Sự phát triển mạnh mẽ của công nghệ Internet vạn vật (IoT) kết hợp với mạng 5G, điện toán đám mây và dữ liệu lớn đang mang lại những chuyển đổi lớn lao cho các doanh nghiệp và người tiêu dùng. Theo dự báo của Tập đoàn Dữ liệu Quốc tế (International Data Corporation), đến năm 2025 sẽ có hơn 40 tỷ thiết bị IoT được triển khai trên toàn thế giới. Các thiết bị này sẽ thu thập một lượng dữ liệu kỷ lục - 79 zetabytes (ZB) [1].
Những ứng dụng IoT đang xuất hiện ngày càng nhiều, trong đời sống hàng ngày (camera giám sát, các thiết bị điều khiển nhà thông minh) cũng như trong các hoạt động xã hội thiết yếu (giám sát ô nhiễm môi trường, điều hành giao thông và các phương tiện công cộng, xử lý rác thải, cung cấp nước, điện và ga). Trong công nghiệp, IoT được sử dụng rộng rãi trong kiểm soát, điều hành nhà máy và các dây chuyền sản xuất. Trong tương lai, IoT là một thành phần thiết yếu của hệ sinh thái công nghiệp 4.0 cũng với trí tuệ nhân tạo. Cùng với việc triển khai công nghệ 5G, các thiết bị IoT sẽ có mặt ở mọi lúc, mọi nơi của đời sống xã hội.
Mặt khác, những ứng dụng IoT cũng chứa đựng nhiều mối đe dọa mới về bảo mật. Đó có thể là rò rỉ thông tin cá nhân của người nổi tiếng thông qua camera giám sát. Đó cũng có thể là mất kiểm soát một dây chuyền công nghiệp dẫn đến hậu quả nghiêm trọng. Một hệ thống điều hành giao thông bị tin tặc tấn công có thể làm tê liệt cả một đô thị lớn. Làm thế nào để đảm bảo độ tin cậy cho các ứng dụng IoT? Đây là một câu hỏi không dễ dàng cho tất cả các xã hội hiện đại trong thời điểm hiện nay.
Hình 1. Những thành phần chính của một hệ sinh thái IoT
Những thành phần của một hệ sinh thái IoT được trình bày trên Hình 1. Những thiết bị IoT (như camera, cảm ứng, đồng hồ đo) triển khai trên thực địa, nhờ cảm biến (sensor/actuator) truyền số liệu thu thập được tới cổng mạng (gateway) hoặc truyền trực tiếp thông qua mạng truyền thông (3G/4G/5G) đến mạng lõi (core network). Từ đây, các thông tin này sẽ được đi đến các máy chủ (server) trên môi trường điện toán đám mây. Những số liệu này sẽ được khai thác bởi các ứng dụng trung gian (application): mỗi ứng dụng cung cấp một hay nhiều dịch vụ giá trị gia tăng. Những dịch vụ này có thể là tính hóa đơn (điện, nước, ga), giám sát và điều khiển (giao thông, ô nhiễm môi trường), can thiệp tại chỗ (camera chống trộm). Những ứng dụng trung gian cũng dùng mạng truyền thông để gửi các mệnh lệnh điều khiển xuống các thiết bị IoT.
Hệ sinh thái IoT có thể bị tấn công từ nhiều hướng khác nhau. Tin tặc có thể chiếm quyền điều khiển các thiết bị IoT triển khai trên thực địa. Tin tặc cũng có thể tập trung tấn công vào các máy chủ trên môi trường điện toán đám mây. Một số hệ sinh thái IoT đã bị tin tặc chiếm và lợi dụng để tấn công các hệ thống thông tin khác (ví dụ như tấn công từ chối truy cập thông qua hệ thống đèn giao thông).
Những hiểm họa này là đáng lo ngại vì bảo mật thường ít được chú trọng trong quá trình phát triển các ứng dụng IoT. Thống kê của các công ty chuyên ngành cho thấy, phần lớn các thiết bị IoT có những lỗ hổng bảo mật phần mềm nghiêm trọng như:
Đối với phần cứng, để giảm chi phí tối đa, nhiều thiết bị IoT sử dụng một dây chuyền cung cấp (supply chain) phức tạp khó kiểm soát chất lượng. Khi phần cứng chứa lỗ hổng an toàn thì không có cách nào để sửa chữa các thiết bị đã được triển khai trên thực địa. Ví dụ, tháng 9/2019, một lỗ hổng bảo mật (Checkm8) được công bố trên các bộ vi xử lý do Apple thiết kế (từ A5 đến A11) cho phép vô hiệu hóa các cơ chế bảo mật bằng phần mềm. Lỗ hổng này được đánh giá là không sửa chữa được.
Xây dựng và triển khai những phương pháp kiểm định an toàn thông tin độc lập là giải pháp lâu dài để nâng cao độ tin cậy các ứng dụng IoT. Cách tiếp cận này dựa trên những nguyên tắc cơ bản sau:
Kiểm định an toàn thông tin có thể làm theo nhiều phương pháp khác nhau: (a) hộp đen (black box) – nhà sản xuất không cung cấp thông tin về sản phẩm, cơ quan kiểm định tự tìm hiểu để kiểm định sản phẩm, (b) hộp trắng (white box) – nhà sản xuất cung cấp thông tin về sản phẩm kể cả mã nguồn, (c) hộp xám (grey box) – kết hợp giữa hai phương pháp trên.
Nguyên tắc 4 thể hiện sự khác nhau giữa kiểm định độc lập và quá trình tìm lỗi lấy thưởng (Bug Bounty). Trong khi Bug Bounty (thường là hộp đen) là cách tiếp cận theo chiều sâu trong khoảng thời gian ngắn nhất để xác định một vài lỗi thì kiểm định là cách tiếp cận theo chiều rộng với lượng thời gian cần thiết để đánh giá mức độ an toàn chung của sản phẩm.
Common Criteria (ISO/IEC15408) [2] là bộ chuẩn kiểm định an toàn đang được trển khai rộng rãi nhất trên thê giới. Một sản phẩm đã được kiểm định theo chuẩn Common Criteria được công nhận về độ tin cậy tại hơn 30 nước tham gia liên minh. Nhược điểm của Common Criteria là chi phí cao và thiếu độ mềm dẻo cần thiết để triển khai trên những công nghệ mới, biến động nhanh như IoT. Thật vậy, một dự án Common Criteria thường kéo dài ít nhất 6 tháng, kết hợp cả kiểm thử xâm nhập (pentest) trên sản phẩm mẫu và phân tích một lượng tài liệu lớn (conformity). Đối với các sản phẩm có vòng đời ngắn như IoT, đây là một thách thức lớn vì phiên bản sản phẩm kiểm định xong rất có thể không còn được sử dụng nữa.
Đáp ứng sự bùng nổ của các ứng dụng IoT, các nước châu Âu đang xây dựng nhiều phương pháp kiểm định linh hoạt với chi phí thấp hơn. Một trong các phương pháp thành công nhất là CSPN (Certification de Sécurité de Premier Niveau - Chứng chỉ an toàn cấp cơ sở), được triển khai ở Pháp từ năm 2008 và đang được “xuất khẩu” sang các nước lân cận như Đức, Hà Lan và Tây Ban Nha. Một dự án CSPN không kéo dài quá 8 tuần: kiểm định CPSN tập trung nỗ lực vào quá trình pentest, trong khi giảm tối thiểu công đoạn phân tích tài liệu. Về chi phí, khối lượng công việc chuẩn của một dự án CSPN là 25 ngày (man-day): trên thực tế khối lượng này giao động giữa 15 và 50 ngày tùy theo độ phức tạp của sản phẩm.
Do sự đa dạng của các ứng dụng IoT, một phương pháp kiểm định duy nhất khó có thể đạt hiệu quả cao. Thay vào đó, cần có nhiều phương pháp đa dạng. Tại châu Âu, sự ra đời gần đây của Bộ luật an toàn thông tin EU (EU Cybersececurity Act - CSA) [4] cung cấp một thiết chế minh bạch cho việc xây đựng và triển khai các phương pháp kiểm định thích hợp với từng lĩnh vực sản phẩm và dịch vụ. Theo Bộ luật an toàn thông tin, các lĩnh vực của nền kinh tế số được chia làm ba loại khác nhau dựa theo yêu cầu về độ tin cậy:
Để đạt được độ tin cậy cao và trung bình, sản phẩm và dịch vụ phải được kiểm định an toàn bởi một cơ quan độc lập có đủ kỹ năng và chất lượng (theo chuẩn chất lượng ISO17025).
Với Bộ luật an toàn thông tin, cộng đồng châu Âu hướng tới nâng cao độ tin cậy cho các sản phẩm và dịch vụ số đồng thời kích thích sự phát triển của một hệ sinh thái an toàn thông tin với các thành phần thiết yếu sau đây:
Nhiệm vụ của những cơ quan chính phủ là áp dụng luật để đảm bảo tính công bằng của luật chơi trên toàn hệ sinh thái. Hệ sinh thái an toàn thông tin không những nâng cao độ tin cậy của các sản phẩm “Made in EU” mà còn duy trì sự phát triển nhân lực an toàn thông tin, đảm bảo tính độc lập về công nghệ của liên minh châu Âu trên một lĩnh vực đang có cạnh tranh quốc tế quyết liệt [5]. Theo dự đoán, đến năm 2022, Cộng đồng châu Âu sẽ thiếu 350 nghìn chuyên gia về an toàn thông tin. Trên quy mô toàn thế giới, mức thiếu hụt về nhân lực lên tới 2 triệu người [5].
Sự phát triển mạnh mẽ và đa dạng của các ứng dụng IoT là xu hướng công nghệ tất yếu ở Việt nam. Tuy nhiên, nếu quá trình này không được theo dõi và giám sát thì thị trường trong nước sẽ dễ dàng rơi vào bẫy của giới tin tặc quốc tế. Theo báo cáo gần đây nhất của hãng tư vấn Kapersky, Việt Nam hiện đứng thứ hai thế giới (chỉ sau Afghanistan) về nguy cơ lây nhiễm mã độc trên máy tính cá nhân [6]. Những rủi ro an toàn thông tin cũng có thể xem là một cơ hội phát triển mới cho đất nước. Thật vậy, một thiết chế nhà nước linh hoạt và hiệu quả sẽ kích thích sự ra đời và phát triển của một hệ sinh thái an toàn thông tin trong nước. Hệ sinh thái này không những nâng cao độ tin cậy của các sản phẩn và dịch vụ mà còn nuôi dưỡng nguồn nhân lực tài năng trong nước, giảm thiểu sự phụ thuộc vào công nghệ nước ngoài và tăng cường sức mạnh của đất nước về an toàn thông tin.
Hình 2. Hệ sinh thái An toàn thông tin
Hình 2 trình bày những thành phần chủ yếu của một hệ sinh thái an toàn thông tin trong nước (có thể áp dụng cho lĩnh vực IoT hoặc rộng hơn trên toàn bộ nền kinh tế số). Vai trò của thiết chế cấp Nhà nước là tác động đúng hướng vào các bánh răng để kích hoạt và vận hành cỗ máy. Những hành động kịp thời của thiết chế như thiết lập yêu cầu về độ tin cậy cho từng lĩnh vực ứng dụng, xây dựng luật chơi công bằng và minh bạch cho công tác kiểm định và đào tạo, chuyển giao công nghệ (thông qua hệ thống chuyên gia trong và ngoài nước) chính là nguồn nguyên liệu cho sự vận hành trôi chảy của hệ sinh thái.
TS. Nguyễn Quang Huy, Giám đốc Cơ quan kiểm định an toàn thông tin Trusted Labs, Tập đoàn Thales (CH Pháp)
15:00 | 19/04/2021
09:00 | 25/05/2021
16:00 | 11/12/2020
08:00 | 30/03/2020
15:00 | 18/02/2020
14:00 | 27/05/2021
09:00 | 18/06/2021
16:00 | 14/11/2023
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
15:00 | 03/09/2023
Để bảo vệ thông tin dữ liệu được an toàn và tránh bị truy cập trái phép, mã hóa là một trong những cách thức hiệu quả nhất đảm bảo dữ liệu không thể đọc/ghi được, ngay cả trong trường hợp bị xâm phạm. Trong số 1 (065) 2022 của Tạp chí An toàn thông tin đã hướng dẫn về cách mã hóa ổ đĩa cứng sử dụng Bitlocker. Tuy nhiên, với người dùng phiên bản Windows 10 Home thì giải pháp này lại không được hỗ trợ. Bài viết sau sẽ giới thiệu đến độc giả VeraCrypt, một công cụ mã hóa miễn phí đa nền tảng với khả năng hỗ trợ nhiều thuật toán mật mã và hàm băm, cho phép người dùng mã hóa các tệp tin, phân vùng hệ thống và tạo ổ đĩa ảo mã hóa với tùy chọn phù hợp.
09:00 | 07/06/2023
Công ty an ninh mạng Kaspersky đã phát hành một công cụ rà quét mã độc mới để phát hiện IPhone cũng như các thiết bị iOS khác có bị nhiễm phần mềm độc hại “Triangulation” trong chiến dịch tấn công APT (Advanced Persistent Threat) gần đây hay không.
12:00 | 16/03/2023
Metaverse (vũ trụ ảo) là một mạng lưới rộng lớn gồm các thế giới ảo 3D đang được phát triển mà mọi người có thể tương tác bằng cách sử dụng thực tế ảo (VR), hay thực tế tăng cường (AR). Công nghệ này hứa hẹn mang lại sự trải nghiệm mới mẻ, thú vị cho người dùng cũng như mang đến những cơ hội kinh doanh cho các doanh nghiệp trong việc chuyển đổi cách thức hoạt động. Tuy nhiên, bên cạnh những lợi ích thì Metaverse cũng đặt ra những thách thức và nguy cơ về vấn đề bảo mật trong không gian kỹ thuật số này.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Không chỉ tác động đến lĩnh vực an toàn thông tin, Bug Bounty còn được cho là cổ vũ cho nền kinh tế Gig Economy kiểu Orwell. Điều này có là một góc nhìn tiêu cực cho hình thức bảo mật này?
09:00 | 28/04/2024
