IoT và đảm bảo an toàn thông tin

09:36 | 16/06/2017 | GP ATM

Chúng ta đang sống trong giai đoạn đầu của cuộc Cách mạng công nghiệp lần thứ 4. Đây là xu hướng kết hợp giữa các hệ thống ảo và thực thể, vạn vật kết nối Internet (IoT) và các hệ thống kết nối Internet (IoS). Cuộc cách mạng này đang làm biến đổi xã hội và nền kinh tế toàn cầu. Tác động của IoT rất đa dạng, trên các lĩnh vực: quản lý hạ tầng, y tế, xây dựng và tự động hóa, giao thông… Đến năm 2020, trên toàn cầu sẽ có 4 tỷ người kết nối với nhau, hơn 25 tỷ hệ thống nhúng và hệ thống thông minh; 50 ngàn tỷ Gigabyte dữ liệu và doanh thu ước tính IoT mang lại khoảng 4 nghìn tỷ USD. IoT là chìa khóa của thành công trong tương lai. Tuy nhiên, IoT và sự phát triển của thế giới siêu kết nối cũng tiềm ẩn những rủi ro về bảo mật, an toàn thông tin, vì vậy, giải quyết vấn đề đảm bảo an toàn cho các

Bùng nổ thiết bị IoT

Sự ra đời và phát triển theo cấp số nhân của các thiết bị kết nối Internet đã và đang làm thay đổi thế giới. Những vật dụng hàng ngày như xe hơi, tủ lạnh, thiết bị cảm biến nhiệt độ… đã có thể hoạt động như chiếc điện thoại thông minh. Các thiết bị IoT như vậy có khả năng tự động hóa và đơn giản hóa nhiều lĩnh vực trong cuộc sống hàng ngày của con người. Chẳng hạn, với một ngôi nhà thông minh, người ta có thể điều chỉnh nhiệt độ ngôi nhà, bật/tắt bóng đèn từ xa; một chiếc xe hơi thông minh sẽ đưa con người tới nơi cần đến; những ứng dụng thông minh sẽ lên lịch trình đồ ăn trong tủ lạnh để đảm bảo luôn cung cấp đủ cho người dùng. Trong nông nghiệp, ứng dụng của IoT là những bộ cảm biến đặt trong lòng đất để theo dõi nhiệt độ và các thông số vật lý, hóa học giúp canh tác vụ mùa hiệu quả hơn. Trong y tế, đó là những thiết bị theo dõi đường huyết, kiểm tra huyết áp, và phát hiện hydrat hóa... của con người.

Theo dự báo của Gartner, năm 2017 trên toàn cầu sẽ có khoảng 8,4 tỷ thiết bị IoT, tăng 31% so với năm 2016. Trong đó, 67% thiết bị IoT sẽ tập trung ở 3 khu vực là Trung Quốc, Bắc Mỹ và Tây Âu. Ước tính đến năm 2020, số lượng thiết bị IoT được đưa vào sử dụng có thể lên tới trên 20 tỷ thiết bị (Bảng 1).

Bảng 1: Dự báo số thiết bị IoT đưa vào sử dụng trên toàn cầu đến năm 2020

Gartner chia thiết bị IoT theo phân khúc thiết bị cho doanh nghiệp và thiết bị tiêu dùng. Theo đó, thiết bị tiêu dùng chiếm thị phần lớn nhất (63%), tương đương khoảng 5,2 tỷ thiết bị trong năm 2017 - với loại thiết bị kết nối chính là phương tiện giao thông (xe ô tô), smart TV và các loại set-top box kỹ thuật số. Trong khi đó thiết bị IoT doanh nghiệp sẽ đạt 3,1 tỷ, bao gồm cả các thiết bị của nhiều ngành công nghiệp khác nhau, chẳng hạn như camera an ninh, hệ thống công tơ điện thông minh, bóng đèn, máy sưởi, thông gió, điều hòa nhiệt độ (HVAC), và các thiết bị theo ngành dọc như thiết bị chuyên ngành trong y tế, ngân hàng….

Dự báo trong 3 năm tới, số lượng thiết bị IoT tiêu dùng sẽ tăng từ 5,2 tỷ năm 2017 lên 13 tỷ vào năm 2020; phân khúc doanh nghiệp cũng tăng nhanh, từ 3,1 tỷ lên tới hơn 7,5 tỷ thiết bị.

Mức chi tiêu của doanh nghiệp cho thiết bị IoT trong năm 2017 ước đạt 964 tỷ USD, và tiếp tục tăng lên hơn 1 nghìn tỷ USD vào năm 2018. Trong khi đó, mảng thiết bị IoT tiêu dùng, mức chi tiêu trong năm nay là khoảng 725,7 tỷ USD và 985,4 tỷ USD vào năm sau (Bảng 2).

Bảng 2: Chi tiêu cho thiết bị đầu cuối IoT trên toàn cầu đến năm 2020

Đến năm 2020, Gartner dự báo, thị trường tiêu dùng sẽ vượt qua thị trường doanh nghiệp, với mức chi tiêu tiêu dùng là 1,49 nghìn tỷ USD, cao hơn so với 1,43 nghìn tỷ USD của thị trường doanh nghiệp. Tổng mức chi tiêu của cả hai phân khúc này sẽ đạt gần 3 nghìn tỷ USD vào năm 2020.

Những nguy cơ tiềm ẩn

Với IoT, nhiều thiết bị được kết nối với nhau và kết nối với mạng Internet. Chính điều này tiềm ẩn những nguy cơ về an ninh, an toàn, chẳng hạn như bí mật thông tin bị tiết lộ, xác thực sai, dữ liệu bị thay đổi hoặc làm giả. Do các thiết bị này đều có chủ sở hữu và người sử dụng nó, nên dữ liệu thu thập được từ các thiết bị có thể chứa thông tin cá nhân liên quan chủ sở hữu hoặc người sử dụng nó, chẳng hạn như thói quen, sở thích, hồ sơ sức khỏe…. Vì thế, tiềm ẩn nguy cơ lộ những thông tin riêng tư trong quá trình truyền dữ liệu, tập hợp, lưu trữ, khai thác và xử lý thông tin của các thiết bị IoT.

IoT đang trở thành mục tiêu của các cuộc tấn công mạng vì những lý do sau:

Thứ nhất, người dùng và doanh nghiệp đang bắt đầu phụ thuộc vào các thiết bị tiện ích này. Minh chứng là việc sử dụng các thiết bị IoT đang gia tăng nhanh chóng và trở nên phổ biến hơn. Tuy nhiên, mối quan tâm đến an toàn thông tin của các thiết bị này chưa được người sử dụng đặt lên hàng đầu. Rõ ràng có sự khác nhau về mối quan tâm đối với việc kiểm tra tính an toàn và quản lý bản vá của các thiết bị IoT, ví dụ giữa các sản phẩm như máy chủ và điện thoại thông minh.

Thứ hai, hoàn toàn có thể bảo đảm an toàn cho các thiết bị IoT ngay từ khi bắt đầu đưa ra thị trường. Tuy nhiên, vẫn còn nhiều thiết bị đơn lẻ được kết nối mạng mà bỏ qua chưa vá lỗi.

Thứ ba, một vấn đề khá quan trọng là nhiều công ty IoT nhỏ, đội ngũ nhân viên ít, thậm chí không có các chuyên gia an toàn và họ có xu hướng sử dụng thiết bị điện tử của bên thứ ba, mà những thiết bị này có thể không có chứng nhận hoặc kiểm tra về an toàn thông tin. Hơn nữa, thị trường IoT còn quá mới mẻ, vì thế mục tiêu chính hiện nay của các doanh nghiệp là đưa các tiện ích này ra thị trường một cách nhanh nhất có thể.

Mỗi thiết bị IoT là một “cửa ngõ” tiềm năng để tin tặc có thể khai thác mạng lưới, chúng không những truy nhập tới dữ liệu mà còn kiểm soát các hệ thống vật lý, gây ra những thiệt hại nghiêm trọng cho người dùng doanh nghiệp.

Năm 2015, tin tặc dễ dàng “bẻ khóa” và điều khiển từ xa những chiếc xe Jeep của hãng Fiat Chrysler, qua đó có thể vô hiệu hóa động cơ khi đang chạy ở đường cao tốc hay lái xe đâm vào lề đường gây nguy cơ tai nạn.

Vào năm 2016, tin tặc đã biến những thiết bị IoT thành mạng botnet dùng cho những cuộc tấn công từ chối dịch vụ DDoS. Các vụ tấn công DDoS vào trang an ninh mạng KrebsOnSecurity, công ty lưu trữ OVH của Pháp, 5 ngân hàng lớn nhất của Nga thông qua các thiết bị như camera an ninh, router…. là minh chứng cho thấy các thiết bị IoT dễ bị lợi dụng để trở thành công cụ tiếp tay cho giới tội phạm mạng.

Thực tế hiện nay có rất ít các giải pháp bảo mật nhằm phát hiện các hướng tấn công và lỗ hổng mới cho thiết bị IoT. Thêm vào đó, người dùng có rất ít kiến thức về phần mềm mà những thiết bị này sử dụng. Khảo sát của hãng HP cho biết, có tới 70% các thiết bị IoT sử dụng phổ biến nhất hiện nay có lỗ hổng bảo mật nghiêm trọng. Năm 2016, số vụ tấn công vào các thiết bị kết nối đám mây đã tăng 152% so với năm 2015.

3 nhóm tấn công điển hình vào các thiết bị IoT gồm:

Hijack tài khoản người dùng: Để sử dụng thiết bị IoT, người dùng cần phải đăng ký tài khoản sử dụng. Theo Machina Research, năm 2017, khoảng 82% doanh nghiệp sẽ sử dụng các ứng dụng IoT. Do đó, tin tặc sẽ có nhiều cơ hội để thực hiện hành vi trộm cắp tài khoản và gian lận thẻ tín dụng.

Thực hiện các cuộc tấn công lừa đảo: Trong tương lai sẽ có một số lượng lớn các tài khoản người dùng đăng ký sử dụng thiết bị IoT. Điều này sẽ làm gia tăng các cuộc tấn công lừa đảo.

Phần mềm độc hại và mã độc tống tiền: Một thủ đoạn phổ biến của tin tặc là lừa người sử dụng cài đặt phần mềm độc hại để chiếm quyền điều khiển các thiết bị của họ nhằm đòi tiền chuộc. Điều này có thể xảy ra với một chiếc ô tô, khiến chiếc xe không thể hoạt động cho đến khi chủ sở hữu phải trả một số tiền cho tin tặc; hay các bản ghi hồ sơ sức khỏe điện tử của bệnh nhân khi sử dụng công nghệ IoT.

Theo Craig Young, chuyên gia an ninh mạng tại Tripwire, nguyên nhân rủi ro an toàn mạng đối với các thiết bị IoT chủ yếu là do các phần mềm của các thiết bị này không được cập nhật thường xuyên và việc vá lỗ hổng là không kịp thời.

Ngoài ra, để kết nối IoT có rất nhiều các giao thức kết nối như Wifi, Bluetooth, RFID, ZigBee.... Sự đa dạng về giao thức kết nối làm tăng sự phức tạp cho việc đảm bảo an ninh, an toàn, vì mỗi loại kết nối đi kèm với mức độ bảo mật khác nhau và các công cụ quản trị khác nhau.

Đảm bảo an toàn khi sử dụng các thiết bị IoT

Để đối phó với các mối đe dọa an toàn trong kỷ nguyên IoT, đòi hỏi phải có sự kết hợp chặt chẽ giữa người tiêu dùng, nhà sản xuất và công nghệ.

Nhà sản xuất cần có các tiêu chuẩn và quy định an toàn nghiêm ngặt cho các thiết bị IoT trước khi đưa chúng ra thị trường. Theo đó, thiết bị IoT cần đảm bảo có những tính năng an toàn như: khởi động ở chế độ an toàn (Secure booting); kiểm soát truy nhập, nhận dạng, tường lửa và các hệ thống phát hiện và ngăn ngừa xâm nhập IPS; các bản vá lỗi và cập nhật phần mềm.

Đối với người tiêu dùng (cá nhân và doanh nghiệp) cần phải nhận thức được rủi ro từ các thiết bị IoT, chỉ khi đó mới có thể yêu cầu các nhà sản xuất tạo ra các hệ thống an toàn và hỗ trợ họ trong dài hạn. Theo đó, người dùng cần kiểm tra tính an toàn, quy trình cấp giấy chứng nhận và thử nghiệm của các thiết bị IoT, và làm việc với các nhà cung cấp để đảm bảo các thiết bị này được vá lỗi, theo dõi và bảo vệ thường xuyên.

Một nhiệm vụ quan trọng khác là triển khai các chính sách bảo mật, trong đó người dùng cần biết và hiểu rõ về những thông tin mà thiết bị thu thập và hướng dẫn họ để duy trì một trạng thái bảo đảm an toàn, tư vấn về việc thay đổi mật khẩu, báo cáo hoạt động bất thường, lắp đặt thiết bị tường lửa....

8 khuyến nghị cho người sử dụng để đảm bảo an toàn khi sử dụng các thiết bị IoT.

1. Nếu không cần thiết thì không kết nối thiết bị với Internet: Hãy tìm hiểu kỹ các tính năng mà thiết bị cung cấp; xem xét sự khác biệt khi kết nối Internet cho thiết bị và khi không kết nối.

2. Tạo một mạng riêng: Nhiều router hỗ trợ kết nối mạng Wifi cho mạng khách hàng. Kiểu phân tách này đảm bảo an toàn khi sử dụng thiết bị IoT.

3. Chọn mật khẩu an toàn khác nhau cho mỗi thiết bị: Chọn mật khẩu mạnh và an toàn là rất quan trọng nhưng cũng cần chọn cho mỗi loại thiết bị một mật khẩu riêng. Bởi vì khi tin tặc có được một trong các mật khẩu của người dùng, chúng thường sẽ thử nó với các dịch vụ và các thiết bị khác của người đó. Tuy nhiên, khi có nhiều mật khẩu nên sử dụng một trình quản lý mật khẩu.

4. Vô hiệu hóa chức năng Universal Plug and Play (UPnP) trên thiết bị: UPnP được thiết kế giúp các thiết bị mạng tương tác với nhau đơn giản mà không cần cấu hình. Tuy nhiên, UPnP có thể làm cho các router, máy in, máy ảnh và các thiết bị khác dễ bị tấn công. Bởi tin tặc cũng có thể tấn công thông qua lỗ hổng trong giao thức UPnP. Vì vậy, tốt nhất nên vô hiệu hóa chức năng này trên thiết bị.

5. Luôn cập nhật phần mềm mới nhất: Nếu muốn đảm bảo có bản vá lỗi bảo mật mới nhất và giảm được nguy cơ thành công của cuộc tấn công thì người dùng cần cập nhật phần mềm thường xuyên cho các thiết bị. Do vậy, các lỗ hổng và mã khai thác sẽ được sửa khi chúng xuất hiện trên các thiết bị IoT và router. Hãy thiết lập tự động việc cập nhật ở bất cứ nơi nào có thể hoặc thiết lập một lịch trình để kiểm tra cập nhật chu kỳ 3 tháng hoặc lâu hơn.

6. Hãy cảnh giác với các dịch vụ đám mây: Nhiều thiết bị IoT được triển khai trên các dịch vụ đám mây, nhưng để có kết nối Internet cho một số chức năng có thể là một vấn đề. Bởi thiết bị không thể hoạt động khi không có kết nối mạng mà việc đồng bộ hoá dữ liệu nhạy cảm hoặc cung cấp một kênh kết nối tới ngôi nhà thông minh cần hết sức thận trọng. Người dùng cần nghiên cứu chính sách bảo mật của nhà cung cấp và xem xét sự bảo đảm về mã hóa và bảo vệ dữ liệu.

7. Nên có chính sách quản lý thiết bị cá nhân (BYOD) trong công việc: Mỗi doanh nghiệp cần có chính sách BYOD rõ ràng. Không nên cho phép các thiết bị IoT của cá nhân kết nối vào mạng của doanh nghiệp, hoặc chỉ cho phép kết nối vào mạng khách hàng.

8. Theo dõi và đánh giá thiết bị: Các doanh nghiệp cần phải theo dõi tất cả mọi thứ được kết nối vào mạng và giám sát luồng lưu lượng. Các thiết bị cần phải được đánh giá để xác định mức độ truy cập, đảm bảo được cập nhật và vá lỗi đầy đủ. Những thiết bị không được nhận dạng nên gắn cờ cảnh báo. Việc hiểu về các thiết bị được kết nối và cách chúng hoạt động là điều kiện tiên quyết để đảm bảo đưa ra biện pháp an toàn thông tin một cách thích hợp.