Đích ngắm mới của hacker
Cuối năm 2019, trên một số web đen xuất hiện clip nhạy cảm của một ca sỹ nổi tiếng. “Đồng phạm” được xác định là chiếc camera lắp trong nhà của ca sỹ này. Chiếc camera là một trong 350.000 thiết bị IoT đang hoạt động tại Việt Nam và thuộc nhóm 70% thiết bị trong số đó có khả năng bị tấn công mạng, bao gồm cả việc đánh cắp thông tin, hình ảnh cá nhân.
Sự cố trên là lời cảnh báo trực tiếp đến các cá nhân, tổ chức, doanh nghiệp.
Ông Ngô Tuấn Anh, Phó chủ tịch Bkav phụ trách an ninh mạng nhận định, các thiết bị IoT sẽ là điểm nóng về an ninh mạng khi ngày càng trở nên phổ biến và kết nối rộng.
Cụ thể hơn, thống kê của Cục An toàn thông tin (Bộ Thông tin và Truyền thông) cho thấy, khoảng 63% dòng mã độc tấn công nhằm vào camera giám sát, 20% mã độc tấn công nhằm vào router, modem, còn lại là các thiết bị khác như máy in, thiết bị cá nhân...
Theo ông Nguyễn Khắc Lịch, Phó cục trưởng Cục An toàn thông tin, IoT mang lại nhiều cơ hội phát triển, nhưng cũng tạo ra những thách thức lớn, nhất là về an toàn thông tin và bảo mật dữ liệu.
Năm 2019, thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam là 20.892 tỷ đồng (tương đương 902 triệu USD), vượt xa con số 14.900 tỷ đồng của năm 2018.
Tổng số lượt máy tính bị nhiễm mã độc được ghi nhận trong năm 2019 lên tới 85,2 triệu lượt, tăng 3,5% so với năm 2018.
Tổng số máy tính bị mất dữ liệu trong năm 2019 lên tới 1,8 triệu lượt, tăng 12% so với năm 2018.
Nguồn: Bkav
Nguyên nhân gây ra các lỗ hổng bảo mật ở các thiết bị này gồm cả yếu tố chủ quan và khách quan. Phía nhà cung cấp các thiết bị IoT nói chung và camera giám sát nói riêng thường chỉ tập trung về mặt tính năng, chứ không chú trọng đến các biện pháp bảo đảm an toàn thông tin cho thiết bị, thậm chí còn bỏ qua các yêu cầu về bảo mật, mã hóa dữ liệu.
Về phía người sử dụng các thiết bị IoT, đa phần ít quan tâm đến vấn đề an toàn, an ninh thông tin của thiết bị và thường sử dụng các mật khẩu mặc định. Những thói quen này khiến các thiết bị IoT có nguy cơ bị tấn công, truy cập trái phép, chiếm quyền điều khiển, nghe trộm, xem trộm...
Đặc biệt, nhu cầu sử dụng thiết bị IoT ngày càng tăng kéo theo sự tăng trưởng về số lượng, chủng loại. Cùng với đó, sự phát triển công nghệ mới như trí tuệ nhân tạo (AI) ngày càng mạnh mẽ sẽ là nguy cơ lớn đối với các tổ chức, doanh nghiệp, cá nhân trong năm 2020 và những năm tiếp theo.
Ông Mikko Hypponen, Giám đốc chiến lược Công ty F-Secure phân tích, nguy cơ mất an toàn thông tin sẽ ngày càng cao hơn, nếu tội phạm mạng lợi dụng AI và Internet để tạo các cuộc tấn công qua thiết bị IoT. Khi đó, mọi xu hướng, cách thức tấn công đều không thể phỏng đoán, lường trước được, cũng như không có hướng để khắc phục hậu quả.
Phòng hơn chống
Cục An toàn thông tin khuyến nghị, các cơ quan, tổ chức, doanh nghiệp, cá nhân cần trang bị đầy đủ các giải pháp bảo mật bảo đảm an toàn cho hệ thống thông tin của mình, có thể thuê dịch vụ từ các công ty cung cấp những giải pháp bảo đảm an toàn thông tin chuyên nghiệp. Cùng với đó, cần chú trọng nâng cao nhận thức và kỹ năng bảo đảm an toàn thông tin cho các cán bộ, nhân viên trong đơn vị, có đầu mối để liên hệ với các cơ quan chức năng về an toàn, an ninh mạng trong trường hợp cần hướng dẫn, hỗ trợ xử lý các vấn đề liên quan.
“Đối với người sử dụng, nên cân nhắc mua sắm thiết bị IoT từ các nguồn tin cậy, rõ nguồn gốc, xuất xứ và khả năng đáp ứng an toàn thông tin; không sử dụng các cấu hình mặc định của thiết bị IoT như mật khẩu mặc định, cổng kết nối mặc định… Người dùng cũng cần hạn chế cung cấp, chia sẻ các thông tin cá nhân hay lưu trữ dữ liệu, đặc biệt là dữ liệu quan trọng, nhạy cảm khi sử dụng các dịch vụ mạng xã hội, lưu trữ trực tuyến, tự tìm hiểu và trang bị các kỹ năng cơ bản để tự bảo đảm an toàn thông tin cho chính mình”, ông Lịch nói.
Để tránh trở thành nạn nhân của các vụ tấn công qua thiết bị IoT, theo các chuyên gia Bkav, người sử dụng cần kiểm tra, thay đổi mật khẩu quản trị các thiết bị IoT, đồng thời tắt tính năng cho phép truy cập thiết bị từ mạng Internet bên ngoài khi không sử dụng. Về phía nhà cung cấp dịch vụ, thiết bị, cũng cần thông báo việc phải thay đổi mật khẩu mặc định cho khách hàng sau khi lắp đặt và đưa thiết bị vào sử dụng.