Các luật được đề xuất từ Vương quốc Anh về bảo mật Internet of Things hướng dẫn các nhà cung cấp IoT cần tuân theo các quy tắc mới để được coi là an toàn cho hệ thống IoT. Mục đích của luật này giúp bảo vệ công dân và doanh nghiệp Vương quốc Anh khỏi các mối đe dọa từ tội phạm an ninh mạng ngày càng nhắm mục tiêu vào các thiết bị Internet of Things – IoT
Bằng cách hack các thiết bị IoT, tội phạm mạng có thể xây dựng một đội quân các thiết bị có thể được sử dụng để thực hiện các cuộc tấn công DDoS để phá hủy các dịch vụ online , trong khi các thiết bị IoT được bảo mật kém cũng có thể biến thành công cụ như một cách dễ dàng để tin tặc xâm nhập vào mạng và các hệ thống khác trên một mạng lưới.
Các biện pháp được đề xuất từ Bộ Văn hóa, Truyền thông và Thể thao (DCMS) đã được phát triển cùng với Trung tâm An ninh Mạng Quốc gia (NCSC) của Vương quốc Anh và sau một thời gian tham khảo ý kiến với các chuyên gia bảo mật thông tin, nhà sản xuất sản phẩm và nhà bán lẻ và những người khác.
“Luật mới của chúng tôi sẽ buộc các công ty sản xuất và bán các thiết bị kết nối internet vào tài khoản và ngăn chặn tin tặc đe dọa sự riêng tư và an toàn của mọi người”, Matt Warman, bộ trưởng bộ phận kỹ thuật số và băng thông rộng tại DCMS cho biết.
Họ cũng tuân theo các yêu cầu thực hành tốt nhất tự nguyện được đề xuất trước đây, nhưng luật pháp sẽ yêu cầu các thiết bị IoT được bán ở Anh phải tuân theo ba quy tắc cụ thể để được phép bán sản phẩm ở Anh :
- Tất cả mật khẩu thiết bị được kết nối internet của người tiêu dùng phải là duy nhất và không thể đặt lại cho bất kỳ cài đặt chung nào của nhà sản xuất.
- Các nhà sản xuất thiết bị IoT tiêu dùng phải cung cấp một điểm liên lạc công khai để bất kỳ ai cũng có thể báo cáo lỗ hổng và nó sẽ được xử lý kịp thời.
- Các nhà sản xuất thiết bị IoT gia dụng, tiêu dùng phải nêu rõ thời gian tối thiểu mà thiết bị sẽ nhận được cập nhật bảo mật tại điểm bán, tại cửa hàng hoặc trực tuyến
Hiện tại vẫn chưa rõ làm thế nào các quy tắc này sẽ được thực thi theo bất kỳ luật nào trong tương lai. Mặc dù chính phủ đã nói rằng “tham vọng” của họ là đưa ra luật pháp trong lĩnh vực này và nói rằng điều này sẽ được thực hiện “càng sớm càng tốt”, không có thông tin chi tiết về việc này sẽ diễn ra khi nào.
Nhiều thiết bị được kết nối được cung cấp với mật khẩu mặc định , đơn giản mà trong nhiều trường hợp không thể thay đổi, trong khi một số nhà sản xuất sản phẩm IoT thường thiếu phương tiện để liên hệ để báo cáo lỗ hổng – đặc biệt là nếu thiết bị đó được sản xuất ở một nơi nào đó không xác định rõ.
Ngoài ra, các sản phẩm IoT được biết đến là đột nhiên ngừng nhận hỗ trợ từ các nhà sản xuất và cung cấp thời gian chính xác mà các thiết bị sẽ được hỗ trợ sẽ cho phép người dùng suy nghĩ về việc sản phẩm sẽ an toàn như thế nào trong dài hạn. Nếu các sản phẩm không tuân theo các quy tắc này, luật mới sẽ đề xuất rằng các thiết bị này có khả năng bị cấm bán tại Vương quốc Anh.
“Trong khi Chính phủ Anh trước đây đã khuyến khích ngành công nghiệp áp dụng cách tiếp cận tự nguyện , thì rõ ràng cần có hành động quyết định để đảm bảo rằng an ninh mạng mạnh mẽ được tích hợp vào các sản phẩm này theo thiết kế”, ông Warman nói.
“Luật mới của chúng tôi sẽ buộc các công ty sản xuất và bán các thiết bị kết nối internet vào tài khoản và ngăn chặn tin tặc đe dọa sự riêng tư và an toàn của mọi người. Điều đó có nghĩa là các tiêu chuẩn bảo mật mạnh mẽ được xây dựng từ giai đoạn thiết kế “
“Công nghệ thông minh ngày càng tập trung vào cách chúng ta sống, vì vậy sự phát triển của luật này để đảm bảo rằng chúng ta được bảo vệ tốt hơn rất được hoan nghênh” “Nó sẽ giúp người mua tăng sự an tâm rằng công nghệ mà họ đang mang vào nhà là an toàn và các vấn đề như mật khẩu được cài đặt sẵn và ngừng cập nhật bảo mật đột ngột đã là quá khứ.” Nicola Hudson, giám đốc chính sách và truyền thông tại NCSC cho biết.
Vương quốc Anh không đơn độc trong nỗ lực bảo mật Internet vạn vật – ENISA, cơ quan an ninh mạng của Liên minh châu Âu, cũng đang làm việc theo luật pháp trong lĩnh vực này, trong khi chính phủ Mỹ cũng đang tìm cách điều chỉnh luật vền IoT trong nỗ lực bảo vệ chống lại các cuộc tấn công mạng .
Nguồn : zdnet