Sự phát triển mạnh mẽ của công nghệ Internet vạn vật (IoT) kết hợp với mạng 5G, điện toán đám mây và dữ liệu lớn đang mang lại những chuyển đổi lớn lao cho các doanh nghiệp và người tiêu dùng. Theo dự báo của Tập đoàn Dữ liệu Quốc tế (International Data Corporation), đến năm 2025 sẽ có hơn 40 tỷ thiết bị IoT được triển khai trên toàn thế giới. Các thiết bị này sẽ thu thập một lượng dữ liệu kỷ lục - 79 zetabytes (ZB) [1].
Những ứng dụng IoT đang xuất hiện ngày càng nhiều, trong đời sống hàng ngày (camera giám sát, các thiết bị điều khiển nhà thông minh) cũng như trong các hoạt động xã hội thiết yếu (giám sát ô nhiễm môi trường, điều hành giao thông và các phương tiện công cộng, xử lý rác thải, cung cấp nước, điện và ga). Trong công nghiệp, IoT được sử dụng rộng rãi trong kiểm soát, điều hành nhà máy và các dây chuyền sản xuất. Trong tương lai, IoT là một thành phần thiết yếu của hệ sinh thái công nghiệp 4.0 cũng với trí tuệ nhân tạo. Cùng với việc triển khai công nghệ 5G, các thiết bị IoT sẽ có mặt ở mọi lúc, mọi nơi của đời sống xã hội.
Mặt khác, những ứng dụng IoT cũng chứa đựng nhiều mối đe dọa mới về bảo mật. Đó có thể là rò rỉ thông tin cá nhân của người nổi tiếng thông qua camera giám sát. Đó cũng có thể là mất kiểm soát một dây chuyền công nghiệp dẫn đến hậu quả nghiêm trọng. Một hệ thống điều hành giao thông bị tin tặc tấn công có thể làm tê liệt cả một đô thị lớn. Làm thế nào để đảm bảo độ tin cậy cho các ứng dụng IoT? Đây là một câu hỏi không dễ dàng cho tất cả các xã hội hiện đại trong thời điểm hiện nay.
Hình 1. Những thành phần chính của một hệ sinh thái IoT
Những thành phần của một hệ sinh thái IoT được trình bày trên Hình 1. Những thiết bị IoT (như camera, cảm ứng, đồng hồ đo) triển khai trên thực địa, nhờ cảm biến (sensor/actuator) truyền số liệu thu thập được tới cổng mạng (gateway) hoặc truyền trực tiếp thông qua mạng truyền thông (3G/4G/5G) đến mạng lõi (core network). Từ đây, các thông tin này sẽ được đi đến các máy chủ (server) trên môi trường điện toán đám mây. Những số liệu này sẽ được khai thác bởi các ứng dụng trung gian (application): mỗi ứng dụng cung cấp một hay nhiều dịch vụ giá trị gia tăng. Những dịch vụ này có thể là tính hóa đơn (điện, nước, ga), giám sát và điều khiển (giao thông, ô nhiễm môi trường), can thiệp tại chỗ (camera chống trộm). Những ứng dụng trung gian cũng dùng mạng truyền thông để gửi các mệnh lệnh điều khiển xuống các thiết bị IoT.
Hệ sinh thái IoT có thể bị tấn công từ nhiều hướng khác nhau. Tin tặc có thể chiếm quyền điều khiển các thiết bị IoT triển khai trên thực địa. Tin tặc cũng có thể tập trung tấn công vào các máy chủ trên môi trường điện toán đám mây. Một số hệ sinh thái IoT đã bị tin tặc chiếm và lợi dụng để tấn công các hệ thống thông tin khác (ví dụ như tấn công từ chối truy cập thông qua hệ thống đèn giao thông).
Những hiểm họa này là đáng lo ngại vì bảo mật thường ít được chú trọng trong quá trình phát triển các ứng dụng IoT. Thống kê của các công ty chuyên ngành cho thấy, phần lớn các thiết bị IoT có những lỗ hổng bảo mật phần mềm nghiêm trọng như:
Đối với phần cứng, để giảm chi phí tối đa, nhiều thiết bị IoT sử dụng một dây chuyền cung cấp (supply chain) phức tạp khó kiểm soát chất lượng. Khi phần cứng chứa lỗ hổng an toàn thì không có cách nào để sửa chữa các thiết bị đã được triển khai trên thực địa. Ví dụ, tháng 9/2019, một lỗ hổng bảo mật (Checkm8) được công bố trên các bộ vi xử lý do Apple thiết kế (từ A5 đến A11) cho phép vô hiệu hóa các cơ chế bảo mật bằng phần mềm. Lỗ hổng này được đánh giá là không sửa chữa được.
Xây dựng và triển khai những phương pháp kiểm định an toàn thông tin độc lập là giải pháp lâu dài để nâng cao độ tin cậy các ứng dụng IoT. Cách tiếp cận này dựa trên những nguyên tắc cơ bản sau:
Kiểm định an toàn thông tin có thể làm theo nhiều phương pháp khác nhau: (a) hộp đen (black box) – nhà sản xuất không cung cấp thông tin về sản phẩm, cơ quan kiểm định tự tìm hiểu để kiểm định sản phẩm, (b) hộp trắng (white box) – nhà sản xuất cung cấp thông tin về sản phẩm kể cả mã nguồn, (c) hộp xám (grey box) – kết hợp giữa hai phương pháp trên.
Nguyên tắc 4 thể hiện sự khác nhau giữa kiểm định độc lập và quá trình tìm lỗi lấy thưởng (Bug Bounty). Trong khi Bug Bounty (thường là hộp đen) là cách tiếp cận theo chiều sâu trong khoảng thời gian ngắn nhất để xác định một vài lỗi thì kiểm định là cách tiếp cận theo chiều rộng với lượng thời gian cần thiết để đánh giá mức độ an toàn chung của sản phẩm.
Common Criteria (ISO/IEC15408) [2] là bộ chuẩn kiểm định an toàn đang được trển khai rộng rãi nhất trên thê giới. Một sản phẩm đã được kiểm định theo chuẩn Common Criteria được công nhận về độ tin cậy tại hơn 30 nước tham gia liên minh. Nhược điểm của Common Criteria là chi phí cao và thiếu độ mềm dẻo cần thiết để triển khai trên những công nghệ mới, biến động nhanh như IoT. Thật vậy, một dự án Common Criteria thường kéo dài ít nhất 6 tháng, kết hợp cả kiểm thử xâm nhập (pentest) trên sản phẩm mẫu và phân tích một lượng tài liệu lớn (conformity). Đối với các sản phẩm có vòng đời ngắn như IoT, đây là một thách thức lớn vì phiên bản sản phẩm kiểm định xong rất có thể không còn được sử dụng nữa.
Đáp ứng sự bùng nổ của các ứng dụng IoT, các nước châu Âu đang xây dựng nhiều phương pháp kiểm định linh hoạt với chi phí thấp hơn. Một trong các phương pháp thành công nhất là CSPN (Certification de Sécurité de Premier Niveau - Chứng chỉ an toàn cấp cơ sở), được triển khai ở Pháp từ năm 2008 và đang được “xuất khẩu” sang các nước lân cận như Đức, Hà Lan và Tây Ban Nha. Một dự án CSPN không kéo dài quá 8 tuần: kiểm định CPSN tập trung nỗ lực vào quá trình pentest, trong khi giảm tối thiểu công đoạn phân tích tài liệu. Về chi phí, khối lượng công việc chuẩn của một dự án CSPN là 25 ngày (man-day): trên thực tế khối lượng này giao động giữa 15 và 50 ngày tùy theo độ phức tạp của sản phẩm.
Do sự đa dạng của các ứng dụng IoT, một phương pháp kiểm định duy nhất khó có thể đạt hiệu quả cao. Thay vào đó, cần có nhiều phương pháp đa dạng. Tại châu Âu, sự ra đời gần đây của Bộ luật an toàn thông tin EU (EU Cybersececurity Act - CSA) [4] cung cấp một thiết chế minh bạch cho việc xây đựng và triển khai các phương pháp kiểm định thích hợp với từng lĩnh vực sản phẩm và dịch vụ. Theo Bộ luật an toàn thông tin, các lĩnh vực của nền kinh tế số được chia làm ba loại khác nhau dựa theo yêu cầu về độ tin cậy:
Để đạt được độ tin cậy cao và trung bình, sản phẩm và dịch vụ phải được kiểm định an toàn bởi một cơ quan độc lập có đủ kỹ năng và chất lượng (theo chuẩn chất lượng ISO17025).
Với Bộ luật an toàn thông tin, cộng đồng châu Âu hướng tới nâng cao độ tin cậy cho các sản phẩm và dịch vụ số đồng thời kích thích sự phát triển của một hệ sinh thái an toàn thông tin với các thành phần thiết yếu sau đây:
Nhiệm vụ của những cơ quan chính phủ là áp dụng luật để đảm bảo tính công bằng của luật chơi trên toàn hệ sinh thái. Hệ sinh thái an toàn thông tin không những nâng cao độ tin cậy của các sản phẩm “Made in EU” mà còn duy trì sự phát triển nhân lực an toàn thông tin, đảm bảo tính độc lập về công nghệ của liên minh châu Âu trên một lĩnh vực đang có cạnh tranh quốc tế quyết liệt [5]. Theo dự đoán, đến năm 2022, Cộng đồng châu Âu sẽ thiếu 350 nghìn chuyên gia về an toàn thông tin. Trên quy mô toàn thế giới, mức thiếu hụt về nhân lực lên tới 2 triệu người [5].
Sự phát triển mạnh mẽ và đa dạng của các ứng dụng IoT là xu hướng công nghệ tất yếu ở Việt nam. Tuy nhiên, nếu quá trình này không được theo dõi và giám sát thì thị trường trong nước sẽ dễ dàng rơi vào bẫy của giới tin tặc quốc tế. Theo báo cáo gần đây nhất của hãng tư vấn Kapersky, Việt Nam hiện đứng thứ hai thế giới (chỉ sau Afghanistan) về nguy cơ lây nhiễm mã độc trên máy tính cá nhân [6]. Những rủi ro an toàn thông tin cũng có thể xem là một cơ hội phát triển mới cho đất nước. Thật vậy, một thiết chế nhà nước linh hoạt và hiệu quả sẽ kích thích sự ra đời và phát triển của một hệ sinh thái an toàn thông tin trong nước. Hệ sinh thái này không những nâng cao độ tin cậy của các sản phẩn và dịch vụ mà còn nuôi dưỡng nguồn nhân lực tài năng trong nước, giảm thiểu sự phụ thuộc vào công nghệ nước ngoài và tăng cường sức mạnh của đất nước về an toàn thông tin.
Hình 2. Hệ sinh thái An toàn thông tin
Hình 2 trình bày những thành phần chủ yếu của một hệ sinh thái an toàn thông tin trong nước (có thể áp dụng cho lĩnh vực IoT hoặc rộng hơn trên toàn bộ nền kinh tế số). Vai trò của thiết chế cấp Nhà nước là tác động đúng hướng vào các bánh răng để kích hoạt và vận hành cỗ máy. Những hành động kịp thời của thiết chế như thiết lập yêu cầu về độ tin cậy cho từng lĩnh vực ứng dụng, xây dựng luật chơi công bằng và minh bạch cho công tác kiểm định và đào tạo, chuyển giao công nghệ (thông qua hệ thống chuyên gia trong và ngoài nước) chính là nguồn nguyên liệu cho sự vận hành trôi chảy của hệ sinh thái.
TS. Nguyễn Quang Huy, Giám đốc Cơ quan kiểm định an toàn thông tin Trusted Labs, Tập đoàn Thales (CH Pháp)
15:00 | 19/04/2021
09:00 | 25/05/2021
16:00 | 11/12/2020
08:00 | 30/03/2020
15:00 | 18/02/2020
14:00 | 27/05/2021
09:00 | 18/06/2021
09:00 | 13/02/2024
Trong bối cảnh an ninh mạng ngày càng phát triển, các tổ chức liên tục phải đấu tranh với một loạt mối đe dọa trên môi trường mạng ngày càng phức tạp. Các phương pháp an toàn, an ninh mạng truyền thống thường sử dụng các biện pháp bảo vệ thống nhất trên các hệ thống đang tỏ ra kém hiệu quả trước các hình thái tấn công ngày càng đa dạng. Điều này đặt ra một bài toán cần có sự thay đổi mô hình bảo vệ theo hướng chiến lược, phù hợp và hiệu quả hơn thông qua việc Quản lý rủi ro bề mặt tấn công (Attack Surface Risk Management - ASRM).
08:00 | 09/01/2024
Nhiều người trong chúng ta thường có thói quen chỉ để ý đến việc bảo vệ an toàn máy tính và điện thoại của mình nhưng lại thường không nhận ra rằng đồng hồ thông minh (ĐHTM) cũng có nguy cơ bị tấn công mạng. Mặc dù ĐHTM giống như một phụ kiện cho các thiết bị chính nhưng chúng thường được kết nối với điện thoại, máy tính cá nhân và có khả năng tải các ứng dụng trên mạng, cài đặt tệp APK hay truy cập Internet. Điều đó có nghĩa là rủi ro mất an toàn thông tin trước các cuộc tấn công của tin tặc là điều không tránh khỏi. Vậy nên để hạn chế những nguy cơ này, bài báo sau đây sẽ hướng dẫn người dùng cách sử dụng ĐHTM an toàn nhằm tránh việc bị tin tặc lợi dụng đánh cắp thông tin.
09:00 | 17/11/2023
Theo Cục An toàn thông tin (Bộ TT&TT), hiện nay có 24 hình thức lừa đảo qua mạng phổ biến mà các đối tượng lừa đảo nhắm vào người dân. Để tránh trở thành nạn nhân, người dân cần nắm bắt, tuyên truyền cho người thân, bạn bè, đồng nghiệp của mình.
13:00 | 18/09/2023
Một trong những tham luận thu hút sự quan tâm lớn của giới bảo mật tại Hội nghị bảo mật hàng đầu thế giới Black Hat USA 2023 là tấn công TSSHOCK của nhóm nghiên cứu mật mã đến từ công ty Verichains (Việt Nam). Đáng lưu ý, tấn công này cho phép một node ác ý có thể đánh cắp on-chain tài sản mã hoá giá trị hàng triệu đến hàng tỉ USD trên các dịch vụ này.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024
