CyStack tham gia toạ đàm “Bảo mật IoT" do ICTNews tổ chức

Buổi tọa đàm chủ đề “Bảo mật IoT tại Việt Nam: Thách thức và giải pháp” được ICTnews tổ chức trong bối cảnh lĩnh vực an toàn thông tin mạng trên thế giới và tại Việt Nam không ngừng gia tăng.
Tọa đàm “Bảo mật cho kết nối thiết bị IoT tại Việt Nam: Thách thức và giải pháp” với sự tham gia của các chuyên gia bảo mật hàng đầu trong nước hiện nay, nhằm đi tìm lời giải, giải pháp an ninh mạng hiệu quả để ngăn chặn, hạn chế các mối đe dọa tiềm ẩn, góp phần xây dựng cho chiến lược an ninh toàn diện tại Việt Nam.
Tham gia buổi tọa đàm trực tuyến chủ đề “Bảo mật IoT tại Việt Nam: Thách thức và giải pháp” chiều ngày 17/10/2018 có ông Nguyễn Hoài Nam, đại diện Cục An toàn thông tin (Bộ TT&TT); ông Trần Quang Chiến, Tổng Giám đốc Công ty Cổ phần CyStack Việt Nam; ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng Công ty Bkav; ông Khổng Huy Hùng, Tổng Giám đốc Công ty cổ phần Công nghệ an ninh không gian mạng VIệt Nam – VNCS.
Buổi tọa đàm có 2 phần: Phần thứ nhất chúng tôi đặt ra những câu hỏi chung cho các diễn giải trên cơ sở tổng hợp các câu hỏi đã nhận được cho các diễn giả. Phần thứ 2 sẽ có những câu hỏi đến từng diễn giả.

Dưới đây là nội dung buổi tọa đàm trực tuyến với sự tham gia của CyStack:
MC: Theo dự báo, mục tiêu tấn công trong tương lai sẽ nhắm đến các thiết bị IoT. Nguy cơ bị tấn công bằng cách cài đặt phần mềm gián điệp nằm vùng để thực hiện các cuộc tấn công có chủ đích sẽ thông qua các thiết bị IoT. Dưới góc nhìn của các chuyên gia, vấn đề này sẽ ảnh hưởng như thế nào? Chúng ta cần làm gì để giải quyết những nguy cơ đó?
Ông Trần Quang Chiến: Các thiết bị IoT thường có thể can thiệp trực tiếp vào hoạt động, môi trường sống của con người (như phương tiện giao thông tự động, các thiết bị điều khiển sản xuất tự động, camera giám sát, thiết bị cảm biến, robot tự động…). Vì vậy trong trường hợp bị tin tặc tấn công, kiểm soát và cài đặt các phần mềm độc hại, thì các thiết bị IoT có thể trở thành công cụ để tin tặc can thiệp, tấn công trực tiếp có chủ đích vào con người. Ngoài ra các công nghệ mới sử dụng trong các thiết bị IoT thường phát triển nhanh hơn khả năng kiểm soát về bảo mật hiện nay. Do đó, để giải quyết vấn đề này, nhiệm vụ chính thuộc về các đơn vị phát triển thiết bị, cần chú trọng đầu tư về bảo mật cũng như bắt tay với các chuyên gia, đơn vị chuyên trách về bảo mật để tạo ra các sản phẩm an toàn, phục vụ nhu cầu người dùng trong mọi lĩnh vực.
MC: Do là các sản phẩm IOT thường mới được phát triển nên thường tồn tại nhiều lỗ hổng bảo mật. Các hacker có thể lợi dụng các lỗ hổng này để tấn công thiết bị IoT. Đây là một mối lo ngại lớn cho các doanh nghiệp khi sử dụng các thiết bị IOT. Tội phạm mạng có thể kiểm soát toàn bộ hệ thống mạng của doanh nghiệp thông qua một thiết bị IOT không được bảo mật được tham gia vào mạng. Nguy cơ đối với các doanh nghiệp là gì?
Ông Trần Quang Chiến: Theo quan điểm của cá nhân, tôi cho rằng các thiết bị IoT nói chung, đặc biệt là thiết bị sử dụng cho Chính phủ điện tử, thành phố thông minh, sẽ đóng vai trò quan trọng, có tác động lớn đời sống kinh tế, xã hội của đất nước. Vì vậy tôi nghĩ rằng các thiết bị IoT thì nhà nước, đơn vị nghiên cứu cần có những kế hoạch, nhiệm vụ để có thể chủ động sản xuất ra các thiết bị thay vì phải phụ thuộc đi mua từ các quốc gia khác. Vì nhiều trường hợp chúng ta đã thấy thiết bị hoàn toàn có thể bị cài đặt mã độc ngay từ khi sản xuất, nhằm mục đích theo dõi, thu thập và kiểm soát thông tin của khách hàng.
Chính phủ điện tử, thành phố thông minh sẽ sử dụng rất nhiều các kết nối thiết bị IoT. Vậy nguy cơ bị tấn công từ các thiết bị này ra sao? Chúng ta có quy định về chuẩn về bảo mật khi các địa phương xây dựng Chính phủ điện tử, thành phố thông minh hay không?
Ông Trần Quang Chiến: Hiện nay một số thiết bị IoT được sử dụng trong doanh nghiệp như camera, TV, các hệ thống điều khiển tự động… Các thiết bị này thường có những cảm biến để can thiệp trực tiếp vào môi trường doanh nghiệp như quay phim, chụp ảnh, nghe lén, can thiệp vào các hoạt động của doanh nghiệp (như can thiệp vào máy sản xuất được điều khiển tự động)… Khi các thiết bị IoT này bị tin tặc tấn công, kiểm soát thì các thiết bị này có thể trở thành công cụ để tin tặc đánh cắp thông tin, phá hoại hoạt động kinh doanh… gây ra những thiệt hại lớn về tài chính, và thậm chí cả con người (như thiết bị trong lĩnh vực y tế, giao thông, phương tiện vận chuyển…).

Thời gian qua tôi đọc báo thấy có tình trạng camera giám sát của doanh nghiệp, gia đình có nguồn gốc không rõ ràng liên tục gửi dữ liệu ra ngoài, tiềm ẩn nguy cơ mất an toàn thông tin. Vậy tôi cần phải làm gì để đảm bảo bảo mật cao nhất?
Nguyễn Tú – Hà Nội
Ông Trần Quang Chiến: Đối với các thiết bị IoT, có 2 vấn đề chính về bảo mật: Một là liên quan đến mức độ an toàn của sản phẩm khi xuất xưởng. Điều này phụ thuộc hoàn toàn vào nhà sản xuất. Trong trường hợp sản phẩm không có nguồn gốc rõ ràng thì nhiều thiết bị có thể bị cài đặt backdoor/modul thu thập dữ liệu người dùng. Hai là do việc bảo mật từ phía người dùng, do việc đặt mật khẩu, cấu hình không an toàn. Đối với trường hợp camera giám sát an ninh của doanh nghiệp, sẽ có 2 nguyên nhân: một là do nhà cung cấp đã chủ động cài đặt mã độc, hoặc do hacker đã khai thác lỗ hổng để tấn công vào thiết bị, cài đặt mã độc. Để đảm bảo bảo mật, khi chọn mua cần mua sản phẩm của hãng có nguồn gốc rõ ràng, uy tín.
Khi cài đặt các thiết bị vào hệ thống mạng của doanh nghiệp hoặc gia đình, người dùng cần lưu ý 3 điểm sau:

• Một là cần kiểm tra firmware đã được cập nhật bản mới nhất hay chưa thông qua giao diện quản trị hoặc yêu cầu bên cung cấp.
• Hai là cần thay đổi mật khẩu quản trị, bao gồm cả mật khẩu mặc định của nhà cung cấp thiết bị đã thiết lập.
• Ba là, cần loại bỏ, vô hiệu hóa các chức năng không cần thiết, vì điều này có thể tiềm ẩn các lỗ hổng bảo mật.

Giải pháp nào có thể kiểm soát rủi ro an ninh mạng trong thế giới kết nối IoT, thưa chuyên gia?
Thu Hằng – TP.HCM
Ông Trần Quang Chiến: Tôi thấy, đối với các thiết bị IoT, có 2 vấn đề chính khiến cho các thiết bị thường xuyên bị tấn công đó là: Một là do đặc thù của các thiết bị IoT, dẫn đến khó khăn trong việc update các bản vá lỗi. Hai là công nghệ trong thiết bị IoT thường được sản xuất độc quyền, các đơn vị này thường không có đội ngũ chuyên gia an toàn thông tin đủ mạnh; các nhà nghiên cứu độc lập về an ninh mạng cũng khó tiếp cận thiết bị để kiểm tra đánh giá, phát hiện các lỗ hổng tiềm ẩn. Đối với các nhà sản xuất, cần có hình thức, công nghệ để cập nhật các bản vá lỗi một cách nhanh chóng đến thiết bị cho người dùng. Các công nghệ bên trong thiết bị IoT cần được “mở” để cho các nhà nghiên cứu về bảo mật có thể tham gia vào kiểm thử, phân tích rủi ro và lỗ hổng bảo mật.
Đối với các đơn vị quản lý của nhà nước, cần làm những việc sau:

• Cần đưa ra tiêu chuẩn về bảo mật tối thiểu cho các thiết bị IoT.
• Các thiết bị phải được kiểm thử bởi các đơn vị, doanh nghiệp có chức năng về kiểm tra đánh giá bảo mật cho IoT.
• Phải có hướng dẫn, đào tạo về nhận thức an ninh, an toàn thông tin mạng cho người dân.

Giữa bối cảnh trên thị trường xuất hiện nhiều nhà cung cấp giải pháp bảo mật đến từ trong và ngoài nước như hiện nay, các chuyên gia có lời khuyên gì cho các tổ chức trong câu chuyện đầu tư, trang bị phần mềm, giải pháp bảo mật để hạn chế được các nguy cơ tấn công?

Phương Minh – Đà Nẵng
Ông Trần Quang Chiến: Tôi nghĩ rằng chúng ta nên ưu tiên sử dụng các sản phẩm bảo mật có nguồn gốc trong nước để bảo vệ cho các hệ thống CNTT của mình. Lý do là hiện nay đã có khá nhiều đơn vị trong nước cung cấp sản phẩm bảo mật có chất lượng và hỗ trợ không thua kém so với sản phẩm của nước ngoài nhưng chi phí lại rẻ hơn rất nhiều. Có những sản phẩm như của CyStack cung cấp có giá thành chỉ bằng 1/10 so với sản phẩm nước ngoài. Trong khi đó, đối với các sản phẩm của nước ngoài, người dùng còn phải đối mặt với các nguy cơ về mặt thu thập, đánh cắp dữ liệu. Nhiều sự vụ quốc tế đã cho thấy một số sản phẩm thường tồn tại các backdoor, mã độc ngay từ khi sản xuất nhằm phục vụ mục đích về tình báo.
Vấn đề sử dụng phần mềm không có bản quyền nguy hiểm như thế nào trong môi trường Internet kết nối vạn vật, thưa các chuyên gia?
Thanh Tú – TP.HCM
Ông Trần Quang Chiến: Khi sử dụng phần mềm không có bản quyền hoặc bản bẻ khóa (crack) thì người dùng có thể đối mặt với những rủi ro như sau: Đầu tiên là các sản phẩm không được update bản vá từ nhà sản xuất nên thường tồn tại các lỗ hổng, khiến tin tặc có thể tấn công.
Tiếp đó các bản phần mềm bẻ khóa có thể tồn tại những mã độc đã được cài đặt sẵn trong sản phẩm. Đặc biệt với những sản phẩm IoT, việc tồn tại các mã độc, lỗ hổng có thể giúp cho tin tặc tấn công trực tiếp vào đời sống, hoạt động của con người.
Trong các giao dịch trực tuyến, giải pháp nào để có thể bảo vệ dữ liệu tài chính một cách tối ưu nhất thưa chuyên gia?
Hải Anh – Hà Nội
Ông Trần Quang Chiến: Tôi có một số lời khuyên cho anh như sau: Khi giao dịch trên các website cần lưu ý truy cập đúng vào địa chỉ của nhà cung cấp, vì có nhiều hình thức tấn công tin tặc có thể giả mạo chính website của nhà cung cấp để lừa người dùng nhập thông tin giao dịch. Tương tự với các ứng dụng mobile, tin tặc cũng có thể giả mạo ứng dụng của nhà cung cấp dịch vụ tài chính (như ví điện tử, ứng dụng giao dịch ngân hàng…). Chỉ nên giao dịch trên các máy tính, điện thoại tin cậy được đảm bảo an toàn. Nên thoát khỏi các ứng dụng, website khi không giao dịch. Nên lựa chọn các nhà cung cấp dịch vụ tài chính, ngân hàng uy tín, có chứng chỉ PCI DSS. Bảo vệ các thông tin nhạy cảm khi giao dịch như mật khẩu, các code của thẻ tín dụng. Khi phát hiện các thông tin của mình bị xâm nhập, bị giao dịch trái phép, cần liên hệ ngay với đơn vị cung cấp để khóa tài khoản tạm thời.
Không nên để quá nhiều tiền trong các ví điện tử, thẻ tín dụng vì nguy cơ đánh cắp cao hơn. Kích hoạt các tính năng bảo mật nâng cao cho tài khoản của mình như bảo mật 2 bước, sinh trắc học.
Để đảm bảo an toàn bảo mật trong các tổ chức, doanh nghiệp, có nên cấm nhân viên sử dụng mạng xã hội, USB cá nhân không, thưa các chuyên gia? (vì tôi thấy đây là nguồn dễ tiếp nhận các đường link, phần mềm độc hại)
Hồ Oanh, Hà Nội
Ông Trần Quang Chiến: Theo tôi, các doanh nghiệp không nên cấm. Vì vấn đề chính dẫn đến việc máy tính bị lây nhiễm phần mềm độc hại thông qua các kênh này nằm ở nhận thức của người sử dụng. Đối với các tổ chức, doanh nghiệp, nên có những chương trình đào tạo, tài liệu hướng dẫn để nâng cao nhận thức về an toàn thông tin mạng cho nhân viên của mình. Mạng xã hội và USB cũng chỉ là một trong những hình thức để mã độc tấn công, vì thế chúng ta nên giải quyết vấn đề cốt lõi là nhận thức của người sử dụng và tính bảo mật trong hệ thống mạng nội bộ.
Để bảo mật cho hệ thống mạng, máy tính trạm của một doanh nghiệp bao gồm các nội dung sau; – Phải thiết kế một hệ thống mạng đảm bảo an toàn (nên có sự hỗ trợ của các chuyên gia bảo mật). – Nên có các quy trình, chính sách quy định để đảm bảo an toàn cho doanh nghiệp. Ví dụ như chính sách về cập nhật bản vá cho phần mềm, chính sách về cài đặt phần mềm, chính sách về sử dụng mạng xã hội, USB… Đào tạo nâng cao nhận thức cho nhân viên thường xuyên. Sử dụng các giải pháp bảo mật, phần mềm chống mã độc phù hợp.
Theo dõi chi tiết toạ đàm tại đây.