Camera đang mất an toàn

Tại tọa đàm “Tiêu chuẩn an toàn thông tin mạng cơ bản cho camera giám sát” ngày 22/5, các chuyên gia cho biết xu hướng sử dụng sử dụng camera giám sát ngày càng phổ biến tại Việt Nam, từ gia đình cho tới hệ thống Chính phủ điện tử...

Tuy nhiên, thời gian qua, hình ảnh đời tư của nhiều người nổi tiếng lộ lọt từ camera giám sát, ảnh hưởng tới cuộc sống của nạn nhân. Bên cạnh đó, camera giám sát tại các hệ thống công cộng và chính quyền, nếu không bảo mật tốt sẽ tiềm ẩn nguy cơ mất an toàn an ninh thông tin quốc gia.

Chuyên gia bảo mật Vũ Ngọc Sơn (Hiệp hội An ninh mạng Quốc gia), cho biết trên thế giới rất nhiều vụ việc lộ lọt dữ liệu camera lớn đã xảy ra. 

Năm 2023, hàng nghìn camera của hãng Hikvision bị tấn công qua 2 hình thức rất phổ biến là dò mật khẩu và tấn công qua lỗ hổng đã cũ. Cụ thể, lỗ hổng từ năm 2021 đã được nhà sản xuất đưa ra bản vá nhưng đến năm 2023 người dùng vẫn chưa vá. Nguyên nhân là để theo dõi tình trạng này phải cần một máy tính đặc biệt online 24/24.

Hay năm 2021, 150.000 camera lắp tại các bệnh viện, công ty, đồn cảnh sát, nhà tù và trường học của hãng Verkada (Mỹ) bị tấn công, trong đó có hãng xe điện Tesla. Hacker không trực tiếp tấn công vào camera, mà tấn công thông qua máy chủ quản lý các camera, cướp quyền truy cập vào các camera của hãng. Mặc dù Verkada cũng đưa ra nhiều hình thức xác thực ngoài mật khẩu như OTP hay email, tin nhắn điện thoại, nhưng khi hacker tấn công vào máy chủ, chúng có những đặc quyền vượt qua những xác thực như vậy.

Ở Việt Nam, mặc dù chưa có những vụ việc lớn nhưng thực trạng cũng khá báo động. Năm 2014, một website chia sẻ việc 730.000 camera trên toàn cầu có thể xem trực tuyến mà không cần tài khoản, mật khẩu, trong đó có hơn 1.000 camera tại Việt Nam.

“Lúc đó, chúng tôi kiểm tra và thấy rằng rất nhiều camera đặt ở khu vực công cộng, của các cơ quan, tổ chức. Website này hiện vẫn hoạt động và cập nhật liên tục, nhưng ít người để ý xem camera nhà mình có nằm trong danh sách này hay không”, ông Sơn nói.

Năm 2020, số camera Việt Nam không đổi mật khẩu (dùng mặc định mật khẩu khi mua về) chiếm khoảng 70%. Năm 2023, tin tặc rao bán quyền truy cập camera tại Việt Nam, chi phí khoảng 800.000 đồng để tiếp cận 15 camera và số lượng camera được rao bán lên tới hàng trăm nghìn chiếc. 

“Việc sử dụng các camera hiện nay tương đối mất an toàn và chúng ta chưa có nhiều biện pháp để cảnh báo và phản ứng lại với nguy cơ này. Ví dụ chúng ta chưa coi những cảm biến hình ảnh trong thang máy là camera, dẫn tới nguy cơ lộ lọt thông tin”, ông Sơn nói.

Chủ động sản xuất camera "Make in Vietnam"

Thống kê của các doanh nghiệp cho thấy, có khoảng 90% sản phẩm camera giám sát tại Việt Nam nhập khẩu từ Trung Quốc theo đường chính ngạch và tiểu ngạch. Thậm chí, một số dòng camera hoạt động theo cơ chế cloud (đám mây), máy chủ đặt tại nước sản xuất và dữ liệu phải qua máy chủ này trước khi kết nối vào camera. Khi dữ liệu truyền qua bước trung gian mà không có bảo mật thì thông tin cá nhân, hành vi riêng tư có thể bị khai thác, công khai nếu kênh truyền bị chặn, máy chủ bị tấn công.

Ước tính, thị trường Việt Nam sẽ cần 100-150 triệu camera, nhưng hiện mới có 15 triệu camera (khoảng 10-15%). Vì vậy, Bộ Thông tin và Truyền thông đã đưa ra tiêu chí an toàn thông tin cho camera giám sát. Cụ thể, thiết bị camera và các dịch vụ liên kết phải có tính năng cho phép thiết lập, cấu hình địa điểm tại Việt Nam đối với việc xử lý, lưu trữ và khai thác dữ liệu (như: trên thẻ nhớ, thiết bị ngoại vi, dịch vụ điện toán đám mây đặt tại Việt Nam...). Các camera giám sát phải có tài liệu hướng dẫn sử dụng, phải có tính năng quản lý xác thực và phòng chống tấn công mạng.

Ông Trần Đăng Khoa, Phó Cục trưởng phụ trách Cục An toàn Thông tin (Bộ Thông tin và Truyền thông), cho biết việc ban hành bộ tiêu chí là bước đầu, mang tính khuyến nghị để các doanh nghiệp tham gia sản xuất, nhập khẩu và kinh doanh sản phẩm, thiết bị camera giám sát trên thị trường Việt Nam. Đồng thời, doanh nghiệp có thể rà soát, đánh giá tổng thể nguy cơ mất an toàn thông tin đối với sản phẩm, thiết bị camera đang cung cấp. Đây cũng là cơ sở để doanh nghiệp chủ động sản xuất và cung cấp camera "Make in Vietnam".

Sắp tới, Bộ Thông tin và Truyền thông sẽ xây dựng bộ “Quy chuẩn kỹ thuật quốc gia về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát”, bắt buộc đơn vị cung cấp camera và dịch vụ liên kết phải tuân thủ các tiêu chuẩn về mặt kỹ thuật, nhất là tiêu chuẩn về an toàn thông tin, dữ liệu.

“Trong thời gian này, các doanh nghiệp sản xuất, nhập khẩu và kinh doanh thiết bị camera giám sát cần chủ động khắc phục các lỗ hổng, điểm yếu nhằm đáp ứng các yêu cầu an toàn thông tin mạng cơ bản tại bộ tiêu chí, tiến tới đáp ứng yêu cầu khi Quy chuẩn được ban hành”, ông Khoa khuyến nghị.