IoT: Trung tâm người dùng, Bảo mật quyền riêng tư


Hoàng Thư Tùng
10 tháng trước
Hữu ích 4 Chia sẻ Viết bình luận 0
Đã xem 4115

Mối quan tâm về quyền riêng tư của người dùng là một trong những trở ngại chính đối với việc áp dụng rộng rãi các thiết bị IoT được kết nối. Các thiết bị thông minh cung cấp các cơ hội tạo và nắm bắt giá trị đáng kinh ngạc, nhưng các lỗ hổng của chúng có thể gây ra sự gián đoạn thảm khốc, từ vi phạm quyền riêng tư đến phá vỡ hệ sinh thái công cộng. Trong bài viết này, chúng tôi đánh giá các rủi ro của việc áp dụng IoT và xem xét các tiêu chuẩn, phương pháp tiếp cận và mô hình quản lý quyền riêng tư.

Phạm vi của lỗ hổng bảo mật IoT

Theo báo cáo của Deloitte, trong số 49 quốc gia có ngân sách quốc phòng hơn 1 tỷ USD và các hệ thống IoT tiếp xúc được tìm thấy trực tuyến, Slovakia, Litva, Estonia, Latvia và Cộng hòa Séc là năm quốc gia tiếp xúc nhiều nhất dựa trên Mục tiêu IoT trên mỗi đơn vị GDP. Việc họ nhanh chóng áp dụng các hệ thống IoT mà không có các biện pháp bảo mật thích hợp có thể gây ra thiệt hại kinh tế đáng kể cho các doanh nghiệp cá nhân, toàn bộ ngành công nghiệp và toàn bộ nền kinh tế quốc gia. Hoa Kỳ nằm trong danh sách các quốc gia dễ bị tổn thương nhất, mặc dù có số lượng lớn nhất các hệ thống IoT bị phơi bày, vì nền kinh tế của nước này đa dạng và ổn định hơn trước một cuộc tấn công tiềm năng.

Trung Quốc, Iran và Liên bang Nga ít bị tổn thương hơn trước các cuộc tấn công IoT, có thể là do việc áp dụng thấp hơn hoặc sự phát triển liên tục của các hệ thống an ninh mạng toàn bang. Nhật Bản là một trong những nền kinh tế an toàn nhất, mặc dù áp dụng rộng rãi tự động hóa công nghiệp và hộ gia đình. Đây có thể là kết quả của cách tiếp cận của Nhật Bản để phát triển phần mềm tùy chỉnh thay vì áp dụng các giải pháp có sẵn cũng như thiết kế có ý thức bảo mật và triển khai các hệ thống IoT.

IoT: Nhắm mục tiêu và vũ khí hóa

Các hệ thống IoT có thể vừa là vũ khí vừa là mục tiêu của các cuộc tấn công độc hại. Hàng triệu thiết bị không bảo mật đã bị nhiễm công nghệ Botnet và tham gia vào các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Krebs On Security, Dyn và các công ty khác trở thành nạn nhân của các cuộc tấn công không đòi hỏi ngân sách lớn và công nghệ tinh vi do lỗ hổng của thiết bị IoT.

Nhắm mục tiêu hệ thống IoT là một mối quan tâm bảo mật nghiêm trọng khác. Ba loại chính của hệ thống IoT có tiềm năng lớn về hậu quả an toàn kinh tế và công cộng bao gồm:

  • Hạ tầng công nghiệp. Công tắc, van, CNC và kiểm soát môi trường sản xuất có nguy cơ. Việc can thiệp vào bất kỳ hệ thống công nghiệp nào bị phơi bày có thể dẫn đến thiệt hại tài sản, mất sản xuất, trục trặc thiết bị và tai nạn.

  • Cơ sở hạ tầng truyền thông. Các hệ thống và bộ định tuyến VoIP là dễ bị tổn thương nhất trong số các thiết bị IoT giao tiếp. Thiệt hại vật chất của các mạng, tổn thất truyền thông quy mô lớn và sự hoảng loạn trong dân chúng đều là những rủi ro có tác động cao.

  • Xây dựng cơ sở hạ tầng. Điện, an ninh, thang máy và kiểm soát môi trường là những hệ thống thường tiếp xúc. Lỗ hổng của họ có thể gây ra thiệt hại vật lý cho các hệ thống và tòa nhà, từ chối dịch vụ và hoảng loạn giữa những người thuê nhà.

Các mục tiêu IoT mới nổi khác bao gồm kiểm soát giao thông và hệ thống lái xe tự trị, cũng như các đối tượng quan trọng của cơ sở hạ tầng quốc gia, như các nhà máy điện hạt nhân hoặc các thiết bị chuyển mạch viễn thông lớn. Mặc dù an ninh của họ thường tốt hơn, nhưng họ vẫn đưa ra các mục tiêu lôi cuốn cho những kẻ khủng bố trên mạng.

Quản lý nhận dạng và bảo mật quyền riêng tư của IoT

Hoa Kỳ và các nước EU tập trung nỗ lực an ninh của họ vào các mục tiêu cơ sở hạ tầng và quân sự quan trọng, để lại sự bảo vệ các hệ thống thuộc sở hữu tư nhân cho các nhà khai thác và chủ sở hữu của họ. Tuy nhiên, cách tiếp cận này để lại một cơ hội cho các cuộc tấn công mạng độc hại khi việc áp dụng các hệ thống IoT lan rộng trên các lĩnh vực công cộng, thương mại và công nghiệp. Nhận thấy tác động kinh tế, tài chính và tâm lý của các lỗ hổng IoT, cộng đồng quốc tế đã nghiên cứu các tiêu chuẩn cho các kỹ thuật bảo mật để bảo vệ danh tính và quyền riêng tư của người dùng.

Các vi phạm trong bảo mật dữ liệu gây mất thông tin nhận dạng cá nhân ảnh hưởng đến các tổ chức và cá nhân. Hành vi trộm cắp danh tính, trách nhiệm pháp lý, chi phí phục hồi và rủi ro danh tiếng là một trong những hậu quả phổ biến của các vi phạm an ninh trong IoT và các lĩnh vực khác.

ISO / IEC 29100

ISO / IEC 29100 được thiết kế cho các tổ chức phát triển, vận hành hoặc duy trì hệ thống xử lý thông tin nhận dạng cá nhân. Khung bảo mật được nêu trong tiêu chuẩn cho phép doanh nghiệp xác định thuật ngữ bảo mật, xác định các vai trò quan trọng trong xử lý dữ liệu cá nhân, mô tả các cân nhắc về bảo mật quyền riêng tư và tham chiếu nguyên tắc bảo mật chung được sử dụng cho CNTT.

Theo Khung bảo mật ISO / IEC 29100, người dùng, người đăng ký và chủ sở hữu dữ liệu đảm nhận vai trò của nhà cung cấp thông tin cá nhân, trong khi chủ sở hữu ứng dụng và nhà khai thác đóng vai trò là người nhận PI. Khung bảo mật quyền riêng tư, lấy người dùng làm trung tâm được thiết lập nếu người nhận PI sử dụng các biện pháp bảo vệ quyền riêng tư để đáp ứng sở thích bảo mật của nhà cung cấp PI ở tất cả các giai đoạn xử lý thông tin, từ thu thập và lưu trữ đến sử dụng, chuyển và xóa.

ISO / IEC 24760

Tiêu chuẩn này cung cấp hướng dẫn cho quản lý thông tin nhận dạng. Trong khi phần đầu tiên phác thảo các thuật ngữ và khái niệm, phần thứ hai xác định các yêu cầu và kiến ​​trúc tham chiếu, và phần thứ ba cho thấy việc triển khai thực tế của một hệ thống quản lý danh tính. Các thực tiễn giải quyết rủi ro liên quan đến danh tính khi có được, xử lý, lưu trữ, chuyển giao và sử dụng thông tin nhận dạng cá nhân.

Theo ISO / IEC 24760, chủ sở hữu ứng dụng nên quản lý rủi ro về lỗi nhận dạng và đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin nhận dạng họ lưu trữ, xử lý và liên lạc. Tiêu chuẩn cũng đề xuất việc sử dụng định danh. Họ cho phép doanh nghiệp phân biệt các thực thể và tạo điều kiện cho đại diện của họ trong một số tình huống, ví dụ như ẩn danh tính của thực thể khi cung cấp thông tin nhận dạng để sử dụng.

Quyền riêng tư theo thiết kế trong IoT

Các tiêu chuẩn và quy định quốc tế hiện có liên quan đến quyền riêng tư và bảo vệ dữ liệu cá nhân khiến nhiều vấn đề của người tiêu dùng chưa được giải đáp. Trong khi Ủy ban Chính sách Người tiêu dùng ISO (COPOLCO) đang nghiên cứu các tiêu chuẩn cho quản lý nhận dạng và công nghệ bảo mật, các nhà nghiên cứu và người tiên phong về IoT dựa trên các nguyên tắc của Quyền riêng tư (PbD).

Cân bằng rủi ro và lợi ích riêng tư

Các nghiên cứu được thực hiện cho Diễn đàn kinh tế thế giới chứng minh rằng chủ sở hữu dữ liệu (người dùng IoT) sẵn sàng tiết lộ thông tin cá nhân cho người tiêu dùng dữ liệu để có đủ lợi ích. Tuy nhiên, để đưa ra quyết định thực dụng, người dùng nên nhận ra những rủi ro liên quan đến việc chia sẻ dữ liệu riêng tư. Ngoài ra, người dùng sẽ có thể thay đổi tùy chọn quyền riêng tư của họ theo ngữ cảnh.

Nhận thức về rủi ro bảo mật ngụ ý rằng:

  • Độ nhạy dữ liệu có thể là trực tiếp hoặc gián tiếp. Mặc dù tiêu thụ năng lượng không nhạy cảm, nhưng các phép đo thường xuyên cho phép người tiêu dùng dữ liệu suy ra dữ liệu nhạy cảm, bao gồm việc sử dụng các thiết bị cụ thể, hiện diện hoặc vắng mặt, mô hình hành vi và hơn thế nữa.

  • Niềm tin vào người tiêu dùng dữ liệu phụ thuộc vào danh tiếng và lịch sử tương tác của người tiêu dùng dữ liệu. Các công ty nhà nước có thể đáng tin cậy hơn các doanh nghiệp tư nhân.

  • Rò rỉ dữ liệu phản ánh tính chính xác của dữ liệu cá nhân được chia sẻ và thường phụ thuộc vào tần suất lấy mẫu. Tần số mẫu tăng làm tăng mức độ tin cậy của các suy luận được thực hiện bởi người tiêu dùng dữ liệu dựa trên dữ liệu IoT.

Các nhà cung cấp dữ liệu có thể mong đợi lợi ích về thể chất, tài chính hoặc tâm lý khi chia sẻ thông tin cá nhân. Các ví dụ phổ biến về lợi ích chia sẻ dữ liệu bao gồm tỷ lệ giảm, mức tiêu thụ thấp hơn, cảm giác tự hài lòng và tự tin.

Nguyên tắc phát triển riêng tư theo thiết kế

Các nhà nghiên cứu của Viện bảo mật và dữ liệu lớn, Đại học Ryerson, đã phác thảo các khái niệm bảo mật IoT dựa trên bảy nguyên tắc bảo mật cơ bản của thiết kế. Chúng được khuyến nghị cho các nhà thiết kế, nhà phát triển, người thử nghiệm và người vận hành thiết bị IoT.

1. Dự đoán và loại bỏ các cơ hội lạm dụng. Chỉ người dùng IoT mới có thể phê duyệt việc thu thập, xử lý và chia sẻ thông tin cá nhân của họ. Trong chu trình phát triển lấy người dùng làm trung tâm, tiềm năng lạm dụng quyền riêng tư được truy cập và loại bỏ ở mọi giai đoạn.
2. Cấu hình quyền riêng tư theo mặc định. Để thúc đẩy niềm tin của người tiêu dùng và hưởng lợi từ khoảng cách nhận thức cộng đồng ủng hộ các công nghệ đáng tin cậy, các doanh nghiệp thiết kế quyền riêng tư nội tại trước khi thêm khả năng quản lý thông tin.
3. Nhúng toàn vẹn vào thiết kế. Phân lớp bảo mật quyền riêng tư ở tất cả các cấp thiết kế IoT đang trở thành một tiêu chuẩn của ngành, khiến các nhà thiết kế và phát triển ứng dụng giới thiệu các tính năng bảo mật từ dưới lên.
4. Hợp nhất kinh nghiệm tối ưu hóa để đầy đủ chức năng.Các công ty tiên phong không khiến khách hàng lựa chọn giữa quyền riêng tư và chức năng đầy đủ. Thay vào đó, họ tối đa hóa trải nghiệm người dùng trong khi bảo vệ quyền lợi và quyền lợi của người dùng.
5. Làm rõ và đơn giản hóa cho thiết kế bảo vệ. Sự phức tạp làm giảm khả năng sử dụng các biện pháp bảo mật riêng tư. Để hỗ trợ bảo vệ vòng đời đầy đủ, các nhà phát triển áp dụng các thực tiễn tốt nhất về quyền riêng tư và đưa ra các biện pháp bảo mật đơn giản nhưng chồng chéo.
6. Kiểm soát giám sát và nhận thức. Sợ hãi, không chắc chắn và nghi ngờ giữa những người dùng có thể được khắc phục bằng cách giới thiệu cho khách hàng các biện pháp bảo vệ và minh bạch được thực hiện.
7. Bao gồm người dùng là các bên liên quan, không phải nạn nhân. Xây dựng niềm tin với người tiêu dùng bắt đầu bằng việc coi họ là các bên liên quan, mà nhu cầu chính của họ là quyền riêng tư và an toàn.

Đảm bảo. Cảnh giác. Mô hình kiên cường.

Deloitte xem xét quyền riêng tư của IoT thông qua Bảo mật. Cảnh giác. Kiên cường. mô hình. Để thiết lập một hệ thống quản lý thông tin an toàn, các chuyên gia tập trung vào ba khía cạnh của bảo mật quyền riêng tư.

1. Phần mềm, phần cứng và dữ liệu phải được bảo mật ở tất cả các cấp độ phát triển và vận hành và ở tất cả các giai đoạn của vòng đời. Nếu không có các biện pháp an toàn thích hợp, các vi phạm của thiết bị IoT có thể chuyển từ trộm cắp quyền riêng tư sang đe dọa đến tính mạng.
2. Các công ty phải cảnh giác khi giao dịch với các thiết bị được kết nối và thu thập dữ liệu, vì cả phần mềm và phần cứng đều dễ bị lão hóa và hư hỏng. Hơn nữa, các phương pháp tấn công phát triển và sử dụng các điểm yếu mà các nhà phát triển IoT không nhận thức được.
3. Để nhanh chóng phát hiện vi phạm, loại bỏ mối đe dọa và ngăn chặn sự lây lan, các công ty phải có các giao thức và quy trình bảo mật. Chúng giúp hạn chế thiệt hại cho hệ thống và danh tiếng doanh nghiệp cũng như thiết lập lại hoạt động bình thường.

Ngoài việc tạo ra giá trị, các hệ thống IoT có thể gây ra tổn thất đáng kể cho các doanh nghiệp không thiết lập hệ thống quản lý quyền riêng tư lấy người dùng làm trung tâm. Tuân theo các tiêu chuẩn quốc tế và dựa trên các nguyên tắc Quyền riêng tư theo Thiết kế là rất cần thiết để thúc đẩy niềm tin của khách hàng và thúc đẩy việc áp dụng rộng rãi hơn các thiết bị được kết nối thông minh. Các công ty đột phá đảm bảo các cân nhắc về quyền riêng tư nằm ở nền tảng của mọi phần mềm và phần cứng IoT và duy trì các hoạt động bảo mật tốt nhất trong suốt vòng đời của hệ thống.

Hữu ích 4 Chia sẻ Viết bình luận 0
Đã xem 4115