Đảm bảo an toàn thông tin từ camera giám sát

Nguy cơ bị đánh cắp thông tin nhạy cảm

Hiện nay, xu hướng sử dụng camera giám sát ngày càng phổ biến tại Việt Nam. Không chỉ được nhiều gia đình sử dụng, camera giám sát cũng là thiết bị quan trọng trong hệ thống chính phủ điện tử, chính quyền số và thành phố thông minh, giúp giám sát giao thông, an ninh trật tự...Tuy nhiên, trong thời gian vừa qua, nhiều trường hợp hình ảnh đời tư của một số cá nhân đã bị đưa lên mạng xã hội do lộ lọt từ camera giám sát trong chính ngôi nhà của họ. Bên cạnh đó, nhiều camera lưu hành không rõ nguồn gốc, lưu trữ dữ liệu người dùng Việt Nam ở nước ngoài và không có tiêu chuẩn bảo đảm an toàn thông tin cho người dùng.

Với những camera nhận thấy có nguy cơ cao, người dùng cần có kế hoạch thay thế sớm nhất có thể. Ảnh minh họa, nguồn internet)

Trên thế giới, đã có nhiều vụ tấn công vào hệ thống camera lớn. Tại Việt Nam, chưa có vụ việc lớn xảy ra nhưng thực trạng rất đáng báo động. Năm 2014, một website quảng cáo có thể xem trực tuyến 730.000 camera khác nhau trên thế giới mà không cần mật khẩu, trong đó có hơn 1.000 camera tại Việt Nam.

Phân tích về các nguy cơ mất an toàn thông tin từ thiết bị camera giám sát tại tọa đàm “Tiêu chuẩn an toàn thông tin mạng cơ bản cho camera giám sát” do Cục An toàn thông tin (Bộ Thông tin và Truyền thông) phối hợp với Báo Vietnamnet tổ chức mới đây, ông Vũ Ngọc Sơn, Trưởng ban Công nghệ - Hiệp hội An ninh mạng quốc gia, Giám đốc kỹ thuật công ty NCS cho biết, về góc độ an ninh mạng, có thể xem camera như máy tính, thậm chí là máy tính đặc biệt vì có thể nghe, nhìn, suy nghĩ (nếu tích hợp AI), phát hiện vật thể, không gian mà nó quan sát. Camera thường luôn online 24/24, ít được vá lỗi, gần như không được cập nhật bản vá, phần mềm diệt virus, do đó, nếu bị tấn công sẽ không có ai bảo vệ.

Theo chuyên gia Vũ Ngọc Sơn, có 6 nguyên nhân chính dẫn đến mất an toàn thông tin đối với camera. Đó là người dùng đặt mật khẩu yếu, dùng chung mật khẩu, dùng tài khoản khác để quản trị hệ thống camera như Facebook, Google...; không đổi mật khẩu khi nhận bàn giao từ kỹ thuật viên; camera có lỗ hổng zero-day; không cập nhật bản vá; máy chủ lưu trữ có lỗ hổng và bị hacker tấn công; phân quyền không chặt, chẳng hạn chia sẻ cho đơn vị thi công nhưng sau đó không thu hồi quyền.

Camera bị tấn công để lại hậu quả cho cả người dùng cá nhân lẫn cơ quan, tổ chức. Đối với hộ gia đình, vấn đề đầu tiên là quyền riêng tư bị xâm phạm, tiếp đến là nguy cơ bị tống tiền vì những hình ảnh riêng tư, âm thanh nhạy cảm, hoặc các hành vi phạm tội khác như bị sử dụng để làm deepfake lừa đảo; cuối cùng là bị theo dõi từ xa. Đối với các cơ quan, tổ chức, ngoài các hậu quả như người dùng cá nhân, còn có vấn đề liên quan gián điệp, hacker có thể truy cập hệ thống camera để xóa dữ liệu, khiến không thể truy vết được khi có sự việc nào đó xảy ra. Camera cũng là “bàn đạp” để hacker tấn công hệ thống khác bên trong.

Sớm xây dựng quy chuẩn an toàn thông tin mạng cho camera giám sát

Nhận thức được về nguy cơ mất an toàn thông tin từ camera giám sát, Bộ Thông tin và Truyền thông đã tham mưu Chính phủ ban hành Chỉ thị 23 ngày 26/12/2022 của Thủ tướng Chính phủ về tăng cường công tác bảo đảm an toàn thông tin mạng, an ninh thông tin cho thiết bị camera giám sát. Từ nhiệm vụ được giao trong Chỉ thị, ngày 7/5, Bộ Thông tin và Truyền thông đã ban hành bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát.

Theo Bộ tiêu chí này, các camera giám sát phải có tài liệu hướng dẫn sử dụng sản phẩm cho người sử dụng. Camera cần có chức năng quản trị hệ thống cho phép thay đổi thời gian khóa, số lần đăng nhập sai và khoảng thời gian đăng nhập sai liên tục, chỉ thông tin cho người sử dụng nội dung đăng nhập thành công/thất bại mà không có nội dung khác làm cơ sở thực hiện tấn công vét cạn. Tiêu chí của Bộ Thông tin và Truyền thông đưa ra cho camera giám sát phải quản lý mật khẩu an toàn như có chức năng yêu cầu người dùng bắt buộc thay đổi mật khẩu mặc định hoặc mật khẩu khởi tạo khi sử dụng thiết bị lần đầu tiên và có chức năng kiểm soát mật khẩu an toàn.

Để đảm bảo tiêu chí an toàn thông tin dữ liệu người sử dụng cho camera giám sát thì thiết bị camera và các dịch vụ liên kết có tối thiểu tính năng cho phép thiết lập, cấu hình địa điểm tại Việt Nam đối với việc xử lý, lưu trữ và khai thác dữ liệu (như: Trên thẻ nhớ/thiết bị ngoại vi, dịch vụ điện toán đám mây đặt tại Việt Nam,...) nhằm đảm bảo tuân thủ quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân. Trong quá trình khởi tạo, thiết lập, cấu hình thiết bị, phải có giao diện thông báo cho người sử dụng về địa điểm (quốc gia) lưu trữ và xử lý dữ liệu được thu thập bởi thiết bị camera và các dịch vụ liên kết.

Trong Bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát, kỹ thuật, quản lý và nhận thức là 3 điểm chính được tập trung xem xét, trong đó, về kỹ thuật, bộ tiêu chí đưa ra những yêu cầu để đảm bảo an toàn cho không chỉ thiết bị camera mà cả các ứng dụng liên kết liên quan đến camera. Về quản lý, các yêu cầu được đưa ra với mục tiêu tạo điều kiện cho người dùng quản lý thiết bị camera của mình tốt hơn.

Đặc biệt, hiện nay nhận thức của nhiều người dùng còn hạn chế, dù thường xuyên được cảnh báo về các nguy cơ, biết cần phải đổi mật khẩu, cập nhật phần mềm..., song vẫn có không ít người chưa quan tâm và không thực hiện các thao tác này. Có thể thấy, với một hệ thống thông tin nói chung, thiết bị camera giám sát nói riêng, để sử dụng an toàn điều đầu tiên vẫn là nhận thức. Một thiết bị không có nguy cơ mất an toàn thông tin nhưng không nhận thức đúng, không có kỹ năng đảm bảo an toàn thì vẫn mất an toàn thông tin.

Theo đó, Cục An toàn thông tin khuyến nghị để đảm bảo an toàn cho thông tin, dữ liệu của mình, các tổ chức, cá nhân cần rà soát, có lộ trình để sớm thay thế camera không an toàn. Khi người dùng nhận thấy camera có nguy cơ cao mất an toàn thông tin thì cần có kế hoạch thay thế sớm nhất có thể.

Chia sẻ tại tọa đàm “Tiêu chuẩn an toàn thông tin mạng cơ bản cho camera giám sát”, ông Trần Đăng Khoa, Phó Cục trưởng Phụ trách Cục An toàn thông tin cho hay: “Việc Bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát được ban hành là một sự nỗ lực, kết hợp hài hòa và cầu thị của cơ quan quản lý nhà nước với các doanh nghiệp sản xuất camera, doanh nghiệp an toàn thông tin mạng”. Hiện tại, Cục An toàn thông tin đang phối hợp với các doanh nghiệp, các chuyên gia để xây dựng “Quy chuẩn kỹ thuật quốc gia về yêu cầu an toàn thông tin mạng cơ bản cho thiết bị camera giám sát”, dự kiến quy chuẩn sẽ được ban hành trong năm 2024.

Khi có quy chuẩn, các camera được sản xuất tại Việt Nam và camera nhập khẩu từ nước ngoài vào Việt Nam sẽ buộc phải được kiểm định, đánh giá, được chứng nhận hợp quy, đáp ứng các yêu cầu mới được đưa ra thị trường, cung cấp cho người sử dụng Việt Nam, khi có quy chuẩn, vấn đề an toàn thiết bị camera giám sát sẽ cơ bản được giải quyết.

N.Hoa