43% DN không bảo vệ nền tảng IoT đầy đủ
Trên thực tế, Gartner cũng nhấn mạnh rằng, trong 3 năm qua, gần 20% các tổ chức đã quan sát thấy các cuộc tấn công mạng trên các thiết bị IoT trong mạng của họ.
Trong khi 2/3 tổ chức (64%) trên toàn cầu sử dụng các giải pháp IoT, 43% không bảo vệ chúng một cách đầy đủ. Điều này có nghĩa là đối với một số dự án IoT - có thể là bất kỳ thứ gì từ trạm sạc EV đến thiết bị y tế được kết nối thì các DN không sử dụng bất kỳ công cụ bảo vệ nào.
Theo Kaspersky, lý do đằng sau điều này có thể là do sự đa dạng của các thiết bị và hệ thống IoT không phải lúc nào cũng tương thích với các giải pháp bảo mật. Gần một nửa DN lo sợ rằng các sản phẩm an ninh mạng có thể ảnh hưởng đến hiệu suất của IoT (46%) hoặc quá khó để tìm ra giải pháp phù hợp (40%).
Các vấn đề phổ biến khác mà các DN gặp phải khi triển khai các công cụ an ninh mạng là chi phí cao (40%), không thể giải trình dự án đầu tư với hội đồng quản trị (36%) và thiếu nhân viên hoặc chuyên gia bảo mật IoT (35%).
Ngoài ra, hơn một nửa số tổ chức (57%) cho rằng rủi ro an ninh mạng là rào cản chính để triển khai IoT. Điều này có thể xảy ra khi các công ty cố gắng giải quyết các rủi ro mạng ở giai đoạn thiết kế và sau đó phải cân nhắc cẩn thận tất cả các ưu và nhược điểm trước khi thực hiện.
Theo Stephen Mellor, Giám đốc công nghệ tại Industry IoT Consortium, an ninh mạng hẳn là vấn đề trung tâm của IoT. Quản lý rủi ro là mối quan tâm lớn vì cuộc sống và môi trường đang bị đe dọa. Một lỗi CNTT có thể gây lúng túng và tốn kém; một lỗi IoT có thể gây ra tai hại. Nhưng an ninh mạng chỉ là một phần của việc làm cho hệ thống trở nên đáng tin cậy.
"Chúng tôi cũng cần bảo mật vật lý, quyền riêng tư, khả năng phục hồi, độ tin cậy và an toàn. Và những điều này cần phải được dung hòa: thứ có thể bảo vệ một tòa nhà an toàn (ví dụ như cửa khóa), cũng có thể trở nên nguy hiểm khi bạn không thể thoát ra ngoài nhanh chóng", Stephen Mellor nhận định.
Các dự án IoT rất không liền mạch, liên kết lỏng lẻo, theo miền cụ thể và có tính chất tích hợp nặng. Trong khi đó, các dự án CNTT như tin nhắn/truyền thông, phân tích, CRM,… có khoảng 80% các yêu cầu chung. Tuy nhiên, trong trường hợp triển khai IoT, chúng ta phải đối phó với tất cả các loại hệ thống kế thừa, ràng buộc vật lý, giao thức miền, giải pháp của nhiều nhà cung cấp,… và duy trì sự cân bằng hợp lý về tính khả dụng, khả năng mở rộng và bảo mật.
Để đạt được tính khả dụng và khả năng mở rộng cao hơn, ông Eric Kao, Giám đốc nhóm WISE-Edge+ của Advantech, nhà cung cấp toàn cầu các giải pháp IoT công nghiệp nhấn mạnh, cơ sở hạ tầng đám mây nhất định phải được tận dụng, hệ thống phải mở ở một mức độ nào đó, khi đó bảo mật sẽ trở thành một thách thức lớn.
Trong khi đó, theo ông Andrey Suvorov, Giám đốc điều hành tại Adaptive Production Technology (Aprotech, công ty con IIoT của Kaspersky, bất chấp tất cả những thách thức này, IoT mang đến những cơ hội tuyệt vời không chỉ cho các DN mà còn cho tất cả chúng ta, tạo điều kiện cho cuộc sống, giao thông vận tải, giao hàng và liên lạc nhanh hơn. IoT được sử dụng rộng rãi trong các thành phố thông minh (62%), ngành bán lẻ (62%) và công nghiệp (60%). Chúng bao gồm các dự án như quản lý năng lượng và nước, hệ thống chiếu sáng thông minh, hệ thống báo động, giám sát video và nhiều dự án khác.
"Các chuyên gia trên khắp thế giới đang thực hiện nhiệm vụ bảo vệ hiệu quả cho các dự án như vậy nhưng cần nỗ lực ở mọi cấp độ - từ các nhà sản xuất thiết bị và nhà phát triển phần mềm đến các nhà cung cấp dịch vụ cũng như các công ty triển khai và sử dụng các giải pháp này", ông Andrey Suvorov cho biết.
Một số khuyến nghị đảm bảo một hệ thống IoT an toàn
Để giúp các tổ chức lấp đầy những lỗ hổng trong bảo mật IoT của họ, Kaspersky cho biết cần đánh giá trạng thái bảo mật của thiết bị trước khi triển khai. Nên ưu tiên các thiết bị có chứng chỉ an ninh mạng và sản phẩm của các nhà sản xuất chú trọng đến bảo mật thông tin. Sử dụng chính sách truy cập nghiêm ngặt, phân đoạn mạng và mô hình Zero Trust. Điều này sẽ giúp giảm thiểu sự lây lan của một cuộc tấn công và bảo vệ các phần nhạy cảm nhất của cơ sở hạ tầng.
Bên cạnh đó, các tổ chức nên áp dụng chương trình quản lý lỗ hổng để thường xuyên nhận được dữ liệu liên quan nhất về lỗ hổng trong bộ điều khiển logic khả trình (PLC), thiết bị và firmware, đồng thời vá chúng hoặc sử dụng bất kỳ giải pháp bảo vệ nào.Kiểm tra "Mô hình trưởng thành về bảo mật IoT (IoT Security Maturity Model)" - một cách tiếp cận giúp các công ty đánh giá tất cả các bước và cấp độ họ cần vượt qua để đạt được mức độ bảo vệ IoT đầy đủ.
Ngoài ra, việc sử dụng một cổng IoT chuyên dụng đảm bảo tính bảo mật và độ tin cậy sẵn có của việc truyền dữ liệu từ điện toán biên sang các ứng dụng kinh doanh như là Kaspersky IoT Secure Gateway 100 cũng là một điều cần thiết. Đó là Cyber Immune, có nghĩa là hầu như không có cuộc tấn công nào có thể ảnh hưởng đến các chức năng của cổng./.
