Áp dụng phương pháp CSPN để kiểm định an toàn sản phẩm công nghệ
Tiêu chuẩn Common Criteria (ISO 15408) thường được nhắc đến như một phương pháp kiểm định an toàn thông tin (ATTT) uy tín nhất. Tuy nhiên, tiêu chuẩn này có nhược điểm là chi phí cao và thiếu độ mềm dẻo cần thiết để triển khai trong những sản phẩm công nghệ mới.
Một dự án triển khai theo Common Criteria thường kéo dài ít nhất 6 tháng, kết hợp cả phương pháp kiểm thử xâm nhập (pentest) trên sản phẩm mẫu và phân tích một lượng tài liệu lớn (conformity). Đối với các sản phẩm có vòng đời ngắn như IoT, đây là thách thức rất đáng kể vì phiên bản sản phẩm kiểm định xong rất có thể không còn được ứng dụng. Ngoài ra, Common Criteria còn có điểm yếu về quản lý sự thay đổi (change management). Một thay đổi nhỏ trên sản phẩm thường đòi hỏi lượng công việc đáng kể để giữ được giá trị của chứng chỉ.
Để đáp ứng với sự bùng nổ của các ứng dụng IoT và điện toán đám mây, block chain, dữ liệu lớn, các nước châu Âu đang xây dựng nhiều phương pháp kiểm định an toàn thông tin linh hoạt với chi phí thấp hơn. Một trong các phương pháp thành công nhất là Certification de Sécurité de Premier Niveau (CSPN). Phương pháp này được triển khai tại Pháp từ năm 2008 và đang được các nước lân cận như Đức, Hà Lan và Tây Ban Nha áp dụng.
Một dự án CSPN thường không kéo dài quá 8 tuần, tập trung vào quá trình pentest và giảm tối thiểu công đoạn phân tích tài liệu. Về chi phí, khối lượng công việc chuẩn của một dự án CSPN là 25 ngày (man-day), trên thực tế khối lượng này dao động giữa 15 và 50 ngày tùy theo độ phức tạp của sản phẩm. Quá trình quản lý các phiên bản mới của sản phẩm cũng linh hoạt hơn, phương pháp này sẽ tập trung vào bước pentest thay đổi đối với các chức năng an toàn của sản phẩm.
Đặc biệt, phương pháp CSPN cho phép kiểm định cùng lúc một nhóm sản phẩm có nhiều chức năng giống nhau, như các sản phẩm có cùng phần cứng nhưng phần mềm chứa những chức năng phục vụ thị trường khác nhau. Hoặc nhóm sản phẩm có phần cứng chỉ khác nhau ở những bộ phận không liên quan đến an toàn thông tin. Các sản phẩm trong cùng nhóm có thể được kiểm định và cấp chứng chỉ trong cùng lúc cho phép tiết kiệm thời gian và chi phí.
Cũng như các phương pháp kiểm định độc lập khác, việc triển khai CSPN đòi hỏi sự phối hợp nhuần nhuyễn của ba đơn vị: cơ quan pháp triển sản phẩm (Vendor), cơ quan kiểm định (ITSEF) và cơ quan Nhà nước phụ trách trực tiếp cấp chứng chỉ (ANSSI).
CSPN là một điển hình về một phương pháp kiểm định an toàn thông tin linh hoạt, hiệu quả với chi phí thấp cho các sản phẩm có vòng đời ngắn như IoT. Mỗi năm có hàng trăm dự án kiểm định và được cấp chứng chỉ. Điều này đóng góp quan trọng vào việc cải thiện độ tin cậy của người dùng tại châu Âu.
Đối với nước ta, CSPN hoàn toàn có thể là lựa chọn tối ưu cho một sơ đồ kiểm định an toàn thông tin hiệu quả. Phương pháp CSPN có thể được triển khai từng bước, ưu tiên các mảng sản phẩm thiết yếu như phần mềm VPN, ứng dụng ngân hàng điện tử, thiết bị nhà thông minh (như camera giám sát)….
Áp dụng được phương pháp CSPN sẽ đóng góp đáng kể vào việc nâng cao kỹ năng an toàn thông tin cho doanh nghiệp trong nước, từ cơ quan kiểm định đến các doanh nghiệp phát triển sản phẩm, đồng thời bảo vệ người tiêu dùng Việt Nam trước các sản phẩm có độ an toàn thấp.
