Bảo vệ người sử dụng thiết bị thông minh

- Thứ Hai, 26/04/2021, 06:45 - Chia sẻ
Các nhà sản xuất thiết bị thông minh bao gồm điện thoại, loa và chuông cửa tới đây sẽ phải thông báo cho khách hàng biết trước thời gian sản phẩm được nhận các bản cập nhật bảo mật quan trọng nhằm bảo vệ người dùng khỏi các cuộc tấn công mạng. Đây là kế hoạch mà Vương quốc Anh đang muốn đưa vào dự thảo luật mới.

Nguy cơ từ thiết bị thông minh

Theo số liệu chính thức, gần một nửa (49%) cư dân Vương quốc Anh đã mua ít nhất một thiết bị thông minh kể từ khi bắt đầu đại dịch Covid-19. Những sản phẩm hàng ngày này, như đồng hồ thông minh, tivi và máy ảnh vốn mang lại rất nhiều lợi ích, nhưng nhiều sản phẩm vẫn dễ bị tấn công mạng.

	Nguồn ITN
Nguồn ITN

Chỉ một thiết bị dễ bị tấn công có thể khiến mạng lưới của người dùng gặp rủi ro. Còn nhớ, năm 2017, một nhóm tin tặc khét tiếng đã thành công trong việc đánh cắp dữ liệu từ một sòng bạc ở Bắc Mỹ chỉ thông qua một bể cá được kết nối internet. Trong các trường hợp nghiêm trọng hơn, nhóm tấn công đã lợi dụng các tính năng bảo mật kém để truy cập vào webcam của mọi người.

Để chống lại mối đe dọa đó, Chính phủ Anh đang lên kế hoạch soạn thảo dự luật mới nhằm bảo đảm rằng, tất cả thiết bị thông minh phải đáp ứng các yêu cầu mới. Đó là tại điểm bán hàng, khách hàng phải được thông báo về khoảng thời gian mà thiết bị thông minh sẽ nhận được các bản cập nhật phần mềm bảo mật. Cấm nhà sản xuất sử dụng mật khẩu mặc định chung, dễ đoán, như “password” hoặc “admin”, trong cài đặt gốc của thiết bị. Bên cạnh đó, các nhà sản xuất sẽ được yêu cầu cung cấp đầu mối liên hệ công khai để giúp mọi người báo cáo lỗ hổng bảo mật dễ dàng hơn…

Điện thoại thông minh là sản phẩm mới nhất nằm trong phạm vi điều chỉnh của dự luật Bảo mật theo thiết kế (Secure By Design), sau nhiều lời kêu gọi xem xét vấn đề an ninh mạng đối với thiết bị thông minh.

Cụ thể, động thái trên được đưa ra sau khi nghiên cứu của nhóm người tiêu dùng Which? cho thấy, một phần ba số người giữ điện thoại gần nhất của họ trong 4 năm, trong khi một số thương hiệu chỉ cung cấp các bản cập nhật bảo mật trong hơn hai năm.

Vì vậy, Chính phủ Anh tiếp tục kêu gọi mọi người làm theo hướng dẫn của Trung tâm An ninh mạng quốc gia (NCSC), thay đổi mật khẩu mặc định cũng như thường xuyên cập nhật các ứng dụng và phần mềm để giúp bảo vệ thiết bị của họ khỏi tầm ngắm của tội phạm mạng.

Bộ trưởng Bộ Cơ sở hạ tầng kỹ thuật số Matt Warman cho biết, điện thoại và các thiết bị thông minh có thể là mỏ vàng cho tin tặc tìm cách đánh cắp dữ liệu, tuy nhiên, một số lượng lớn vẫn chạy phần mềm cũ hơn với lỗ hổng trong hệ thống bảo mật của chúng.

Do đó, “chúng tôi đang thay đổi luật để bảo đảm người mua hàng biết các sản phẩm sẽ được hỗ trợ bản cập nhật bảo mật quan trọng trong bao lâu trước khi quyết định mua, và đang làm cho các thiết bị khó xâm nhập hơn bằng cách cấm mật khẩu mặc định dễ đoán. Những cải cách, được sự hỗ trợ của các hiệp hội công nghệ trên toàn thế giới, sẽ đánh bay nỗ lực của bọn tội phạm trực tuyến và thúc đẩy sứ mệnh của chúng tôi là đem đến sự an toàn cao hơn từ đại dịch”.

Bằng cách buộc các công ty công nghệ phải thông báo trước thời điểm thiết bị sẽ không còn được hỗ trợ nữa, dự luật sẽ giúp ngăn người dùng không để mình trở thành miếng mồi ngon của tội phạm mạng bằng cách sử dụng một thiết bị cũ có thể lỗi thời về bảo mật. Chỉ 1/5 nhà sản xuất toàn cầu có cơ chế cho phép các nhà nghiên cứu bảo mật - các công ty và cá nhân tìm thấy lỗi bảo mật trong thiết bị - báo cáo lỗ hổng.

Những động thái trên đã được hỗ trợ bởi các hiệp hội công nghệ quan trọng, trong đó có Internet of Secure Things (IoXT), mà thành viên bao gồm một số công ty công nghệ lớn nhất thế giới như Google, Amazon hay Facebook.

Ông Brad Ree, Giám đốc công nghệ liên minh IoXT, cho biết: “Chúng tôi hoan nghênh Chính phủ Vương quốc Anh đã thực hiện bước quan trọng này để yêu cầu nhiều hơn từ các nhà sản xuất thiết bị IoT (Internet of things - Internet vạn vật) và để bảo vệ tốt hơn người tiêu dùng cũng như các doanh nghiệp sử dụng chúng”. Theo ông, yêu cầu về mật khẩu duy nhất, vận hành chương trình tiết lộ lỗ hổng bảo mật và thông báo cho người tiêu dùng về khoảng thời gian sản phẩm sẽ được hỗ trợ là điều tối thiểu mà bất kỳ nhà sản xuất nào cũng nên cung cấp.

Bắt nguồn từ vấn đề toàn cầu

Dự luật mới của xứ sở sương mù được xây dựng dựa trên vấn đề mang tính toàn cầu mà chính phủ đã thực hiện để tăng cường bảo mật các thiết bị thông minh, bao gồm cả xuất bản quy tắc thực hành cho các nhà sản xuất thiết bị nhằm tăng cường bảo mật cho các sản phẩm của họ vào năm 2018.

Tháng trước, Bộ trưởng Bộ Kỹ thuật số Oliver Dowden đặt ra 10 ưu tiên công nghệ, bao gồm việc giữ cho Vương quốc Anh an toàn và được bảo mật trực tuyến, đồng thời chính phủ còn xuất bản Báo cáo "Đánh giá tích hợp về quốc phòng và an ninh" mang tính đột phá cao.

Chính phủ cũng đóng vai trò quan trọng trong phát triển tiêu chuẩn quốc tế chính đầu tiên về an ninh mạng cho thiết bị tiêu dùng để giúp các nhà sản xuất bảo vệ người tiêu dùng trên khắp thế giới khỏi trở thành nạn nhân của các cuộc tấn công mạng. Tiêu chuẩn này đã được hỗ trợ bởi Hiệp định Công nghệ an ninh mạng (CTA), với các thành viên tên tuổi như Arm, Microsoft hay Dell, và cũng đã được quảng bá tại Australia, Singapore, Phần Lan và Ấn Độ - thể hiện sức ảnh hưởng toàn cầu của Anh như một cường quốc mạng.

Ba chương trình bảo đảm tự nguyện mới đã được đưa ra gần đây nhằm mang lại cho người mua hàng sự tin tưởng về sản phẩm thông minh đã được thực hiện an toàn trên mạng, nhờ khoản tài trợ trị giá 400.000 bảng Anh của chính phủ.

Chẳng hạn, Chương trình Bảo đảm đồ chơi trên internet (Internet of Toys Assurance Scheme) có trụ sở tại Stockport sẽ cho phép cha mẹ biết ngay từ đầu món đồ chơi thông minh mà họ đang mua cho con mình đã được kiểm tra và đáp ứng các yêu cầu bảo mật tối thiểu hay chưa. Trong khi đó, Chương trình Chứng nhận an ninh mạng cho ti vi thông minh sẽ cung cấp thử nghiệm của bên thứ ba và tạo niềm tin cho người mua các sản phẩm tivi thông minh bằng cách cho phép các thiết bị đã được phê duyệt hiển thị biểu trưng chứng nhận. Chưa hết, Sáng kiến bảo đảm an ninh IoT ​​IASME sẽ dành cho các công ty mới thành lập và các công ty nhỏ hơn tự đánh giá an ninh mạng đã được xác minh đối với các sản phẩm của họ để bảo đảm chúng đáp ứng các tiêu chuẩn cao.

Giám đốc kỹ thuật của Trung tâm An ninh mạng quốc gia, Tiến sĩ Ian Levy phát biểu: Người tiêu dùng ngày càng tin tưởng vào các sản phẩm được kết nối tại nơi làm việc và tại nhà. Đại dịch Covid-19 chỉ đẩy nhanh xu hướng đó và trong khi các nhà sản xuất thiết bị này đang dần dần cải thiện các biện pháp bảo mật, nó vẫn chưa đủ tốt.

Ông cho biết, ấn phẩm của Bộ Kỹ thuật số, văn hóa, truyền thông và thể thao (DCMS) được xây dựng dựa trên Quy tắc thực hành năm 2018 và ETSI EN 303 645 đã phác thảo rõ ràng những kỳ vọng đối với lĩnh vực bảo mật. Để bảo vệ người tiêu dùng và xây dựng lòng tin trong toàn ngành, điều quan trọng là các nhà sản xuất phải có trách nhiệm và chú ý đến những đề xuất này ngay bây giờ.

Trong khi đó, ông Annalaura Gallo, Trưởng ban Thư ký Hiệp định Công nghệ an ninh mạng (Cybersecurity Tech Accord), khẳng định: “Niềm tin vào công nghệ là vấn đề then chốt của thời đại chúng ta và bảo mật là nền tảng cơ bản để đạt được điều đó. Chúng tôi hoan nghênh vai trò hàng đầu của Chính phủ Vương quốc Anh trong thúc đẩy sự tập trung quốc gia và quốc tế vào vấn đề này theo cách được thiết kế để tăng cường bảo mật mà không tạo ra gánh nặng lớn cho những người tạo ra công nghệ mới cho người tiêu dùng”.

Ông John Moor, Giám đốc điều hành của Quỹ bảo mật Internet of Things, thì bày tỏ: IoT không ngừng phát triển và các yêu cầu bảo mật phải tiếp tục theo kịp tốc độ. Do đó, tầm quan trọng của việc quản lý lỗ hổng bảo mật và cập nhật phần mềm bảo mật không thể bị đánh giá thấp. Ông trích dẫn lời một chuyên gia: “Hãy nhớ rằng, nếu nó không an toàn, nó sẽ không thông minh”.

Ông Rocio Concha, Giám đốc Chính sách và Vận động của Which? lại khẳng định: “Chúng tôi chia sẻ tham vọng của Chính phủ là đưa Vương quốc Anh trở thành một trong những nơi an toàn nhất trên thế giới để người tiêu dùng sử dụng công nghệ thông minh. Và điều đó phải được hỗ trợ bởi cơ quan thực thi mạnh mẽ, bảo đảm mọi người có thể khắc phục hiệu quả khi họ mua các thiết bị không đáp ứng các tiêu chuẩn bảo mật, khiến họ trở thành nguy cơ cao đối với các vi phạm dữ liệu và lừa đảo”.

Chính phủ Anh dự định giới thiệu dự luật mới nói trên ngay trong thời gian Quốc hội cho phép.

Linh Anh