5 lý do khiến bảo mật và IoT không tương thích

Bảo mật, giữ mọi thứ riêng biệt và IoT, kết nối mọi thứ, có thể không bao giờ thực sự tương thích với nhau. Tuy nhiên, các nhà sản xuất, nhà phát triển và người dùng cuối vẫn phải cố gắng đảm bảo sự riêng tư trong một thế giới ngày càng kết nối.
Hình minh họa
Hình minh họa

Chúng ta gọi nó là Internet of Things (IoT) – Internet vạn vật, nhưng những gì chúng tôi thực sự muốn nói đến là Internet của dữ liệu cá nhân. Nếu dữ liệu là một loại dầu mới, thì dữ liệu cá nhân là chất bôi trơn của IoT. Các thiết bị kết nối Internet tràn ngập những thông tin nhạy cảm. Và trong thời đại của siêu kết nối, chúng tôi cảm thấy gánh nặng của sự kết nối chính là việc không thể chuyển giữa dữ liệu và thiết bị dưới hình thức vi phạm quyền riêng tư.

Khi bảo mật đi sai hướng

Trong vài năm qua, bảo mật dữ liệu không còn chỉ được nói đến trong các hội nghị được tổ chức bởi các luật sư và chuyên gia; mà còn đã được đưa vào các quy định như Quy định bảo vệ dữ liệu chung (GDPR). Nhận thức về vấn đề bảo mật dữ liệu ngày càng được nâng cao khi chúng ta xem xét một số vi phạm quyền riêng tư dựa trên IoT trong thời gian gần đây. Riêng tư là vấn đề của tất cả mọi người. Nó không chỉ là vấn đề cá nhân; nó đã trở thành vấn đề cần được đề cập. Dưới đây là năm lý do để giữ an toàn cho dữ liệu của bạn:

Alexa: Một nhân chứng cho việc truy tố

Điều gì sẽ xảy ra nếu các bằng chứng được thu thập bởi các thiết bị IoT? Điều gì sẽ có ý nghĩa cho các quá trình tư pháp? Vào năm 2015, James Bates trú tại Arkansas, Hoa Kỳ, đã bị buộc tội giết một người bạn của mình, người đã được tìm thấy đã chết trong bồn tắm nước nóng của Bates. Công tố viên đã xây dựng vụ án xung quanh dữ liệu được lưu trữ trên Amazon Echo của Bates và đồng hồ thông minh của ông. Amazon từ chối tiết lộ dữ liệu thu thập bởi Alexa. Vụ án có thể dừng lại ở đó. Tuy nhiên, Bates đã cho phép dữ liệu được sử dụng trong trường hợp này. Vụ kiện đã bị bác bỏ vào tháng 12 năm 2017, nhưng câu chuyện đã gây ra một làn sóng mạnh mẽ và cuộc sống cá nhân của bị đơn đã được đưa vào phạm vi công cộng. Câu nói “không có lửa làm sao có khói” chắc chắn có ý nghĩa đặc biệt với Bates trong thời gian đó.

Trong một trường hợp khác (vụ việc vẫn đang tiếp diễn) liên quan đến một phụ nữ tại Connecticut bị ám sát vào năm 2015, dữ liệu FitBit đã được đề cập. Các công tố viên dựa trên dữ liệu liên quan đến GPS của người bị hại. Dữ liệu đã giúp xác định các vị trí cuối cùng của cô ấy. Và chúng đã khiến người chồng bị đưa vào vòng nghi vấn.

“Creepy Tech” và IoT

IoT đã mở ra nhiều cách mới để giao tiếp với người dùng. Ví dụ như Facebook, có 147.000 ảnh được tải lên mỗi phút. Nhưng có điều gì đó về đôi mắt thận trọng của một trợ lý kỹ thuật số đang khiến nhiều người trong chúng ta phải lo lắng. Nhiều sản phẩm IoT của người tiêu dùng thường đi kèm với máy ảnh. Lỗ hổng bảo mật có thể khiến những máy ảnh đó bị lạm dụng.

Gần đây, các nhà nghiên cứu tại PenTestPartners đã phát hiện một lỗ hổng nghiêm trọng trong một máy quay video Swann IoT, cho phép một hacker xem cảnh quay video từ máy ảnh của người dùng khác. Việc xâm nhập thực sự rất đơn giản: bằng cách thêm số sê-ri của máy ảnh vào ứng dụng, bạn có thể xem mức độ bao phủ trực tiếp của máy ảnh đó (các số sê-ri có thể dễ dàng được truy cập). Rất may, Swann đã khắc phục vấn đề này rất nhanh chóng. Nhưng lỗi bảo mật trên máy ảnh đã cản trở các thiết bị IoT của người tiêu dùng kể từ khi chúng ra đời. Nhưng có lẽ nguy hiểm nhất là việc xâm nhập đang dần nhắm vào các màn hình thiết bị có kích thước nhỏ. Trong năm 2015, Rapid7 thất bại trong vấn đề tuân thủ an ninh trong 8 trên tổng số 10 màn hình thiết bị có kích thước nhỏ. Một trường hợp gần cho biết một bà mẹ người Mỹ đã phát hiện màn hình cỡ nhỏ FREDI của cô xoay quanh căn phòng và hướng vào chỗ cô cho con bú.

Các nhà sản xuất IoT bị ảnh hưởng như thế nào?

Có thể các thiết bị IoT sẽ được sử dụng trong nhiều trường hợp tại tòa án hơn nữa. Dữ liệu mà các thiết bị IoT thu thập hình thành các "tạp chí dữ liệu" hàng ngày của các cá nhân và tổ chức. Các nhà sản xuất có thể thấy mình đang đứng ở giữa chủ sở hữu dữ liệu và hệ thống tư pháp.

Máy ảnh trong các sản phẩm IoT cung cấp chức năng quan sát trực quan. Nhiều lỗ hổng được tìm thấy trong các sản phẩm IoT của người tiêu dùng dựa trên các vấn đề và nghị quyết được biết đến trong thế giới an ninh mạng. Các sai sót như các kênh truyền thông không được mã hóa và các giao diện lập trình (API) cho phép chặn và cướp máy ảnh. Các sai sót khác, chẳng hạn như có mật khẩu quản trị dễ đoán hoặc số nhận dạng thiết bị, cũng có thể dễ dàng được sửa chữa.

Lạm dụng việc giám sát với IoT

Khi chúng ta nghĩ về vấn đề giám sát, chúng ta thường nghĩ rằng chính phủ đang theo dõi người dân. Tuy nhiên, vấn đề với giám sát IoT có thể gần gũi hơn chúng ta tưởng. Một nghiên cứu của Đại học London (UCL) về việc sử dụng công nghệ trong nội địa cho thấy công nghệ có thể cung cấp "phương tiện để tạo điều kiện cho việc lạm dụng tâm lý, thể chất, tình dục, kinh tế và tình cảm cũng như kiểm soát và cưỡng chế hành vi."

Báo cáo của UCL xem xét cách thức các cá nhân có thể lạm dụng sử dụng công nghệ IoT, đặc biệt, như một phương tiện để kiểm soát những người khác. Tuy nhiên, nhiều đơn vị không chỉ là UCL đều quan tâm đến những tiềm năng có hại của các công nghệ mới, những công nghệ có thành phần không ổn định. eSafety Women là một dự án của Úc dạy phụ nữ cách giữ an toàn xung quanh công nghệ. Khi IoT bắt đầu giành quyền kiểm soát trong nhà của người dân, cơ hội sử dụng các thiết bị như một công cụ để kiểm soát gián điệp và lạm dụng cũng tăng lên.

Các nhà sản xuất có thể giúp đảm bảo rằng có những cơ chế để ngăn chặn điều này. Điều này không dễ, nhưng có thể sử dụng một số biện pháp nhất định. Ví dụ: các hệ thống có quyền truy cập được ủy quyền cần phải được thiết kế với người dùng lạm dụng. Việc kiểm tra dữ liệu cũng có thể cung cấp khả năng theo dõi các hành vi lạm dụng, tuy nhiên, việc kiểm tra cũng có ý nghĩa riêng tư. Lực lượng cảnh sát cũng nên được đào tạo về tiềm năng của các thiết bị IoT bị lạm dụng.

Một cơn bão hoàn hảo: Dữ liệu sức khỏe và IoT

Kaspersky đã xác định rằng các cuộc tấn công nhắm vào các thiết bị thông minh đã tăng gấp ba lần vào năm 2018. Hãy kết hợp điều này với phân tích của Viện Ponemon và IBM, điều này cho thấy dữ liệu y tế là mục tiêu tối ưu nhất của tội phạm mạng. Và bạn sẽ thấy một cơn bão hoàn hảo để làm tổn hại đến việc tiếp xúc dữ liệu. Vì dữ liệu sức khỏe mang tính nhạy cảm cao của chúng ta nằm trên một ma trận bảo mật ngày càng mở rộng, và có nhiều khả năng là sự riêng tư của dữ liệu bệnh nhân có nguy cơ bị tổn hại. Điều này đã được chứng minh qua một cuộc tấn công vào SingHealth ở Singapore, đã phơi nhiễm dữ liệu của 1,5 triệu bệnh nhân, bao gồm cả kho chứa DNA.

Dự kiến 87% các tổ chức chăm sóc sức khỏe sẽ kết hợp các thiết bị IoT vào hoạt động của họ bằng cách nay hay cách khác vào năm 2019.

Các dịch vụ sử dụng thiết bị IoT chăm sóc sức khỏe thường được kiểm soát nghiêm ngặt, chẳng hạn như HIPAA (Đạo luật Cạnh tranh và Trách nhiệm Giải trình Bảo hiểm Y tế) và GDPR, để đảm bảo dữ liệu bệnh nhân an toàn. Các nhà sản xuất cần phải đảm bảo rằng các biện pháp bảo mật chính xác có thể được sử dụng để bảo mật dữ liệu khỏi bị phơi nhiễm.

Bảo mật thông minh, Lưới thông minh

Lưới thông minh cung cấp một cơ hội để tối ưu hóa việc sử dụng năng lượng tiêu thụ. Tuy nhiên, một số mối quan tâm đã được nâng lên qua sự riêng tư của lưới điện thông minh và các thiết bị đo thông minh mà họ dựa vào. Sự riêng tư về hành vi là vấn đề lớn đối với thiết bị đo thông minh. Trung tâm Thông tin về Quyền riêng tư Điện tử (EPIC) lập hồ sơ người tiêu dùng và quyền riêng tư về hành vi. EPIC đã liệt kê 14 lĩnh vực mà việc sử dụng thiết bị đo thông minh có thể phơi bày những khoảng trống riêng tư. Chúng bao gồm theo dõi hành vi của người thuê nhà và trộm danh tính. Đáng chú ý, California có luật bảo mật “đồng hồ thông minh” (Điều số 1274), xác định các phương pháp tốt nhất cho thiết bị đo thông minh để bảo vệ quyền riêng tư của người dùng.

EPIC đề xuất rằng việc kiểm soát tập trung vào người dùng đối với “thu thập, sử dụng, sử dụng lại và chia sẻ thông tin cá nhân” nên được tích hợp trong thiết bị đo thông minh. Ẩn danh dữ liệu cũng phải là một biện pháp.

Một tương lai chung cho IoT và bảo mật

Là người tiêu dùng thiết bị IoT, tất cả chúng ta đều phải biết cách qua đó quyền riêng tư của chúng ta bị xâm phạm thông qua công nghệ. Tuy nhiên, các nhà sản xuất các sản phẩm như vậy, có hai phương thức mà họ phải tuân thủ để đảm bảo thực hành quyền riêng tư một cách tốt nhất.

Các vấn đề về tuân thủ

Các quy định như GDPR đang thắt chặt vành đai bảo mật dữ liệu. Những quy định khác thuộc từng ngành cụ thể, chẳng hạn như HIPAA và từng vị trí địa lý cụ thể, chẳng hạn như Đạo luật bảo mật quyền riêng tư của người tiêu dùng California (CCPA), đang dần đưa quyền riêng tư vào với luật pháp.

Quyền riêng tư = Tin cậy

Tôn trọng quyền riêng tư của khách hàng là một phần của việc xây dựng thương hiệu trung thành sau này. Bảo mật dữ liệu không bao giờ nên chỉ là suy nghĩ. Thay vào đó, nó luôn luôn cần được thiết kế.

Theo Tạp chí Thông tin & Truyền thông

http://ictvietnam.vn/lanh-dao-cntt/5-ly-do-khien-bao-mat-va-iot-khong-tuong-thich.htm