Từ Internet vạn vật đến hệ sinh thái an toàn thông tin
An toàn thông tin với Internet vạn vật
Sự phát triển mạnh mẽ của công nghệ Internet vạn vật (IoT) kết hợp với mạng 5G, điện toán đám mây và dữ liệu lớn đang mang lại những chuyển đổi lớn lao cho các doanh nghiệp và người tiêu dùng. Theo dự báo của Tập đoàn Dữ liệu Quốc tế (International Data Corporation), đến năm 2025 sẽ có hơn 40 tỷ thiết bị IoT được triển khai trên toàn thế giới. Các thiết bị này sẽ thu thập một lượng dữ liệu kỷ lục - 79 zetabytes (ZB) [1].
Những ứng dụng IoT đang xuất hiện ngày càng nhiều, trong đời sống hàng ngày (camera giám sát, các thiết bị điều khiển nhà thông minh) cũng như trong các hoạt động xã hội thiết yếu (giám sát ô nhiễm môi trường, điều hành giao thông và các phương tiện công cộng, xử lý rác thải, cung cấp nước, điện và ga). Trong công nghiệp, IoT được sử dụng rộng rãi trong kiểm soát, điều hành nhà máy và các dây chuyền sản xuất. Trong tương lai, IoT là một thành phần thiết yếu của hệ sinh thái công nghiệp 4.0 cũng với trí tuệ nhân tạo. Cùng với việc triển khai công nghệ 5G, các thiết bị IoT sẽ có mặt ở mọi lúc, mọi nơi của đời sống xã hội.
Mặt khác, những ứng dụng IoT cũng chứa đựng nhiều mối đe dọa mới về bảo mật. Đó có thể là rò rỉ thông tin cá nhân của người nổi tiếng thông qua camera giám sát. Đó cũng có thể là mất kiểm soát một dây chuyền công nghiệp dẫn đến hậu quả nghiêm trọng. Một hệ thống điều hành giao thông bị tin tặc tấn công có thể làm tê liệt cả một đô thị lớn. Làm thế nào để đảm bảo độ tin cậy cho các ứng dụng IoT? Đây là một câu hỏi không dễ dàng cho tất cả các xã hội hiện đại trong thời điểm hiện nay.
Hình 1. Những thành phần chính của một hệ sinh thái IoT
Những thành phần của một hệ sinh thái IoT được trình bày trên Hình 1. Những thiết bị IoT (như camera, cảm ứng, đồng hồ đo) triển khai trên thực địa, nhờ cảm biến (sensor/actuator) truyền số liệu thu thập được tới cổng mạng (gateway) hoặc truyền trực tiếp thông qua mạng truyền thông (3G/4G/5G) đến mạng lõi (core network). Từ đây, các thông tin này sẽ được đi đến các máy chủ (server) trên môi trường điện toán đám mây. Những số liệu này sẽ được khai thác bởi các ứng dụng trung gian (application): mỗi ứng dụng cung cấp một hay nhiều dịch vụ giá trị gia tăng. Những dịch vụ này có thể là tính hóa đơn (điện, nước, ga), giám sát và điều khiển (giao thông, ô nhiễm môi trường), can thiệp tại chỗ (camera chống trộm). Những ứng dụng trung gian cũng dùng mạng truyền thông để gửi các mệnh lệnh điều khiển xuống các thiết bị IoT.
Hệ sinh thái IoT có thể bị tấn công từ nhiều hướng khác nhau. Tin tặc có thể chiếm quyền điều khiển các thiết bị IoT triển khai trên thực địa. Tin tặc cũng có thể tập trung tấn công vào các máy chủ trên môi trường điện toán đám mây. Một số hệ sinh thái IoT đã bị tin tặc chiếm và lợi dụng để tấn công các hệ thống thông tin khác (ví dụ như tấn công từ chối truy cập thông qua hệ thống đèn giao thông).
Những hiểm họa này là đáng lo ngại vì bảo mật thường ít được chú trọng trong quá trình phát triển các ứng dụng IoT. Thống kê của các công ty chuyên ngành cho thấy, phần lớn các thiết bị IoT có những lỗ hổng bảo mật phần mềm nghiêm trọng như:
- Cấu hình không an toàn (không thay đổi mật khẩu ngầm định khi cài đặt, không đóng giao diện debug);
- Yếu kém về quản trị thiết bị cho phép tin tặc truy cập và chiếm điều khiển từ xa;
- Sử dụng các giải thuật mã hóa yếu dẫn tới các thông tin quan trọng có thể dễ ràng truy nhập và sửa đổi;
- Mất kiểm soát quá trình cập nhật phần mềm: một thiết bị IoT cần thiết được cập nhật thường xuyên (firmware update) để cải thiện chức năng và sửa lỗi. Tin tặc có thể triển khai mã độc trên tất cá các thiết bị tại bước này nếu khai thác được lỗ hổng.
Đối với phần cứng, để giảm chi phí tối đa, nhiều thiết bị IoT sử dụng một dây chuyền cung cấp (supply chain) phức tạp khó kiểm soát chất lượng. Khi phần cứng chứa lỗ hổng an toàn thì không có cách nào để sửa chữa các thiết bị đã được triển khai trên thực địa. Ví dụ, tháng 9/2019, một lỗ hổng bảo mật (Checkm8) được công bố trên các bộ vi xử lý do Apple thiết kế (từ A5 đến A11) cho phép vô hiệu hóa các cơ chế bảo mật bằng phần mềm. Lỗ hổng này được đánh giá là không sửa chữa được.
Nâng cao độ tin cậy qua kiểm định độc lập
Xây dựng và triển khai những phương pháp kiểm định an toàn thông tin độc lập là giải pháp lâu dài để nâng cao độ tin cậy các ứng dụng IoT. Cách tiếp cận này dựa trên những nguyên tắc cơ bản sau:
- Nhà sản xuất cung cấp sản phẩm mẫu và thông tin cần thiết cho cơ quan kiểm định;
- Cơ quan kiểm định phải có đủ năng lực kỹ thuật và chất lượng (cụ thể là đạt chuẩn ISO/IEC 17025);
- Quy trình kiểm định phải hoàn toàn độc lập: nhà sản xuất không thể tác động đến kết quả kiểm định;
- Sản phẩm chỉ được lưu hành khi kết quả kiểm định thỏa mãn các chỉ tiêu an toàn.
Kiểm định an toàn thông tin có thể làm theo nhiều phương pháp khác nhau: (a) hộp đen (black box) – nhà sản xuất không cung cấp thông tin về sản phẩm, cơ quan kiểm định tự tìm hiểu để kiểm định sản phẩm, (b) hộp trắng (white box) – nhà sản xuất cung cấp thông tin về sản phẩm kể cả mã nguồn, (c) hộp xám (grey box) – kết hợp giữa hai phương pháp trên.
Nguyên tắc 4 thể hiện sự khác nhau giữa kiểm định độc lập và quá trình tìm lỗi lấy thưởng (Bug Bounty). Trong khi Bug Bounty (thường là hộp đen) là cách tiếp cận theo chiều sâu trong khoảng thời gian ngắn nhất để xác định một vài lỗi thì kiểm định là cách tiếp cận theo chiều rộng với lượng thời gian cần thiết để đánh giá mức độ an toàn chung của sản phẩm.
Common Criteria (ISO/IEC15408) [2] là bộ chuẩn kiểm định an toàn đang được trển khai rộng rãi nhất trên thê giới. Một sản phẩm đã được kiểm định theo chuẩn Common Criteria được công nhận về độ tin cậy tại hơn 30 nước tham gia liên minh. Nhược điểm của Common Criteria là chi phí cao và thiếu độ mềm dẻo cần thiết để triển khai trên những công nghệ mới, biến động nhanh như IoT. Thật vậy, một dự án Common Criteria thường kéo dài ít nhất 6 tháng, kết hợp cả kiểm thử xâm nhập (pentest) trên sản phẩm mẫu và phân tích một lượng tài liệu lớn (conformity). Đối với các sản phẩm có vòng đời ngắn như IoT, đây là một thách thức lớn vì phiên bản sản phẩm kiểm định xong rất có thể không còn được sử dụng nữa.
Đáp ứng sự bùng nổ của các ứng dụng IoT, các nước châu Âu đang xây dựng nhiều phương pháp kiểm định linh hoạt với chi phí thấp hơn. Một trong các phương pháp thành công nhất là CSPN (Certification de Sécurité de Premier Niveau - Chứng chỉ an toàn cấp cơ sở), được triển khai ở Pháp từ năm 2008 và đang được “xuất khẩu” sang các nước lân cận như Đức, Hà Lan và Tây Ban Nha. Một dự án CSPN không kéo dài quá 8 tuần: kiểm định CPSN tập trung nỗ lực vào quá trình pentest, trong khi giảm tối thiểu công đoạn phân tích tài liệu. Về chi phí, khối lượng công việc chuẩn của một dự án CSPN là 25 ngày (man-day): trên thực tế khối lượng này giao động giữa 15 và 50 ngày tùy theo độ phức tạp của sản phẩm.
Bài học kinh nghiệm: EU Cybersecurity Act và hệ sinh thái an toàn thông tin
Do sự đa dạng của các ứng dụng IoT, một phương pháp kiểm định duy nhất khó có thể đạt hiệu quả cao. Thay vào đó, cần có nhiều phương pháp đa dạng. Tại châu Âu, sự ra đời gần đây của Bộ luật an toàn thông tin EU (EU Cybersececurity Act - CSA) [4] cung cấp một thiết chế minh bạch cho việc xây đựng và triển khai các phương pháp kiểm định thích hợp với từng lĩnh vực sản phẩm và dịch vụ. Theo Bộ luật an toàn thông tin, các lĩnh vực của nền kinh tế số được chia làm ba loại khác nhau dựa theo yêu cầu về độ tin cậy:
- Độ tin cậy cao (High Assurance Level): yêu cầu trên các lĩnh vực thiết yếu như định danh, chứng thực và chữ ký điện tử;
- Độ tin cậy trung bình (Substantial Assurance Level): cần thiết trên các lĩnh vực quan trọng như điện toán đám mây, y tế;
- Độ tin cậy thấp (Basic Assurance Level): áp dụng cho các lĩnh vực khác.
Để đạt được độ tin cậy cao và trung bình, sản phẩm và dịch vụ phải được kiểm định an toàn bởi một cơ quan độc lập có đủ kỹ năng và chất lượng (theo chuẩn chất lượng ISO17025).
Với Bộ luật an toàn thông tin, cộng đồng châu Âu hướng tới nâng cao độ tin cậy cho các sản phẩm và dịch vụ số đồng thời kích thích sự phát triển của một hệ sinh thái an toàn thông tin với các thành phần thiết yếu sau đây:
- Nhà phát triển sản phẩm và dịch vụ đầu tư để nâng độ tin cậy;
- Cơ quan kiểm định độc lập không ngừng nâng cao trình độ để bắt kịp những kỹ thuật tin tặc mới nhất trong công tác kiểm định;
- Lực lượng tư vấn sẵn sàng hỗ trợ nhà phát triển sản phẩm để nâng cao độ tin cậy.
Nhiệm vụ của những cơ quan chính phủ là áp dụng luật để đảm bảo tính công bằng của luật chơi trên toàn hệ sinh thái. Hệ sinh thái an toàn thông tin không những nâng cao độ tin cậy của các sản phẩm “Made in EU” mà còn duy trì sự phát triển nhân lực an toàn thông tin, đảm bảo tính độc lập về công nghệ của liên minh châu Âu trên một lĩnh vực đang có cạnh tranh quốc tế quyết liệt [5]. Theo dự đoán, đến năm 2022, Cộng đồng châu Âu sẽ thiếu 350 nghìn chuyên gia về an toàn thông tin. Trên quy mô toàn thế giới, mức thiếu hụt về nhân lực lên tới 2 triệu người [5].
An toàn thông tin cho các ứng dụng IoT tại Việt nam
Sự phát triển mạnh mẽ và đa dạng của các ứng dụng IoT là xu hướng công nghệ tất yếu ở Việt nam. Tuy nhiên, nếu quá trình này không được theo dõi và giám sát thì thị trường trong nước sẽ dễ dàng rơi vào bẫy của giới tin tặc quốc tế. Theo báo cáo gần đây nhất của hãng tư vấn Kapersky, Việt Nam hiện đứng thứ hai thế giới (chỉ sau Afghanistan) về nguy cơ lây nhiễm mã độc trên máy tính cá nhân [6]. Những rủi ro an toàn thông tin cũng có thể xem là một cơ hội phát triển mới cho đất nước. Thật vậy, một thiết chế nhà nước linh hoạt và hiệu quả sẽ kích thích sự ra đời và phát triển của một hệ sinh thái an toàn thông tin trong nước. Hệ sinh thái này không những nâng cao độ tin cậy của các sản phẩn và dịch vụ mà còn nuôi dưỡng nguồn nhân lực tài năng trong nước, giảm thiểu sự phụ thuộc vào công nghệ nước ngoài và tăng cường sức mạnh của đất nước về an toàn thông tin.
Hình 2. Hệ sinh thái An toàn thông tin
Hình 2 trình bày những thành phần chủ yếu của một hệ sinh thái an toàn thông tin trong nước (có thể áp dụng cho lĩnh vực IoT hoặc rộng hơn trên toàn bộ nền kinh tế số). Vai trò của thiết chế cấp Nhà nước là tác động đúng hướng vào các bánh răng để kích hoạt và vận hành cỗ máy. Những hành động kịp thời của thiết chế như thiết lập yêu cầu về độ tin cậy cho từng lĩnh vực ứng dụng, xây dựng luật chơi công bằng và minh bạch cho công tác kiểm định và đào tạo, chuyển giao công nghệ (thông qua hệ thống chuyên gia trong và ngoài nước) chính là nguồn nguyên liệu cho sự vận hành trôi chảy của hệ sinh thái.
TS. Nguyễn Quang Huy, Giám đốc Cơ quan kiểm định an toàn thông tin Trusted Labs, Tập đoàn Thales (CH Pháp)