Sự phát triển mạnh mẽ của công nghệ Internet vạn vật (IoT) kết hợp với mạng 5G, điện toán đám mây và dữ liệu lớn đang mang lại những chuyển đổi lớn lao cho các doanh nghiệp và người tiêu dùng. Theo dự báo của Tập đoàn Dữ liệu Quốc tế (International Data Corporation), đến năm 2025 sẽ có hơn 40 tỷ thiết bị IoT được triển khai trên toàn thế giới. Các thiết bị này sẽ thu thập một lượng dữ liệu kỷ lục - 79 zetabytes (ZB) [1].
Những ứng dụng IoT đang xuất hiện ngày càng nhiều, trong đời sống hàng ngày (camera giám sát, các thiết bị điều khiển nhà thông minh) cũng như trong các hoạt động xã hội thiết yếu (giám sát ô nhiễm môi trường, điều hành giao thông và các phương tiện công cộng, xử lý rác thải, cung cấp nước, điện và ga). Trong công nghiệp, IoT được sử dụng rộng rãi trong kiểm soát, điều hành nhà máy và các dây chuyền sản xuất. Trong tương lai, IoT là một thành phần thiết yếu của hệ sinh thái công nghiệp 4.0 cũng với trí tuệ nhân tạo. Cùng với việc triển khai công nghệ 5G, các thiết bị IoT sẽ có mặt ở mọi lúc, mọi nơi của đời sống xã hội.
Mặt khác, những ứng dụng IoT cũng chứa đựng nhiều mối đe dọa mới về bảo mật. Đó có thể là rò rỉ thông tin cá nhân của người nổi tiếng thông qua camera giám sát. Đó cũng có thể là mất kiểm soát một dây chuyền công nghiệp dẫn đến hậu quả nghiêm trọng. Một hệ thống điều hành giao thông bị tin tặc tấn công có thể làm tê liệt cả một đô thị lớn. Làm thế nào để đảm bảo độ tin cậy cho các ứng dụng IoT? Đây là một câu hỏi không dễ dàng cho tất cả các xã hội hiện đại trong thời điểm hiện nay.
Hình 1. Những thành phần chính của một hệ sinh thái IoT
Những thành phần của một hệ sinh thái IoT được trình bày trên Hình 1. Những thiết bị IoT (như camera, cảm ứng, đồng hồ đo) triển khai trên thực địa, nhờ cảm biến (sensor/actuator) truyền số liệu thu thập được tới cổng mạng (gateway) hoặc truyền trực tiếp thông qua mạng truyền thông (3G/4G/5G) đến mạng lõi (core network). Từ đây, các thông tin này sẽ được đi đến các máy chủ (server) trên môi trường điện toán đám mây. Những số liệu này sẽ được khai thác bởi các ứng dụng trung gian (application): mỗi ứng dụng cung cấp một hay nhiều dịch vụ giá trị gia tăng. Những dịch vụ này có thể là tính hóa đơn (điện, nước, ga), giám sát và điều khiển (giao thông, ô nhiễm môi trường), can thiệp tại chỗ (camera chống trộm). Những ứng dụng trung gian cũng dùng mạng truyền thông để gửi các mệnh lệnh điều khiển xuống các thiết bị IoT.
Hệ sinh thái IoT có thể bị tấn công từ nhiều hướng khác nhau. Tin tặc có thể chiếm quyền điều khiển các thiết bị IoT triển khai trên thực địa. Tin tặc cũng có thể tập trung tấn công vào các máy chủ trên môi trường điện toán đám mây. Một số hệ sinh thái IoT đã bị tin tặc chiếm và lợi dụng để tấn công các hệ thống thông tin khác (ví dụ như tấn công từ chối truy cập thông qua hệ thống đèn giao thông).
Những hiểm họa này là đáng lo ngại vì bảo mật thường ít được chú trọng trong quá trình phát triển các ứng dụng IoT. Thống kê của các công ty chuyên ngành cho thấy, phần lớn các thiết bị IoT có những lỗ hổng bảo mật phần mềm nghiêm trọng như:
Đối với phần cứng, để giảm chi phí tối đa, nhiều thiết bị IoT sử dụng một dây chuyền cung cấp (supply chain) phức tạp khó kiểm soát chất lượng. Khi phần cứng chứa lỗ hổng an toàn thì không có cách nào để sửa chữa các thiết bị đã được triển khai trên thực địa. Ví dụ, tháng 9/2019, một lỗ hổng bảo mật (Checkm8) được công bố trên các bộ vi xử lý do Apple thiết kế (từ A5 đến A11) cho phép vô hiệu hóa các cơ chế bảo mật bằng phần mềm. Lỗ hổng này được đánh giá là không sửa chữa được.
Xây dựng và triển khai những phương pháp kiểm định an toàn thông tin độc lập là giải pháp lâu dài để nâng cao độ tin cậy các ứng dụng IoT. Cách tiếp cận này dựa trên những nguyên tắc cơ bản sau:
Kiểm định an toàn thông tin có thể làm theo nhiều phương pháp khác nhau: (a) hộp đen (black box) – nhà sản xuất không cung cấp thông tin về sản phẩm, cơ quan kiểm định tự tìm hiểu để kiểm định sản phẩm, (b) hộp trắng (white box) – nhà sản xuất cung cấp thông tin về sản phẩm kể cả mã nguồn, (c) hộp xám (grey box) – kết hợp giữa hai phương pháp trên.
Nguyên tắc 4 thể hiện sự khác nhau giữa kiểm định độc lập và quá trình tìm lỗi lấy thưởng (Bug Bounty). Trong khi Bug Bounty (thường là hộp đen) là cách tiếp cận theo chiều sâu trong khoảng thời gian ngắn nhất để xác định một vài lỗi thì kiểm định là cách tiếp cận theo chiều rộng với lượng thời gian cần thiết để đánh giá mức độ an toàn chung của sản phẩm.
Common Criteria (ISO/IEC15408) [2] là bộ chuẩn kiểm định an toàn đang được trển khai rộng rãi nhất trên thê giới. Một sản phẩm đã được kiểm định theo chuẩn Common Criteria được công nhận về độ tin cậy tại hơn 30 nước tham gia liên minh. Nhược điểm của Common Criteria là chi phí cao và thiếu độ mềm dẻo cần thiết để triển khai trên những công nghệ mới, biến động nhanh như IoT. Thật vậy, một dự án Common Criteria thường kéo dài ít nhất 6 tháng, kết hợp cả kiểm thử xâm nhập (pentest) trên sản phẩm mẫu và phân tích một lượng tài liệu lớn (conformity). Đối với các sản phẩm có vòng đời ngắn như IoT, đây là một thách thức lớn vì phiên bản sản phẩm kiểm định xong rất có thể không còn được sử dụng nữa.
Đáp ứng sự bùng nổ của các ứng dụng IoT, các nước châu Âu đang xây dựng nhiều phương pháp kiểm định linh hoạt với chi phí thấp hơn. Một trong các phương pháp thành công nhất là CSPN (Certification de Sécurité de Premier Niveau - Chứng chỉ an toàn cấp cơ sở), được triển khai ở Pháp từ năm 2008 và đang được “xuất khẩu” sang các nước lân cận như Đức, Hà Lan và Tây Ban Nha. Một dự án CSPN không kéo dài quá 8 tuần: kiểm định CPSN tập trung nỗ lực vào quá trình pentest, trong khi giảm tối thiểu công đoạn phân tích tài liệu. Về chi phí, khối lượng công việc chuẩn của một dự án CSPN là 25 ngày (man-day): trên thực tế khối lượng này giao động giữa 15 và 50 ngày tùy theo độ phức tạp của sản phẩm.
Do sự đa dạng của các ứng dụng IoT, một phương pháp kiểm định duy nhất khó có thể đạt hiệu quả cao. Thay vào đó, cần có nhiều phương pháp đa dạng. Tại châu Âu, sự ra đời gần đây của Bộ luật an toàn thông tin EU (EU Cybersececurity Act - CSA) [4] cung cấp một thiết chế minh bạch cho việc xây đựng và triển khai các phương pháp kiểm định thích hợp với từng lĩnh vực sản phẩm và dịch vụ. Theo Bộ luật an toàn thông tin, các lĩnh vực của nền kinh tế số được chia làm ba loại khác nhau dựa theo yêu cầu về độ tin cậy:
Để đạt được độ tin cậy cao và trung bình, sản phẩm và dịch vụ phải được kiểm định an toàn bởi một cơ quan độc lập có đủ kỹ năng và chất lượng (theo chuẩn chất lượng ISO17025).
Với Bộ luật an toàn thông tin, cộng đồng châu Âu hướng tới nâng cao độ tin cậy cho các sản phẩm và dịch vụ số đồng thời kích thích sự phát triển của một hệ sinh thái an toàn thông tin với các thành phần thiết yếu sau đây:
Nhiệm vụ của những cơ quan chính phủ là áp dụng luật để đảm bảo tính công bằng của luật chơi trên toàn hệ sinh thái. Hệ sinh thái an toàn thông tin không những nâng cao độ tin cậy của các sản phẩm “Made in EU” mà còn duy trì sự phát triển nhân lực an toàn thông tin, đảm bảo tính độc lập về công nghệ của liên minh châu Âu trên một lĩnh vực đang có cạnh tranh quốc tế quyết liệt [5]. Theo dự đoán, đến năm 2022, Cộng đồng châu Âu sẽ thiếu 350 nghìn chuyên gia về an toàn thông tin. Trên quy mô toàn thế giới, mức thiếu hụt về nhân lực lên tới 2 triệu người [5].
Sự phát triển mạnh mẽ và đa dạng của các ứng dụng IoT là xu hướng công nghệ tất yếu ở Việt nam. Tuy nhiên, nếu quá trình này không được theo dõi và giám sát thì thị trường trong nước sẽ dễ dàng rơi vào bẫy của giới tin tặc quốc tế. Theo báo cáo gần đây nhất của hãng tư vấn Kapersky, Việt Nam hiện đứng thứ hai thế giới (chỉ sau Afghanistan) về nguy cơ lây nhiễm mã độc trên máy tính cá nhân [6]. Những rủi ro an toàn thông tin cũng có thể xem là một cơ hội phát triển mới cho đất nước. Thật vậy, một thiết chế nhà nước linh hoạt và hiệu quả sẽ kích thích sự ra đời và phát triển của một hệ sinh thái an toàn thông tin trong nước. Hệ sinh thái này không những nâng cao độ tin cậy của các sản phẩn và dịch vụ mà còn nuôi dưỡng nguồn nhân lực tài năng trong nước, giảm thiểu sự phụ thuộc vào công nghệ nước ngoài và tăng cường sức mạnh của đất nước về an toàn thông tin.
Hình 2. Hệ sinh thái An toàn thông tin
Hình 2 trình bày những thành phần chủ yếu của một hệ sinh thái an toàn thông tin trong nước (có thể áp dụng cho lĩnh vực IoT hoặc rộng hơn trên toàn bộ nền kinh tế số). Vai trò của thiết chế cấp Nhà nước là tác động đúng hướng vào các bánh răng để kích hoạt và vận hành cỗ máy. Những hành động kịp thời của thiết chế như thiết lập yêu cầu về độ tin cậy cho từng lĩnh vực ứng dụng, xây dựng luật chơi công bằng và minh bạch cho công tác kiểm định và đào tạo, chuyển giao công nghệ (thông qua hệ thống chuyên gia trong và ngoài nước) chính là nguồn nguyên liệu cho sự vận hành trôi chảy của hệ sinh thái.
TS. Nguyễn Quang Huy, Giám đốc Cơ quan kiểm định an toàn thông tin Trusted Labs, Tập đoàn Thales (CH Pháp)
15:00 | 19/04/2021
09:00 | 25/05/2021
16:00 | 11/12/2020
08:00 | 30/03/2020
15:00 | 18/02/2020
14:00 | 27/05/2021
09:00 | 18/06/2021
10:00 | 25/10/2024
Triết lý an ninh mạng Zero Trust đặt ra nguyên tắc không có bất kỳ người dùng nào trong hoặc ngoài hệ thống mạng đủ tin tưởng mà không cần thông qua sự kiểm tra chặt chẽ về danh tính. Để triển khai Zero Trust hiệu quả, cần áp dụng các giải pháp công nghệ mạnh mẽ. Bài báo này sẽ trình bày những vấn đề cơ bản về Zero Trust.
16:00 | 13/09/2024
Cùng với sự phát triển của công nghệ, tội phạm mạng đang gia tăng thủ đoạn sử dụng video, hình ảnh ghép mặt người quen cùng với giọng nói đã được ghi âm sẵn (deepfake) với mục đích tạo niềm tin, khiến nạn nhân tin tưởng và chuyển tiền cho thủ phạm nhằm lừa đảo chiếm đoạt tài sản. Bài báo sau đây sẽ thông tin đến độc giả về cách nhận biết và đưa ra những biện pháp phòng tránh và giảm thiểu trước các cuộc tấn công lừa đảo sử dụng công nghệ Deepfake.
16:00 | 04/08/2024
Với sự phát triển mạnh mẽ của công nghệ số, số lượng các phần mềm chương trình được công bố ngày càng lớn. Song hành với đó là việc tin tặc luôn tìm cách phân tích, dịch ngược các chương trình nhằm lấy cắp ý tưởng, bẻ khóa phần mềm thương mại gây tổn hại tới các tổ chức, cá nhân phát triển phần mềm. Đặc biệt, trong ngành Cơ yếu có những chương trình có tích hợp các thuật toán mật mã ở mức mật và tối mật thì việc chống phân tích, dịch ngược có vai trò hết sức quan trọng. Do đó, việc phát triển một giải pháp bảo vệ các chương trình phần mềm chống lại nguy cơ phân tích, dịch ngược là rất cấp thiết.
10:00 | 10/11/2023
Google đã thực hiện một bước quan trọng nhằm tăng cường bảo mật Internet của Chrome bằng cách tự động nâng cấp các yêu cầu HTTP không an toàn lên các kết nối HTTPS cho toàn bộ người dùng.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Song song cùng sự phát triển của công nghệ, Deepfake cũng có lịch sử phát triển với nhiều loại hình khác nhau. Phần hai của bài báo sẽ tập trung phân loại các loại hình Deepfake và trình bày về các tập dữ liệu có giá trị trong việc phát hiện công nghệ tinh vi này.
07:00 | 07/11/2024