Một phản ánh về cách tiếp cận này để giải quyết các thách thức bảo mật IoT có thể cung cấp hàng hóa và cách nhận thức của người tiêu dùng có thể giúp đỡ trong kế hoạch lớn của mọi thứ

Theo một bài báo của BBC Bộ trưởng Kỹ thuật số Vương quốc Anh Margot James đang đề xuất luật giới thiệu một hệ thống ghi nhãn mới để cho khách hàng thấy mức độ an toàn của sản phẩm IoT.

Để có được nhãn cần thiết, các thiết bị IoT sẽ cần phải:

  • theo mặc định có mật khẩu duy nhất,
  • nêu rõ thời gian cập nhật bảo mật sẽ được cung cấp trong bao lâu,
  • cung cấp một điểm liên lạc công khai để tiết lộ lỗ hổng.

Sáng kiến ​​này, một phần trong nỗ lực của Vương quốc Anh để trở thành một nhà lãnh đạo toàn cầu về an toàn trực tuyến, tuân theo Luật pháp California California có hiệu lực vào năm 2020 và cấm mật khẩu yếu trên các thiết bị kết nối internet. Cả luật pháp đề xuất của Vương quốc Anh và California thực tế đều là những bước đi đúng hướng, hoặc ít nhất sẽ khiến các nhà cung cấp xem xét bảo mật ở giai đoạn thiết kế phát triển sản phẩm IoT. Nhưng pháp luật là câu trả lời ?

Bây giờ chúng ta tạm dừng để xem xét ý nghĩa thực sự của các thiết bị IoT ở đây. Luật pháp California cung cấp định nghĩa sau: một thiết bị được kết nối có nghĩa là bất kỳ thiết bị hoặc vật thể nào khác có khả năng kết nối Internet, trực tiếp hoặc gián tiếp và được gán địa chỉ Giao thức Internet hoặc địa chỉ Bluetooth. Điều này bao gồm nhiều loại thiết bị, xe hơi, bóng đèn, máy tính xách tay, máy điều nhiệt cho đến điện thoại di động, danh sách này là vô tận.

Trên bàn của tôi, tôi có một loa Bluetooth. Nó không có mật khẩu, nó không thu thập dữ liệu, cũng không truyền bất kỳ, hoặc ít nhất là theo hiểu biết của tôi. Thiết bị này có được bảo vệ bởi luật pháp California không? Nó sẽ cần một mật khẩu duy nhất chứ?

Cùng quan điểm, một người tiêu dùng có nên mua một chiếc xe Tesla ở Anh sẽ thấy một nhãn hiệu trên xe nói rằng nó đáp ứng luật pháp bảo mật cơ bản cho IoT không? Hay mọi thiết bị trong Tesla có thể giao tiếp độc lập cần phải có nhãn?

Nhu cầu bảo mật là không có vấn đề, và một số, có thể nhiều nhà sản xuất thiết bị IoT đã không thực hiện các biện pháp hợp lý để bảo mật thiết bị của họ. Và chính điều này đã thất bại khiến các chính trị gia phải hành động. Ở Anh, điều này bắt đầu với quy tắc thực hành tự nguyện và đó là một tập hợp con của điều này hiện đang tiến tới luật pháp.

Nhưng như một quy luật chung, luật pháp kìm hãm sự đổi mới. Ngành công nghệ đã tránh xa mật khẩu. Bret Arsenault, Giám đốc an ninh thông tin của Microsoft, đã tuyên bố rằng 90% nhân viên của Microsoft có thể đăng nhập vào mạng công ty mà không cần mật khẩu vì công ty dự tính một thế giới ‘ không có mật khẩu Các nhân viên của công ty đang sử dụng các tùy chọn khác, bao gồm Windows Hello và ứng dụng Authenticator, cung cấp các lựa chọn thay thế như nhận dạng khuôn mặt, dấu vân tay và xác thực hai yếu tố .

Pháp luật không có hiệu lực cho đến năm sau hoặc vẫn đang được đề xuất có khả năng sẽ hết hạn vào thời điểm nó có hiệu lực đầy đủ. Nó sẽ buộc các nhà sản xuất thiết bị sử dụng công nghệ mà một ngành công nghiệp đang cố gắng tránh xa để tìm kiếm các tùy chọn an toàn hơn.

Trong một phân tích gần đây về dữ liệu bị vi phạm, Trung tâm an ninh mạng quốc gia (NCSC) của Anh đã phát hiện rằng 23,2 triệu tài khoản người dùng trên toàn thế giới được bảo mật với '123456' và 7,7 triệu được sử dụng ' 123456789 'làm mật khẩu. Dữ liệu cho thấy sự thiếu tham gia của người tiêu dùng để bảo mật tài khoản trực tuyến của họ, một sự tự mãn tạo ra cơ hội cho tội phạm mạng.

Gần đây tôi đã trình bày tại các sự kiện an ninh mạng cả ở Hoa Kỳ và Argentina về sự cần thiết phải xem xét bảo mật khi kết nối bất kỳ thiết bị nào với mạng, đặc biệt là trong các tòa nhà thông minh. Một câu hỏi cho khán giả – Lần cuối bạn cập nhật hệ thống thông tin giải trí trong xe của bạn là gì? Khán giả nhìn bối rối. Họ là những chuyên gia an ninh mạng và họ kết nối điện thoại của họ, một thiết bị rất cá nhân, bằng Bluetooth với một hệ thống mà họ không bao giờ cập nhật. Thật thú vị, một người tham dự đã kết nối với tôi vào ngày hôm sau và nói rằng cả anh ta và đại lý đều không thể cập nhật hệ thống của mình mặc dù nó đã lỗi thời.

Nhanh chóng chuyển tiếp một vài năm và bạn có được ngôi nhà thiết bị IoT mới sáng bóng, với nhãn của nó cho thấy có một mật khẩu duy nhất và sẽ có bản cập nhật trong năm năm. Trong lần sử dụng đầu tiên và để đơn giản, bạn đặt mật khẩu giống với tất cả các mật khẩu khác trên thiết bị trong nhà, bạn cắm thiết bị vào và tận hưởng sự tiện lợi của bất kỳ chức năng nào đi kèm. Khi nhà sản xuất gửi cho bạn một thông báo email rằng có bản cập nhật chương trình cơ sở, giả sử bạn đã đăng ký thiết bị, bạn sẽ xóa nó khi thiết bị đang hoạt động và tại sao lại cập nhật một cái gì đó hoạt động.

Trong khi luật pháp thúc đẩy ngành công nghiệp làm cho các thiết bị trở nên an toàn hơn, thì có khả năng chính sự giáo dục và sự tham gia của người tiêu dùng sẽ khiến chúng an toàn hơn trong nhà của họ . Tôi tự hỏi nếu bạn có thể lập pháp cho điều này?





nguon http://feedproxy.google.com/~r/eset/blog/~3/Cu002yqFXcU/

Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây