Liên minh Tiêu chuẩn Kết nối (Connectivity Standards Alliance) giới thiệu "Chứng nhận Sản phẩm Được Kiểm Chứng Bảo Mật" giúp người mua an tâm về việc thiết bị đáp ứng các tiêu chuẩn bảo mật của quốc tế.

Có nhiều vấn đề an ninh đe dọa đến sự bảo mật của các thiết bị thông minh trong nhà, từ việc chuông cửa video có thể dễ dàng bị hack đến thương hiệu camera an ninh nổi tiếng vướng phải vụ bê bối về quyền riêng tư của người dùng. Một yếu tố quyết định khi lựa chọn mua sản phẩm đối với người dùng thiết bị thông minh trong nhà là sản phẩm đó phải đảm bảo an toàn thông tin tuyệt đối.

Liên minh Tiêu chuẩn Kết nối (CSA) - tổ chức đứng sau Matter và Zigbee - vừa công bố "Chứng nhận Sản phẩm Được Kiểm Chứng Bảo Mật" cho các thiết bị IoT. Về cơ bản, chứng nhận này thể hiện rằng thiết bị đã đã đáp ứng các tiêu chuẩn bảo mật và an toàn, giúp người dùng yên tâm sử dụng.

Khóa thông minh, camera an ninh hoặc chuông cửa video có thể bị kẻ xấu thâm nhập và ăn cắp dữ liệu. Ngày nay, thiết bị nào cũng đều được quảng cáo là tuân thủ các chứng nhận bảo mật khác nhau khiến người tiêu dùng không tài nào biết được sản phẩm nào mới thực sự bảo mật. “Chứng nhận Sản phẩm Được Kiểm Chứng Bảo Mật” sẽ là một sự xác minh thiết bị đáp ứng các tiêu chuẩn quốc tế về bảo mật, giúp người mua cảm thấy an toàn hơn khi sử dụng thiết bị đó trong nhà.

Nhóm Bảo mật Sản phẩm của CSA đã ban hành Tiêu chuẩn bảo mật thiết bị IoT 1.0, một tiêu chuẩn mà các thiết bị IoT phải đáp ứng để được cấp Chứng nhận Sản phẩm Được Kiểm Chứng Bảo Mật. Tiêu chuẩn này có thể được áp dụng trên toàn thế giới thông qua các thỏa thuận giữa các hiệp hội an toàn thông tin và bảo vệ người tiêu dùng của các quốc gia. Hiện tại, chứng nhận này đã có mặt ở Hoa Kỳ và Singapore.

Tobin Richardson, Chủ tịch Liên minh & Giám đốc điều hành của CSA cho biết "Việc công bố Tiêu chuẩn bảo mật thiết bị IoT 1.0, cùng với chương trình chứng nhận và Chứng nhận Sản phẩm Được Kiểm Chứng Bảo Mật, đánh dấu một cột mốc quan trọng trong việc tăng cường bảo mật IoT và xây dựng lòng tin với người tiêu dùng. Bằng cách hợp nhất các quy định quốc tế khác nhau thành một tiêu chuẩn kỹ thuật duy nhất, Chương trình Chứng nhận Sản phẩm Bảo mật giúp đơn giản hóa quy trình, giảm thiểu sự trùng lặp và giúp các nhà sản xuất dễ dàng chứng minh được độ an toàn về bảo mật của thiết bị trên toàn cầu."

Theo CSA, một thiết bị IoT phải đáp ứng các yêu cầu cụ thể để nhận được Chứng nhận Sản phẩm Được Kiểm Chứng Bảo Mật, bao gồm:

  • Ký hiệu nhận dạng duy nhất cho từng thiết bị IoT
  • Không có mật khẩu mặc định được mã hóa cứng
  • Lưu trữ an toàn dữ liệu riêng tư trên thiết bị
  • Truyền thông tin một cách bảo mật cao
  • Cập nhật phần mềm sao cho bảo mật
  • Quy trình phát triển đảm bảo an toàn thông tin, bao gồm cả quản lý lỗ hổng bảo mật
  • Tài liệu minh bạch về vấn đề bảo mật, bao gồm cả thời gian hỗ trợ khách hàng

Nhóm Bảo mật Sản phẩm đã ban hành quy trình cấp chứng nhận, bao gồm nhiều điều kiện cụ thể. Những điều kiện này được tổng hợp từ các tiêu chuẩn bảo mật phổ biến nhất ở Hoa Kỳ, Singapore và Châu Âu.

Các bước để thiết bị đạt Tiêu chuẩn bảo mật thiết bị IoT 1.0 bao gồm gửi thiết bị đến phòng thí nghiệm được ủy quyền cùng với tài liệu cần thiết và bằng chứng tuân thủ các quy định bảo mật được nêu trong các yêu cầu.

Thiết bị sẽ trải qua quá trình rà soát và kiểm tra kỹ thuật để đảm bảo lưu trữ dữ liệu, giao thức truyền thông tin và cơ chế cập nhật phần mềm an toàn. Nếu phát sinh vấn đề trong quá trình này, nhà sản xuất phải khắc phục và gửi lại đơn đăng ký. Sau khi thiết bị vượt qua tất cả các bài kiểm tra, phòng thí nghiệm sẽ cấp chứng nhận để xác nhận thiết bị đạt chuẩn bảo mật.

Quy trình chứng nhận hiện đã được ban hành cho các nhà sản xuất thiết bị IoT tham khảo. Chúng ta sẽ sớm thấy các thiết bị IoT được gắn Chứng nhận Sản phẩm Được Kiểm Chứng Bảo Mật vào cuối năm 2024, đầu năm 2025.

Trong những năm gần đây, việc biết được thiết bị thông minh nào đảm bảo an toàn về bảo mật đã trở nên dễ dàng hơn. Thế nhưng, các cuộc tấn công mạng vẫn thường xảy ra trên các thiết bị IoT. Trong khi Ủy ban Thương mại Liên bang (FTC) đã phát triển các quy trình để bảo vệ người Mỹ khỏi các thiết bị dễ bị tấn công, thì các quy định quốc tế lại không đồng bộ với quy trình này. Điều này dẫn đến việc các thiết bị nhập khẩu được bán trên các sàn thương mại điện tử trực tuyến (như Amazon và Temu) có thể không đáp ứng các tiêu chuẩn của FTC. Không ai phát hiện ra việc không đạt tiêu chuẩn này cho đến khi có vụ việc về quyền riêng tư bị xâm phạm.

"Khi người dùng quen với sự tiện lợi và giá trị mà các thiết bị IoT mang lại, Liên minh luôn nỗ lực tạo ra sự bảo vệ toàn diện hơn cho người dùng. Hy vọng sáng kiến này sẽ thiết lập một tiêu chuẩn bảo mật vững chắc cho tất cả các thiết bị IoT của người dùng", ông Steve Hanna, đại diện của Infineon Technologies AG và Chủ tịch Ủy ban Chỉ đạo Nhóm Công tác An ninh Sản phẩm cho biết. "Chứng nhận Sản phẩm Được Kiểm Chứng Bảo Mật của Liên minh và Tiêu chuẩn bảo mật thiết bị IoT 1.0 sẽ giúp các nhà sản xuất dễ dàng đáp ứng các yêu cầu bảo mật IoT của người dùng trên toàn thế giới."

Nhiều tổ chức ủng hộ việc đưa ra các tiêu chuẩn bảo mật an ninh hơn cho các thiết bị IoT trong thời gian qua. Tuy nhiên, việc này gặp khó khăn khi không thống nhất được các tiêu chuẩn bảo mật vì các chính phủ và tổ chức lại có nhiều tiêu chuẩn khác nhau để đạt được cùng một mục tiêu. Điều này dẫn đến việc các nhà sản xuất chỉ tuân thủ các yêu cầu bảo mật tối thiểu cần thiết cho từng thị trường.

CSA hy vọng Tiêu chuẩn về Bảo mật Thiết bị IoT 1.0, và đặc biệt là khi tiêu chuẩn này được sửa đổi và cải tiến trong tương lai sẽ trở thành một tiêu chuẩn toàn cầu hóa giúp cải thiện bảo mật an toàn thông tin cho các thiết bị điện tử tiêu dùng trên thương trường quốc tế.

Theo ZDNET.

Chia sẻ bài viết này