IoT trước làn sóng dán nhãn bảo mật

Những thiết bị IoT hiện diện trong mọi mặt của đời sống. Tuy nhiên, sự phát triển của chúng không song hành với sự đầu tư tương xứng cho tính an toàn, khiến quyền riêng tư đối mặt với rủi ro chưa từng có từ chính cơ chế thu thập dữ liệu mặc định của nhà sản xuất.

Mọi thói quen sinh hoạt hay dữ liệu sinh trắc học đều có thể bị hệ thống tự động ghi lại và xử lý nằm ngoài tầm kiểm soát thực sự của người dùng. Chúng ta thường rơi vào thế bị động phải chấp nhận các điều khoản phức tạp để thiết bị vận hành, dẫn đến việc vô tình đánh mất quyền tự quyết đối với thông tin cá nhân ngay từ đầu.

Bảo mật: chuẩn mực bắt buộc của thiết bị IoT

Yêu cầu về bảo vệ dữ liệu không còn dừng lại ở những cam kết tự nguyện của nhà sản xuất, mà đã buộc các quốc gia trên thế giới phải thiết lập những tiêu chuẩn kỹ thuật khắt khe, điển hình là việc áp dụng các giải pháp dán nhãn hay tem bảo mật bắt buộc. Cơ chế này giúp người dùng nhận biết mức độ an toàn của thiết bị, đồng thời buộc doanh nghiệp phải minh bạch về khả năng bảo mật trước khi đưa sản phẩm ra thị trường.

Nhiều người tiêu dùng tại các thị trường phát triển coi quyền riêng tư ngang bằng với độ bền hay công năng của sản phẩm. Do đó, sự e dè đối với các thiết bị thiếu minh bạch về cơ chế mã hóa hoặc không sở hữu (dán) nhãn chứng nhận bảo mật đang tạo ra một sự phân hóa thị trường sâu sắc.

Một sản phẩm dù có giá thành cạnh tranh nhưng nếu không chứng minh được sự tuân thủ thông qua các nhãn dán sẽ bị xếp vào nhóm rủi ro cao. Điều này buộc các doanh nghiệp phải thay đổi tư duy từ phát triển rồi mới bảo mật sang bảo mật ngay từ khâu thiết kế (Security by Design), xem việc đạt được các chứng nhận bảo mật là điều kiện tiên quyết để không tự đóng lại cánh cửa dẫn vào các chuỗi cung ứng toàn cầu.

Các mô hình dán nhãn IoT trên thế giới

Phần Lan có “nhãn an ninh mạng” (“CyberSecurity Label”) được quản lý bởi Cơ quan Giao thông và Truyền thông, là một bảo chứng kỹ thuật uy tín dành cho các thiết bị IoT tiêu dùng. Nhãn này không chỉ xác nhận sự an toàn của thiết bị vật lý mà còn bao quát toàn bộ hệ sinh thái dịch vụ đi kèm.

Để đạt được chứng nhận, sản phẩm phải vượt qua quy trình kiểm định nghiêm ngặt bởi bên thứ ba độc lập, chứng minh sự tuân thủ tuyệt đối các nguyên tắc “bảo mật mặc định”, bao gồm: cơ chế kiểm soát truy cập và mật khẩu chặt chẽ, cam kết cập nhật phần mềm suốt vòng đời, cùng các giao thức mã hóa tiên tiến để bảo vệ tính toàn vẹn và quyền riêng tư của dữ liệu người dùng trong mọi khâu truyền tải và lưu trữ.

Tại Mỹ, chương trình Dấu Cyber Trust Mark đã được Ủy ban Truyền thông liên bang (FCC) phát triển như một biện pháp bảo vệ người tiêu dùng trước các rủi ro kỹ thuật số. Đây là một chương trình tự nguyện nhưng đòi hỏi sự tuân thủ nghiêm ngặt các tiêu chí an ninh mạng do Viện Tiêu chuẩn và Công nghệ quốc gia phát triển.

Điểm đặc biệt của con dấu này là sự kết hợp giữa logo hình chiếc khiên trên bao bì và một mã QR đi kèm. Khi quét mã, người dùng sẽ truy cập được vào cơ sở dữ liệu trực tuyến cập nhật liên tục các thông tin chi tiết về bảo mật của sản phẩm, chẳng hạn như thời gian hỗ trợ phần mềm hay các bản vá lỗi tự động. Để đạt chuẩn, thiết bị phải vượt qua các bài kiểm tra từ phòng thí nghiệm, đảm bảo không chứa các thành phần bị cấm và đáp ứng các tiêu chuẩn khắt khe về định danh thiết bị cũng như bảo vệ dữ liệu.

Ngoài ra, sáng kiến của Đại học Carnegie Mellon (Mỹ) mở ra cách tiếp cận khác nhằm nhấn mạnh đến sự minh bạch, đó là “nhãn bảo mật và quyền riêng tư cho IoT” (CISPL). Đây được ví như một “nhãn dinh dưỡng”, cung cấp một cấu trúc thông tin hai lớp thông minh, thay vì chỉ xác nhận “an toàn” hay “không an toàn”.

Lớp thứ nhất, hiển thị ngay trên bao bì các thông tin cốt lõi để người dùng ra quyết định nhanh, như xếp hạng bảo mật, loại dữ liệu bị thu thập và loại cảm biến được sử dụng.

Lớp thứ hai, truy cập qua mã QR sẽ mở ra một hồ sơ chi tiết về cách thức dữ liệu được lưu trữ, chia sẻ với bên thứ ba và quyền kiểm soát của người dùng đối với thông tin cá nhân của mình. Mô hình này không chỉ tập trung vào bảo mật kỹ thuật mà còn đặt trọng tâm lớn vào quyền riêng tư, giúp người tiêu dùng hiểu rõ cái giá phải trả về dữ liệu khi sử dụng sự tiện nghi của công nghệ.

Tại Singapore, Cơ quan An ninh mạng đã chính thức triển khai Chương trình Dán nhãn an ninh mạng (Cyber Security Labelling Scheme for IoT - CLS (IoT)). Chương trình không đánh giá mức độ “đạt” hoặc “không đạt” mà thay vào đó là phân cấp bốn mức độ rủi ro linh hoạt.

Ở mức 1 và 2, cơ chế pháp lý cho phép nhà sản xuất nộp bản tự công bố tuân thủ (Declaration of Compliance) dựa trên các nguyên tắc cơ bản như mật khẩu duy nhất và thiết kế an toàn để giảm thiểu gánh nặng thủ tục. Tuy nhiên, để đạt được mức 3 và 4, các sản phẩm bắt buộc phải vượt qua các quy trình đánh giá nhị phân phần mềm và kiểm thử xâm nhập được thực hiện bởi các phòng thí nghiệm độc lập được cấp phép.

Singapore đã chủ động ký kết Thỏa thuận công nhận lẫn nhau (Mutual Recognition Arrangement) với Phần Lan và Đức, Hàn Quốc. Nghĩa là, một sản phẩm khi đã đạt chuẩn tại Singapore sẽ đương nhiên được công nhận giá trị pháp lý tại ba quốc gia đối tác và ngược lại, qua đó giúp xóa bỏ các rào cản kỹ thuật thương mại và mở rộng con đường xuất khẩu cho doanh nghiệp nội địa.

Đối với Việt Nam, có thể rút ra một số bài học như sau:

Thứ nhất, Việt Nam đã triển khai thành công “nhãn năng lượng” theo tiêu chuẩn tiết kiệm điện. Phải chăng đã đến lúc chúng ta cần một giải pháp tương tự như là “nhãn bảo mật” để nhận biết thiết bị nào là an toàn?

Thứ hai, khi đã triển khai chương trình “nhãn bảo mật”, có thể cân nhắc đến việc áp dụng quy trình kiểm định của Mỹ và Phần Lan để đảm bảo chất lượng của thiết bị. Đối với vấn đề chi phí, Việt Nam có thể thiết lập một cơ chế linh hoạt, cho phép các doanh nghiệp nhỏ và vừa tham gia ở mức độ tự công bố nhằm giảm thiểu gánh nặng tài chính và thủ tục hành chính.

Cuối cùng, chúng ta có thể xem xét thỏa thuận công nhận lẫn nhau, giải pháp này giúp các doanh nghiệp gia tăng lợi thế cạnh tranh cũng như thâm nhập thị trường đối tác khi xuất khẩu.

(*) Khoa Luật, Đại học Kinh tế TPHCM (UEH)

Nguyễn Trung Tín - Mai Nguyễn Dũng (*)