Liên minh Châu Âu công bố hướng dẫn trong việc bảo mật chuỗi cung ứng IoT

16:21 | 11/12/2020

Báo cáo nghiên cứu của Cơ quan An ninh mạng Liên minh Châu Âu (The European Union for Agency Cybersecurity – ENISA) đã định nghĩa các hướng dẫn để bảo mật chuỗi cung ứng IoT, từ đó công bố hướng dẫn bảo mật cho toàn bộ vòng đời của thiết bị IoT.

Báo cáo nghiên cứu này được phát triển nhằm giúp các nhà sản xuất, nhà phát triển, nhà tích hợp IoT và tất cả các bên liên quan tham gia vào chuỗi cung ứng của IoT có thể đưa ra các quyết định bảo mật tốt hơn khi xây dựng và triển khai hoặc đánh giá các công nghệ IoT. Trước khi được công bố, báo cáo nhận được sự đóng góp của chuyên gia đến từ Kaspersky, Palo Alto, IBM, NATO, OWASP, Siemens…

Các chuỗi cung ứng hiện đang phải đối mặt với một loạt các mối đe dọa, từ các mối đe dọa vật lý đến các mối đe dọa an ninh mạng. Các tổ chức đang ngày càng trở nên phụ thuộc vào các bên thứ ba, do khó có thể kiểm soát được các biện pháp bảo mật của các đối tác; các thiết bị IoT trong chuỗi cung ứng cũng trở thành điểm yếu trong liên kết của an ninh mạng; hạn chế về hiểu biết, cách tích hợp và triển khai các công nghệ đã mua….

Trong quá trình xây dựng nội dung cho Hướng dẫn bảo mật IoT – Đảm bảo an toàn chuỗi cung ứng IoT, ENISA đã thực hiện một cuộc khảo sát, nhằm xác định thành phần các nhà cung cấp bên thứ ba không đáng tin cậy, việc quản lý lỗ hổng của các thành phần bên thứ ba là những mối đe dọa chính tới chuỗi cung ứng IoT. Ấn phẩm phân tích các giai đoạn khác nhau của quá trình phát triển, khám phá các cân nhắc bảo mật quan trọng, xác định các phương pháp thực hành cần tính đến ở mỗi giai đoạn và cung cấp cho độc giả các nguồn bổ sung từ các sáng kiến, tiêu chuẩn và hướng dẫn khác.

Như trong hầu hết các trường hợp, các sản phẩm đã chuẩn bị trước được sử dụng để xây dựng giải pháp IoT, việc đưa ra khái niệm bảo mật theo thiết kế và bảo mật theo mặc định là nền tảng cơ bản để bảo vệ các công nghệ mới nổi này. Cơ quan này cũng làm việc với các chuyên gia IoT để tạo ra các hướng dẫn bảo mật cụ thể cho toàn bộ dòng đời của các thiết bị IoT. Những hướng dẫn này nhằm giải quyết sự phức tạp của IoT, tập trung vào việc tập hợp các tác nhân chính trong chuỗi cung ứng để áp dụng cách tiếp cận toàn diện về bảo mật, tận dụng các tiêu chuẩn hiện có và thực hiện bảo mật theo nguyên tắc thiết kế.

Kể từ năm 2016, ENISA đã làm việc trên các phương pháp tốt để bảo mật IoT bằng cách xuất bản các nghiên cứu tương ứng với các bối cảnh của các mối đe dọa và cung cấp các biện pháp bảo mật theo đúng đối tượng. Các ấn phẩm quan trọng của Cơ quan này bao gồm các thực hành tốt để bảo mật IoT – Vòng đời phát triển phần mềm an toàn, Công nghiệp 4.0 trong bối cảnh sản xuất thông minh, ô tô thông minh, Bệnh viện thông minh.