưỡng nguồn nhân lực tài năng trong nước, giảm thiểu sự phụ thuộc vào công nghệ nước ngoài và tăng cường sức mạnh của đất nước về an toàn thông tin.
Hình 2. Hệ sinh thái An toàn thông tin
Hình 2 trình bày những thành phần chủ yếu của một hệ sinh thái an toàn thông tin trong nước (có thể áp dụng cho lĩnh vực IoT hoặc rộng hơn trên toàn bộ nền kinh tế số). Vai trò của thiết chế cấp Nhà nước là tác động đúng hướng vào các bánh răng để kích hoạt và vận hành cỗ máy. Những hành động kịp thời của thiết chế như thiết lập yêu cầu về độ tin cậy cho từng lĩnh vực ứng dụng, xây dựng luật chơi công bằng và minh bạch cho công tác kiểm định và đào tạo, chuyển giao công nghệ (thông qua hệ thống chuyên gia trong và ngoài nước) chính là nguồn nguyên liệu cho sự vận hành trôi chảy của hệ sinh thái.
TS. Nguyễn Quang Huy, Giám đốc Cơ quan kiểm định an toàn thông tin Trusted Labs, Tập đoàn Thales (CH Pháp)
15:00 | 19/04/2021
09:00 | 25/05/2021
16:00 | 11/12/2020
08:00 | 30/03/2020
15:00 | 18/02/2020
14:00 | 27/05/2021
09:00 | 18/06/2021
09:00 | 11/10/2024
Microsoft vừa công bố phát hành Windows 11 với phiên bản 24H2, đây là bản cập nhật tính năng tiếp theo cho hệ điều hành này (còn được gọi là Windows 11 2024 Update).
16:00 | 23/09/2024
Quy định Bảo vệ Dữ liệu chung (GDPR) của Liên minh châu Âu là văn bản pháp lý quan trọng, hình mẫu cho các nước, khu vực khác trong việc bảo vệ dữ liệu. Tuy nhiên, việc tuân thủ GDPR sẽ đòi hỏi các tổ chức phải đầu tư kinh phí bổ sung, tăng cường nhân lực dành cho xử lý dữ liệu. Dưới đây là hướng dẫn 12 bước triển khai GDPR cho tổ chức do Ủy ban Bảo vệ Dữ liệu công bố.
16:00 | 09/08/2024
Hiện nay, lĩnh vực thương mại điện tử đang trở nên phổ biến và phát triển mạnh mẽ, phục vụ nhu cầu mua sắm, trao đổi hàng hóa và dịch vụ cho hàng tỉ người dùng trên toàn cầu thông qua phương tiện điện tử và Internet. Những thách thức chính mà thương mại điện tử phải đối mặt hiện nay đó là các hình thức lừa đảo qua mạng và đánh cắp thông tin người dùng. Bài báo này trình bày những thách thức, yêu cầu đặt ra và những giải pháp an toàn cơ bản cho hệ thống thương mại điện tử hiện nay.
10:00 | 10/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trí tuệ nhân tạo (AI) đang ngày càng phát triển và được áp dụng trong nhiều lĩnh vực của đời sống. Thậm chí đối với những lĩnh vực đòi hỏi trình độ cao của con người như lập trình hay bảo mật, AI cũng đang chứng minh khả năng vượt trội của mình. Với sự trợ giúp của AI, Google đã phát hiện một lỗ hổng bảo mật tồn tại hơn 20 năm trong dự án phần mềm mã nguồn mở được sử dụng rộng rãi.
13:00 | 02/12/2024