Khắc phục lỗ hổng bảo mật của camera giám sát

Camera giám sát là thiết bị rất nhạy cảm, tiềm ẩn nhiều nguy cơ lộ lọt thông tin. Vừa qua tại Việt Nam, nhiều trường hợp hình ảnh đời tư của những nhân vật nổi tiếng bị đưa lên mạng xã hội do lộ từ camera giám sát trong chính ngôi nhà của họ. Không những vậy, camera giám sát sử dụng cho các hệ thống công cộng và chính quyền nếu không đáp ứng được những tiêu chuẩn về an toàn thông tin cũng tiềm ẩn nguy cơ mất an toàn an ninh quốc gia.

Thống kê tại thị trường Việt Nam hiện nay, hầu hết camera giám sát được nhập khẩu từ nước ngoài theo đường chính ngạch và tiểu ngạch. Các camera này thường hoạt động theo cơ chế cloud (đám mây), nghĩa là người dùng ở Việt Nam sẽ phải “vòng qua” các server ở nước ngoài trước khi kết nối vào camera của họ. Theo các chuyên gia, việc dữ liệu từ camera phải đi vòng qua các server ở nước ngoài rất dễ dẫn tới rủi ro về an toàn thông tin.

Tiềm ẩn nhiều nguy cơ

Theo nghiên cứu của các doanh nghiệp sản xuất camera trong nước, thị trường camera Việt Nam đang tăng trưởng nhanh với tốc độ 13-14%/năm và tổng giá trị năm 2023 đạt khoảng 175 triệu USD, trong đó, hai thương hiệu lớn của Trung Quốc là Dahua và Hikvision cùng các đơn vị của họ chiếm khoảng 90% thị phần. Các sản phẩm camera đang dịch chuyển qua xu thế tương tác trực tiếp với người dùng thông qua ứng dụng di động, dữ liệu được đẩy lưu trữ trên cloud ở nước ngoài. Như vậy, thông tin cá nhân qua bước trung gian khi không có các cơ chế bảo mật sẽ gây rủi ro cho người sử dụng.

Chuyên gia bảo mật Vũ Ngọc Sơn, Trưởng ban Công nghệ Hiệp hội An ninh mạng quốc gia, Giám đốc kỹ thuật Công ty cổ phần Công nghệ an ninh mạng quốc gia (NCS) cho biết: Camera hiện nay hoạt động như máy tính, nhưng về góc độ an ninh mạng còn nhiều điểm đặc biệt khác. Đó là chúng có khả năng nghe, nhìn và thậm chí suy nghĩ nhờ AI (trí tuệ nhân tạo), do vậy có thể phát hiện các vật thể, các vấn đề xảy ra trong không gian đang quan sát. Camera còn có đặc điểm là hoạt động liên tục, ít khi bị tắt hoặc được khởi động lại.

Trong khi đó, có rất nhiều vị trí, khu vực người thường không được tiếp cận, nhưng camera lại luôn hiện diện và online 24/24. Camera ít khi được cập nhật các phần mềm vá lỗi hay diệt virus, có nghĩa là nếu bị tấn công sẽ khó phát hiện trong thời gian dài. Chính vì vậy, các camera tiềm ẩn nhiều rủi ro về mất an toàn thông tin, từ đó gây ra nhiều hậu quả cho người dùng cá nhân, hộ gia đình như có thể bị theo dõi từ xa, bị xâm phạm tính riêng tư (hình ảnh, âm thanh sinh hoạt trong gia đình) và thậm chí bị tống tiền hay các hành vi phạm tội khác.

Đối với các cơ quan, tổ chức, doanh nghiệp, lỗ hổng bảo mật từ camera có thể là bàn đạp để hacker tấn công sâu vào hệ thống mạng, khiến họ bị theo dõi, gián điệp, lộ bí mật các thông tin kinh doanh, sản xuất hoặc bị xóa các dữ liệu quan trọng. Riêng với các cơ quan nhà nước thì nguy cơ từ lỗ hổng bảo mật của camera còn có thể làm lộ bí mật nhà nước.

Thực tế tại Việt Nam hiện nay, không ít hacker đang rao bán quyền truy cập các camera với hệ thống hàng trăm nghìn camera khác nhau. Giá tiền các hacker này đưa ra cũng không lớn, chỉ cần bỏ ra khoảng 800 nghìn đồng để có thể truy cập 15 camera. Có thể thấy, vấn đề về camera hiện đã tương đối mất an toàn, đòi hỏi phải nhanh chóng có cảnh báo cũng như biện pháp phản ứng phù hợp trước nguy cơ này.

Từng bước siết chặt quản lý

Để khắc phục lỗ hổng bảo mật của camera giám sát, chuyên gia Vũ Ngọc Sơn khuyến nghị người dùng cá nhân cần chọn các loại camera có xuất xứ rõ ràng, có công bố về nơi lưu trữ cũng như đầy đủ các chính sách bảo mật dữ liệu người dùng. Bên cạnh đó, người sử dụng cá nhân cần đổi mật khẩu ngay khi bắt đầu sử dụng camera (không sử dụng mật khẩu mặc định), dùng mật khẩu mạnh và tốt nhất là xác thực hai yếu tố: chọn vị trí lắp đặt camera phù hợp, cấu hình truy cập tối thiểu; thường xuyên theo dõi, cập nhật các bản vá lỗi cho camera. Về phía các cơ quan, tổ chức, ông Sơn kiến nghị cần có quy định, quy trình cụ thể bảo đảm an ninh, an toàn thông tin cho camera (về mật khẩu, phân quyền, vị trí lắp đặt, quy trình bảo quản, lưu trữ video). Các đơn vị cũng phải thường xuyên đánh giá định kỳ cho hệ thống camera an ninh, giám sát an ninh mạng với các thành phần liên quan của hệ thống camera và cập nhật liên tục các bản vá lỗ hổng.

Ngày 7/5, Bộ Thông tin và Truyền thông đã ban hành Bộ tiêu chí yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát (Bộ tiêu chí). Tài liệu khuyến nghị này được áp dụng đối với các tổ chức, cá nhân Việt Nam và nước ngoài có liên quan đến hoạt động nghiên cứu, phát triển, sản xuất, đánh giá, lựa chọn và sử dụng thiết bị camera. Phó Cục trưởng phụ trách điều hành Cục An toàn thông tin (Bộ Thông tin và Truyền thông) Trần Đăng Khoa cho biết: Nội hàm của Bộ tiêu chí được xây dựng phù hợp với điều kiện thực tế của Việt Nam, tập trung vào ba điểm chính.

Thứ nhất, Bộ tiêu chí đưa ra các yêu cầu kỹ thuật để camera và các ứng dụng liên kết có thể được sử dụng một cách an toàn. Thứ hai, Bộ tiêu chí cũng đưa ra các yêu cầu để người sử dụng có thể quản lý camera tốt hơn. Đơn cử, Cục An toàn thông tin đã đưa vào yêu cầu camera khi bán phải có đầy đủ tài liệu hướng dẫn sử dụng và không cho phép sử dụng mật khẩu mặc định, giúp giảm bớt rất nhiều nguy cơ mất an toàn thông tin.

Hay để quản lý vấn đề cập nhật bản vá, Bộ tiêu chí đưa yêu cầu bắt buộc nhà cung cấp phải có những hệ thống trực tuyến cung cấp thông tin bản vá, kèm theo thông báo được bật lên mỗi khi người sử dụng đăng nhập các ứng dụng quản lý thiết bị tương tự như các điện thoại thông minh hiện nay. Cuối cùng, Bộ tiêu chí yêu cầu các thiết bị camera và các dịch vụ liên kết phải có tối thiểu tính năng cho phép thiết lập, cấu hình địa điểm tại Việt Nam đối với việc xử lý, lưu trữ và khai thác dữ liệu, bảo đảm tuân thủ quy định của Việt Nam về bảo vệ dữ liệu cá nhân.

Cũng theo ông Trần Đăng Khoa, hiện nay, Bộ tiêu chí đơn thuần là hướng dẫn về kỹ thuật, vì thế chỉ mang tính chất khuyến nghị chứ không bắt buộc. Dựa trên Bộ tiêu chí này, Bộ Thông tin và Truyền thông đang phối hợp các bên liên quan xây dựng “Quy chuẩn kỹ thuật quốc gia về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát”, dự kiến sẽ ban hành trong năm nay. Khi quy chuẩn này được ban hành, đơn vị sẽ yêu cầu bắt buộc các camera được sản xuất hay bán tại thị trường Việt Nam phải được kiểm định, đánh giá, chứng nhận hợp quy và đáp ứng các yêu cầu theo quy định.

Các doanh nghiệp tham gia sản xuất, nhập khẩu và kinh doanh thiết bị camera giám sát cần chủ động khắc phục các lỗ hổng, điểm yếu, nguy cơ gây mất an toàn thông tin còn tồn tại nhằm đáp ứng các yêu cầu an toàn thông tin mạng cơ bản được Bộ Thông tin và Truyền thông khuyến nghị; đồng thời, sẵn sàng đáp ứng các yêu cầu an toàn thông tin mạng khi Bộ chính thức ban hành quy chuẩn trong thời gian tới.

Tổng Giám đốc Công ty cổ phần Công nghệ công nghiệp Vconnex Nguyễn Đức Quý đánh giá việc Bộ tiêu chí được ban hành rất cần thiết, tác động lớn đến nhiều thành phần trong xã hội. Bộ tiêu chí giúp người sử dụng hiểu và nâng cao ý thức về bảo mật an toàn thông tin; giúp các doanh nghiệp sản xuất camera trong nước phát huy tốt hơn năng lực tự chủ về công nghệ; đồng thời, góp phần quan trọng bảo đảm an ninh mạng quốc gia.

Bên cạnh đó, để phát triển công nghệ cũng như các ngành sản xuất trong nước liên quan đến camera giám sát, việc ban hành những Bộ tiêu chí về kỹ thuật, chính sách, cơ chế hỗ trợ doanh nghiệp Việt Nam có thể tự chủ và nâng cao năng lực cạnh tranh rất cần thiết. Tuy nhiên, nếu chỉ tập trung vào khâu sản xuất thì chưa thể giải quyết triệt để được lỗ hổng bảo mật của camera. Bởi camera sản xuất ra vẫn phải kết nối với các nền tảng quản lý mở (VMS) ở nước ngoài vì trong nước hiện đang rất thiếu các nền tảng này. Do đó, chúng ta cần phát triển thêm nhiều VMS tại Việt Nam cũng như ban hành Bộ tiêu chuẩn đi kèm cho các nền tảng này.