9 trang 13 lượt tải

Câu hỏi ôn tập môn IoT và Ứng Dụng | Iot và ứng dụng | Học viện Công nghệ Bưu chính Viễn thông

25

Trình bày các mối đe dọa an toàn thông tin ở mức thiết bị (Device Layer) trong hệ thống IoT và các biện pháp khắc phục tương ứng. ➔ Trả lời: - Các nguy cơ bảo mật phổ biến ở mức thiết bị: o Firmware lỗi thời (Outdated Firmware): là các phần mềm chạy trực tiếp trên phần cứng thiết bị IoT, không được cập nhật thường xuyên → chứa nhiều lỗ hổng bảo mật cũ mà tin tặc có thể khai thác. Tài liệu được sưu tầm và soạn thảo dưới dạng file PDF để gửi tới các bạn cùng tham khảo, ôn tập đầy đủ kiến thức, chuẩn bị cho các buổi học thật tốt. Mời bạn đọc đón xem!

Môn: IoT và ứng dụng 143 tài liệu

Trường: Học viện Công Nghệ Bưu Chính Viễn Thông 1.8 K tài liệu

Tác giả:

Profile

Mai Nguyệt

2 tuần trước
Tải xuống
Báo cáo
Danh sách Quiz
Tải xuống
/9
Câu 1.
Trình bày các mi đe da an toàn thông tin mc thiết b (Device Layer) trong
h thng IoT và các bin pháp khc phc tương ng.
Trả li:
- Các nguy cơ bo mt ph biến mc thiết b:
o Firmware li thi (Outdated Firmware): là các phn mm chy
trc tiếp trên phn cng thiết b IoT, không được cp nht thường
xuyên cha nhiu l hng bo mt cũ mà tin tc có th khai thác.
nht firmware đ:
Vá các l hng bo mt.
Nâng cao hiu năng và tương thích vi các giao thc mới
o Mật khu mc đnh (Default Credentials): Mt s thiết b khi xut
xưởng dùng mt khu mc đnh như admin hoc 1234. Người
dùng không đi mt khu hacker có th truy cp d dàng bng cách
th các mt khu ph biến.
Gii pháp: Mã hóa d liu ti ngun (AES, TLS):
S dng thut toán AES (Advanced Encryption
Standard) đ bo v d liu lưu tr.
S dng TLS (Transport Layer Security) đ bo mt kết
ni khi truyn d liu lên server hoc cloud.
Đm bo d liu không b đc hoc sa đi trên
đường truyn.
o Không mã hoá d liu (Unencrypted Communication): Nhiu thiết
b truyn d liu dưới dng văn bn rõ (plaintext), không có bo v.
Hacker có th chn bt (sniffing) d liu trên mng, dn đến rò r
thông tin nhy cm.
Gii pháp: Cấu hình xác thc mnh (Multi-factor
Authentication MFA):
Yêu cu nhiu yếu t xác minh (ví d: mt khu + mã
OTP).
Giúp ngăn chn truy cp trái phép, đc bit khi mt khu
b l.
Câu 2.
Gii thích ý nghĩa ca khái nim trong thiết kế h thng IoT. Privacy by Design
Vì sao vic tích hợp bo mt ngay t đu quan trng hơn vic vá li sau này?
Trả li:
- Privacy by Design (PbD) là mt nguyên tc thiết kế h thng trong đó bo
mt và quyn riêng tư ca người dùng được tích hợp ngay t giai đon đu
ca quá trình phát trin, thay vì ch thêm vào hoc vá li sau khi sn phm
đã được trin khai.
- Nguyên tc này đm bo rng mi quy trình thu thp, x lý, lưu tr và
chia s d liu trong h thng IoT đu đưc thiết kế an toàn, minh bch
và kim soát đưc.
- Trong h thng IoT, nơi hàng triu thiết b kết ni liên tc thu thp, lưu tr
và chia s d liu, vic áp dng Privacy by Design giúp:
o Ngăn chn ri ro bo mt t sm.
o Gim thiu thit hi khi xy ra s c.
o ng nim tin ca ngưi dùng đi với thiết b và nn tng.
- Tích hợp bo mt ngay t đu quan trng hơn vic vá li sau này, vì:
o Phòng nga tt hơn khc phc:
Vá li sau khi h thng b tn công thưng rt tn kém, gây mt
d liu và uy tín, trong khi thiết kế an toàn t đu giúp ngăn
chn các l hng ngay t gc.
o Gim chi phí và ri ro:
Sa cha li bo mt sau khi trin khai IoT có th khiến doanh
nghip thit hi hàng triu USD, còn vic tích hợp sớm ch tn
chi phí thiết kế ban đu.
o Tuân th pháp lý:
Privacy by Design là yêu cu bt buc trong GDPR (EU) và
Ngh đnh 13/2023/NĐ CP ca Vit Nam v bo v d liu cá -
nhân.
o Tăng đ tin cy và tri nghim người dùng:
Khi ngưi dùng biết thiết b IoT ca h được bo v ngay t
giai đon thiết kế, h s tin tưởng và sn sàng s dng sn
phm hơn.
Câu 3.
Phân bit GDPR (EU) và HIPAA (Mỹ) trong vic bo v d liu cá nhân trong
các ng dng IoT.
Trả li:
- GDPR (General Data Protection Regulation) là quy đnh bo v d liu
cá nhân ca Liên minh Châu Âu (EU), là b lut toàn din nht thế gii v
quyn riêng tư và bo v d liu cá nhân , nh hưởng đến mi t chc,
doanh nghip x lý d liu công dân EU, dù công ty đó đt châu Âu hay
quc gia khác.
o Mục tiêu:
Bảo v quyn riêng tư và quyn kim soát d liu cá nhân ca
người dùng IoT.
Ép buc các t chc IoT phi thiết kế h thng theo hướng
Privacy by Design
o Yêu cu các t chc IoT:
Xin s đng ý rõ ràng (explicit consent) trước khi thu thp d
liu.
Cho phép người dùng quyn truy cp, chnh sa và xóa d liu.
Báo cáo s c rò r d liu trong 72 giờ.
- HIPAA (Health Insurance Portability and Accountability Act) là đo
lut bo v thông tin sc khe cá nhân (PHI Patient Health Information)
ca người dân Hoa K
o Mc tiêu:
Đm bo rng mi d liu y tế đin t đu đưc bo mt, lưu
tr và truyn ti an toàn gii hn quyn truy cp, đng thời
ch cho nhng người có thm quyn.
Thiết kế h thng bo mt ngay t đu (Security by Design)
o Yêu cu:
Mã hóa d liu trước khi gi lên máy ch.
Lưu tr an toàn trên cloud hoc trong h thng ni b tuân th
chun HIPAA.
Bảo đm ch người có quyn hợp pháp mới có th truy cp hoc
chia s d liu.
- m tt:
o GDPR có phm vi rng, bo v mi d liu cá nhân.
o HIPAA ch bo v d liu y tế trong h thng chăm sóc sc khe.
Câu 4.
Trình bày ni dung chính ca Ngh đnh 13/2023/NĐ-CP ca Vit Nam v bo
v d liu cá nhân và liên h ng dng trong h thng IoT.
Trả li:
- Ngh đnh 13/2023/NĐ-CP ngh đnh chuyên bit đu tiên ca Vit Nam
v bo v d liu cá nhân
- Áp dng vi mi cơ quan t chc, cá nhân trong và ngài nước liên quan tới
x lý d liu cá nhân ti Vit Nam.
- Đi tưng chu nghĩa v:
o Bên kim soát d liu cá nhân (data controller) t chc hoc cá nhân
quyết đnh mc đích, phương thc x lý.
o Bên x lý d liu cá nhân (data processor) t chc hoc cá nhân x
lý d liu thay cho bên kim soát.
o Bên th ba có liên quan.
- Một s quyn cơ bn đưc quy đnh trong Ngh đnh:
o Quyn đưc biết v vic d liu cá nhân ca mình được x lý.
o Quyn đng ý trước khi d liu cá nhân được thu thp hoc x lý.
o Quyn truy cp, chnh sa, xóa d liu cá nhân ca mình.
o Quyn hn chế x lý d liu, quyn phn đi vic x lý.
o Quyn rút li s đng ý quyn khiếu ni, t cáo, và quyn yêu cu
bi thường thit hi.
- Nghĩa v ca các bên x lý d liu cá nhân:\
o Bên kim soát d liu: phi đm bo các bin pháp t chc và k
thut phù hp đ bo v d liu, lưu tr nht ký h thng, ch chn
bên x lý phù hp.
o Bên x lý d liu: ch tiếp nhn d liu sau khi có hợp đng hoc
tha thun rõ ràng với bên kim soát, x lý đúng mc đích, có bin
pháp bo v và chu trách nhim v thit hi nếu có.
o Các t chc, cá nhân khác: có trách nhim bo v d liu cá nhân
ca mình, phi hợp với cơ quan qun lý khi có vi phm
- Bin pháp và tiêu chun bo v d liu:
o Yêu cu áp dng các bin pháp k thut và t chc đ bo v DLCN
o D liu nhy cm: phi căn c pháp lý, ch đnh b phn chu trách
nhim, thông báo cho ch th d liu
o Xây dng H sơ đánh giá tác đng vic x lý d liu cá nhân (DPIA)
khi x lý d liu với mc đ ri ro cao
- Hành vi nghiêm cm:
o X lý d liu cá nhân trái với quy đnh pháp lut.
o X lý d liu cá nhân nhm chng li Nhà nước, nh hưởng tới an
ninh quc gia, trt t an toàn xã hi.
o Cản trhot đng bo v d liu cá nhân ca cơ quan có thm quyn.
o Lợi dng bo v d liu cá nhân đ vi phm pháp lut.
- Liên h vi IoT:
o Thiết b IoT thu thp rt nhiu d liu cá nhân (v trí, sc khe, sinh
hot) phi tuân th Ngh đnh 13.
o Khi thiết kế h thng IoT:
Phi đm bo thu thp có s đng ý ch th d liu.
D liu nhy cm phi mã hóa, đnh danh an toàn.
H thng x lý d liu cn có h sơ đánh giá tác đng, đm
bo ch x lý đúng mc đích.
Tổ chc cn xác đnh vai trò bên kim soát và bên x lý d
liu, đm bo trách nhim rõ ràng
Câu 5.
Phân tích năm nguyên tc đo đc ct lõi trong ngh nghip IoT (Trách nhim,
Quyn riêng tư, Trung thc, ng bng, An toàn). Nêu ví d minh ha cho tng
nguyên tc.
Trả li:
- Nguyên tc 1 Trách nhim (Responsibility)
o K sư phi d đoán và chu trách nhim cho hu qu ca công ngh
do mình to ra.
o H thng IoT nh hưởng đến môi trường vt lý, quyn riêng tư và an
toàn cn có trách nhim xã hi.
o Ví d: Drone giám sát phi tuân th quy đnh v quyn riêng tư và
không gian bay.
- Nguyên tc 2 n trng Quyn Riêng tư (Privacy Respect)
o Xem d liu người dùng là tài sn cá nhân cn bo v.
o Ch thu thp và x lý d liu tht s cn thiết.
o Ví d: Vòng đeo tay sc khe không đưc chia s d liu cho bên
qung cáo nếu chưa có s đng ý.
- Nguyên tc 3 Trung thc (Integrity)
o Báo cáo, th nghim và công b kết qu trung thc, minh bch.
o Không che giu li h thng hoc làm sai lch kết qu nghiên cu.
o Ví d: Khi phát hin li firmware, cn thông báo công khai và phát
hành bn vá.
- Nguyên tc 4 Công bng (Fairness)
o Đm bo công ngh không to ra s phân bit đi x.
o Tránh thiên v d liu hoc thut toán.
o Ví d: H thng IoT nông nghip phi cung cp d liu công bng
cho mi vùng min.
- Nguyên tc 5 An toàn (Safety)
o Bảo v tính mng, tài sn và môi trưng.
o Thiết kế thiết b có cơ chế phòng nga ri ro và cnh báo sớm.
o Ví d: Cảm biến khí gas phi cnh báo chính xác đ tránh cháy n.
Câu 6.
Mt h thng IoT giám sát bnh nhân ti bnh vin s dng cm biến đo nhp tim
và SpO. Hãy đ xut các bin pháp k thut và pháp lý đ đm bo bo mt d
liu y tế theo chun HIPAA.
Trả li:
- Bin pháp k thut:
o hóa d liu:
Mã hóa khi truyn (TLS/SSL) và khi lưu tr (AES 256) đ -
ngăn truy cp trái phép.
o Xác thc & phân quyn:
S dng đăng nhp nhiu lớp (MFA), cp quyn truy cp theo
vai trò (RBAC).
o n danh hóa / Gi danh d liu:
Loi b thông tin đnh danh bnh nhân khi chia s hoc phân
tích d liu.
o Ghi nht ký và giám sát truy cp:
Lưu li mi hot đng truy cp, phát hin sớm hành vi bt
thường.
o Sao lưu và khôi phc an toàn:
Thiết lp cơ chế sao lưu d liu đnh k và khôi phc sau s c.
- Bin pháp pháp lý:
o Chính sách bo mt ni b:
Xây dng quy trình thu thp, x lý, chia s d liu tuân th
HIPAA.
o Tha thun bo mt (BAA):
Ký Business Associate Agreement với các bên th ba (nhà cung
cp IoT, lưu tr đám mây).
o Đào to nhân viên:
Hun luyn nhân viên y tế v quy đnh HIPAA và cách x lý d
liu an toàn.
o Đánh giá ri ro đnh k (Risk Assessment)::
Kim tra, đánh giá và cp nht bin pháp bo mt thường
xuyên.
Câu 7.
Gi s bn là k sư ph trách phát trin thiết b nhà thông minh (smart home). Hãy
trình bày cách tuân th nguyên tc Data Minimization trong vic thu thp và lưu
tr d liu ngưi dùng.
Trả li:
- k sư phát trin thiết b nhà thông minh, tôi s:
o Ch thu thp d liu phc v đúng chc năng thiết b (ví d: cm
biến nhit đ ch lưu d liu nhit, không thu âm hoc v trí).
o Rút ngn thi gian lưu tr, ch gi d liu cn thiết cho vn hành (ví
d: Thiết b camera IoT ch cn lưu video trong 7 ngày gn nht,
không nên lưu c năm nếu không có mc đích rõ ràng.).
o Không gp d liu t nhiu ngun (camera, micro, v trí, ging nói)
nếu người dùng chưa đng ý.
o Cung cp tùy chn xóa hoc n danh d liu cho ngưi dùng.
Câu 8.
Mt công ty IoT Vit Nam mun trin khai h thng theo dõi v trí xe vn ti. Theo
Ngh đnh 13/2023/NĐ-CP, công ty cn thc hin nhng bưc nào đ hợp pháp
hóa vic thu thp và x lý d liu cá nhân?
Trả li:
- Khi công ty IoT Vit Nam mun trin khai h thng theo dõi v trí xe, d
liu thu thp (v trí, hành trình, thông tin lái xe) đưc xem là d liu cá
nhân. Do đó, đ hp pháp hóa vic x lý d liu, công ty cn thc hin
các bưc sau:
o Xác đnh vai trò pháp lý:
ng ty IoT là bên kim soát d liu (data controller).
Đơn v cung cp dch v lưu tr hoc phân tích là bên x lý d
liu (data processor).
Phi có hp đng hoc tha thun rõ ràng gia hai bên.
o Thông báo và xin s đng ý ca ch th d liu
Thông báo cho lái xe/đơn v shu xe biết:
Mc đích thu thp d liu (theo dõi vn hành, an toàn, ti
ưu l trình).
Loi d liu được thu (v trí GPS, thời gian, tc đ).
Thời gian lưu tr và cách bo mt.
Ch được thu thp sau khi có s đng ý rõ ràng ca ch th d
liu.
o Thiết lp bin pháp bo v k thut:
Mã hóa d liu v trí khi truyn và lưu tr.
n danh hoc đnh danh hóa khi chia s d liu vi bên th ba.
Phân quyn truy cp, lưu nht ký (log) truy cp h thng.
o Lập H sơ đánh giá tác đng (DPIA):
Đi với d liu v trí thuc loi d liu cá nhân nhy cm
công ty phi lp Báo cáo đánh giá tác đng x lý d liu cá
nhân, bao gm:
Mc đích và phm vi x lý.
Rủi ro và bin pháp gim thiu.
Thông tin liên h ca b phn ph trách bo v d liu.
Gi báo cáo cho Cục An ninh mng và Phòng chng ti phm
s dng công ngh cao (A05) Bộ ng an.
o Đm bo quyn ca ch th d liu:
Cho phép lái xe:
Truy cp và xem d liu ca mình.
Yêu cu chnh sa, xóa, hoc rút li s đng ý.
cơ chế phn hi, x lý khiếu ni hoc yêu cu bi thường.
o Hn chế lưu tr và chia s:
Ch lưu d liu trong thời gian cn thiết (ví d: 3090 ngày).
Không chia s cho bên th ba nếu không có căn c pháp lý
hoc s đng ý ca ch th d liu.
Câu 9.
Trong quá trình vn hành, mt thiết b IoT phát hin li firmware có nguy cơ gây
mt an toàn d liu. Với tư cách là k sư ph trách, bn s x lý thế nào đ đm
bo trung thc và trách nhim ngh nghip?
Trả li:
- k sư ph trách, tôi s:
o o cáo trung thc và kp thi cho qun lý và b phn an ninh
thông tin, không che giu li.
o Tạm dng trin khai hoc cp nht thiết b có ri ro, tránh gây mt
an toàn cho người dùng.
o Phân tích nguyên nhân k thut, đánh giá mc đ nh hưởng đến
d liu cá nhân và h thng.
o Phát hành bn vá (firmware update) hoc bin pháp khc phc
trong thời gian sớm nht.
o Thông báo minh bch cho ngưi dùng v s c và hưng dn cp
nht, theo đúng quy đnh bo mt.
o t kinh nghim và ci tiến quy trình kim th đ ngăn li tương t
trong tương lai.
Câu 10.
Mt mng IoT công nghip b nghi ngnhim và xut hin lưu lưng bt botnet
thường. Hãy trình bày quy trình chn đoán, cách cô lp thiết b b nhim và bin
pháp phòng nga tái din.
Trả li:
- Chn đoán và phát hin:
o Giám sát lưu lưng mng bng IDS/IPS (ví d: Snort, Zeek) đ xác
đnh các kết ni bt thường (điu khin C&C, gi gói l).
o Kim tra log h thng và thiết b IoT: phát hin hot đng ngoài
giờ, IP l, hoc tăng đt biến băng thông.
o So sánh hành vi vi baseline (mc hot đng bình thưng) đ xác
đnh thiết b nghi ngb nhim.
- lp và x lý thiết b nhim:
o Cô lp ngay thiết b b nghi nhim khi mng chính (ngt kết ni
hoc đưa vào VLAN cách ly).
o Cp nht firmware và vá l hng bo mt cho thiết b.
o Quét mã đc và khôi phc cu hình gc an toàn.
o Đt li thông tin xác thc (mt khu, khóa API, chng ch).
- Bin pháp phòng nga tái din:
o Áp dng xác thc mnh (strong authentication) cho tt c thiết b
IoT.
o Cp nht và vá bo mt đnh k firmware và phn mm qun lý.
o Phân đon mng (network segmentation) đ gii hn phm vi tn
công.
o Giám sát an ninh liên tc và cnh báo sớm bng h thng SIEM.
o Đào to nhân viên k thut v nhn din tn công botnet và quy
trình ng phó.

Tài liệu khác của Học viện Công Nghệ Bưu Chính Viễn Thông

Preview text:

Câu 1.
Trình bày các mối đe dọa an toàn thông tin ở mức thiết bị (Device Layer) trong
hệ thống IoT và các biện pháp khắc phục tương ứng. ➔ Trả lời:
- Các nguy cơ bảo mật phổ biến ở mức thiết bị:
o Firmware lỗi thời (Outdated Firmware): là các phần mềm chạy
trực tiếp trên phần cứng thiết bị IoT, không được cập nhật thường
xuyên → chứa nhiều lỗ hổng bảo mật cũ mà tin tặc có thể khai thác.
▪ Giải pháp: Nhà sản xuất và người dùng cần thường xuyên cập nhật firmware để:
• Vá các lỗ hổng bảo mật.
• Nâng cao hiệu năng và tương thích với các giao thức mới
o Mật khẩu mặc định (Default Credentials): Một số thiết bị khi xuất
xưởng dùng mật khẩu mặc định như “admin” hoặc “1234”. Người
dùng không đổi mật khẩu → hacker có thể truy cập dễ dàng bằng cách
thử các mật khẩu phổ biến.
▪ Giải pháp: Mã hóa dữ liệu tại nguồn (AES, TLS):
• Sử dụng thuật toán AES (Advanced Encryption
Standard) để bảo vệ dữ liệu lưu trữ.
• Sử dụng TLS (Transport Layer Security) để bảo mật kết
nối khi truyền dữ liệu lên server hoặc cloud.
→ Đảm bảo dữ liệu không bị đọc hoặc sửa đổi trên đường truyền.
o Không mã hoá dữ liệu (Unencrypted Communication): Nhiều thiết
bị truyền dữ liệu dưới dạng văn bản rõ (plaintext), không có bảo vệ.
Hacker có thể chặn bắt (sniffing) dữ liệu trên mạng, dẫn đến rò rỉ thông tin nhạy cảm.
▪ Giải pháp: Cấu hình xác thực mạnh (Multi-factor Authentication – MFA):
• Yêu cầu nhiều yếu tố xác minh (ví dụ: mật khẩu + mã OTP).
• Giúp ngăn chặn truy cập trái phép, đặc biệt khi mật khẩu bị lộ. Câu 2.
Giải thích ý nghĩa của khái niệm Privacy by Design trong thiết kế hệ thống IoT.
Vì sao việc tích hợp bảo mật ngay từ đầu quan trọng hơn việc “vá lỗi” sau này? ➔ Trả lời:
- Privacy by Design (PbD) là một nguyên tắc thiết kế hệ thống trong đó bảo
mật và quyền riêng tư của người dùng được tích hợp ngay từ giai đoạn đầu
của quá trình phát triển, thay vì chỉ thêm vào hoặc “vá lỗi” sau khi sản phẩm đã được triển khai.
- Nguyên tắc này đảm bảo rằng mọi quy trình thu thập, xử lý, lưu trữ và
chia sẻ dữ liệu trong hệ thống IoT đều được thiết kế an toàn, minh bạch
và kiểm soát được.
- Trong hệ thống IoT, nơi hàng triệu thiết bị kết nối liên tục thu thập, lưu trữ
và chia sẻ dữ liệu, việc áp dụng Privacy by Design giúp:
o Ngăn chặn rủi ro bảo mật từ sớm.
o Giảm thiểu thiệt hại khi xảy ra sự cố.
o Tăng niềm tin của người dùng đối với thiết bị và nền tảng.
- Tích hợp bảo mật ngay từ đầu quan trọng hơn việc “vá lỗi” sau này, vì:
o Phòng ngừa tốt hơn khắc phục:
▪ Vá lỗi sau khi hệ thống bị tấn công thường rất tốn kém, gây mất
dữ liệu và uy tín, trong khi thiết kế an toàn từ đầu giúp ngăn
chặn các lỗ hổng ngay từ gốc.
o Giảm chi phí và rủi ro:
▪ Sửa chữa lỗi bảo mật sau khi triển khai IoT có thể khiến doanh
nghiệp thiệt hại hàng triệu USD, còn việc tích hợp sớm chỉ tốn
chi phí thiết kế ban đầu. o Tuân thủ pháp lý:
▪ Privacy by Design là yêu cầu bắt buộc trong GDPR (EU) và
Nghị định 13/2023/NĐ-CP của Việt Nam về bảo vệ dữ liệu cá nhân.
o Tăng độ tin cậy và trải nghiệm người dùng:
▪ Khi người dùng biết thiết bị IoT của họ được bảo vệ ngay từ
giai đoạn thiết kế, họ sẽ tin tưởng và sẵn sàng sử dụng sản phẩm hơn. Câu 3.
Phân biệt GDPR (EU) và HIPAA (Mỹ) trong việc bảo vệ dữ liệu cá nhân trong các ứng dụng IoT. ➔ Trả lời:
- GDPR (General Data Protection Regulation) là quy định bảo vệ dữ liệu
cá nhân của Liên minh Châu Âu (EU), là bộ luật toàn diện nhất thế giới về
quyền riêng tư và bảo vệ dữ liệu cá nhân , ảnh hưởng đến mọi tổ chức,
doanh nghiệp xử lý dữ liệu công dân EU, dù công ty đó đặt ở châu Âu hay ở quốc gia khác. o Mục tiêu:
▪ Bảo vệ quyền riêng tư và quyền kiểm soát dữ liệu cá nhân của người dùng IoT.
▪ Ép buộc các tổ chức IoT phải thiết kế hệ thống theo hướng “Privacy by Design”
o Yêu cầu các tổ chức IoT:
▪ Xin sự đồng ý rõ ràng (explicit consent) trước khi thu thập dữ liệu.
▪ Cho phép người dùng quyền truy cập, chỉnh sửa và xóa dữ liệu.
▪ Báo cáo sự cố rò rỉ dữ liệu trong 72 giờ.
- HIPAA (Health Insurance Portability and Accountability Act) là đạo
luật bảo vệ thông tin sức khỏe cá nhân (PHI – Patient Health Information) của người dân Hoa Kỳ o Mục tiêu:
▪ Đảm bảo rằng mọi dữ liệu y tế điện tử đều được bảo mật, lưu
trữ và truyền tải an toàn, đồng thời giới hạn quyền truy cập
chỉ cho những người có thẩm quyền.
▪ Thiết kế hệ thống bảo mật ngay từ đầu (“Security by Design”) o Yêu cầu:
▪ Mã hóa dữ liệu trước khi gửi lên máy chủ.
▪ Lưu trữ an toàn trên cloud hoặc trong hệ thống nội bộ tuân thủ chuẩn HIPAA.
▪ Bảo đảm chỉ người có quyền hợp pháp mới có thể truy cập hoặc chia sẻ dữ liệu. - Tóm tắt:
o GDPR có phạm vi rộng, bảo vệ mọi dữ liệu cá nhân.
o HIPAA chỉ bảo vệ dữ liệu y tế trong hệ thống chăm sóc sức khỏe. Câu 4.
Trình bày nội dung chính của Nghị định 13/2023/NĐ-CP của Việt Nam về bảo
vệ dữ liệu cá nhân và liên hệ ứng dụng trong hệ thống IoT. ➔ Trả lời:
- Nghị định 13/2023/NĐ-CP Là nghị định chuyên biệt đầu tiên của Việt Nam
về bảo vệ dữ liệu cá nhân
- Áp dụng với mọi cơ quan tổ chức, cá nhân trong và ngài nước liên quan tới
xử lý dữ liệu cá nhân tại Việt Nam.
- Đối tượng chịu nghĩa vụ:
o Bên kiểm soát dữ liệu cá nhân (data controller) – tổ chức hoặc cá nhân
quyết định mục đích, phương thức xử lý.
o Bên xử lý dữ liệu cá nhân (data processor) – tổ chức hoặc cá nhân xử
lý dữ liệu thay cho bên kiểm soát.
o Bên thứ ba có liên quan.
- Một số quyền cơ bản được quy định trong Nghị định:
o Quyền được biết về việc dữ liệu cá nhân của mình được xử lý.
o Quyền đồng ý trước khi dữ liệu cá nhân được thu thập hoặc xử lý.
o Quyền truy cập, chỉnh sửa, xóa dữ liệu cá nhân của mình.
o Quyền hạn chế xử lý dữ liệu, quyền phản đối việc xử lý.
o Quyền rút lại sự đồng ý, quyền khiếu nại, tố cáo và quyền yêu cầu
bồi thường thiệt hại.
- Nghĩa vụ của các bên xử lý dữ liệu cá nhân:\
o Bên kiểm soát dữ liệu: phải đảm bảo các biện pháp tổ chức và kỹ
thuật phù hợp để bảo vệ dữ liệu, lưu trữ nhật ký hệ thống, chỉ chọn bên xử lý phù hợp.
o Bên xử lý dữ liệu: chỉ tiếp nhận dữ liệu sau khi có hợp đồng hoặc
thỏa thuận rõ ràng với bên kiểm soát, xử lý đúng mục đích, có biện
pháp bảo vệ và chịu trách nhiệm về thiệt hại nếu có.
o Các tổ chức, cá nhân khác: có trách nhiệm bảo vệ dữ liệu cá nhân
của mình, phối hợp với cơ quan quản lý khi có vi phạm
- Biện pháp và tiêu chuẩn bảo vệ dữ liệu:
o Yêu cầu áp dụng các biện pháp kỹ thuật và tổ chức để bảo vệ DLCN
o Dữ liệu nhạy cảm: phải căn cứ pháp lý, chỉ định bộ phận chịu trách
nhiệm, thông báo cho chủ thể dữ liệu
o Xây dựng Hồ sơ đánh giá tác động việc xử lý dữ liệu cá nhân (DPIA)
khi xử lý dữ liệu với mức độ rủi ro cao
- Hành vi nghiêm cấm:
o Xử lý dữ liệu cá nhân trái với quy định pháp luật.
o Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước, ảnh hưởng tới an
ninh quốc gia, trật tự an toàn xã hội.
o Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
o Lợi dụng bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
- Liên hệ với IoT:
o Thiết bị IoT thu thập rất nhiều dữ liệu cá nhân (vị trí, sức khỏe, sinh
hoạt) → phải tuân thủ Nghị định 13.
o Khi thiết kế hệ thống IoT:
▪ Phải đảm bảo thu thập có sự đồng ý chủ thể dữ liệu.
▪ Dữ liệu nhạy cảm phải mã hóa, định danh an toàn.
▪ Hệ thống xử lý dữ liệu cần có hồ sơ đánh giá tác động, đảm
bảo chỉ xử lý đúng mục đích.
▪ Tổ chức cần xác định vai trò bên kiểm soát và bên xử lý dữ
liệu, đảm bảo trách nhiệm rõ ràng Câu 5.
Phân tích năm nguyên tắc đạo đức cốt lõi trong nghề nghiệp IoT (Trách nhiệm,
Quyền riêng tư, Trung thực, Công bằng, An toàn). Nêu ví dụ minh họa cho từng nguyên tắc. ➔ Trả lời:
- Nguyên tắc 1 – Trách nhiệm (Responsibility)
o Kỹ sư phải dự đoán và chịu trách nhiệm cho hậu quả của công nghệ do mình tạo ra.
o Hệ thống IoT ảnh hưởng đến môi trường vật lý, quyền riêng tư và an
toàn → cần có trách nhiệm xã hội.
o Ví dụ: Drone giám sát phải tuân thủ quy định về quyền riêng tư và không gian bay.
- Nguyên tắc 2 – Tôn trọng Quyền Riêng tư (Privacy Respect)
o Xem dữ liệu người dùng là tài sản cá nhân cần bảo vệ.
o Chỉ thu thập và xử lý dữ liệu thật sự cần thiết.
o Ví dụ: Vòng đeo tay sức khỏe không được chia sẻ dữ liệu cho bên
quảng cáo nếu chưa có sự đồng ý.
- Nguyên tắc 3 – Trung thực (Integrity)
o Báo cáo, thử nghiệm và công bố kết quả trung thực, minh bạch.
o Không che giấu lỗi hệ thống hoặc làm sai lệch kết quả nghiên cứu.
o Ví dụ: Khi phát hiện lỗi firmware, cần thông báo công khai và phát hành bản vá.
- Nguyên tắc 4 – Công bằng (Fairness)
o Đảm bảo công nghệ không tạo ra sự phân biệt đối xử.
o Tránh thiên vị dữ liệu hoặc thuật toán.
o Ví dụ: Hệ thống IoT nông nghiệp phải cung cấp dữ liệu công bằng cho mọi vùng miền.
- Nguyên tắc 5 – An toàn (Safety)
o Bảo vệ tính mạng, tài sản và môi trường.
o Thiết kế thiết bị có cơ chế phòng ngừa rủi ro và cảnh báo sớm.
o Ví dụ: Cảm biến khí gas phải cảnh báo chính xác để tránh cháy nổ. Câu 6.
Một hệ thống IoT giám sát bệnh nhân tại bệnh viện sử dụng cảm biến đo nhịp tim
và SpO₂. Hãy đề xuất các biện pháp kỹ thuật và pháp lý để đảm bảo bảo mật dữ
liệu y tế theo chuẩn HIPAA. ➔ Trả lời:
- Biện pháp kỹ thuật: o Mã hóa dữ liệu:
▪ Mã hóa khi truyền (TLS/SSL) và khi lưu trữ (AES-256) để ngăn truy cập trái phép.
o Xác thực & phân quyền:
▪ Sử dụng đăng nhập nhiều lớp (MFA), cấp quyền truy cập theo vai trò (RBAC).
o Ẩn danh hóa / Giả danh dữ liệu:
▪ Loại bỏ thông tin định danh bệnh nhân khi chia sẻ hoặc phân tích dữ liệu.
o Ghi nhật ký và giám sát truy cập:
▪ Lưu lại mọi hoạt động truy cập, phát hiện sớm hành vi bất thường.
o Sao lưu và khôi phục an toàn:
▪ Thiết lập cơ chế sao lưu dữ liệu định kỳ và khôi phục sau sự cố.
- Biện pháp pháp lý:
o Chính sách bảo mật nội bộ:
▪ Xây dựng quy trình thu thập, xử lý, chia sẻ dữ liệu tuân thủ HIPAA.
o Thỏa thuận bảo mật (BAA):
▪ Ký Business Associate Agreement với các bên thứ ba (nhà cung
cấp IoT, lưu trữ đám mây). o Đào tạo nhân viên:
▪ Huấn luyện nhân viên y tế về quy định HIPAA và cách xử lý dữ liệu an toàn.
o Đánh giá rủi ro định kỳ (Risk Assessment)::
▪ Kiểm tra, đánh giá và cập nhật biện pháp bảo mật thường xuyên. Câu 7.
Giả sử bạn là kỹ sư phụ trách phát triển thiết bị nhà thông minh (smart home). Hãy
trình bày cách tuân thủ nguyên tắc Data Minimization trong việc thu thập và lưu
trữ dữ liệu người dùng. ➔ Trả lời:
- Là kỹ sư phát triển thiết bị nhà thông minh, tôi sẽ:
o Chỉ thu thập dữ liệu phục vụ đúng chức năng thiết bị (ví dụ: cảm
biến nhiệt độ chỉ lưu dữ liệu nhiệt, không thu âm hoặc vị trí).
o Rút ngắn thời gian lưu trữ, chỉ giữ dữ liệu cần thiết cho vận hành (ví
dụ: Thiết bị camera IoT chỉ cần lưu video trong 7 ngày gần nhất,
không nên lưu cả năm nếu không có mục đích rõ ràng.).
o Không gộp dữ liệu từ nhiều nguồn (camera, micro, vị trí, giọng nói)
nếu người dùng chưa đồng ý.
o Cung cấp tùy chọn xóa hoặc ẩn danh dữ liệu cho người dùng. Câu 8.
Một công ty IoT Việt Nam muốn triển khai hệ thống theo dõi vị trí xe vận tải. Theo
Nghị định 13/2023/NĐ-CP, công ty cần thực hiện những bước nào để hợp pháp
hóa việc thu thập và xử lý dữ liệu cá nhân? ➔ Trả lời:
- Khi công ty IoT Việt Nam muốn triển khai hệ thống theo dõi vị trí xe, dữ
liệu thu thập (vị trí, hành trình, thông tin lái xe…) được xem là dữ liệu cá
nhân. Do đó, để hợp pháp hóa việc xử lý dữ liệu, công ty cần thực hiện các bước sau:
o Xác định vai trò pháp lý:
▪ Công ty IoT là bên kiểm soát dữ liệu (data controller).
▪ Đơn vị cung cấp dịch vụ lưu trữ hoặc phân tích là bên xử lý dữ liệu (data processor).
→ Phải có hợp đồng hoặc thỏa thuận rõ ràng giữa hai bên.
o Thông báo và xin sự đồng ý của chủ thể dữ liệu
▪ Thông báo cho lái xe/đơn vị sở hữu xe biết:
• Mục đích thu thập dữ liệu (theo dõi vận hành, an toàn, tối ưu lộ trình).
• Loại dữ liệu được thu (vị trí GPS, thời gian, tốc độ…).
• Thời gian lưu trữ và cách bảo mật.
▪ Chỉ được thu thập sau khi có sự đồng ý rõ ràng của chủ thể dữ liệu.
o Thiết lập biện pháp bảo vệ kỹ thuật:
▪ Mã hóa dữ liệu vị trí khi truyền và lưu trữ.
▪ Ẩn danh hoặc định danh hóa khi chia sẻ dữ liệu với bên thứ ba.
▪ Phân quyền truy cập, lưu nhật ký (log) truy cập hệ thống.
o Lập Hồ sơ đánh giá tác động (DPIA):
▪ Đối với dữ liệu vị trí – thuộc loại dữ liệu cá nhân nhạy cảm →
công ty phải lập Báo cáo đánh giá tác động xử lý dữ liệu cá nhân, bao gồm:
• Mục đích và phạm vi xử lý.
• Rủi ro và biện pháp giảm thiểu.
• Thông tin liên hệ của bộ phận phụ trách bảo vệ dữ liệu.
▪ Gửi báo cáo cho Cục An ninh mạng và Phòng chống tội phạm
sử dụng công nghệ cao (A05) – Bộ Công an.
o Đảm bảo quyền của chủ thể dữ liệu: ▪ Cho phép lái xe:
• Truy cập và xem dữ liệu của mình.
• Yêu cầu chỉnh sửa, xóa, hoặc rút lại sự đồng ý.
▪ Có cơ chế phản hồi, xử lý khiếu nại hoặc yêu cầu bồi thường.
o Hạn chế lưu trữ và chia sẻ:
▪ Chỉ lưu dữ liệu trong thời gian cần thiết (ví dụ: 30–90 ngày).
▪ Không chia sẻ cho bên thứ ba nếu không có căn cứ pháp lý
hoặc sự đồng ý của chủ thể dữ liệu. Câu 9.
Trong quá trình vận hành, một thiết bị IoT phát hiện lỗi firmware có nguy cơ gây
mất an toàn dữ liệu. Với tư cách là kỹ sư phụ trách, bạn sẽ xử lý thế nào để đảm
bảo trung thực và trách nhiệm nghề nghiệp? ➔ Trả lời:
- Là kỹ sư phụ trách, tôi sẽ:
o Báo cáo trung thực và kịp thời cho quản lý và bộ phận an ninh
thông tin, không che giấu lỗi.
o Tạm dừng triển khai hoặc cập nhật thiết bị có rủi ro, tránh gây mất an toàn cho người dùng.
o Phân tích nguyên nhân kỹ thuật, đánh giá mức độ ảnh hưởng đến
dữ liệu cá nhân và hệ thống.
o Phát hành bản vá (firmware update) hoặc biện pháp khắc phục
trong thời gian sớm nhất.
o Thông báo minh bạch cho người dùng về sự cố và hướng dẫn cập
nhật, theo đúng quy định bảo mật.
o Rút kinh nghiệm và cải tiến quy trình kiểm thử để ngăn lỗi tương tự trong tương lai. Câu 10.
Một mạng IoT công nghiệp bị nghi ngờ nhiễm botnet và xuất hiện lưu lượng bất
thường. Hãy trình bày quy trình chẩn đoán, cách cô lập thiết bị bị nhiễm và biện
pháp phòng ngừa tái diễn. ➔ Trả lời:
- Chẩn đoán và phát hiện:
o Giám sát lưu lượng mạng bằng IDS/IPS (ví dụ: Snort, Zeek) để xác
định các kết nối bất thường (điều khiển C&C, gửi gói lạ).
o Kiểm tra log hệ thống và thiết bị IoT: phát hiện hoạt động ngoài
giờ, IP lạ, hoặc tăng đột biến băng thông.
o So sánh hành vi với baseline (mức hoạt động bình thường) để xác
định thiết bị nghi ngờ bị nhiễm.
- Cô lập và xử lý thiết bị nhiễm:
o Cô lập ngay thiết bị bị nghi nhiễm khỏi mạng chính (ngắt kết nối
hoặc đưa vào VLAN cách ly).
o Cập nhật firmware và vá lỗ hổng bảo mật cho thiết bị.
o Quét mã độc và khôi phục cấu hình gốc an toàn.
o Đặt lại thông tin xác thực (mật khẩu, khóa API, chứng chỉ).
- Biện pháp phòng ngừa tái diễn:
o Áp dụng xác thực mạnh (strong authentication) cho tất cả thiết bị IoT.
o Cập nhật và vá bảo mật định kỳ firmware và phần mềm quản lý.
o Phân đoạn mạng (network segmentation) để giới hạn phạm vi tấn công.
o Giám sát an ninh liên tục và cảnh báo sớm bằng hệ thống SIEM.
o Đào tạo nhân viên kỹ thuật về nhận diện tấn công botnet và quy trình ứng phó.

Tài liệu liên quan: