Nguy cơ mất an toàn từ camera giám sát không đáp ứng tiêu chuẩn

Cục An toàn thông tin, Bộ Thông tin và Truyền thông (TT&TT) cho biết, hiện nay, camera giám sát là thiết bị ngày càng phổ biến tại Việt Nam. Không chỉ được nhiều hộ gia đình sử dụng, camera giám sát cũng là thiết bị quan trọng trong hệ thống Chính phủ điện tử, chính quyền số và thành phố thông minh, giúp giám sát giao thông, an ninh trật tự...

Tuy nhiên có một thực tế là hơn 90% thị phần camera tại Việt Nam đang là camera xuất xứ nước ngoài mà chủ yếu từ Trung Quốc nên việc kiểm soát an toàn, an ninh thông tin là điều đáng phải quan tâm. Thậm chí một số dòng camera hoạt động theo cơ chế Cloud kết nối về server đặt tại Trung Quốc và người dùng ở Việt Nam phải “vòng” qua server này trước khi kết nối vào camera của mình. Việc các thông tin cá nhân truyền qua trung gian mà không có các cơ chế bảo mật sẽ gây mất an toàn cho người dùng.

Tuy nhiên, trong thời gian vừa qua, vì chưa được bảo vệ đúng mức, nhiều trường hợp hình ảnh đời tư của những nhân vật nổi tiếng đã bị đưa lên mạng xã hội do lộ lọt từ camera giám sát trong chính ngôi nhà của họ. Thêm vào đó, có quá nhiều camera lưu hành không rõ nguồn gốc, lưu trữ dữ liệu người dùng Việt Nam ở nước ngoài và không có tiêu chuẩn bảo đảm an toàn thông tin cho người dùng.

Camera giám sát không rõ nguồn gốc, trôi nổi sẽ tiềm ẩn nhiều rủi ro. Ảnh  minh họa

Luật sư Diệp Năng Bình - Trưởng Văn phòng Luật sư Tinh Thông Luật cho rằng, camera là sản phẩm nhạy cảm, có thể tiềm ẩn rủi ro về lộ lọt thông tin. Rất nhiều vụ việc liên quan đến an ninh mạng có bóng dáng của việc hack camera.

“Các đối tượng thường được xem là hacker đã dùng thủ đoạn này để đăng tải, chia sẻ, mua bán, chiếm đoạt tài sản... và thường sử dụng tài khoản ẩn danh nên rất khó để phát hiện, ngăn chặn và xử lý. Các loại camera được sử dụng trên thị trường Việt Nam hiện nay đều chưa có quy trình chuẩn về an ninh bảo mật dữ liệu”, luật sư Bình chia sẻ.

Vì vậy, theo luật sư, Nhà nước cần sớm ban hành quy chuẩn kỹ thuật quốc gia đối với thiết bị camera giám sát để không chỉ giúp bảo mật thông tin của cơ quan, tổ chức, cá nhân mà còn góp phần phòng, chống các hành vi vi phạm trong lĩnh vực an ninh mạng và các lĩnh vực khác có liên quan.

“Việc camera giám sát nếu không đáp ứng được các tiêu chuẩn, sẽ tiềm ẩn nguy cơ mất an toàn an ninh quốc gia. Trong đó, đặc biệt quy định về cách thức bảo mật cho camera như mật khẩu, đường truyền mạng,... cũng cần được xem xét kỹ lưỡng; bắt buộc các công ty cung cấp, buôn bán thiết bị camera phải tuân theo quy chế dữ liệu được lưu trữ trong máy chủ trên lãnh thổ Việt Nam. Ưu tiên và đặt lên hàng đầu để không còn phải lo lắng vấn nạn hacker như hiện nay" - Luật sư Bình nhấn mạnh.

Bên cạnh đó, luật sư Bình cho biết hành vi truy cập camera của gia đình, cơ quan, doanh nghiệp được xem là hành vi trộm cắp, xâm phạm, sử dụng dữ liệu cá nhân trái pháp luật đồng thời xâm phạm nghiêm trọng đến bí mật đời tư, danh dự và nhân phẩm của người khác.

Người phạm tội có thể bị xử phạt hành chính với số tiền lên đến 50 triệu đồng theo Điều 80 Nghị định 15/2020/NĐ-CP. Ngoài ra, căn cứ quy định Điều 289 Bộ luật Hình sự 2015 về Tội xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác có thể bị truy cứu trách nhiệm hình sự với mức phạt tù cao nhất lên đến 12 năm tù.

Theo chia sẻ của ông Trần Đăng Khoa, Phó Cục trưởng Cục An toàn Thông tin, Bộ Thông tin và Truyền thông về tiêu chí, yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát thì các camera giám sát phải có tài liệu hướng dẫn sử dụng sản phẩm cho người sử dụng. Để đảm bảo an toàn thông tin cho người dùng, camera giám sát phải có tính năng quản lý xác thực và phòng chống tấn công mạng. Phải có tối thiểu tính năng cho phép thiết lập, cấu hình địa điểm tại Việt Nam đối với việc xử lý, lưu trữ và khai thác dữ liệu (như trên thẻ nhớ, thiết bị ngoại vi, dịch vụ điện toán đám mây đặt tại Việt Nam...)

Theo ông Nguyễn Trung Kiên, CEO của Công ty Cổ phần Công nghệ Pavana, camera là sản phẩm nguồn gốc xuất xứ có ý nghĩa quan trọng nhất trong sản phẩm điện tử bởi chúng liên quan đến các dữ liệu cá nhân, âm thanh hình ảnh. Do đó, việc bảo mật thông tin vô cùng quan trọng.

Việc xây dựng tiêu chuẩn để kiểm soát đảm bảo an ninh sẽ thuộc trách nhiệm của các cơ quan Nhà nước. Kinh nghiệm từ các quốc gia trên thế giới cho thấy các đối tượng, tập khách hàng nào cần bảo vệ dữ liệu trước thì phải có tiêu chuẩn cho từng đối tượng khách hàng chứ không thể áp dụng chung cho tất cả đối tượng khách hàng.

Trước tiên là camera hạ tầng công cộng chiếm tỷ trọng lớn nhất (khoảng 40%); camera thương mại (30% thị phần toàn thế giới); nhóm khách hàng cuối cùng là camera cho hộ gia đình chỉ chiếm 20%. Các quốc gia có quy định riêng cho từng nhóm đối tượng khách hàng như vậy. Chẳng hạn camera hạ tầng phải đặt toàn bộ dữ liệu trong quốc gia đó và do cơ quan Nhà nước nắm giữ.

Nhóm thứ 2 là các doanh nghiệp, nếu không có phương án bảo vệ nó thì bí mật của các doanh nghiệp. Do đó, chúng ta cần tư duy theo từng nhóm khách hàng để có phương án cụ thể.

Các doanh nghiệp Việt Nam đã mang chính thương hiệu của mình làm bảo chứng cho an toàn bảo mật thông tin. Bởi khi có vấn đề bảo mật nó sẽ ảnh hưởng đến các thương hiệu trong nước. Đặt server ở Việt Nam, phần mềm được update liên tục để vá lỗ hổng và bảo vệ khách hàng… thì điều này doanh nghiệp thương hiệu Việt Nam mới có thể thực hiện được. Đây là những lý do người dùng có thể đặt niềm tin vào camera Make in VietNam.

Ông Hoàng Quốc Huy, Phó Tổng giám đốc MobiFone Global cho hay, chúng ta nên có các tiêu chuẩn cho camera Make in Việt Nam, cả phần cứng và phần mềm. Chúng ta cũng nên có tiêu chuẩn về hệ thống lưu trữ, quản trị dữ liệu phải đặt ở trong nước.

Theo Luật An ninh mạng, các mạng xã hội phải lưu trữ thông tin người dùng ở Việt Nam. Do đó, với dịch vụ camera, những thông tin thu thập được từ đó rất quan trọng và cần phải đặt ở Việt Nam tương tự như vậy. Dịch vụ quản trị dữ liệu, hỗ trợ kỹ thuật sau bán hàng cũng cần phải có tiêu chuẩn dành riêng cho nó.

Ông Đoàn Mạnh Hà, Giám đốc bộ phận sản phẩm Bkav AI View nói thêm, rất cần bộ tiêu chuẩn và tiêu chí để giải quyết được nguy cơ đã nói ở trên. Trong đó, về tiêu chuẩn, camera cơ bản cần tiêu chuẩn liên quan phần cứng, xuất xứ, nguồn gốc linh kiện, tiêu chuẩn chất lượng, giấy CO, CQ về đảm bảo chất lượng camera.

Liên quan tới camera giám sát, trước đó Bộ Thông tin và Truyền thông đã ra Quyết định 724/QĐ-BTTTT ban hành Bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát trong bối cảnh có quá nhiều camera lưu hành không rõ nguồn gốc, lưu trữ dữ liệu người dùng Việt Nam ở nước ngoài và không có tiêu chuẩn đảm bảo an toàn thông tin cho người dùng.

Theo tiêu chí này, các camera giám sát phải có tài liệu hướng dẫn sử dụng sản phẩm cho người sử dụng. Để đảm bảo an toàn thông tin cho người dùng, camera giám sát phải có tính năng quản lý xác thực và phòng chống tấn công vét cạn.

Camera giám sát phải có chức năng quản trị hệ thống cho phép thay đổi thời gian khóa, số lần đăng nhập sai và khoảng thời gian đăng nhập sai liên tục; thiết lập mặc định khóa không cho đăng nhập trong vòng 5 phút, sau khi đăng nhập thất bại 5 lần liên tục trong khoảng thời gian 30 giây hoặc ngắn hơn. Camera giám sát phải chỉ thông tin cho người sử dụng nội dung đăng nhập thành công/thất bại mà không có nội dung khác làm cơ sở thực hiện tấn công vét cạn.

Tiêu chí của Bộ Thông tin và Truyền thông đưa ra cho camera giám sát phải quản lý mật khẩu an toàn như có chức năng yêu cầu người dùng bắt buộc thay đổi mật khẩu mặc định hoặc mật khẩu khởi tạo khi sử dụng thiết bị lần đầu tiên và có chức năng kiểm soát mật khẩu an toàn. Mật khẩu được tạo ra phải có yêu cầu về độ phức tạp đối với mật khẩu (mật khẩu phải có độ dài tối thiểu 8 ký tự, có chữ hoa, chữ thường, chữ số, ký tự đặc biệt). Cơ chế khởi tạo mật khẩu sử dụng phương pháp sinh mã có giá trị ngẫu nhiên. Mật khẩu lưu trữ trên camera phải được mã hóa.

Đối với tính năng quản lý lỗ hổng bảo mật, Bộ Thông tin và Truyền thông đưa ra tiêu chí yêu cầu đối với hệ thống quản lý lỗ hổng của thiết bị nhà sản xuất có hệ thống trực tuyến cho phép tiếp nhận và công bố thông tin về lỗ hổng của thiết bị tới người sử dụng, có mô tả về các phiên bản bị ảnh hưởng và có hướng dẫn cập nhật, xử lý lỗ hổng.

Đối với tính năng quản lý và thực hiện cập nhật, Bộ Thông tin và Truyền thông đưa ra tiêu chí yêu cầu đối với hệ thống quản lý cập nhật nhà sản xuất có hệ thống trực tuyến cho phép công bố thông tin về các phiên bản cập nhật, quản lý và thực hiện cập nhật đối với các thiết bị camera có chức năng kết nối Internet.

Chức năng cập nhật phải được thực hiện qua kênh kết nối mạng an toàn có phương pháp mã hóa an toàn và có chức năng xác thực trước khi thực hiện cập nhật, có chức năng thông báo khi có phiên bản cập nhật mới khi người dùng đăng nhập, quản trị thiết bị, có chức năng kiểm tra tính nguyên vẹn của bản cập nhật có sử dụng chữ ký số của nhà sản xuất.

Bộ Thông tin và Truyền thông đưa ra tiêu chí quản lý phiên an toàn gồm quản lý phiên đăng nhập thiết bị camera, ứng dụng giao tiếp với người sử dụng có chức năng lựa chọn timeout cho phép tự động đăng xuất ứng dụng sau một khoảng thời gian. Tạo khóa phiên an toàn cho người sử dụng khi đăng nhập thành công đáp ứng các yêu cầu như khóa phiên không có khả năng bị tấn công vét cạn, khóa phiên không được sinh cố định, có yếu tố ngẫu nhiên, khóa phiên không có khả năng bị khôi phục, có chức năng yêu cầu hủy phiên đăng nhập hoặc hủy phiên đăng nhập cũ khi người dùng đăng nhập lại.

Thêm vào đó, tiêu chí quản lý kênh giao tiếp sử dụng các phương pháp mã hóa dựa trên các tiêu chuẩn Việt Nam hiện hành hoặc tiêu chuẩn quốc tế tương đương. Phương pháp mã hóa sử dụng phiên bản không tồn tại lỗ hổng, điểm yếu an toàn thông tin mạng được công bố bởi các cơ quan, tổ chức trong nước hoặc nước ngoài.

Bộ Thông tin và Truyền thông đưa ra tiêu chí truy cập cấu hình thiết bị an toàn sử dụng kênh bảo mật an toàn trước khi thực hiện truy cập, cấu hình thiết bị, kiểm soát truy cập cấu hình thiết bị, cấp quyền truy cập tối thiểu (chỉ phục vụ việc cấu hình và quản trị thiết bị) với đối tượng xác thực thành công.

An Dương (T/h)