Nguy cơ vi phạm dữ liệu trong Internet of Things đang tăng nhanh và chi phí tăng nhanh hơn. Trong podcast Xu hướng Công nghệ mới nhất, người dẫn chương trình Jeremy Cowan hỏi giám đốc tiếp thị của Thales về Nhận dạng và Bảo mật Kỹ thuật số, Stephane Quetglas về phản ứng của ngành. Spoiler: Nó đang chiến đấu hết mình! Ngoài ra, Robin Duke-Woolley, Giám đốc điều hành và người sáng lập Beecham Research cảnh báo về chi phí sản xuất công nghiệp bị mất, sửa chữa, kiện tụng và thiệt hại về uy tín. Hãy ngồi lại, lắng nghe và tìm hiểu về Các phương pháp hay nhất về IoT, trước khi chúng ta bắt đầu với câu chuyện về chiếc tàu ngầm Wet Nellie của Elon Musk. Bị cáo buộc. 

Nghe tất cả các tập

[00:00:00] Jeremy Cowan: Chào mừng các bạn đến với tập 37 của bộ phim Công nghệ thịnh hành podcast về bảo mật IoT di động và chúng tôi rất nồng nhiệt chào đón hàng nghìn thính giả của chúng tôi trên toàn cầu ở bất cứ nơi nào chúng tôi tìm thấy bạn hôm nay. Tên tôi là Jeremy Cowan. Tôi là đồng sáng lập của các trang web viễn thông và công nghệ IoT-Now.com, VanillaPlus.com và TheEE.Ai trong đó, như tên cho thấy, bao gồm trí tuệ nhân tạo cho Doanh nghiệp đang phát triển.

Cảm ơn bạn đã tham gia cùng chúng tôi để có cái nhìn đôi khi nghiêm túc, đôi khi nhẹ nhàng về chuyển đổi kỹ thuật số cho doanh nghiệp ngày hôm nay. Được rồi, nếu gần đây bạn đã dành thời gian nghiên cứu về internet vạn vật, thì bạn sẽ nghe nói rằng khả năng vi phạm bảo mật IoT đang tăng lên mọi lúc và chi phí cũng vậy.

Tại sao chuyện này đang xảy ra? Chà, như một báo cáo mới được hỗ trợ bởi các chuyên gia bảo mật toàn cầu Thales và được viết bởi Vương quốc Anh Nghiên cứu Beecham cho biết, các giải pháp IoT ngày càng trở nên quan trọng đối với hoạt động kinh doanh. Vì vậy, tất nhiên, có những giải pháp đang trở nên lớn hơn, quan trọng hơn đối với doanh nghiệp, có tầm ảnh hưởng sâu rộng, chúng có thể tương tác với nhau và chúng phức tạp hơn. Và hôm nay chúng ta đang nói về bảo mật IoT di động với một chuyên gia từ Thales và là một trong những tác giả của báo cáo. Thales là nhà cung cấp công nghệ toàn cầu với hơn 77,000 nhân viên trên toàn thế giới. Nó hoạt động để cung cấp những đổi mới kỹ thuật số trong dữ liệu lớn, AI, kết nối, an ninh mạng và công nghệ lượng tử.

Và tôi tự hào nói rằng Thales là nhà tài trợ của chúng tôi ngày hôm nay. Vì vậy, xin cảm ơn họ vì đã tạo điều kiện cho cuộc thảo luận thực sự quan trọng này. Vị khách đầu tiên của chúng tôi là Stephane Quetglas, giám đốc tiếp thị tại Thales Digital Identity and Security. Stephane, chào mừng.

[00:02:12] Stephane Quetglas: Cảm ơn, Jeremy. Thật tuyệt vời khi được ở đây.

[00:02:14] Jeremy Cowan: Tốt để có bạn! Cũng tham gia với chúng tôi ngày hôm nay, thật vui khi được nghe từ Robin Duke-Woolley, Giám đốc điều hành và người sáng lập công ty tư vấn quốc tế Nghiên cứu Beecham. Robin, thật tốt khi có bạn ở đây một lần nữa.

[00:02:28] Robin Duke-Woolley: Thật tuyệt khi được ở đây, Jeremy.

[00:02:30] Jeremy Cowan: Bây giờ lĩnh vực công nghệ là một nơi rộng lớn, vì vậy chúng tôi muốn cùng với khách của mình quan sát bầu trời để xem điều gì khác đang diễn ra.

Các bạn, chúng ta hãy xem nhanh một vài câu chuyện tin tức công nghệ nghiêm túc mà bạn đã tìm thấy, và sau đó chúng ta sẽ nghỉ giải lao trong phần kết thúc nhẹ nhàng của chúng ta, công nghệ là gì để thảo luận về một vài câu chuyện tin tức công nghệ khiến chúng tôi thích thú hoặc ngạc nhiên. Đến với bạn, Robin, gần đây bạn đã xem tin tức công nghệ nghiêm trọng nào?

[00:02:59] Robin Duke-Woolley: Chà, bản thân tôi thực sự khá lo lắng khi đọc về các thiết bị IoT y tế có rủi ro bảo mật lớn nhất. Vì vậy, đây là một báo cáo về ZDNet vào ngày 19 tháng XNUMX. Và báo cáo cho biết các thiết bị y tế được kết nối vẫn hoạt động trên các hệ điều hành không được hỗ trợ và vẫn chưa được vá lỗi, ngay cả khi các cuộc tấn công mạng tiếp tục gia tăng trong lĩnh vực chăm sóc sức khỏe được nhắm mục tiêu cao.

Vì vậy, họ lấy ví dụ về hệ thống gọi y tá, cho phép bệnh nhân liên lạc với y tá nếu họ cần hỗ trợ và họ theo dõi. Vì vậy, sau đó nó báo cáo rằng 48% hệ thống gọi y tá có các Phơi nhiễm Lỗ hổng Thông thường chưa được vá, cái mà họ gọi là CVE. Vì vậy, đó chỉ là hơn một phần ba CVE nghiêm trọng sau đó. Đó là rất nhiều khi bạn bắt đầu nghĩ về việc có bao nhiêu y tá xung quanh. Và sau đó họ nói về máy bơm truyền dịch. Bây giờ đó là một điều thực sự đáng lo ngại vì chúng được sử dụng để cung cấp chất lỏng cho bệnh nhân bằng cơ học hoặc bằng điện. Chúng là thiết bị y tế IoT có rủi ro cao thứ hai, gần một phần ba hoạt động với CVE chưa được vá.

Sau đó là 27% với CVE nghiêm trọng – đó là một con số khổng lồ. Và sau đó, hơn một nửa số camera IP trong môi trường lâm sàng có CVE chưa được vá, trong đó 56% là nghiêm trọng. Vì vậy, bạn bắt đầu tự hỏi, làm thế nào an toàn để tôi đi đến bác sĩ gia đình phẫu thuật những ngày này?

[00:04:26] Jeremy Cowan: Đây là những con số đáng kinh ngạc, Robin. Stephane, bạn nghĩ gì về điều này?

[00:04:30] Stephane Quetglas: Tôi nghĩ điều đó thực sự khó chịu, đáng lo ngại, đáng sợ như Robin đã nói. Có lẽ vì trong không gian chăm sóc sức khỏe mà chúng ta phản ứng theo cách này. Nhưng tình trạng tương tự cũng tồn tại trong các lĩnh vực khác, đó là một vấn đề toàn cầu thực sự mà tôi nghĩ rằng chúng ta đang đề cập đến ngay bây giờ.

Điều đó có nghĩa là cần phải thay đổi khi nói đến thiết bị được kết nối, bất kể đó là gì. Và tôi nghĩ tất nhiên chúng ta sẽ nói về điều đó nhiều hơn trong podcast này. Và đó là một vấn đề thực sự.

[00:05:02] Jeremy Cowan: Stephane, câu chuyện tin tức công nghệ nghiêm túc nào đã thu hút sự chú ý của bạn?

[00:05:07] Stephane Quetglas: Nhân tiện, đó là một cái tương tự, nhưng ở một lĩnh vực khác. Đó là một báo cáo, mà chúng tôi tìm thấy trên trang web, viễn thông.com. Vì vậy, một công ty an ninh mạng đã đưa ra một báo cáo về tình trạng an ninh mạng. Họ đã lấy một mẫu dữ liệu rất lớn. Họ nói rằng họ đã sử dụng trí tuệ nhân tạo để đạt được điều đó.

Họ đang nói về 1.8 tỷ thiết bị được kết nối, 40 triệu mạng gia đình được phân tích, một con số cực kỳ lớn. Có lẽ là phân tích lớn nhất từng được thực hiện. Và kết quả là các mối đe dọa an ninh mạng thực sự đến từ các sản phẩm IoT đang bùng nổ mà bạn có thể có trong nhà.

Điều đó có nghĩa là, ví dụ, một camera IP. Và những camera IP này rất, rất, rất lộ liễu. Ví dụ, bạn cũng có thể tìm thấy các DVR được kết nối hoặc các thiết bị lưu trữ được kết nối đã được chỉ ra. Và khi họ xem xét các vấn đề đằng sau các mối đe dọa an ninh mạng này, họ thấy ba trong số chúng. Vì vậy, đầu tiên là về sự lây lan của phần mềm quảng cáo trong các thiết bị này. Vì vậy, đó là một điều. Một điều khác rất quan trọng theo quan điểm của tôi là, giống như Robin đã nói, về cơ bản, một số lượng rất lớn thiết bị không được hỗ trợ End of Life hoặc đã thực sự lỗi thời. Vì khi bạn mua camera IP thì rất có thể XNUMX, XNUMX năm sau nhà sản xuất mới tung ra model mới. Còn máy bạn mới mua thì lúc mới mua thì không sao, nhưng về sau sẽ không được hỗ trợ nữa. Vì vậy, điều đó có nghĩa là bạn thấy mình có một sản phẩm có mức độ rủi ro ngày càng tăng trong một thời gian dài. Nó đang tăng lên, cho đến khi bạn quyết định thay thế nó bằng một cái mới. Vì vậy, có thể bạn sẽ sử dụng nó trong nhiều năm và nhiều năm nữa. Tôi muốn nói rằng điều đó vượt quá tuổi thọ của sự hỗ trợ do nhà cung cấp cung cấp. Và đó là một vấn đề thực sự. Vì vậy, có thể biết khi nào bạn là người dùng cuối, nên mua gì về các sản phẩm được kết nối, chẳng hạn như các sản phẩm IoT cho ngôi nhà của bạn, là điều quan trọng. Bạn cần biết thời gian hỗ trợ là bao lâu, bạn cần biết liệu việc hỗ trợ có được tiến hành đúng cách hay không. Vì vậy, đó là một thách thức mà tôi nghĩ đối với cả người dùng cuối, người tiêu dùng và cả các công ty IoT.

[00:07:21] Jeremy Cowan: Robin, bạn đã học được gì từ câu chuyện này?

[00:07:24] Robin Duke-Woolley: Vâng, tôi nghĩ đó là một điểm khá quan trọng bởi vì chúng tôi luôn nói về bảo mật trong kinh doanh và nhu cầu về mức độ bảo mật cao trong kinh doanh. Chúng tôi nói ít hơn về bảo mật cho người tiêu dùng. Nhưng mối đe dọa đang gia tăng mọi lúc. Và tôi nghĩ rằng toàn bộ vấn đề về mức độ bảo mật mà bạn sẵn sàng chấp nhận là điều thực sự nên được mọi người thực sự quan tâm trong tương lai.

Bởi vì tất cả đều đang tăng lên. Mối đe dọa đang gia tăng mọi lúc. Và điều đó không chỉ trong kinh doanh, mà còn trong không gian của người tiêu dùng. Chúng tôi luôn cho rằng không gian của người tiêu dùng là không đáng kể, rằng nếu bạn gặp một mối đe dọa, thì điều đó có nghĩa là gì? Nhưng thực ra nó có thể rất tai hại.

Và tôi nghĩ rằng chúng ta sẽ đề cập đến một số điều đó trong những gì chúng ta thảo luận hôm nay.

[00:08:08] Jeremy Cowan: Vâng, điều này đã được trên viễn thông.com và như mọi khi, thính giả của chúng tôi sẽ biết rằng chúng tôi đặt liên kết đến tất cả những câu chuyện này vào bản ghi của mình, vì vậy tất cả các bạn có thể theo dõi điều này ở đó. Cảm ơn. Hãy nhìn xem, chúng ta hãy xem xét kỹ hơn những gì chúng ta đã nói trước đó. Đây là một vấn đề lớn, rất lớn trong bảo mật di động IoT. https://telecoms.com/519488/security-could-be-a-fly-in-the-ointment-for-the-iot-boom/ 

Stephane, tôi nghĩ công bằng mà nói, có một sự đồng thuận rộng rãi trong lĩnh vực IoT rằng nguy cơ người dùng gặp phải vi phạm bảo mật nghiêm trọng trong các giải pháp IoT của họ đang gia tăng. Tại sao nó lại phát triển?

[00:08:44] Stephane Quetglas: Vì vậy, tôi nghĩ rằng để bắt đầu, thật công bằng khi nói rằng IoT đang được triển khai ở quy mô lớn hơn. Hiện tại, chúng tôi thấy các thiết bị được kết nối trong rất nhiều bối cảnh khác nhau, chúng tôi chỉ nói về chăm sóc sức khỏe mà còn cả camera IP trong nhà. Có nhiều trường hợp sử dụng khác thực sự được giải quyết với IoT, với các thiết bị được kết nối.

Vì vậy, đó là lý do đầu tiên. Số lượng lớn các ứng dụng dọc này cũng bao gồm một số ứng dụng quan trọng. Ví dụ, nếu bạn nghĩ về việc quản lý dữ liệu chăm sóc sức khỏe, cũng như lưới điện thông minh, thì việc giám sát, phân phối nước cũng rất quan trọng. Khối lượng quan trọng này mà chúng ta đang đạt được trở nên hấp dẫn, bởi vì lợi ích mà những kẻ tấn công có thể đạt được tăng lên với tốc độ tương tự. Và vì IoT cũng đang được triển khai ở quy mô lớn hơn, nên cái mà chúng ta gọi là các cuộc tấn công trực diện đang gia tăng. Có nhiều điểm cuối hơn, thiết bị mà bạn có thể nhắm mục tiêu. Vì vậy, có nhiều hơn cho bạn nếu bạn muốn tấn công một hệ thống. Tôi nghĩ rằng thực tế là bảo mật kỹ thuật số đang phát triển khá nhanh và những người mới tham gia, các công ty mới muốn kết nối các thiết bị trên thị trường, đang đối mặt với thách thức không chỉ hiểu cách bảo vệ các giải pháp mà họ tung ra thị trường, mà còn cả cách làm thế nào. để có được các kỹ năng cần thiết để làm như vậy để bảo vệ chúng đúng cách. Và tôi nghĩ, quan trọng hơn, cũng là để duy trì những kỹ năng này vì sự phát triển của bảo mật kỹ thuật số, do đó, xu hướng triển khai IoT ngày càng tăng này thực sự rõ ràng đi kèm với nguy cơ vi phạm bảo mật cao hơn trong các giải pháp này. 

[00:10:25] Jeremy Cowan: Robin, trong báo cáo của bạn, báo cáo mà chúng tôi đã tham khảo và sẽ được xuất bản vào IoT-Now.com, bạn nói về chi phí vi phạm an ninh ngày càng tăng. Làm thế nào để bạn thực sự đo lường chi phí vi phạm an ninh và chúng ta đang nói về loại chi phí nào?

[00:10:42] Robin Duke-Woolley: Vâng. Tôi nghĩ rằng chúng ta đang nói về các doanh nghiệp ở đây. Chúng ta không nói về người tiêu dùng, chúng ta sẽ nói về người tiêu dùng sau, nhưng thực sự có ba lĩnh vực mà chúng ta cần quan tâm. Trước hết, nếu có vi phạm thì có khả năng sẽ ảnh hưởng đến các hoạt động ban đầu.

Vì vậy, ví dụ, nếu nó ở trong một nhà máy, nó có thể khiến nhà máy ngừng hoạt động một thời gian. Chà, trong trường hợp đó, có thời gian ngừng hoạt động và chi phí đó có thể rất cao, tùy thuộc vào rõ ràng các hoạt động là gì. Nhưng có lẽ hơn thế nữa, đó là chi phí uy tín tiềm ẩn.

Vì vậy, ví dụ: nếu rõ ràng có một vi phạm bảo mật đối với một thương hiệu nổi tiếng, thì điều đó có thể khá nghiêm trọng vì điều gì đã xảy ra với dữ liệu đó và dữ liệu đó đã đi đâu và ai đang sử dụng dữ liệu đó và để làm gì? Vì vậy, có toàn bộ vụ kiện tụng tiềm ẩn liên quan đến điều đó, chưa nói đến thiệt hại về uy tín của điều đó.

Sau đó, khu vực thứ ba là chi phí sửa chữa. Vì vậy, nếu thứ gì đó bị tấn công, và nó ở xa và không thể sửa chữa từ xa, bạn có thể phải ra ngoài hiện trường, bất kể nó ở đâu, và thay thế cả thiết bị ở đó. Vì vậy, vâng, nhìn chung, bạn có thể có ba lĩnh vực mà bản thân chúng có tiềm năng khá lớn.

Nếu bạn cộng tất cả chúng lại với nhau, nó có thể trở thành một chi phí khổng lồ. Và đó là vấn đề mà khi chúng ta tìm hiểu thêm về các vi phạm an ninh tiềm ẩn, chúng trở nên tinh vi hơn. Khi các hệ thống trở nên phức tạp hơn, các vi phạm an ninh cũng vậy, điều đó có nghĩa là khả năng chi phí ngày càng cao.

Và sau đó là một câu hỏi, bạn có đủ khả năng để duy trì vi phạm an ninh không? Và đó thực sự là nơi chúng tôi đến. Bởi vì sớm hay muộn, có thể là sớm thôi, sẽ có một vụ vi phạm an ninh.

[00:12:31] Jeremy Cowan: Đó là điều không thể tránh khỏi. Stephane, tôi hiểu rằng Thales và những người khác trong ngành đã hợp tác rất chặt chẽ với GSMA, đây là nhà khai thác mạng di động, để phát triển khung bảo mật IoT. Bạn có thể cho chúng tôi một bức tranh tổng thể về khuôn khổ này trông như thế nào không?

[00:12:50] Stephane Quetglas: Vâng tất nhiên. Vì vậy, GSMA đã làm việc với các bên liên quan trong ngành, bao gồm cả chúng tôi về một số yếu tố quan trọng để giúp đảm bảo an toàn cho giải pháp IoT di động. Đó là một nhà điều hành mạng di động. Vì vậy, rõ ràng là bạn đang nói về các giải pháp di động và nó được tạo thành từ một số yếu tố.

Vì vậy, cái đầu tiên, tôi nghĩ nền tảng có lẽ là eSIM, SIM nhúng, ngày càng có nhiều thiết bị để đảm bảo khả năng kết nối của thiết bị với mạng di động. Và nền tảng (eSIM) này dựa trên phần mềm thuật toán an toàn. Nó được chứng nhận theo chương trình eSA, là chương trình đảm bảo an ninh eUICC.

Giả sử yếu tố thứ hai của khuôn khổ này bao gồm việc xác định rõ ràng những gì bạn muốn bảo vệ và sử dụng phương pháp được ngành công nhận để xác minh rằng sự bảo vệ này ở mức mong đợi. Các yếu tố khác, được quản lý bởi GSMA là công nhận các địa điểm sản xuất.

Vì vậy, bạn đảm bảo rằng các sản phẩm được sản xuất đúng cách và tính bảo mật của thông tin đăng nhập nhạy cảm trong các sản phẩm này được quản lý đúng cách. Chúng được gọi là hướng dẫn của SAS. Và cuối cùng, nó còn hơn thế nữa ở cấp độ ứng dụng lớn. Chúng tôi cũng đã làm việc với GSMA về các giải pháp để bảo vệ dữ liệu, xác thực thiết bị khi nói đến việc bảo vệ liên kết giữa thiết bị IoT và ứng dụng trên đám mây.

Điều này được gọi là IoT SAFE và có một yếu tố khác, để kết luận, được gọi là Ứng dụng bảo mật cho thiết bị di động hoặc SAM cho phép bạn triển khai các tính năng bảo mật của ứng dụng trong eSIM thay vì trong chính thiết bị. Vì vậy, tất cả các yếu tố này có thể được kết hợp để tăng tính bảo mật của các giải pháp IoT, cho IoT của người tiêu dùng hoặc cho các doanh nghiệp muốn triển khai các giải pháp IoT. 

[00:14:42] Robin Duke-Woolley: Vâng, đó là rất nhiều, phải không? Bạn đã nói về phần cứng và phần mềm an toàn. Stephane, có nhất thiết phải có cả hai hay bạn có thể làm mọi thứ trong phần mềm bảo mật?

[00:14:52] Stephane Quetglas: Trên thực tế, nếu bạn muốn mức độ bảo mật cao cần thiết để kết nối với mạng bảo mật di động bằng eSIM chẳng hạn, thì bạn không thể chỉ dựa vào phần mềm. Bạn có thể thực hiện một số biện pháp bảo vệ trong phần mềm nhưng chúng không đủ. Vì vậy, sự kết hợp lý tưởng để đạt đến mức mà các nhà khai thác mạng di động mong đợi, chẳng hạn như với eSIM, là kết hợp phần cứng và phần mềm bảo mật. Và đây là cách duy nhất bạn kết hợp cả hai điều này lại với nhau để có thể đưa bạn đến mức độ bảo vệ như mong đợi. Rõ ràng, một số người cố gắng chỉ sử dụng phần mềm. Đó thực sự là điều cần được đặt trong bối cảnh với trường hợp sử dụng mà bạn muốn bảo vệ.

Và như nghiên cứu cho thấy khi chúng tôi xem tin tức trước đây, nếu bạn xem xét các camera IP thì điều đó rõ ràng là chưa đủ. Vì vậy, đó thực sự là suy nghĩ về trường hợp sử dụng bạn có và mức độ bảo mật bạn cần đạt được để bảo vệ. Chẳng hạn, khả năng kết nối của thiết bị, quyền riêng tư của dữ liệu sẽ dẫn bạn đến giải pháp này. Đối với IoT, kết nối với mạng di động, trao đổi dữ liệu nhạy cảm, chẳng hạn như từ đồng hồ thông minh đến giải pháp quản lý lưới điện từ xa, điều rất quan trọng là phải có sự kết hợp giữa phần cứng và phần mềm được bảo mật này. 

[00:16:18] Jeremy Cowan: Stephane, bạn đã đề cập đến chứng nhận eSA. Ý nghĩa của điều đó là gì, xin vui lòng?

[00:16:25] Stephane Quetglas: Vì vậy, eSA là viết tắt của eUICC Security Assurance. Vì vậy, eUICC là từ viết tắt kỹ thuật của eSIM. Và, chứng nhận eSA là một thay đổi rất quan trọng trong khuôn khổ GSMA, bởi vì nó đã được giới thiệu gần đây và nó bao gồm việc sử dụng lại phương pháp kiến ​​thức ngành để đánh giá bảo mật, được gọi là Tiêu chí chung. Điều này thực sự được quốc tế công nhận, với định nghĩa rất rõ ràng về mục tiêu bảo mật mà bạn muốn bảo vệ. Và cách tiếp cận này được thực hiện bằng cách sử dụng các bên thứ ba. Không chỉ nhà sản xuất thiết bị, của eSIM trong trường hợp này, sẽ tuyên bố rằng việc triển khai eSIM là đủ tốt.

Đó là một cái gì đó được thực hiện với một phòng thí nghiệm bảo mật. Vì vậy, các phòng thí nghiệm chuyên về bảo mật kỹ thuật số. Chúng tôi sẽ phân tích sản phẩm, phân tích và cung cấp một báo cáo cho biết, được rồi, sản phẩm này tuân thủ việc bảo vệ khóa bảo mật, thông tin xác thực nhạy cảm mà sản phẩm này phải quản lý.

Và cách tiếp cận bên thứ ba độc lập này là rất quan trọng. Vì vậy, các phòng thí nghiệm này được GSMA xác nhận, họ không có bất kỳ liên kết nào với các nhà cung cấp sản phẩm. và họ cũng đang cung cấp báo cáo cho cơ quan chứng nhận sẽ xác minh dữ liệu và cung cấp chứng chỉ cuối cùng.

Vì vậy, đó là cách để đạt được đánh giá độc lập này, mà GSMA xác định nó. Và chúng tôi tin rằng việc thực hiện chứng nhận này theo cách này là rất, rất quan trọng vì đó là cách bạn có thể chứng minh với khách hàng của mình, với các bên liên quan trên thị trường rằng sản phẩm của bạn đáng tin cậy và có thể được sử dụng mà không gặp bất kỳ vấn đề bảo mật nào. 

[00:18:19] Jeremy Cowan: Robin, tôi muốn quay lại với bạn nếu tôi có thể. Tất cả các thiết bị có nên được bao phủ bởi loại bảo mật này không? Đó không phải là đắt tiền?

[00:18:28] Robin Duke-Woolley: Vâng, vâng. Không cần thiết. Nó đắt cho ai? Vì vậy, đối với người tiêu dùng, quay trở lại những gì chúng ta đã nói trước đó về các vụ hack dành cho người tiêu dùng, bạn có thể không muốn trả thêm tiền cho một thiết bị có độ bảo mật cao. Nhưng nếu bạn làm thế, bạn có thể sẽ chỉ tốn thêm vài xu hoặc thứ gì đó tương tự.

Vì vậy, mức độ bảo mật nào là quan trọng đối với cá nhân bạn, nhưng đắt đối với ai? Thực sự, nếu bạn giống như một người tiêu dùng và thiết bị của bạn bị tấn công, điều đó có thể không quan trọng đối với bạn, nhưng nó có thể quan trọng đối với nhà sản xuất thiết bị đó vì khi đó chúng ta sẽ tính đến tất cả các chi phí mà chúng ta đã đề cập trước đó.

Chi phí danh tiếng là đặc biệt trong trường hợp này. Và sau đó là chi phí sửa chữa, ngay cả đối với một thiết bị tiêu dùng. Vì vậy, vâng, nó không tầm thường và bạn phải cân bằng giữa rủi ro và chi phí. Bạn có thể trả nhiều hơn một chút. Nhưng sau đó bạn có thể có nhiều sự bảo vệ hơn.

Vì vậy, tôi nghĩ đó là quyết định cá nhân và tôi nghĩ điều đó cũng cần được thay đổi theo thời gian vì như chúng tôi đã nói trước đó, rủi ro ngày càng cao hơn theo thời gian và chúng ngày càng tinh vi hơn. Vì vậy, bạn có thể không lo lắng về việc tai nghe của mình bị hack vào lúc này, nhưng bạn có thể lo lắng về việc chuông báo trẻ nhỏ của mình bị hack.

Và bạn phải cân nhắc xem điều đó quan trọng như thế nào. Và sau đó bạn có thể muốn cẩn thận hơn một chút về sự bảo vệ mà bạn nhận được cho điều đó. Chắc chắn, các nhà sản xuất sẽ, một khi họ gặp phải một sản phẩm đã đạt tiêu đề, họ sẽ lo lắng về điều đó xảy ra lần nữa.

[00:20:07] Jeremy Cowan: Vì vậy, đó là tất cả về quản lý bảo vệ thích hợp?

[00:20:10] Robin Duke-Woolley: Đúng vậy. Đúng vậy.

[00:20:11] Jeremy Cowan: Stephane, tiếp nối cuộc nói chuyện trước đây của chúng ta về IoT SAFE, điều đó bổ sung điều gì cho những gì chúng ta vừa thảo luận?

[00:20:20] Stephane Quetglas: Vì vậy, IoT SAFE phù hợp với cấp độ ứng dụng, nghĩa là đây là một giải pháp được tiêu chuẩn hóa tận dụng eSIM để cung cấp bảo mật cho giao tiếp giữa thiết bị IoT và ứng dụng của nó trên đám mây. Vì vậy, nó cung cấp các cách để nhận dạng thiết bị, xác thực thiết bị, mã hóa thông tin liên lạc, chẳng hạn như ký giao dịch.

Vì vậy, đó là một chức năng hoặc tập hợp các chức năng rất hữu ích có sẵn cho các nhà sản xuất thiết bị IoT để họ có thể thêm bảo mật thích hợp đơn giản vào thiết bị. IoT SAFE tận dụng eSIM, vì vậy điều đó có nghĩa là nó tận dụng, giả sử một nền tảng an toàn đã được chứng minh về mặt bảo mật.

Chúng tôi đã nói về chứng nhận trước đó. Nó cũng thường là một sản phẩm. eSIM thường là một sản phẩm được cung cấp bởi một chuyên gia bảo mật kỹ thuật số, như Thales. Vì vậy, bạn thực sự có thể hưởng lợi từ các sản phẩm được thiết kế cho mục đích bảo mật chẳng hạn.

Và đó cũng là một cách để giải quyết việc triển khai một số lượng lớn thiết bị, giả sử hàng trăm nghìn, hàng triệu thiết bị. Bởi vì với IoT SAFE và các giải pháp cung cấp bổ sung mà bạn có thể kết hợp với IoT SAFE, bạn có thể tự động tạo các khóa bảo mật, giả sử, khóa này sẽ là cốt lõi, trung tâm của quá trình bảo vệ giao tiếp xác thực thiết bị.

Nó được thực hiện nội bộ trong hộp công cụ mật mã này nếu bạn muốn. Các khóa không bao giờ được chia sẻ ra bên ngoài, vì vậy chúng được bảo vệ rất, rất tốt ở đây. Và nó không nhất thiết phải diễn ra khi thiết bị được sản xuất, nghĩa là trong thiết bị, trong nhà máy OEM (nhà sản xuất thiết bị gốc). Sẽ không có tác động nào do việc bổ sung các tính năng bảo mật này, điều này cũng rất quan trọng vì chúng ta đã nói về chi phí ngay trước đó. Giữ bảo mật đơn giản và tiết kiệm chi phí là tình huống lý tưởng vì bạn có thể thêm bảo mật một cách dễ dàng trong thiết bị của mình. Nó không bổ sung nhiều vào hóa đơn nguyên vật liệu của bạn, nhưng khi bạn sản xuất thiết bị của mình, bạn không phải mất nhiều thời gian để đưa những thông tin xác thực bảo mật này vào bên trong một cách an toàn.

Bạn không cần phải có nhà máy của mình, được kiểm tra về an ninh, v.v. Vì vậy, nó làm cho cả bảo mật trở nên hữu ích vì nó ở mức phù hợp và cũng tiết kiệm chi phí.

[00:22:58] Robin Duke-Woolley: Vâng. Thật tuyệt. Đó thực sự là một khuôn khổ đang phát triển của các dịch vụ bổ sung mà GSMA đã đưa vào. Bạn đã đề cập đến một bộ tên viết tắt khác. Vì vậy, chỉ để gây nhầm lẫn cho mọi người, SAM một bộ khác, bạn có thể nói ý nghĩa của điều đó là gì không?

[00:23:15] Stephane Quetglas: Đúng. Chắc chắn, chắc chắn. Vì vậy, SAM rất quan trọng vì nó cũng mang lại cách bảo mật các ứng dụng và dịch vụ một cách hiệu quả. Chẳng hạn, tôi vừa nói về giao tiếp IoT với IoT SAFE. Nhưng với SAM, bạn có thể tiến xa hơn, vì thực tế nó giống như IoT SAFE, đó là một cách để tận dụng các khả năng bảo mật của eSIM, để phân chia bảo mật, giả sử các quy trình của một ứng dụng đang chạy trong thiết bị và để chúng được thực thi bên trong eSIM . Và phần không an toàn của phần mềm ứng dụng có thể nằm trong thiết bị. Vì vậy, đó là một cách để đạt được nó. Và đó cũng là một cách tuyệt vời để triển khai IoT SAFE và tách rời IoT SAFE, dành cho dịch vụ IoT khỏi giao tiếp IoT của thiết bị di động. Vì vậy, điều đó có nghĩa là đối với một doanh nghiệp IoT, bạn có thể nghĩ về các đối tác truyền thông di động IoT của mình một cách tách biệt với cách bạn bảo mật truyền thông giữa thiết bị IoT và ứng dụng của mình nếu bạn cần thay đổi đối tác kết nối của mình vì một số lý do.

Bạn có thể làm điều đó bằng cách sử dụng eSIM, khả năng cung cấp từ xa mà không làm gián đoạn giao tiếp giữa thiết bị của bạn và đám mây. Chẳng hạn, bạn không phải đăng ký lại thiết bị.

[00:24:35] Robin Duke-Woolley: Đúng. 

[00:24:36] Stephane Quetglas: Vì vậy, đó thực sự là một bổ sung tuyệt vời cho IoT SAFE.

[00:24:39] Robin Duke-Woolley: Tốt.

[00:24:39] Jeremy Cowan: Điều đó thực sự hữu ích. EU đã thông qua Đạo luật An ninh mạng vào tháng 2009 năm XNUMX, Stephane. Điều đó phù hợp ở đâu với tất cả những điều này?

[00:24:50] Stephane Quetglas: Vì vậy, đó là một cột mốc quan trọng ở EU. Ý tôi là, quy định có lẽ là cách thích hợp để tăng cường bảo mật trong IoT, cung cấp hướng dẫn, nhưng cũng là nghĩa vụ đối với các công ty muốn triển khai các thiết bị được kết nối. Tôi nghĩ rằng mục tiêu giống như mục tiêu mà chúng ta đã thảo luận cho đến bây giờ. Chúng ta cần bảo vệ những gì được kết nối, bởi vì nó có khả năng bị tấn công và chi phí có thể rất cao. Thiệt hại có thể rất cao. Nó vẫn chưa kết thúc, nhưng những gì chúng ta có thể nói là quy định này nhằm mục đích cải thiện tính bảo mật của các sản phẩm được kết nối ở giai đoạn thiết kế và phát triển.

Vì vậy, tất cả là về bảo mật theo thiết kế, chẳng hạn như không coi bảo mật là vấn đề được suy nghĩ lại, mà thực sự là ở giai đoạn đầu của quá trình phát triển chu kỳ sản phẩm, chẳng hạn. Vì vậy, họ đang nói về chứng nhận, nhưng họ cũng đang nói về bảo trì. Hãy nhớ lại những trường hợp mà chúng tôi đã chia sẻ trước đây về các sản phẩm lỗi thời dễ bị tấn công an ninh mạng. Họ nhận ra rằng việc bảo trì là cần thiết vì bảo mật đang phát triển, vì vậy bạn cần đảm bảo rằng thiết bị của mình sẽ duy trì ở mức yêu cầu. Và nói về các cấp độ, họ cũng nhận ra rằng cần phải có các cấp độ khác nhau, các cấp độ này sẽ khác nhau tùy theo ứng dụng dọc.

Vì vậy, họ đang làm việc. Nhưng tôi có thể nói rằng đó là một cách để chính thức hóa các phương pháp hay nhất mà chúng tôi thực sự thấy trên thị trường. Và đó cũng là một cách để chúng được áp dụng rộng rãi hơn.

[00:26:20] Robin Duke-Woolley: Thật tuyệt. 

[00:26:20] Jeremy Cowan: Stephane, nếu chúng ta có thể kết thúc phần này chỉ bằng cách nhìn về phía trước, bạn thấy các mối đe dọa trong tương lai sẽ phát sinh ở đâu và bạn đang làm gì để giải quyết những vấn đề này?

[00:26:30] Stephane Quetglas: Vì vậy, có lẽ chỉ để củng cố thông điệp này một lần nữa. Mối đe dọa đầu tiên, trong tương lai gần, tôi có thể nói, sẽ không thực hiện các phương pháp hay nhất mà chúng ta đã biết. Và đó là một vấn đề rõ ràng và các phương pháp hay nhất về bảo mật này thường không được triển khai và không được các doanh nghiệp IoT xem xét. Tất nhiên, không phải tất cả chúng, nhưng vẫn còn quá nhiều trong số chúng không liên quan đến bảo mật kỹ thuật số. Và tôi nghĩ về mặt công nghệ, điều gì sẽ thay đổi rất nhiều, kể cả thế giới bảo mật kỹ thuật số mà chúng ta biết, tính đến hôm nay là hậu mã hóa lượng tử, một yếu tố thay đổi cuộc chơi có lẽ là trung hạn hơn vì nó sẽ phá vỡ một số của các hệ thống đã được thiết lập tốt mà chúng tôi biết rằng chúng tôi cần thay đổi các công cụ mật mã mà chúng tôi đang sử dụng để chúng có thể chống lại hậu lượng tử. Vì vậy, các cuộc tấn công được thực hiện bởi các máy tính lượng tử bắt đầu ở trong phòng thí nghiệm hiện đang hoạt động khá tốt.

Vì vậy, đây là lúc chúng ta cần chuyên môn của các chuyên gia bảo mật kỹ thuật số. Vì vậy, họ sẽ có thể cho biết hệ thống hiện tại cần phát triển ở đâu bằng cách kết hợp giải pháp hiện có với các phương pháp mới sẽ đánh bại các máy tính lượng tử này. Và đó có lẽ là thứ mà chúng ta sẽ thấy xuất hiện trong vài năm tới, chúng ta không biết. Không ai biết chính xác khi nào, nhưng đó là một mối đe dọa rõ ràng mà chúng tôi đã bắt đầu giải quyết. 

[00:27:57] Jeremy Cowan: Cảm ơn. Cảm ơn cả hai người. Tôi nghĩ rằng có một số bài học vô cùng quý giá trong đó mà tất cả chúng ta nên lắng nghe. Được rồi. Hãy thư giãn trong giây lát và xem điều gì trong thế giới công nghệ đã khiến chúng ta ngạc nhiên hoặc thích thú gần đây. Stephane, lần này đến lượt bạn đi trước. Bạn đã thấy gì?

[00:28:14] Stephane Quetglas: Vâng, một điều thú vị, về Tesla. Nó vừa thú vị vừa có chút khó chịu. Bởi vì xe Tesla, về cơ bản, họ có camera ở phía trước và bên hông xe, ở mọi nơi. Và thực ra cũng có camera bên trong xe.

Và, tin tức này mà tôi đã thấy trong một báo cáo đặc biệt của Reuters, tôi nghĩ đó là vào đầu tháng Tư. Báo cáo này nói về các bản ghi âm riêng tư, được thực hiện bởi các camera này trong ô tô Tesla, được chia sẻ nội bộ giữa các nhân viên tại Tesla. Và một số clip này đã thực sự được lưu hành, đó là một vấn đề riêng tư, tất nhiên là một vấn đề nghiêm trọng về quyền riêng tư.

Nhưng điều thu hút sự chú ý của tôi ở đây và khiến tin tức này trở nên thú vị đối với tôi, đó là thực tế có một video cho thấy đó là một chiếc Tesla đậu bên trong ga ra. Và gần chiếc Tesla, có thể nhìn thấy trên máy ảnh, là chiếc xe lặn này từ bộ phim James Bond. Bạn còn nhớ chiếc Lotus Esprit này không, đó là chiếc xe thể thao màu trắng có thể biến thành tàu ngầm. Và nó thực sự là một chiếc tàu ngầm thực sự được chế tạo cho bộ phim này vào những năm XNUMX, và chúng ta biết ai thực sự sở hữu chiếc xe này, và, bạn biết không, đây thực sự là Elon Musk.

Vì vậy, anh ấy đã mua chiếc xe cách đây vài năm và có lẽ ai đó đã chia sẻ video về ga ra của Elon Musk với chiếc xe này.

[00:29:42] Robin Duke-Woolley: Tuyệt vời. Tuyệt vời.

[00:29:51] Jeremy Cowan: Đúng. Nghe có vẻ không phải là một bước chuyển nghề nghiệp tốt cho ai đó. Tàu ngầm có cái tên tuyệt vời là Nellie ướt. 

[00:29:55] Robin Duke-Woolley: Khủng khiếp. Khủng khiếp. Vâng.

[00:29:57] Jeremy Cowan: Robin, điều gì khiến bạn mỉm cười trong không gian công nghệ gần đây?

[00:30:00] Robin Duke-Woolley: Chà, bạn có thể coi điều này thực sự đáng báo động. Vì vậy, nó chỉ mới ra mắt một ngày trước. Đây là việc Tòa án Tối cao Hoa Kỳ từ chối xét xử một vụ tranh luận rằng các thuật toán AI (trí tuệ nhân tạo) cần được pháp luật công nhận và bảo vệ với tư cách là nhà phát minh trong hồ sơ bằng sáng chế. Vì vậy, người đưa cái này vào là một nhà khoa học máy tính.

Anh ấy tuyên bố rằng chương trình của anh ấy, phần mềm của anh ấy đã đưa ra ý tưởng về hộp đựng thức ăn dạng fractal và bằng sáng chế độc nhất cho đèn hiệu khẩn cấp. Và anh ấy muốn cấp bằng sáng chế cho nó, nhưng anh ấy muốn nó được cấp bằng sáng chế dưới tên chương trình AI của mình. Và Tòa án Tối cao và Văn phòng Bằng sáng chế cho rằng anh ta không thể làm điều đó vì anh ta không phải là một người tự nhiên.

Đó là một cái máy và do đó, anh ta không thể làm được. Nhưng vấn đề là, điều đó gây cười ở mức độ đầu tiên. Nhưng sau đó bạn bắt đầu nghĩ, tất cả dừng lại ở đâu? Chúng ta sẽ đi đến đâu khi AI của con người được coi như một con người thay vì một cỗ máy.

Và tôi nghĩ rằng điều đó thực sự khá đáng lo ngại. Vì vậy, tôi đọc điều này như một trò đùa và sau đó tôi nghĩ, hãy đợi ở đây. Có một điểm nghiêm trọng ở đây.

[00:31:06] Jeremy Cowan: Vâng, có. Tôi phải thú nhận rằng, tôi đã hơi bối rối vì điều đó. Giúp tôi nếu bạn có thể. Vì vậy, Tòa án Tối cao Hoa Kỳ sẽ không xét xử vụ án vì chương trình AI không thể được liệt kê là nhà phát minh, có lẽ đó là một điểm hợp lý. Nhưng điều đó cũng có nghĩa là các sáng tạo AI không thể được bảo vệ hợp pháp ở Hoa Kỳ, điều mà tôi đoán là không tốt. Hoặc điều đó có nghĩa là các phát minh AI chỉ có thể được bảo vệ nếu chúng được đăng ký dưới tên của con người, và điều đó tốt.

[00:31:32] Robin Duke-Woolley: Có lẽ đó là chỉ là xấu!

[00:31:33] Jeremy Cowan: Tôi không biết đó là tin xấu hay tin tốt.

[00:31:36] Robin Duke-Woolley: Vâng. Tôi nghĩ ở đâu đó chúng ta có huấn luyện viên và ngựa thông qua luật, nên vâng, điều đó có thể thú vị. Vâng. Vì vậy, chúng tôi đang ở trong một khoảng thời gian thú vị và đó là một sự giải trí thú vị khỏi chiều sâu của bảo mật để xem thứ gì đó mà bạn biết đang chiếm giữ tâm trí mọi người có vẻ khá tầm thường nhưng…

[00:31:54] Jeremy Cowan: Chúng tôi mắc nợ một lần nữa với câu chuyện, đó là về Đăng ký. https://www.theregister.com/2023/04/24/us_supreme_court_patent_ai_inventor/

Và chúng tôi sẽ đặt liên kết vào bảng điểm của mình để mọi người có thể theo dõi. Vui lòng cho chúng tôi biết suy nghĩ của bạn trên LinkedIn hoặc Twitter hoặc bất kỳ thứ gì bạn vừa phát minh ra. Bạn sẽ chủ yếu tìm thấy tôi trên LinkedIn at Jeremy Cowan.

Đó là Cowan, hoặc trên Twitter @jcIoTnow. Dù sao đi nữa, ngay trước khi chúng ta đi, trước tiên hãy để tôi gửi lời cảm ơn sâu sắc tới Stephane Quetglas của Thales. Thật tuyệt khi có bạn với chúng tôi, Stephane.

[00:32:24] Stephane Quetglas: Vâng. Cảm ơn Jeremy rất nhiều. Đó là một niềm vui lớn cho tôi được ở đây. Và nếu bạn muốn liên hệ với tôi, tôi có sẵn trên LinkedIn, Stephane Quetglas tại Thales hoặc email của tôi là stephane.quetglas@thalesgroup.com nếu bạn muốn trao đổi với tôi.

[00:32:38] Jeremy Cowan: Rực rỡ. 

Và chúng tôi cũng xin cảm ơn Robin Duke-Woolley của Beecham Research. Chúng tôi thực sự đánh giá cao nó, Robin.

[00:32:44] Robin Duke-Woolley: Thật tuyệt. Thật tuyệt khi được ở đây Jeremy và bất kỳ ai cũng có thể liên hệ với tôi trên LinkedIn hoặc có thể dễ dàng hơn tại info@beechamresearch.com thay vì đánh vần toàn bộ tên của tôi. Vì vậy, yeah, đó là tuyệt vời.

[00:32:57] Jeremy Cowan: Xin cảm ơn và cảm ơn Thales, nhà tài trợ của ngày hôm nay. Chúng tôi thực sự đánh giá cao sự hỗ trợ của bạn cho các cuộc thảo luận này, Stephane.

[00:33:04] Stephane Quetglas: Cám ơn rất nhiều. 

[00:33:06] Jeremy Cowan: Bây giờ đừng quên tất cả mọi người, bạn có thể đăng ký Podcast công nghệ thịnh hành bất cứ nơi nào bạn tìm thấy chúng tôi ngày hôm nay. Vì vậy, xin gửi lời cảm ơn tới những khán giả tuyệt vời của chúng ta. Có hàng ngàn bạn trên toàn thế giới bây giờ. Chúng tôi rất vui khi có bạn theo dõi chúng tôi và hãy tiếp tục theo dõi. Trong khi đó, xin vui lòng cho chúng tôi đánh giá tốt tại podcasts.apple.com/digit-transformation. Thành thật mà nói, đó là một chút của một miệng. Chúng ta sẽ phải tìm một cách khác xung quanh đó. Tất nhiên, nó nâng cao vị thế của chúng tôi trong bảng xếp hạng, như bạn đã đoán. Và nó không chỉ mang lại cho chúng tôi ánh sáng ấm áp mà còn giúp những người nghe mới tìm thấy chúng tôi. Trong khi chờ đợi, hãy tiếp tục kiểm tra IoT-Now.com, VanillaPlus.com và www.TheEE.ai bởi vì ở đó bạn sẽ tìm thấy nhiều tin tức công nghệ hơn, cùng với video, các cuộc phỏng vấn cấp cao nhất và đánh giá sự kiện, cùng nhiều nội dung khác. Và tham gia lại với chúng tôi sớm cho một Podcast công nghệ thịnh hành nhìn vào chuyển đổi kỹ thuật số doanh nghiệp. Tạm biệt bây giờ. 

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
• Mua và bán cổ phần trong các công ty PRE-IPO với PREIPO®. Truy cập Tại đây.
• nguồn: https://www.iot-now.com/2023/05/24/130749-podcast-industry-battles-to-control-iot-security-risks/