Trang chủ Chưa được phân loại Tọa đàm trực tuyến “Bảo mật IoT tại Việt Nam: Thách thức...

Tọa đàm trực tuyến “Bảo mật IoT tại Việt Nam: Thách thức và giải pháp”

0
Tọa đàm trực tuyến chủ đề “Bảo mật IoT tại Việt Nam: Thách thức và giải pháp” được ICTnews tổ chức chiều ngày 17/10/2018, với sự góp mặt của 4 chuyên gia đến từ Cục An toàn thông tin và các Công ty Bkav, VNCS, CyStack.
Buổi tọa đàm chủ đề “Bảo mật IoT tại Việt Nam: Thách thức và giải pháp” được ICTnews tổ chức trong bối cảnh lĩnh vực an toàn thông tin mạng trên thế giới và tại Việt Nam không ngừng gia tăng.
Kỷ nguyên IoT (Internet of Things) đang bùng nổ mạnh mẽ. Trên thế giới hiện có 18 tỷ thiết bị kết nối và dự báo đến năm 2020 sẽ có trên 30 tỷ thiết bị kết nối. Song hành cùng sự bùng nổ của IoT là xu thế phát triển như vũ bão của y tế thông minh, tòa nhà thông minh, giao thông thông minh… tại nhiều quốc gia trên thế giới và tại Việt Nam.
Trong tham luận về “Tổng quan IoT trên thế giới và Việt Nam”, Cục An toàn thông tin – Bộ TT&TT đã đánh giá, hiện có khá nhiều doanh nghiệp viễn thông, CNTT tham gia sản xuất thiết bị IoT. Tuy nhiên, trên thị trường Việt Nam cũng như thế giới có nhiều thiết bị trôi nổi không đảm bảo an toàn thông tin, các lỗ hổng bị khai thác, tấn công. Có tới 70% thiết bị IoT có nguy cơ bị tấn công mạng.
Cũng theo thống kê của Cục An toàn thông tin, trong 316.000 camera giám sát được kết nối và công khai trên mạng Internet thì có hơn 147.000 thiết bị có lỗ hổng, chiếm 65%; Thiết bị Router Việt Nam có khoảng 28.000 địa chỉ đã bị tấn công bằng mã độc Mirai và các biến thể Mirai. Đây là nguy cơ rất lớn đối với Việt Nam. Một nghiên cứu của Bkav cho thấy có tới 76% camera IP tại Việt Nam hiện vẫn dùng tài khoản và mật khẩu được nhà sản xuất cài đặt sẵn. Việc cập nhật bản vá cho lỗ hổng trên thiết bị IoT cũng không đơn giản như cập nhật cho phần mềm, đòi hỏi sự can thiệp trực tiếp từ phía người dùng với kiến thức về mạng máy tính. Do đó, khả năng người dùng lơ là, không quan tâm đến lỗ hổng dù được cảnh báo là rất cao.
Chính vì lý do đó, ICTnews.vn tổ chức tọa đàm “Bảo mật cho kết nối thiết bị IoT tại Việt Nam: Thách thức và giải pháp” với sự tham gia của các chuyên gia bảo mật hàng đầu trong nước hiện nay, nhằm đi tìm lời giải,giải pháp an ninh mạng hiệu quả để ngăn chặn, hạn chế các mối đe dọa tiềm ẩn, góp phần xây dựng cho chiến lược an ninh toàn diện tại Việt Nam.
Tham gia buổi tọa đàm trực tuyến chủ đề “Bảo mật IoT tại Việt Nam: Thách thức và giải pháp” chiều ngày 17/10/2018 có ông Nguyễn Hoài Nam, đại diện Cục An toàn thông tin (Bộ TT&TT); ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng Công ty Bkav; ông Khổng Huy Hùng, Tổng Giám đốc Công ty cổ phần Công nghệ an ninh không gian mạng VIệt Nam – VNCS; Chuyên gia bảo mật Trần Quang Chiến, Tổng Giám đốc Công ty Cổ phần CyStack Việt Nam.
Tại buổi tọa đàm trực tuyến này, các chuyên gia sẽ cùng trao đổi về những nguy cơ, thách thức của việc đảm bảo an toàn trong xu hướng IoT đang len sâu vào mọi ngõ ngách của đời sống. Các chuyên gia sẽ chia sẻ những kinh nghiệm cũng như đưa ra những khuyến nghị đối với cơ quan, tổ chức, doanh nghiệp và người dùng trong đảm bảo an toàn cho các thiết bị IoT.
Buổi tọa đàm có 2 phần: Phần thứ nhất chúng tôi đặt ra những câu hỏi chung cho các diễn giải trên cơ sở tổng hợp các câu hỏi đã nhận được cho các diễn giả. Phần thứ 2 sẽ có những câu hỏi đến từng diễn giả.
Được triển khai bằng hình thức đưa ra câu hỏi mà độc giả quan tâm đến các chuyên gia trả lời và đăng tải trên ICTnews.vn. Trong thời gian diễn ra buổi tọa đàm trực tuyến, độc giả vẫn có thể gửi câu hỏi cho các chuyên gia và gửi về cho Ban Tổ chức theo địa chỉ toasoan@ictnews.vn hoặc thaikhang@ictnews.vn.

Toàn cảnh buổi Tọa đàm

Dưới đây là nội dung buổi tọa đàm trực tuyến:

MC: Theo dự báo, mục tiêu tấn công trong tương lai sẽ nhắm đến các thiết bị IoT. Nguy cơ bị tấn công bằng cách cài đặt phần mềm gián điệp nằm vùng để thực hiện các cuộc tấn công có chủ đích sẽ thông qua các thiết bị IoT. Dưới góc nhìn của các chuyên gia, vấn đề này sẽ ảnh hưởng như thế nào? Chúng ta cần làm gì để giải quyết những nguy cơ đó?

Ông Khổng Huy Hùng –  Tổng Giám đốc Công ty cổ phần Công nghệ an ninh không gian mạng Việt Nam – VNCS

Ông Khổng Huy Hùng, Tổng Giám đốc Công ty cổ phần Công nghệ an ninh không gian mạng Việt Nam – VNCS: Thời gian trước đây, các cuộc tấn công mạng truyền thống vào các hệ thống thông tin của các tổ chức, doanh nghiệp, nhất là khối tài chính, ngân hàng thường sẽ ảnh hưởng ban đầu đến cuộc sống của mọi người (ví dụ như, người dùng bị mất tiền, tài sản khi thông tin thẻ tín dụng bị rò rỉ). Còn trong bối cảnh tấn công thông qua các thiết bị IoT ngày càng gia tăng, sẽ có thể dẫn đến ảnh hưởng trực tiếp đến cuộc sống thậm chí là tính mạng của người dân. Cứ tưởng tượng toàn bộ hệ thống đèn tín hiệu giao thông ngừng hoạt động, hay thông tin dữ liệu bệnh lý của người dân bị xáo trộn thì hậu quả sẽ lớn đến mức nào?
Để ứng phó với các nguy cơ mất an toàn thông tin từ những cuộc tấn công thông qua thiết bị IoT, cá nhân tôi cho rằng trước tiên những người xây dựng các hệ thống ứng dụng trên nền tảng IoT cần ngay từ đầu có ý thức trang bị các giải pháp đảm bảo an toàn thông tin cho hệ thống cũng như người sử dụng. Tôi cho rằng đây là một yếu tố vô cùng quan trọng.
Ông Nguyễn Hoài Nam, đại diện Cục An toàn thông tin cho rằng, nguy cơ bị tấn công bằng việc cài đặt các phần mềm gián điệp nằm vùng là rất nghiêm trọng. Lý do là người sử dụng có thể không hay biết gì về nguy cơ này cho đến khi sự cố xảy ra. Ảnh hưởng lớn nhất chúng ta đã biết trong thời gian qua là các cuộc tấn công làm gián đoạn dịch vụ (DDoS). Trước thời điểm bùng nổ xu hướng IoT, việc tấn công làm gián đoạn dịch vụ cần rất nhiều thời gian chuẩn bị để huy động một số lượng lớn thiết bị. Tuy nhiên, tới thời điểm hiện nay cách thức tấn công đó trở nên vô cùng dễ dàng do các lỗ hổng của các thiết bị IoT thường được cập nhật tương đối chậm. Hướng giải quyết trước mắt là cần xây dựng hệ thống giám sát quốc gia để nhận biết những cuộc tấn công sử dụng các thiết bị IoT một cách nhanh nhất, sau đó tiến hành vô hiệu hóa máy chủ điều khiển để ngăn chặn hành vi tấn công này.

Ông Nguyễn Hoài Nam, đại diện Cục An toàn thông tin

Ông Trần Quang Chiến: Các thiết bị IoT thường có thể can thiệp trực tiếp vào hoạt động, môi trường sống của con người (như phương tiện giao thông tự động, các thiết bị điều khiển sản xuất tự động, camera giám sát, thiết bị cảm biến, robot tự động…). Vì vậy trong trường hợp bị tin tặc tấn công, kiểm soát và cài đặt các phần mềm độc hại, thì các thiết bị IoT có thể trở thành công cụ để tin tặc can thiệp, tấn công trực tiếp có chủ đích vào con người. Ngoài ra các công nghệ mới sử dụng trong các thiết bị IoT thường phát triển nhanh hơn khả năng kiểm soát về bảo mật hiện nay. Do đó, để giải quyết vấn đề này, nhiệm vụ chính thuộc về các đơn vị phát triển thiết bị, cần chú trọng đầu tư về bảo mật cũng như bắt tay với các chuyên gia, đơn vị chuyên trách về bảo mật để tạo ra các sản phẩm an toàn, phục vụ nhu cầu người dùng trong mọi lĩnh vực.
MC: Do là các sản phẩm IOT thường mới được phát triển nên thường tồn tại nhiều lỗ hổng bảo mật. Các hacker có thể lợi dụng các lỗ hổng này để tấn công thiết bị IoT. Đây là một mối lo ngại lớn cho các doanh nghiệp khi sử dụng các thiết bị IOT. Tội phạm mạng có thể kiểm soát toàn bộ hệ thống mạng của doanh nghiệp thông qua một thiết bị IOT không được bảo mật được tham gia vào mạng. Nguy cơ đối với các doanh nghiệp là gì?
Ông Nguyễn Hoài Nam: Nguy cơ mất an ninh, an toàn thông tin đối với các doanh nghiệp cũng giống như nguy cơ đối với việc tin tặc khai thác máy chủ, thiết bị mạng hay máy tính cá nhân. Tuy nhiên có một điểm nghiêm trọng hơn đối với các nhóm thiết bị trên là các lỗ hổng của thiết bị IoT thường được cập nhật tương đối chậm, cách thức để cập nhật bản vá lỗ hổng trong một số trường hợp là phức tạp hơn so với việc cập nhật của máy chủ và máy tính cá nhân. Vì lí do này, ngay cả khi doanh nghiệp đã được thông báo về các lỗ hổng của thiết bị IoT đang sử dụng thì việc khắc phục sẽ tương đối mất nhiều thời gian, có thể tính thời gian bằng tháng. Trong trường hợp như vậy, doanh nghiệp có thể cân nhắc cô lập các thiết bị này cho đến khi nhận được bản vá lỗ hổng từ nhà sản xuất hoặc có một phương án khắc phục tương đương.
Ông Khổng Huy Hùng: Tôi cho rằng, các doanh nghiệp cần có nhận thức rõ hơn về các mối đe dọa cũng như các rủi ro có thể ảnh hưởng trực tiếp đến mình. Ví dụ, độ sẵn sàng của dịch vụ, khả năng thất thoát thông tin, Ransomware..) Tham khảo chính sách các nước lớn trên thế giới đưa ra các tiêu chí bảo mật dành cho IOT từ Singapore, Úc.., các doanh nghiệp Việt Nam cần quan tâm đến các tiêu chí quan trọng: Nắm rõ được thiết bị, tài sản của mình (Know your assets); Đảm bảo rằng chỉ cho phép những ứng dụng tin cậy hoạt động; Vá các lỗ hổng bảo mật và update hệ thống nhanh nhất có thể; Quản lý các đặc quyền của quản trị viên; Phát hiện vi phạm an ninh thông tin một cách kịp thời; Điều khiển, giám sát truy cập mạng theo thời gian thực.
Ông Trần Quang Chiến: Theo quan điểm của cá nhân, tôi cho rằng các thiết bị IoT nói chung, đặc biệt là thiết bị sử dụng cho Chính phủ điện tử, thành phố thông minh, sẽ đóng vai trò quan trọng, có tác động lớn đời sống kinh tế, xã hội của đất nước. Vì vậy tôi nghĩ rằng các thiết bị IoT thì nhà nước, đơn vị nghiên cứu cần có những kế hoạch, nhiệm vụ để có thể chủ động sản xuất ra các thiết bị thay vì phải phụ thuộc đi mua từ các quốc gia khác. Vì nhiều trường hợp chúng ta đã thấy thiết bị hoàn toàn có thể bị cài đặt mã độc ngay từ khi sản xuất, nhằm mục đích theo dõi, thu thập và kiểm soát thông tin của khách hàng.
Chính phủ điện tử, thành phố thông minh sẽ sử dụng rất nhiều các kết nối thiết bị IoT. Vậy nguy cơ bị tấn công từ các thiết bị này ra sao? Chúng ta có quy định về chuẩn về bảo mật khi các địa phương xây dựng Chính phủ điện tử, thành phố thông minh hay không?
Ông Nguyễn Hoài Nam, Đại diện Cục An toàn thông tin: Nguy cơ bị tấn công từ các thiết bị IoT đối với thành phố thông minh và Chính phủ điện tử tập trung vào một số điểm sau: Một là tấn công làm gián đoạn dịch vụ, dẫn đến các hoạt động trên mạng bị ngưng trệ. Hai là việc các đối tượng tấn công lợi dụng lỗ hổng của các thiết bị IoT để khai thác thông tin của người dùng phục vụ các mục đích không chính đáng. Hiện tại Bộ Thông tin và Truyền thông đã và đang tiếp tục xây dựng các văn bản về đảm bảo an ninh, an toàn thông tin để hướng dẫn các địa phương xây dựng Chính phủ điện tử và thành phố thông minh. Bản chất các thiết bị IoT có thể được hiểu là các máy tính thu nhỏ và có kết nối mạng, theo đó có thể tuân theo một số quy định và hướng dẫn để đảm bảo an ninh, an toàn thông tin đối với các máy tính, máy chủ và các thiết bị mạng đã được ban hành trong thời gian vừa qua, trong đó có Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ, Thông tư 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông, Tiêu chuẩn Việt Nam 11930:2017.
Ông Khổng Huy Hùng: Theo tôi, trong bối cảnh các hệ thống, thiết bị IoT ngày càng được sử dụng phục vụ cho những nhu cầu thiết yếu của người dân, như tôi đã phân tích, kèm theo đó các nguy cơ mất an toàn thông tin mạng sẽ lớn và mức độ thiệt hại cũng sẽ gia tăng theo cấp số nhân.
Trong đảm bảo an toàn thông tin thì việc xây dựng các chuyển về bảo mật là rất cần thiết. Và tôi cũng được biết hiện nay Bộ TT&TT và Văn phòng Chính phủ cũng đang nghiên cứu và xây dựng các quy chuẩn, tiêu chuẩn về đảm bảo an toàn thông tin Chính phủ điện tử và thành phố thông minh.
Ông Trần Quang Chiến: Hiện nay một số thiết bị IoT được sử dụng trong doanh nghiệp như camera, TV, các hệ thống điều khiển tự động… Các thiết bị này thường có những cảm biến để can thiệp trực tiếp vào môi trường doanh nghiệp như quay phim, chụp ảnh, nghe lén, can thiệp vào các hoạt động của doanh nghiệp (như can thiệp vào máy sản xuất được điều khiển tự động)… Khi các thiết bị IoT này bị tin tặc tấn công, kiểm soát thì các thiết bị này có thể trở thành công cụ để tin tặc đánh cắp thông tin, phá hoại hoạt động kinh doanh… gây ra những thiệt hại lớn về tài chính, và thậm chí cả con người (như thiết bị trong lĩnh vực y tế, giao thông, phương tiện vận chuyển…).

Chuyên gia bảo mật Trần Quang Chiến, Tổng Giám đốc Công ty Cổ phần CyStack Việt Nam.

Tương lai của nhân loại là IoT và nhìn vào các nước phát triển thì thấy rất tuyệt vời. Tuy nhiên theo tôi thấy các chi phí để nghiên cứu, vận hành, sử dụng cho người dùng cuối thì không phải ai cũng là làm được. Tôi muốn hỏi, tại Việt Nam, phải làm thế nào để mọi người thấy đc IoT rất gần gũi, tiện dụng và ko xa vời? Riêng ở góc độ bảo mật thông tin, cơ quan và các doanh nghiệp cần làm gì để người dùng một mặt không vì e ngại lộ thông tin mà “tẩy chay” các thiết bị công nghệ đã trở thành xu thế thế giới nhưng mặt khác cũng không quá “dễ dãi”, tự đẩy mình trở thành mồi ngon cho tội phạm mạng?
Lộc Lộc (Thanh Xuân, Hà Nội)
Ông Khổng Huy Hùng: Việc sử dụng các thiết bị IoT là xu hướng tất yếu nên bản chất người dùng sẽ tự dần tiếp cận và sử dụng thiết bị IoT. Sử dụng thiết bị IoT trong đời sống xã hội sẽ mang lại nhiều tiện ích, làm cho cuộc sống của mỗi người dân thuận lợi hơn, ví dụ như ngày nay chỉ với 1 chiếc smartphone, chúng ta có thể mua được vé tàu, trả phí các dịch vụ thiết yếu như y tế, giáo dục, tiền điện, tiền nước… và thậm chí là khám bệnh từ xa. Tuy nhiên, điều chúng ta cần lưu tâm là để bảo mật cho những thiết bị này các cơ quan chức năng cần có những quy định về tiêu chuẩn bảo mật của các thiết bị IoT tại Việt Nam.
Khi IoT ăn rễ sâu vào cuộc sống, tin tặc có thể chiếm quyền kiểm soát máy tính, điện thoại, máy ảnh, xe ô tô, thậm chí là tủ lạnh trong nhà. Tất cả hệ thống đều tồn tại lỗ hổng và thêm nhiều thiết bị kết nối càng tiềm ẩn nhiều hiểm họa. Sự riêng tư và sức khỏe sẽ trở thành mục tiêu tấn công IoT. Có ý kiến cho rằng ngày công nghệ có vẻ đang quá vội vàng, chú trọng vào tính năng thu hút người dùng và bỏ quên tiêu chí bảo mật. Các chuyên gia nghĩ sao về ý kiến này?
(Huỳnh Quân – TPHCM)
Ông Nguyễn Hoài Nam: Thực tế ngay cả khi nhà sản xuất có sự quan tâm đúng mức về vấn đề bảo mật cho các thiết bị IoT, thì nguy cơ mất an ninh, an toàn thông tin vẫn xuất hiện và có ảnh hưởng nghiêm trọng như độc giả đã đề cập, trong đó có sự riêng tư và sức khỏe. Để độc giả có thể hiểu rõ hơn chúng ta có thể hình dung cuộc đua giữa những người làm bảo mật và tin tặc phần lớn có đặc điểm: cho dù những người làm bảo mật có cố gắng tìm kiếm các lỗ hổng của thiết bị và cập nhật các bản vá nhiều bao nhiêu thì tin tặc luôn tìm ra các lỗ hổng mới chưa từng được phát hiện và công việc của người làm bảo mật là đưa ra giải pháp để khắc phục các lỗ hổng này. Việc này cho thấy một thực tế là không có một thiết bị nào an toàn tuyệt đối, có thể hôm nay thiết bị là an toàn, nhưng trong tương lai không đảm bảo không có ai tìm ra được một lỗ hổng mới của thiết bị. Vì vậy công việc của các nhà sản xuất là cố gắng tối đa để kiểm tra bảo mật của thiết bị trước khi đưa ra thị trường, và cung cấp bản vá lỗ hổng trong thời gian nhanh nhất có thể.
Chúng tôi thấy rất nhiều thiết bị IoT được bán trên thị trường như Camera, giám sát nhà thông minh, nồi cơm điện thông minh, xe điện… làm sao tôi có thể chọn những thiết bị nào an toàn cho cuộc sống của mình mà không phải lo lắng rằng mình sẽ bị theo dõi?
(Thịnh Nguyễn – Hà Nội)
Ông Nguyễn Hoài Nam: Thời gian vừa qua có rất nhiều gia đình đã đầu tư trang bị hệ thống camera giám sát để đảm bảo an ninh cho ngôi nhà của mình, nhưng việc lựa chọn một số các thiết bị camera có tồn tại lỗ hổng bảo mật lại tạo điều kiện cho tin tặc khai thác, theo dõi, tưởng chừng an toàn hơn nhưng lại mất an toàn hơn cả khi không lắp camera. Theo thống kê của Cục An toàn thông tin, có một số lượng rất lớn các thiết bị camera (khoảng 140.000 thiết bị) có tồn tại lỗ hổng tin tặc có thể khai thác được. Thực tế không có một thiết bị IoT nào là an toàn tuyệt đối, tuy nhiên để giảm thiểu các nguy cơ mất an ninh, an toàn thông tin khi sử dụng các thiết bị IoT, trước khi mua một sản phẩm IoT, độc giả có thể tra cứu các đánh giá của cộng đồng người sử dụng trên Internet về lịch sử tồn tại lỗ hổng bảo mật của thiết bị, khả năng cung cấp các bản vá lỗ hổng của nhà sản xuất. Đồng thời khi sử dụng sản phẩm IoT, độc giả nên theo dõi thường xuyên về các bản vá lỗ hổng mới từ nhà sản xuất để tiến hành cập nhật ngay khi có thể. Đối với riêng thiết bị camera giám sát, độc giả có thể cân nhắc không lắp đặt tại các không gian mang tính riêng tư của căn nhà để tránh những sự cố đáng tiếc.
Thời gian qua tôi đọc báo thấy có tình trạng camera giám sát của doanh nghiệp, gia đình có nguồn gốc không rõ ràng liên tục gửi dữ liệu ra ngoài, tiềm ẩn nguy cơ mất an toàn thông tin. Vậy tôi cần phải làm gì để đảm bảo bảo mật cao nhất?
Nguyễn Tú – Hà Nội
Ông Trần Quang Chiến: Đối với các thiết bị IoT, có 2 vấn đề chính về bảo mật: Một là liên quan đến mức độ an toàn của sản phẩm khi xuất xưởng. Điều này phụ thuộc hoàn toàn vào nhà sản xuất. Trong trường hợp sản phẩm không có nguồn gốc rõ ràng thì nhiều thiết bị có thể bị cài đặt backdoor/modul thu thập dữ liệu người dùng. Hai là do việc bảo mật từ phía người dùng, do việc đặt mật khẩu, cấu hình không an toàn. Đối với trường hợp camera giám sát an ninh của doanh nghiệp, sẽ có 2 nguyên nhân: một là do nhà cung cấp đã chủ động cài đặt mã độc, hoặc do hacker đã khai thác lỗ hổng để tấn công vào thiết bị, cài đặt mã độc. Để đảm bảo bảo mật, khi chọn mua cần mua sản phẩm của hãng có nguồn gốc rõ ràng, uy tín.
Khi cài đặt các thiết bị vào hệ thống mạng của doanh nghiệp hoặc gia đình, người dùng cần lưu ý 3 điểm sau:
Một là cần kiểm tra firmware đã được cập nhật bản mới nhất hay chưa thông qua giao diện quản trị hoặc yêu cầu bên cung cấp.
Hai là cần thay đổi mật khẩu quản trị, bao gồm cả mật khẩu mặc định của nhà cung cấp thiết bị đã thiết lập.
Ba là, cần loại bỏ, vô hiệu hóa các chức năng không cần thiết, vì điều này có thể tiềm ẩn các lỗ hổng bảo mật.
Giải pháp nào có thể kiểm soát rủi ro an ninh mạng trong thế giới kết nối IoT, thưa chuyên gia?
Thu Hằng – TP.HCM
Ông Trần Quang Chiến: Tôi thấy, đối với các thiết bị IoT, có 2 vấn đề chính khiến cho các thiết bị thường xuyên bị tấn công đó là: Một là do đặc thù của các thiết bị IoT, dẫn đến khó khăn trong việc update các bản vá lỗi. Hai là công nghệ trong thiết bị IoT thường được sản xuất độc quyền, các đơn vị này thường không có đội ngũ chuyên gia an toàn thông tin đủ mạnh; các nhà nghiên cứu độc lập về an ninh mạng cũng khó tiếp cận thiết bị để kiểm tra đánh giá, phát hiện các lỗ hổng tiềm ẩn. Đối với các nhà sản xuất, cần có hình thức, công nghệ để cập nhật các bản vá lỗi một cách nhanh chóng đến thiết bị cho người dùng. Các công nghệ bên trong thiết bị IoT cần được “mở” để cho các nhà nghiên cứu về bảo mật có thể tham gia vào kiểm thử, phân tích rủi ro và lỗ hổng bảo mật.
Đối với các đơn vị quản lý của nhà nước, cần làm những việc sau:
– Cần đưa ra tiêu chuẩn về bảo mật tối thiểu cho các thiết bị IoT.
– Các thiết bị phải được kiểm thử bởi các đơn vị, doanh nghiệp có chức năng về kiểm tra đánh giá bảo mật cho IoT.
– Phải có hướng dẫn, đào tạo về nhận thức an ninh, an toàn thông tin mạng cho người dân.
Ngày nay, môi trường ảo và thực đang có xu hướng kết nối với nhau thông qua Internet, nếu người sử dụng không có kiến thức về bảo mật sẽ luôn thường trực nhiều mối nguy hiểm. Các chuyên gia có khuyến cáo gì?
Lê Dương – Hưng Yên
Ông Khổng Huy Hùng: Internet đang biến trái đất thành một thế giới phẳng, giúp cho chúng ta có thể lưu trữ, khai thác các thông tin và kết nối đến mọi nơi trên thế giới. Tuy nhiên trong đó chứa rất nhiều rủi ro có thể ảnh hưởng trực tiếp đến cuộc sống của các bạn vậy nên các bạn nên trang bị cho mình kiến thức cơ bản về bảo mật, nhằm bảo vệ dữ liệu cũng như thông tin riêng tư của bản thân. Tuân theo các khuyến cáo của các chuyên gia, sử dụng phần mềm có bản quyển, cập nhật và update hệ điều hành và các ứng dụng thường xuyên…
Việc sử dụng các ứng dụng di động để hỗ trợ đặt dịch vụ đã trở nên khá phổ biến, hay như vừa qua các nhà mạng chuyển đổi thuê bao 11 số về 10 số, các ứng dụng hỗ trợ chuyển đổi danh bạ lên tới hàng trăm trên các kho ứng dụng chạy nền tảng Android và iOS. Vậy khi tôi cài đặt và sử dụng các ứng dụng này cho điện thoại của mình, tôi có phải đối mặt với những nguy cơ bị lộ, lọt, đánh cắp thông tin cá nhân không? Tại sao? Và để phòng tránh tôi cần làm gì?
Hoàng Oanh, Thọ Xuân (Thanh Hóa)
Ông Khổng Huy Hùng: Từ góc nhìn của các đối tượng tấn công, đây là một cơ hội không thể tuyệt vời hơn đề có thể bí mật cài đặt các phần mềm gián điệp có chủ đích lên hàng triệu thiết bị di động của người dùng nhằm khai thác các thông tin một cách bất hợp pháp.
Để tránh các rủi ro, các bạn nên ưu tiên dùng những chức năng sẵn có của các ứng dụng từ các nhà mạng cung cấp.
Nếu đã chót cài đặt ứng dụng của các bên thứ ba, Thông thường thì các ứng dụng giúp chuyển đổi thuê bao 11 số -> 10 số chỉ cần được cấp quyền vào danh bạ, nếu bạn nhận thấy ứng dụng đòi hỏi nhiều quyền hơn (calendar, storage, micro, picture, location…) thì nên từ chối.
Các thiết bị IoT được cảnh báo là tiềm ẩn nhiều nguy cơ bị nhiễm mã độc. Xin các chuyên gia cho biết, vậy người dùng phải làm thế nào để ngăn chặn mã độc thông qua hệ thống mạng và xâm nhập vào các thiết bị IoT kiểu như tạo 1 tường lửa cho thiết bị? – Làm thế nào để có thể phát hiện mã độc đã xâm nhập thiết bị 1 cách sớm nhất? – Sau khi đã phát hiện mã độc xâm nhập, cần làm gì để ngăn không cho mã độc mang thông tin cá nhân của người dùng về cho hacker?
Nam Anh – Đà Nẵng
Ông Khổng Huy Hùng: Thông thường, các thiết bị IoT sử dụng những hệ điều hành khá đơn giản, ít tính bảo mật nên càng dễ trở thành mục tiêu cho đối tượng tấn công. Các mã độc có thể được cài đặt dễ dàng lên các thiết bị IoT, do vậy chúng ta cần có những giải pháp phân chia rõ ràng cho các thiết bị IoT đặc thù, ví dụ với IP camera thì cần quy định chỉ cho phép kết nối về đầu ghi hình, không cho kết nối đến các phân đoạn mạng khác cũng như tới Internet. Điều này sẽ giúp tránh việc lây nhiễm, tiếp xúc cũng như phân tán mã độc. Để có thể phát hiện sớm mã độc, chúng ta cần tận dụng công nghệ từ những giải pháp dò tìm mã độc dựa trên phân tích hành vi người dùng. Bởi lẽ, chúng ta không thể cài đặt phần mềm giám sát lên thiết bị IoT để dò quét. Trường hợp phát hiện thiết bị nhiễm mã độc, cần nhanh chóng cách ly, cô lập thiết bị khỏi hệ thống và thực hiện bóc gỡ mã độc.
Em đang là một sinh viên ngành CNTT, các chuyên gia có thể cho em hỏi, muốn đi sâu vào bảo mật IoT có phải em nên bắt đầu từ an toàn thông tin với máy tính cá nhân như trước khi IoT được phổ biến như hiện nay hay không?
Lê Đại – La Thành, Hà Nội
Ông Khổng Huy Hùng: Theo tôi, để có thể đi sâu hơn trong lĩnh vực bảo mật nói chung, không chỉ là bảo mật cho thiết bị IoT nói riêng, kiến thức nền tảng luôn là quan trọng nhất và bắt đầu với bảo mật cho máy tính cá nhân là một khởi đầu tốt. Trong kỷ nguyên số, các chuyên gia trong và ngoài nước thời gian gần đây đã cảnh báo tấn công mạng ngày nay không chỉ đến từ hacker là người mà còn từ các hệ thống máy có ứng dụng trí tuệ nhân tạo.
Từ thực tế hỗ trợ các doanh nghiệp, VNCS có thể cho biết tại Việt Nam tình trạng các doanh nghiệp bị tấn công mạng bởi các hacker “máy” có phổ biến không? Mức độ nguy hiểm của các đợt tấn công do hệ thống máy tính gây ra so với tấn công từ các nhóm tin tặc khác gì? Và trong cuộc chiến với “hacker máy”, các doanh nghiệp, tổ chức cần lưu tâm hơn cả đến những biện pháp, yêu cầu gì? Tại sao?
Vân Oanh – Đồng Tháp
Ông Khổng Huy Hùng: Hiện tại, chúng ta chưa ghi nhận được nhiều thông tin về các cuộc tấn công được tạo ra từ AI, tuy nhiên đây sẽ là xu hướng trong thời gian tới. Các cuộc tấn công từ AI có đặc điểm là được thực hiện với tốc độ khá nhanh, tấn công chủ đích đa dạng và khó nắm bắt.
Để chống lại các đối tượng tấn công qua AI một cách hiệu quả, chúng ta cần hiểu AI và công nghệ học máy cũng như hành vi người dùng (User Behavior Analysis) tương ứng trong các giải pháp bảo mật nhằm tăng tốc độ phản ứng đên mức tối đa và phát hiện sớm các cuộc tấn công từ AI.
Hồi cuối năm ngoái, các chuyên gia đều đưa ra dự báo tấn công vào các thiết bị IoT sẽ tiếp tục gia tăng mạnh trong năm 2018, thậm chí có chuyên gia còn nhận định năm 2018 tấn công thiết bị IoT sẽ có xu hướng cài đặt phần mềm gián điệp nằm vùng để thực hiện các cuộc tấn công có chủ đích APT mang màu sắc chính trị. Từ tình hình an toàn thông tin mạng tại Việt Nam trong gần 10 tháng qua, các chuyên gia có thể cho biết xu hướng, kịch bản dự báo được đưa ra kể trên có xảy ra trong thực tế hay không? Và trong khoảng thời gian từ nay đến cuối năm cũng như trong các năm tới, sức nóng của tấn công mạng thông qua các thiết bị kết nối Internet trên thế giới và tại Việt Nam sẽ như thế nào, thưa các chuyên gia?
Ông Ngô Tuấn Anh: Đúng như dự đoán mà chúng tôi đã đưa ra vào cuối 2017 đầu 201 xu hướng của hacker tấn công vào các thiêt bị IoT như các hệ thống rounter, camera Ip, từ đó cài đặt các phần mềm độc hại chiếm quyền điều khiển để thực hiện các cuộc tấn công.
Trong một số cuộc tấn công từ chối dịch vụ mà chúng tôi có ghi nhận khi tiến hành phân tích các botnet tham gia tấn công không phải là các máy tính thông thường như trước đây mà lại là các thiết bị IoT đặc biệt là có sự “tham gia” của các camera IP vốn được ưu tiên về băng thông. Điều này làm cho hậu quả của các cuộc tấn công từ chối dịch vụ sẽ trở nên nghiêm trọng hơn. Các nạn nhân gần như không có khả năng chống đỡ nếu bị tấn công. Chúng ta có thể thấy rõ điều này thông qua cuộc tấn công của mã độc Mirai sử dụng các thiết bị IoT làm sập một phần mạng Internet của nước Mỹ.
Bên cạnh việc huy động mạng lưới các thiết bị IoT bị kiểm soát vào tấn công từ chối dịch, các hacker còn biến một số thiết bị IoT trở thành những công cụ đào tiền ảo.

Với sự phát triển của cuộc CMCN 4.0 số lượng thiết bị IoT ngày càng gia tăng, các thiết bị IoT sẽ vẫn là đích ngắm của Hacker trong thời gian tới.

Ông Ngô Tuấn Anh – Phó Chủ tịch phụ trách An ninh mạng Công ty Bkav

Tôi có đọc thông tin một số lần Cục An toàn thông tin có cảnh báo các thiết bị điện thoại của một số hãng, trong đó có điện thoại Trung Quốc có dính lỗ hổng bảo mật và có thể bị khai thác để đánh cắp dữ liệu. Tôi muốn hỏi là các khuyến cáo này thực chất nguy hiểm như thế nào đối với người dùng?
Huy Nam – Hà Nội
Ông Nguyễn Hoài Nam: Thời gian vừa qua Cục An toàn thông tin có tiếp nhận một số phản ánh và quan ngại về việc các thiết bị điện thoại dính lỗ hổng bảo mật để đánh cắp dữ liệu. Để nói về tính chất nguy hiểm của việc này, có thể phân loại ra một số nguy cơ có thể xảy ra đối với người dùng: Thứ nhất, các dữ liệu bị thu thập bao gồm các dữ liệu về thói quen, hành vi của người dùng, phục vụ mục đích nghiên cứu thị trường và thực hiện quảng cáo. Thứ hai, các dữ liệu bị thu thập là các dữ liệu liên quan đến danh bạ, thông tin tài khoản ngân hàng. Các dữ liệu này có thể bị tin tặc sử dụng để trục lợi kiếm tiền bất hợp pháp từ chính tài khoản ngân hàng của người dùng. Thứ ba, các dữ liệu bị thu thập liên quan đến cá nhân người sử dụng bao gồm các cuộc gọi thoại, dữ liệu thu thập được từ micro và camera, thường xảy ra với các hoạt động tấn công có chủ đích, nhắm vào trực tiếp cá nhân người dùng.
3 nhóm dữ liệu có thể bị khai thác như đã liệt kê có thể giúp độc giả hình dung về những thiệt hại có thể xảy ra khi điện thoại của mình bị khai thác dữ liệu.
Giữa bối cảnh trên thị trường xuất hiện nhiều nhà cung cấp giải pháp bảo mật đến từ trong và ngoài nước như hiện nay, các chuyên gia có lời khuyên gì cho các tổ chức trong câu chuyện đầu tư, trang bị phần mềm, giải pháp bảo mật để hạn chế được các nguy cơ tấn công?
Phương Minh – Đà Nẵng
Ông Trần Quang Chiến: Tôi nghĩ rằng chúng ta nên ưu tiên sử dụng các sản phẩm bảo mật có nguồn gốc trong nước để bảo vệ cho các hệ thống CNTT của mình. Lý do là hiện nay đã có khá nhiều đơn vị trong nước cung cấp sản phẩm bảo mật có chất lượng và hỗ trợ không thua kém so với sản phẩm của nước ngoài nhưng chi phí lại rẻ hơn rất nhiều. Có những sản phẩm như của CyStack cung cấp có giá thành chỉ bằng 1/10 so với sản phẩm nước ngoài. Trong khi đó, đối với các sản phẩm của nước ngoài, người dùng còn phải đối mặt với các nguy cơ về mặt thu thập, đánh cắp dữ liệu. Nhiều sự vụ quốc tế đã cho thấy một số sản phẩm thường tồn tại các backdoor, mã độc ngay từ khi sản xuất nhằm phục vụ mục đích về tình báo.
Gần đây, các khái niệm về đô thị thông minh, giao thông thông minh, y tế thông minh và cả nhà thông minh… được nói đến khá nhiều. Tôi đã nghe giới thiệu về những dịch vụ tiện ích của các dịch vụ công được các bộ, ngành, tỉnh, thành phố đang cung cấp cho người dân. Tuy nhiên, do lo ngại về khả năng lộ, lọt thông tin cá nhân nên tôi hiện chưa sử dụng các dịch vụ công. Là doanh nghiệp hỗ trợ, cung cấp giải pháp đảm bảo an toàn thông tin cho các cơ quan, đơn vị, doanh nghiệp, VNCS có thể cho tôi biết việc sử dụng các dịch vụ công trực tuyến, những tiện ích thông minh đang được các bộ, ngành, địa phương cung cấp có an toàn hay không? Hiện nay đã có tiêu chuẩn hay quy định nào đánh giá mức độ an toàn của các dịch vụ, giải pháp này không?
Lưu Việt An (Thuận Thành, Bắc Ninh)
Ông Khổng Huy Hùng: hiện nay, các dịch vụ công trực tuyến đã được giới thiệu với người dân nhằm tiết kiệm thời gian, chi phí giải quyết các thủ tục hành chính, mang lại nhiều tiện ích cho người dân. Để có thể đưa ra các dịch vụ như vậy, cơ quan nhà nước đã, đang và sẽ triển khai các giải pháp bảo mật tiên tiến nhất nhằm đảm bảo an toàn dữ liệu cho người dân, kết hợp với sự sẵn sàng hỗ trợ từ những cơ quan chuyên trách về bảo mật như Cục An toàn thông tin, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam – VNCERT (Bộ TT&TT; Cục An ninh mạng – Bộ Công an…khi có các cuộc tấn công nghiêm trọng xảy ra nên tôi nghĩ người dân có thể tin tưởng sử dụng các dịch vụ công trực tuyến. Về tiêu chuẩn đánh giá mức độ an toàn của các dịch vụ công trực tuyến, tôi được biết từ năm 2016 Chính phủ đã ban hành Nghị định 85 quy định đảm bảo an toàn hệ thống thông tin theo cấp độ. Thông thường, các hệ thống cung cấp dịch vụ phục vụ xây dựng Chính phủ điện tử, dịch vụ công trực tuyến được xếp vào cấp độ 3, 4, tương ứng với đó có những yêu cầu cụ thể về đảm bảo an toàn thông tin cho những hệ thống này.
Bảo mật trong lĩnh vực ngân hàng thời gian gần đây đang được rất nhiều người quan tâm. Tuy nhiên, tình trạng kẻ xấu thiết lập website, trang Facebook giả mạo, mạo danh các ngân hàng để đánh cắp thông tin, tài khoản, lừa đảo người dùng khá phổ biến. Chuyên gia có thể cho tôi biết phải làm sao để phân biệt những trang web, trang Facebook giả mạo với website, Facebook chính thức của các ngân hàng? Tôi và những người dùng khác cần làm gì để không bị mắc những bẫy tinh vi mà các nhóm hacker nhắm đến người dùng các dịch vụ ngân hàng, tài chính giăng ra?
Đức Anh – Hà Nội
Ông Khổng Huy Hùng: Cách dễ nhất để không bị chuyển hướng sang các website giả mạo là bạn gõ trực tiếp địa chỉ website ngân hàng, hay Facebook vào thanh địa chỉ của trình duyệt. Điều này sẽ đảm bảo người dùng được chuyển hướng đến các website chính thức của các ngân hàng. Nếu buộc phải sử dụng các link chuyển hướng, người dùng cần kiểm tra chắc chắn tên miền của website và thường trong địa chỉ sẽ có biểu tượng “HTTPS” màu xanh khi truy cập vào, nghĩa là website về cơ bản đã được bảo mật.
Vấn đề sử dụng phần mềm không có bản quyền nguy hiểm như thế nào trong môi trường Internet kết nối vạn vật, thưa các chuyên gia?
Thanh Tú – TP.HCM
Ông Trần Quang Chiến: Khi sử dụng phần mềm không có bản quyền hoặc bản bẻ khóa (crack) thì người dùng có thể đối mặt với những rủi ro như sau: Đầu tiên là các sản phẩm không được update bản vá từ nhà sản xuất nên thường tồn tại các lỗ hổng, khiến tin tặc có thể tấn công.
Tiếp đó các bản phần mềm bẻ khóa có thể tồn tại những mã độc đã được cài đặt sẵn trong sản phẩm. Đặc biệt với những sản phẩm IoT, việc tồn tại các mã độc, lỗ hổng có thể giúp cho tin tặc tấn công trực tiếp vào đời sống, hoạt động của con người.
Gần đây, tôi thấy nhiều doanh nghiệp của Việt Nam có tham gia sản xuất các thiết bị thông minh như bóng điện thông minh, xe máy điện, công tơ điện… Những doanh nghiệp như vậy họ có phải tuân thủ các quy định về an toàn thông tin để tránh nguy cơ bị tấn công qua các thiết bị này hay không?
Phú Bình – Nam Định
Ông Nguyễn Hoài Nam: Những doanh nghiệp độc giả đã liệt kê chắc chắn cần tuân thủ các quy định tối thiểu về an toàn thông tin vì chính lợi ích của doanh nghiệp, do thị trường thiết bị thông minh là một thị trường rộng, có nhiều lựa chọn, vì vậy chỉ một sự cố an ninh, an toàn thông tin sẽ làm doanh nghiệp mất đi khả năng cạnh tranh so với các doanh nghiệp khác cùng lĩnh vực. Đặc biệt đối với doanh nghiệp xuất khẩu toàn cầu, việc đáp ứng các yêu cầu về an ninh, an toàn thông tin ngặt nghèo của các quốc gia có tiêu chuẩn cao về bảo mật là điều kiện bắt buộc đối với các thiết bị thông minh.
Trong môi trường IoT, dữ liệu có cấu trúc được đồng bộ và lưu trữ trong các cơ sở dữ liệu và truy vấn thông qua ngôn ngữ khác nhau. Vậy với những dữ liệu phi cấu trúc, chưa được tiếp cận thì cần phải xử lý thế nào, thưa chuyên gia?
Phạm Ly – TP.Vinh, Nghệ An
Ông Khổng Huy Hùng: Đây là một câu hỏi khá hay, các dữ liệu phi cấu trúc đang tạo ra các thách thức rất lớn với các hệ thống an ninh truyền thống, mà nếu bỏ qua thì sẽ tạo ra lổ hổng lớn trong bức tranh bảo mật toàn diện. Tuy nhiên, thực tế hiện nay chúng ta đã có những giải pháp công nghệ có khả năng giải quyết những thách thức kể trên, chẳng hạn như những giải pháp sử dụng nền tảng Big Data trong lĩnh vực thu thập, lưu trữ, phân tích và khai thác giá trị sử dụng của dữ liệu phi cấu trúc (Machine Data). Những nền tảng này có khả năng tiếp nhận không giới hạn mọi nguồn dữ liệu, bao gồm cả dữ liệu có cấu trúc và phi cấu trúc và xử lý theo thời gian thực. VNCS hiện đã và đang cung cấp giải pháp hỗ trợ doanh nghiệp, tổ chức giải quyết thách thức từ dữ liệu phi cấu trúc. Bạn có thể liên hệ trực tiếp với VNCS để được tư vấn cụ thể hơn.
Xét về khả năng quản lý dữ liệu thời gian thực, các phần mềm truyền thống chạy trên các hệ thống cũ thường vận hành trên quy trình xử lý theo gói, trong đó tất cả dữ liệu được tải về theo gói rồi mới phân tích. Đây liệu có phải là thách thức khi triển khai mạng lưới IoT không, thưa ông?
Anh Minh – Xuân Trường, Nam Định
Để đáp lại sự phát triển khổng lồ về lưu lượng dữ liệu “log” đổ về (từ IoT), chúng ta cần một giải pháp phần mềm thế hệ mới có đủ năng lực cũng như kiến trúc vận hành tối ưu giúp xử lý hàng Perabyte dữ liệu (của IoT) đổ về theo thời gian thực, một giải pháp Dữ liệu lớn – Big Data giúp lưu trữ, phân tích sẽ đáp ứng được yêu cầu này, và điều này thì thế giới đã giải quyết được.
VNCS đang cung cấp giải pháp cho khá nhiều đơn vị, doanh nghiệp, theo nhận định của ông, trong xu hướng Internet kết nối vạn vận và giữa làn sóng thúc ép các doanh nghiệp phải chuyển đổi số hiện nay, ông có thể cho biết đâu là những điểm yếu, lỗi phổ biến của các doanh nghiệp Việt khiến cho công tác đảm bảo an toàn thông tin mạng của đội ngũ kỹ thuật gặp nhiều khó khăn?
Dương Quý – Quảng Ninh
Ông Khổng Huy Hùng: theo ý kiến cá nhân tôi, IoT chỉ là một trong những xu hướng có thể tạo ra mối đe dọa. Nếu chúng ta chỉ tập trung vào IoT thì sẽ bỏ sót rất nhiều mối đe dọa khác. Có thể kể đến một số vấn đề như: doanh nghiệp Việt Nam chưa thật sự quan tâm đến việc tuân theo chuẩn (compliance), dẫn đến mức độ sẵn sàng về an toàn thông tin còn khá thấp. Trong khi đây là tiêu chí rất quan trọng ở nhiều nước khác. Bên cạnh đó, một số cơ quan, tổ chức chưa có sự quan tâm cũng như đầu tư cần thiết cho tiến trình quản lý rủi ro, còn khá bị động trước những mối đe dọa; hay chưa có một chiến lược xây dựng và đầu tư an toàn thông tin một cách hợp lý, vẫn đầu tư theo nhu cầu bột phát. Ngoài ra, còn có tình trạng các cơ quan, đơn vị, doanh nghiệp dù đã trang bị những giải pháp hàng đầu về bảo mật nhưng thiếu đi sự kết nối, tương tác giữa các giải pháp.
Tôi là một phụ huynh có con tham gia kỳ thi vào lớp 10 THPT tại Hà Nội năm vừa rồi, thời điểm tháng 6/2018 vừa qua, khi tra điểm cho con mình trên website của Sở tại địa chỉ: www.hanoi.edu.vn, tôi chỉ cần gõ tên Dương vào ô nhập tên, dù chưa có số báo danh nhưng hệ thống đã trả kết quả thi của toàn bộ các thí sinh có cùng tên Dương tham gia kỳ thi. Xin hỏi chuyên gia, đây có được coi là lỗi bảo mật thông tin hay không? Tại sao?
Thái Hà – Đông Anh, Hà Nội
Ông Khổng Huy Hùng: Về vấn đề này, tôi xin phép chia sẻ rằng: Việc hệ thống hiển thị toàn bộ kết quả thi của tất cả thí sinh có cùng tên, tôi nghĩ là chủ ý của người xây dựng hệ thống nhằm hỗ trợ người dùng có thể tra cứu điểm thi một cách nhanh chóng, tiện lợi, ngay cả trong trường hợp thí sinh quên số báo danh. Tuy đây không phải là lỗi bảo mật, song quan điểm của tôi là chúng ta vẫn nên cân nhắc đến việc bảo vệ thông tin cá nhân của các thí sinh, tránh sự cứng nhắc trong áp dụng công nghệ.
Các chuyên gia có thể đánh giá về các nguy cơ mất an toàn bảo mật trong bối cảnh IoT đang phát triển mạnh trên thế giới và tại Việt Nam hiện nay?
Hoàng Linh – Hà Nội
Ông Ngô Tuấn Anh: Các thiết bị IoT thực chất là các máy tính và trên đó chúng ta cài các phần mềm. Và lỗ hổng là ở các phần mềm đó. Tuy nhiên, khác với phần mềm trên các máy tính thông thường thì việc cập nhật các bản vá lỗ hổng trên thiết bị IoT thường phải thực hiện thủ công chứ ít có cập nhật tự động nên có nhiều nguy cơ mất ATTT hơn những thiết bị khác. Do đặc thù về tính chất cấu hình phần cứng nên các phần mềm đc cài đặt trên các thiết bị IoT cũng được cài đặt ở mức tối thiểu, đơn giản, do đó cơ chế đảm bảo an ninh thường không đầy đủ như trên các hệ thống máy tính khác.
Thông thường người sử dụng khó và không tự cập nhật các bản vá cho thiết bị của mình trong quá trình sử dụng. Các thiết bị IoT có nguy cơ bị tấn công cao nhưng lại kết nối chung vào mạng của gia đình và doanh nghiệp, vì vậy hacker thay vì tấn công vào các thiết bị máy tính có tính chất bảo mật cao hơn thì sẽ tấn công vào các điểm yếu hơn để có thể đặt chân vào không gian mạng.
Hiện nay, tôi thấy mọi người đang nói nhiều về xây dựng đô thị thông minh. Các bộ, ngành, địa phương triển khai xây dựng Chính phủ điện tử, Chính quyền điện tử hướng tới Chính phủ số, xã hội số, kinh tế số. Các doanh nghiệp cũng được khuyến nghị phải kịp thời thực hiện chuyển đổi số. Các chuyên gia có thể cho biết, trong tình hình kể trên, đâu là những nguy cơ mất an toàn thông tin rõ nét nhất với các cơ quan, doanh nghiệp? và với người dùng cá nhân? Đâu là những biện pháp mà các cơ quan, doanh nghiêp cần lưu tâm?
Hoàng Xuân Hiệp – TP Cần Thơ
Ông Ngô Tuấn Anh: Khi tiến hành xây dựng Chính phủ điện tử, đô thị thông minh có nghĩa là các dịch vụ hành chính sẽ được đưa lên Internet cho người dân sử dụng. Các hệ thống CNTT thông minh như camer IP sẽ được đưa vào sử dụng,… Tuy nhiên, điều này cũng khiến các hệ thống thông tin của các cơ quan tổ chức Chính phủ đứng trước nguy cơ bị tấn công. Có thể kể ra một số nguy cơ như bị tấn công xâm nhập thay đổi thông tin dữ liệu một cách trái phép. Chẳng hạn như một hệ thống thông tin giao thông của thành phố bị hacker xâm nhập và phát thông tin không lành mạnh trên đó. Các hệ thống bị tấn công xâm nhập cài đặt những phần mềm độc hại từ đó đánh cắp các thông tin, dữ liệu quan trọng hay bị lợi dụng tài nguyên của hệ thống vào những mục đích xấu như tấn công từ chối dịch vụ,…
Trong khi đó, đối với các cá nhân, có thể nói rằng một trong những lợi ích số hóa là thông tin được chia sẻ dễ dàng nhưng khi bị tấn công cũng có thể xảy ra nguy cơ lớn khi bị tội phạm mạng tấn công. Chẳng hạn như vụ lộ lọt thông tin tài khoản Bông sen vàng sau khi Vietnam Airlines bị tấn công năm 2016. hacker có thể sử dụng các thông tin cá nhân để tạo ra các cuộc tấn công lừa đảo tới những người dùng cụ thể.
Riêng ở góc độ bảo mật thông tin, cơ quan và các doanh nghiệp cần làm gì để người dùng một mặt không vì e ngại lộ thông tin mà “tẩy chay” các thiết bị công nghệ đã trở thành xu thế thế giới nhưng mặt khác cũng không quá “dễ dãi”, tự đẩy mình trở thành mồi ngon cho tội phạm mạng?
Lộc Lộc – Thanh Xuân, Hà Nội)
Ông Ngô Tuấn Anh: Việc sử dụng các thiết bị IoT trở thành một xu hướng của thế giới và cả ở Việt Nam và người dùng không thể nằm ngoài xu hướng đó. Thế nhưng, người dùng phải cân bằng giữa việc sử dụng thiết bị và đảm bảo ATTT. Theo tôi, cơ quan quản lý Nhà nước cũng cần đưa ra các chuẩn về an toàn cho các thiết bị IoT sẽ bán trên thị trường để tránh việc người dùng có thể sử dụng thiết bị không đạt chuẩn. Về phía các doanh nghiệp sản xuất kinh doanh thiết bị cũng cần quan tâm đến đảm bảo ATTT cho khách hàng. Trước đây, chúng tôi thấy nhiều thiết bị IoT (chẳng hạn như thiết bị phát Wi-Fi) do nhiều nhà sản xuất thường để chung các tài khoản mặc định tạo cơ hội cho hacker tìm và tấn công. Song hiện nay các nhà sản xuất đã có ý thức tạo mật khẩu riêng cho từng thiết bị để từng bước đảm bảo thông tin cho người sử dụng. Về phía người sử dụng, các bạn cần trở thành những người sử dụng thông minh khi dùng thiết bị IoT trong đó cần chọn lựa các sản phẩm có nguồn gốc rõ ràng, cần tiến hành cài đặt các biện pháp bảo vệ cho các thiết bị IoT mà chúng ta sử dụng (như camera Ip…) phải thay đổi cấu hình mặc định của nhà sản xuất để tránh sự truy cập bất hợp pháp.
Trong các giao dịch trực tuyến, giải pháp nào để có thể bảo vệ dữ liệu tài chính một cách tối ưu nhất thưa chuyên gia?
Hải Anh – Hà Nội
Ông Trần Quang Chiến: Tôi có một số lời khuyên cho anh như sau: Khi giao dịch trên các website cần lưu ý truy cập đúng vào địa chỉ của nhà cung cấp, vì có nhiều hình thức tấn công tin tặc có thể giả mạo chính website của nhà cung cấp để lừa người dùng nhập thông tin giao dịch. Tương tự với các ứng dụng mobile, tin tặc cũng có thể giả mạo ứng dụng của nhà cung cấp dịch vụ tài chính (như ví điện tử, ứng dụng giao dịch ngân hàng…). Chỉ nên giao dịch trên các máy tính, điện thoại tin cậy được đảm bảo an toàn. Nên thoát khởi các ứng dụng, website khi không giao dịch. Nên lựa chọn các nhà cung cấp dịch vụ tài chính, ngân hàng uy tín, có chứng chỉ PCI DSS.
Bảo vệ các thông tin nhạy cảm khi giao dịch như mật khẩu, các code của thẻ tín dụng. Khi phát hiện các thông tin của mình bị xâm nhập, bị giao dịch trái phép, cần liên hệ ngay với đơn vị cung cấp để khóa tài khoản tạm thời.
Không nên để quá nhiều tiền trong các ví điện tử, thẻ tín dụng vì nguy cơ đánh cắp cao hơn. Kích hoạt các tính năng bảo mật nâng cao cho tài khoản của mình như bảo mật 2 bước, sinh trắc học.
Tại các cơ quan nhà nước ở địa phương, bảo mật hệ thống thông tin mới dừng lại ở việc mua sắm phần mềm diệt virus và tường lửa, còn lại hầu như chưa có bất cứ một sự đầu tư, chuẩn bị nào khác cho việc phòng chống tấn công, lộ lọt thông tin, trong đó có có tin mật. Vậy theo ông đâu là lỗ hổng của vấn đề này và các cơ quan nhà nước phải thay đổi thế nào để phòng tránh nguy cơ bị tấn công?
Minh Đăng – Gia Lai
Ông Nguyễn Hoài Nam: Nguyên nhân của việc chưa có sự đầu tư đối với an ninh, an toàn thông tin là việc nhận thức, chưa có sự nhận thức và xác định đúng mức đối với các thiệt hại của việc mất an ninh, an toàn thông tin. Hầu như chỉ khi có một sự cố an ninh, an toàn thông tin xảy ra thì các bên liên quan mới vào cuộc để đầu tư, triển khai các giải pháp, tuy nhiên thiệt hại xảy ra thì không thể nào thay đổi được. Biện pháp hiệu quả nhất để phòng chống các sự cố an ninh, an toàn thông tin là có các giải pháp, ứng dụng và thiết bị để phát hiện kịp thời nguy cơ trước khi sự cố xảy ra, tuy nhiên một số lượng không nhỏ các cơ quan nhà nước chưa triển khai các giải pháp, ứng dụng và thiết bị này.
Để khắc phục vấn đề này, các cơ quan nhà nước có thể quan tâm tới một số khía cạnh sau: Thứ nhất, cần phân loại thông tin, sau đó tiến hành phân loại cấp độ hệ thống thông tin mình đang quản lý để đưa ra các yêu cầu bảo đảm an ninh, an toàn thông tin tối thiểu cho các hệ thống thông tin này. Từ đó, cơ quan nhà nước có thể xác định đầu tư vào an ninh, an toàn thông tin như thế nào là phù hợp. Thứ hai, trong trường hợp chưa có sự đầu tư kịp thời về trang thiết bị, cơ quan nhà nước có thể hợp tác với các cơ quan chuyên trách về an toàn thông tin để tiến hành giám sát và đưa ra các cảnh báo kịp thời.
Để đảm bảo an toàn bảo mật trong các tổ chức, doanh nghiệp, có nên cấm nhân viên sử dụng mạng xã hội, USB cá nhân không, thưa các chuyên gia? (vì tôi thấy đây là nguồn dễ tiếp nhận các đường link, phần mềm độc hại)
Hồ Oanh, Hà Nội
Ông Trần Quang Chiến: Theo tôi, các doanh nghiệp không nên cấm. Vì vấn đề chính dẫn đến việc máy tính bị lây nhiễm phần mềm độc hại thông qua các kênh này nằm ở nhận thức của người sử dụng. Đối với các tổ chức, doanh nghiệp, nên có những chương trình đào tạo, tài liệu hướng dẫn để nâng cao nhận thức về an toàn thông tin mạng cho nhân viên của mình. Mạng xã hội và USB cũng chỉ là một trong những hình thức để mã độc tấn công, vì thế chúng ta nên giải quyết vấn đề cốt lõi là nhận thức của người sử dụng và tính bảo mật trong hệ thống mạng nội bộ.
Để bảo mật cho hệ thống mạng, máy tính trạm của một doanh nghiệp bao gồm các nội dung sau; – Phải thiết kế một hệ thống mạng đảm bảo an toàn (nên có sự hỗ trợ của các chuyên gia bảo mật). – Nên có các quy trình, chính sách quy định để đảm bảo an toàn cho doanh nghiệp. Ví dụ như chính sách về cập nhật bản vá cho phần mềm, chính sách về cài đặt phần mềm, chính sách về sử dụng mạng xã hội, USB… Đào tạo nâng cao nhận thức cho nhân viên thường xuyên. Sử dụng các giải pháp bảo mật, phần mềm chống mã độc phù hợp.
Trong một nghiên cứu mới công bố gần đây, Kaspersky Lab cho biết chỉ có 48% người dùng di động bảo vệ thiết bị của mình bằng mã PIN hoặc mật khẩu. Từ thực tế hỗ trợ tham gia các cá nhân, đơn vị, doanh nghiệp đảm bảo an toàn thông tin mạng thời gian qua, các chuyên gia có thể cho biết tại Việt Nam, tỷ lệ này có thể là bao nhiêu? Tại sao? Quan điểm của các chuyên gia về câu chuyện ý thức bảo đảm an toàn thông tin, dữ liệu cá nhân của người dùng tại Việt Nam hiện nay, nhất là trong thời đại CNTT, Internet đã len sâu vào mọi ngóc ngách cuộc sống?
Phú Cường – Quận 9, TP.HCM
Ông Ngô Tuấn Anh: Việc bảo vệ điện thoại bằng mã Pin chỉ là việc bảo vệ sự truy cập vật lý. Còn các hình thức tấn công thường được hacker thực hiện qua môi trường mạng và đây cũng là các nguy cơ chính đối với các thiết bị di động hiện nay. Theo con số thống kê từ hệ thống giám sát virus của Bkav đầu năm nay, có hơn 35.000 thiết bị smartphone tại Việt Nam nhiễm virus GhostTeam đánh cắp mật khẩu Facebook. Mã độc này lợi dụng hàng loạt ứng dụng Việt phổ biến trên Google Play để phát tán. Chuyên gia Bkav khuyến cáo người dùng cần tiến hành quét virus và đổi ngay mật khẩu tài khoản Facebook nếu phát hiện điện thoại của mình nhiễm.
Cách thức tấn công của hacker khá tinh vi, đầu tiên hacker đưa các ứng dụng “sạch”, phổ biến như lịch vạn niên, đèn pin, la bàn… lên Google Play để người sử dụng cài. Ứng dụng này sẽ tự động tải tiếp về một ứng dụng độc hại khác. Để lừa nạn nhân, ứng dụng “sạch” sẽ hiện các cảnh báo an ninh như điện thoại bị nhiễm mã độc hay điện thoại bị chậm… kèm theo hướng dẫn xử lý. Đây thực chất là những cảnh báo giả mạo, làm theo thì điện thoại sẽ nhiễm virus. Virus sẽ chiếm quyền điều khiển điện thoại và ăn cắp mật khẩu tài khoản Facebook của người dùng. Về ý thức của người dùng cá nhân tại Việt Nam. Cá nhân tôi thấy rằng, sự phát triển của mạng máy tính và sự phổ biến của các thiết bị smartphone giúp cho nhiều người dùng có sự tiếp cận với Internet, đặc biệt là đối tượng tiếp cận với Internet đã mở rộng ra đáng kể. Dù vậy, các đối tượng tiếp cận với Internet hiện nay (chẳng hạn như người lớn tuổi hoặc trẻ em) lại “ngây thơ” và ít có ý thức bảo vệ thông tin của mình. Đây chính là đích ngắm và là đối tượng chính của tội phạm mạng hiện nay để đánh cắp dữ liệu và tấn công lừa đảo, dẫn đến các nguy cơ tăng lên.
Có ý kiến cho rằng các sản phẩm công nghệ hiện nay thường chỉ trọng vào tính năng thu hút người dùng và bỏ quên tiêu chí bảo mật. Các chuyên gia nghĩ sao về ý kiến này?
Phương Minh – TP.HCM
Ông Ngô Tuấn Anh: Đối với các nhà sản xuất thiết bị và giải pháp thì các yếu tố về tính năng, đặc tính kỹ thuật là yếu tố đầu tiên được hướng tới khi cung cấp sản phẩm ra thị trường. Các sản phẩm bán ra thị trường hiện nay thường có kèm giải pháp an ninh nhưng các giải pháp này nhưng vẫn có thể tiềm ẩn nguy cơ, lỗ hổng không thể tránh khỏi. Chẳng hạn khi chúng ta sử dụng hệ điều hành Windows thì vẫn phải thường xuyên cập nhật các bản vá. Các sản phẩm IoT cũng như vậy, các nhà sản xuất vẫn đưa ra những giải pháp nhưng việc xuất hiện các lỗ hổng là đương nhiên. Nó giống như việc xuất hiện các virus mới và chúng ta phải tìm vacxin để tiêu diệt nó.
Hiện nay rất nhiều chuyên gia cho rằng hàng tỷ thiết bị IoT kết nối thì nguy cơ mất an toàn thông tin rất cao. Thực tế có nhiều người đã dùng thiết bị thông minh trong gia đình như điện thoại thông minh, box truyền hình qua Internet, Camera giám sát kết nối qua Wi-Fi, thiết bị GPS dùng trên ô tô, máy tính… nhưng bản thân người dùng chưa hề biết khi dùng các thiết bị này thì nguy cơ cụ thể là gì và họ cần sử dụng thiết bị một cách thật “thông minh” ra làm sao? Vậy chuyên gia có thể nói rõ ràng hơn về cách người dùng phải tự bảo vệ mình khi sử dụng các thiết bị có kết nối Internet trong nhà mình như thế nào?
Minh Phúc – Cần Thơ
Ông Nguyễn Hoài Nam: Một số biện pháp người dùng có thể tự bảo vệ mình khi sử dụng các thiết bị có kết nối Internet trong nhà như sau: Thứ nhất, kiểm tra các thông tin đánh giá trên mạng về mức độ an ninh, an toàn thông tin trước khi quyết định mua thiết bị, trong đó cần quan tâm trong thời gian qua thiết bị đã từng bị công bố lỗ hổng bảo mật nào chưa, sau đó nhà sản xuất đã đưa ra bản vá lỗ hổng đó chưa. Thứ hai, không lưu trữ các dữ liệu liên quan đến bí mật đời tư, thông tin tài khoản tài chính, mật khẩu … trên các thiết bị mình chưa có sự chắc chắn về mức độ an toàn. Thứ ba, theo dõi thường xuyên các thông tin cập nhật về bản vá lỗ hổng mới trên trang thông tin của nhà sản xuất và tiến hành cập nhật ngay khi có bản vá lỗ hổng mới.
Tôi nghe nói 70% thiết bị IoT của Việt Nam có nguy cơ mất an toàn thông tin mạng. Vậy làm sao để biết được thiết bị mình sử dụng có đảm bảo an toàn hay không? Việt Nam có quy định nào về việc đảm bảo an toàn cho biết bị hay chưa?
Hoàng Nam – Hà Nội
Ông Ngô Tuấn Anh: Để đảm bảo an toàn cho thiết bị IoT có một số khuyến cáo mà mọi người có thể thực hiện đó là đổi mật khẩu mặc định ngay khi đưa vào sử dụng. Theo khảo sát của chúng tôi, đa số các thiết bị IoT bị tấn công trên thế giới và Việt Nam thông qua việc người sử dụng không đổi mật khẩu mặc định này. Người sử dụng cũng phải cập nhật các phần mềm mới nhất cho thiết bị của mình. Nhưng đây cũng là điều không phải người sử dụng nào cũng làm được do đó có thể nhờ những người am hiểu và có chuyên môn về công nghệ có thể kiểm tra thiết bị của mình đã được cập nhật phần mềm mới nhất hay chưa. Việc kiểm tra thiết bị IoT của mình có bị hacker kiểm soát không là một việc dễ kể cả đối với các kỹ thuật viên. Một số dấu hiệu đơn giản mà các bạn có thể kiểm tra xem thiết bị IoT của mình có bị truy cập trái phép không đó là: kiểm tra dữ liệu mạng mà thiết bị IoT kết nối vào có gì bất thường không (chẳng hạn cước Internet có gia tăng bất thường, đường truyền mạng thường xuyên bị tắc nghẽn,…
Tôi hiện có một doanh nghiệp nhỏ và sử dụng khá nhiều thiết bị máy tính và kết nối mạng nhưng hiện chúng tôi không có người phụ trách về an toàn thông tin. Liệu tôi có nên cấm nhân viên không truy cập mạng Internet khi ở trong công ty hay không? Tôi cần làm thế nào để có thể bảo vệ được dữ liệu của công ty mình?
Hồng Yến – Đà Nẵng
Ông Ngô Tuấn Anh: Chắc chắn công ty bạn không thể cấm nhân viên truy cập Internet nếu muốn công ty phát triển bởi Internet là xu hướng hiện nay. Tuy nhiên, quan điểm của chúng ta là không cấm hoàn toàn nhưng cần phải kiểm soát trong quá trình sử dụng. Công ty bạn cần xây dựng chính sách để quản lý an toàn an ninh thông tin trong hệu thống mạng chẳng hạn như chính sách cài đặt và sử dụng phần mềm, quy định về dịch vụ Internet mà mọi người được sử dụng trong giờ làm việc…Bên cạnh đó, chúng ta cần trang bị các giải pháp công nghệ để thực thi chính sách đó hiệu quả hơn. Tôi khuyên bạn nên triển khai theo hệ thống quản lý ATTT ISO 27001 hoặc nhờ sự tư vấn của các đơn vị cung cấp dịch vụ ATTT chuyên nghiệp để có giải pháp phù hợp nhất.
 

Nhóm phóng viên ICT

0 BÌNH LUẬN

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

Exit mobile version