1. Đặt vấn đề
Công nghệ Internet của vạn vật (IoT) đã trở nên phổ biến trong các lĩnh vực như y tế điện tử, nhà thông minh, thương mại điện tử, giao thông điện tử. Sự gia tăng của các thiết bị IoT ngày nay làm cho khả năng bị tấn công đối với các thiết bị này càng trở nên hiện hữu. Trong khi các nhà nghiên cứu đang tiếp tục xem xét thấu đáo các vấn đề về an toàn thông tin trong hệ thống IoT, hiện vẫn còn thiếu hụt các thông tin từ kết quả nghiên cứu có tính hệ thống một cách cập nhật. Bài viết này chọn lọc và trình bày một số khía cạnh về an toàn thông tin có liên quan đến đặc điểm của hệ thống IoT hiện nay, xác định các thách thức và một số vấn đề cần tiếp tục nghiên cứu để tìm cách ứng dụng phù hợp công nghệ IoT trong thực tiễn tại Việt Nam.
2. Căn bản về hệ thống IoT
Về cơ bản, IoT có liên quan tới kết nối của các thiết bị khác nhau trong đời thường, khả năng tự động hóa, khả năng cảm biến và nhận thức ngữ cảnh. Các thiết bị IoT bao gồm máy tính cá nhân, máy tính bảng, điện thoại thông minh, PDA và các thiết bị nhúng cầm tay khác. Các thiết bị này tương tác với nhau theo cách thức rất thông minh, được trang bị cảm biến và các bộ khởi động, có thể nhận thức được các tham số môi trường xung quanh, hiểu điều gì đang diễn ra và thực thi một cách phù hợp. Điều này có được nhờ khả năng xử lý dữ liệu từ một nút mạng, từ một bộ tập trung kết nối (hub) hay từ đám mây. Các thiết bị IoT cũng cho phép thực thi tự động tác vụ hoặc gửi dữ liệu về cơ sở dữ liệu để hỗ trợ việc ra quyết định.
Sự kết nối của các mạng lưới thiết bị IoT cho phép hình thành các ứng dụng và dịch vụ thông minh hơn, mang lại lợi ích cho người dùng, cán bộ nghiệp vụ hay các lợi ích kinh tế. Các thiết bị IoT tạo khả năng truy cập dữ liệu của nó có cho các bên liên quan, tuy nhiên cung cấp các dữ liệu này trên Internet là một việc nhưng việc đảm bảo an toàn cho những dữ liệu đòi hỏi nhiều nỗ lực hơn.
Các thiết bị IoT khi được kết nối với nhau và kết nối với mạng Internet sẽ trở thành một hệ thống IoT, để cung cấp một số dịch vụ nào đó hữu ích cho người sử dụng. Về cơ bản, hệ thống IoT bao gồm các thành phần như: thiết bị IoT, bộ điều hợp, cầu nối cảm biến, các dịch vụ IoT và bộ điều khiển.
Trong đó:
- Thiết bị IoT: Một thiết bị IoT bao gồm cảm biến, các bộ khởi động, giao diện truyền thông, hệ điều hành, phần mềm hệ thống, các ứng dụng nạp sẵn và các dịch vụ rút gọn. Các cảm biến thường thực hiện chức năng thu thập thông tin ngữ cảnh và triển khai các hành động phù hợp thông qua bộ khởi động.
- Bộ điều hợp: Hoạt động như một bộ quản lý thiết bị. Một hoặc nhiều thiết bị thông minh được quản lý bởi một bộ điều hợp duy nhất. Nhiệm vụ chủ yếu của bộ điều hợp là theo dõi tình trạng và hoạt động của các vật thể thuộc phạm vi quản lý của nó. Bộ điều hợp cũng gửi các báo cáo tổng hợp về hoạt động và các sự kiện xảy ra đối với các thiết bị đó tới bộ cung cấp dịch vụ IoT.
- Cầu nối cảm biến IoT (còn có tên gọi là cổng kết nối đa giao thức IoT - IoT gateway): Hoạt động như một bộ tập trung giữa mạng IoT cục bộ và các dịch vụ đám mây IoT. Cầu nối cảm biến vận hành như một bộ kết nối giữa các mạng IoT nội bộ. Lấy ví dụ, một cầu nối cảm biến cho phép các thiết bị chạy giao thức Zigbee có thể nói chuyện với các thiết bị chạy giao thức Z-wave.
- Các dịch vụ IoT: Thông thường, các dịch vụ IoT được vận hành trên đám mây, sao cho người sử dụng có thể truy nhập tới tại bất kỳ thời điểm nào, từ bất kỳ đâu, giúp tự động hóa các tiến trình IoT, quản lý thiết bị, đưa ra các thông tin hỗ trợ quyết định...
- Bộ điều khiển: Các thiết bị IoT được điều khiển bởi bộ điều khiển. Lấy ví dụ, một người sử dụng có thể dùng điện thoại di động để đưa ra các lệnh tới các thiết bị nhà thông minh từ nhà hay từ xa.
3. Đặc điểm của hệ thống IoT có liên quan đến vấn đề an toàn thông tin
Các thiết bị IoT hiện nay có giới hạn về khả năng tính toán của vi xử lý, bộ nhớ, năng lượng… Do đó, sử dụng các cơ chế đảm bảo an toàn thông tin quy ước một cách trực tiếp trên các thiết bị loại này có thể không hiệu quả. Các ràng buộc này bao gồm:
- Phần cứng:
Khả năng tính toán và năng lượng: Hầu hết thời gian, các thiết bị IoT thường sử dụng pin và có sử dụng các bộ vi xử lý có tốc độ xung nhịp thấp, do đó, các thuật toán mã hóa thông thường có thể không sử dụng được trên các thiết bị này.
- Bộ nhớ
Khi so sánh với hệ thống số truyền thống, các thiết bị IoT được thiết kế với bộ nhớ RAM và Flash giới hạn trong khi lại sử dụng các hệ điều hành thời gian thực hay các hệ điều hành đa năng rút gọn, vận hành với các phần mềm hệ thống và dịch vụ độc quyền. Trong khi, các thuật toán mã hóa thông thường đòi hỏi bộ nhớ lớn hơn thường khó có thể sử dụng trực tiếp trên thiết bị IoT.
- Phần mềm
Số lượng các thiết bị IoT nhiều, cơ chế cập nhật phần mềm thường là động và mở, sử dụng các giao thức mạng mỏng manh, do đó có thể dẫn tới các nguy cơ mất an toàn như tải về và cài đặt mã độc hại, bị thay thế chương trình hay thậm chí bị thay thế bởi các nút mạng giả.
- Mạng
Mạng IoT thường có các đặc tính như tính di động, khả mở, đa dạng, nhiều thiết bị, sử dụng đa giao thức với hình trạng mạng (topo) thay đổi liên tục, do đó, việc xây dựng được một sơ đồ an toàn có thể đáp ứng được đầy đủ các đặc tính trên là một thách thức, đồng thời các thuật toán mã hóa, an toàn thông tin trên các thiết bị IoT cũng cần có sự thay đổi về căn bản.
4. Các nguy cơ về an toàn thông tin đối với hệ thống IoT
Mạng mở rộng IoT khi được triển khai với hàng tỷ các thiết bị thông minh với các nhiệm vụ khác nhau trong sự hỗn độn của các mạng lưới, với các giao thức truyền thông khác nhau. Để vừa đảm bảo vận hành, vừa đảm bảo an toàn thông tin, cần có các giao thức mã hóa rút gọn phù hợp với thiết bị IoT với những ràng buộc đã nêu ở phần 3, nêu trên. Việc tìm ra một tổ hợp thiết kế an toàn cho mạng thường khó nhiều hơn so với các hệ thống số truyền thống. Các tham số bổ sung mới làm cho các nhiệm vụ về an toàn thông tin trở nên phức tạp hơn, thậm chí biến đổi theo sự thay đổi của bất kỳ tham số nào. Do đó, khi thiết kế an toàn thông tin, cần phải xem xét chi tiết về đặc tả của thiết bị, mạng, các đối tượng ứng dụng khi giải quyết và xử lý các vấn đề về an toàn thông tin.
4.1. Các giao diện tấn công vào mạng IoT
Giao diện tấn công gia tăng rất nhiều trong mạng IoT. Sự gia tăng về số lượng, độ phức tạp, sự hỗn độn, liên thông, di động và sự phân bố của các thực thể (các đối tượng thông minh, điều khiển, người sử dụng và các dịch vụ) sẽ mở ra các giao diện tấn công trong môi trường kết nối liên mạng các sự vật. Sự mở rộng này cũng đóng góp vào sự mở rộng các nguy cơ về an toàn thông tin. Bảng sau dưới đây tóm lược một số giao diện phổ dụng có thể dẫn đến nguy cơ của các cuộc tấn công mạng IoT:
|
Mạng
|
Giao diện tấn công
|
|
Mạng cục bộ
|
Thiết bị ó Thiết bị
Vd: quá trình truyền tin giữa tivi và tủ lạnh
|
|
Thiết bị ó Bộ điều hợp
Ví dụ: Giao diện giữa máy điều hòa và bộ hub kết nối các cảm biến
|
|
Bộ điều hợp ó Gateway (cầu kết nối cảm biến)
Ví dụ: Phương tiện giữa bộ hub kết nối các cảm biến và và cầu kết nối cảm biến.
|
|
Thiết bị ó Bộ điều khiển
Ví dụ: Giao diện TV thông minh và điện thoại thông minh
|
|
Mạng công cộng
|
Bộ điều khiển ó Nhà cung cấp dịch vụ IoT
Ví dụ: Điện thoại thông minh và bộ điều khiển thiết bị ngôi nhà thông minh (kết nối từ xa)
|
|
Dịch vụ ó Dịch vụ
Ví dụ: Dịch vụ y tế thông minh ứng dụng IoT sử dụng các dịch vụ của cổng thanh toán trực tuyến
|
Minh họa - Các giao diện tấn công IoT phổ biến
4.2. Các lỗ hổng về an toàn thông tin liên quan đến giao diện của IoT
Đối với thiết bị đầu cuối
Các thiết bị IoT được trang bị với các cảm biến hoạt động như bộ thu thập hoặc thực thi một tác vụ nào đó. Các thiết bị cũng có thể trở thành dạng lai ghép cấu hình như bộ thu thập, bộ điều hợp hay bộ điều khiển. Tính đa diện như vậy cũng là một điểm yếu của thiết bị IoT, dễ bị tấn công.
Đối với phần mềm và phần mềm nhúng
Nếu không được cập nhật chính xác và theo quy tắc các phần mềm, nguy cơ về mất an toàn có thể xảy đến đối với thiết bị IoT, chẳng hạn như không cài đặt các bản vá cho phần mềm và phần mềm nhúng đúng cách, kẻ tấn công có thể tìm kiếm các thông tin nhạy cảm (như thông tin tài khoản hay cấu hình phần mềm mới cài đặt) trong quá trình cập nhật phần mềm.
Đối với hệ thống lưu trữ
Các thiết bị IoT cho phép lưu trữ dữ liệu trên cả thiết bị vật lý và đám mây, trong đó có thể bao gồm các thông tin cá nhân, tài khoản. Do đó, nếu không đảm bảo an toàn thông tin sẽ làm cho thiết bị lưu trữ và các dữ liệu trên đó trở nên không tin cậy.
An toàn thông tin trong truyền thông
Để kết nối nhiều loại thiết bị IoT tới mạng toàn cầu, mạng IoT mở rộng trên nhiều kiểu cơ sở hạ tầng bao gồm mạng không dây, mạng có dây, mạng riêng và các mạng công cộng. Việc sử dụng nhiều loại giao thức, làm cho mạng IoT có điểm yếu với nhiều vấn đề về an toàn thông tin như tính toàn vẹn của dữ liệu, không đảm bảo chất lượng dịch vụ. Các dịch vụ mạng cơ sở tồn tại lỗ hổng, lộ ra các cổng dịch vụ không cần thiết hoặc mất kiểm soát có thể làm các thiết bị IoT bị khai thác, trở thành phương tiện cho các cuộc tấn công từ chối dịch vụ. Việc tránh hoặc giảm mức độ mã hóa do giới hạn về năng lực xử lý của một số thiết bị IoT dẫn đến trên các thiết bị IoT cũng dẫn đến việc lộ ra các điểm yếu dễ bị tấn công trong quá trình truyền thông.
An toàn thông tin trong dịch vụ
Các dịch vụ an toàn thông tin được triển khai trên mạng cục bộ tại thiết bị, dịch vụ đầu cuối, tại bộ điều phối và tại cầu nối cảm biến. Giao diện web được sử dụng bởi các thiết bị trên mạng cục bộ này có thể có các lỗ hổng bao gồm bao gồm danh sách tài khoản, mật khẩu yếu hay thiếu hụt các chính sách và thực hiện quản lý mật khẩu phù hợp. Bên ngoài phạm vi mạng nội bộ, các dịch vụ IoT được triển khai trên cơ sở hạ tầng đám mây riêng hay đám mây vận hành trên cơ sở hạ tầng của các đối tác cũng có thể tồn tại các lỗ hổng cần xem xét về an toàn thông tin.
5. Tổng kết
IoT mở rộng phạm vi của Internet ngày nay, mở rộng khả năng thu thập dữ liệu và cung cấp dịch vụ, phục vụ cho các bài toán phân tích, xử lý dữ liệu lớn, tự động hóa nhiều hơn và hỗ trợ ra quyết định. Với các đặc điểm đã phân tích ở trên, IoT kết nối nhiều sự vật, sử dụng đa dạng các phương thức kết nối thông qua các giao thức truyền thông mở rộng với hình trạng mạng động và mở mang lại sự linh hoạt và thuận tiện cho các đối tượng sử dụng nhưng cũng đồng thời đặt ra những vấn đề cần chú ý về đảm bảo an toàn thông tin cho người sử dụng, người thiết kế kỹ thuật hay các nhà quản lý. Xem xét vấn đề an toàn thông tin của IoT từ góc độ nghiên cứu ứng dụng, bài nghiên cứu tập trung vào một số vấn đề cơ bản cần quan tâm khi xem xét triển khai ứng dụng công nghệ IoT và các vấn đề cần tiếp tục cập nhật, nghiên cứu để có thể đề xuất áp dụng phù hợp công nghệ IoT trong việc phát triển Chính phủ điện tử, phát triển các đô thị thông minh.
Nguyễn Hồng Quân
Tài liệu tham khảo:
[1] Đề tài nghiên cứu khoa học “Đánh giá và đề xuất sử dụng các nền tảng công nghệ trong phần mềm và tiêu chuẩn áp dụng trong Internet vạn vật (IoT)”, Viện công nghiệp phần mềm và nội dung số - Bộ Thông tin và Truyền thông.
[2] Toward analysis of Security Issues, Challeges, and Open Problems in the Internet of Things, Mahmud Hossain, Ragib Hasan, University of Alabama at Birmingham.
[3] IoT Technology and Standard Trends, Kanghae Lee, Telecommunication Technology Association, Korea, 2016.
[4] Basic IoT – Kim Tai Inn, NIPA Expert
[5] Báo cáo kết quả làm việc của Đoàn công tác Bộ Thông tin và Truyền thông trong chuyến khảo sát thực tế các địa điểm ứng dụng IoT tại Hàn Quốc, 2016.
[6] Vietnam Korea Technology Cooperation in Internet of Things (IoT), Korea Information Society Development Institute (KISDI) - Consulting Group, 2016.