Camera không tiêu chuẩn "âm thầm" gửi dữ liệu trong nhà, cơ quan

Đây là nhận định của Phó Tổng biên tập báo VietNamNet Võ Đăng Thiên tại tọa đàm “Tiêu chuẩn an toàn thông tin (ATTT) mạng cơ bản cho camera giám sát” do Báo VietNamNet và Cục ATTT (Bộ Thông tin và Truyền thông - TT&TT) phối hợp tổ chức, diễn ra 22/5.

Tại tọa đàm, các chuyên gia đã nhận định thực trạng ATTT, bảo mật trên thị trường camera giám sát tại Việt Nam là đáng báo động. Nguyên nhân được đưa ra phần lớn là do các thiết bị có nguồn gốc xuất xứ từ nước ngoài, dữ liệu của người dùng lưu trữ trên đám mây (cloud), thậm chí từ camera giám sát qua máy chủ ở nước ngoài mới về tay thiết bị quản lý của người dùng.

Thực trạng ATTT camera giám sát tại Việt Nam

Xu hướng sử dụng camera giám sát ngày càng phổ biến tại Việt Nam. Camera giám sát không chỉ được sử dụng tại các hộ gia đình mà là thành phần quan trọng trong hệ thống chính phủ điện tử, chính quyền số và thành phố thông minh, giúp giám sát giao thông, an ninh trật tự...

Tuy nhiên, trong thời gian vừa qua, nhiều trường hợp hình ảnh đời tư của những nhân vật nổi tiếng đã bị đưa lên mạng xã hội do lộ lọt từ camera giám sát trong chính ngôi nhà của họ. Bên cạnh đó, camera giám sát sử dụng cho các hệ thống công cộng và chính quyền nếu không đáp ứng được những tiêu chuẩn sẽ tiềm ẩn nguy cơ mất an toàn an ninh quốc gia.

Thực tế hiện nay trên thị trường Việt Nam, hầu hết camera có xuất xứ Trung Quốc. Thống kê của các doanh nghiệp (DN) cho thấy có khoảng 90% sản phẩm camera giám sát tại Việt Nam nhập khẩu từ Trung Quốc theo đường chính ngạch và tiểu ngạch. Thậm chí, một số dòng camera hoạt động theo cơ chế đám mây (cloud), kết nối về server đặt tại Trung Quốc và người dùng ở Việt Nam phải "vòng" qua server này trước khi kết nối vào camera của người dùng.

Phát biểu tại tọa đàm, ông Võ Đăng Thiên nhận định: “Camera là sản phẩm rất nhạy cảm, tiềm ẩn nhiều nguy cơ lộ lọt thông tin. Các sản phẩm camera đang dịch chuyển qua xu thế tương tác trực tiếp với người dùng thông qua ứng dụng di động, thông tin được đẩy lưu trữ trên cloud. Việc thông tin đi vòng qua cloud của các hãng đặt ở nước ngoài dẫn tới rủi ro về ATTT”.

Thông tin cá nhân qua bước trung gian khi không có các cơ chế bảo mật sẽ gây rủi ro cho người dùng. Thông tin cá nhân và các hành vi riêng tư có thể bị công khai khi kênh truyền bị chặn hoặc server bị tấn công. Ngoài ra, không loại trừ thông tin cá nhân sẽ bị khai thác mà không có sự xin phép.

Cũng chia sẻ tại tọa đàm, chuyên gia bảo mật Vũ Ngọc Sơn, Hiệp hội An ninh mạng Quốc gia cho biết, năm 2014, hàng nghìn camera giám sát được chia sẻ công khai trên một trang web (khoảng 730.000 camera trên toàn thế giới). Năm 2020, theo khảo sát thực hiện tại Việt Nam, hơn 70% camera có mật khẩu yếu, mật khẩu mặc định. Năm 2023, tin tặc rao bán quyền truy cập camera tại Việt Nam, với chi phí chỉ khoảng 800.000 đồng để tiếp cận 15 camera và số lượng camera được rao bán lên tới hàng trăm nghìn chiếc.

Theo ông Vũ Ngọc Sơn, có 6 nguyên nhân chính dẫn đến mất ATTT đối với camera. Cụ thể là, người dùng đặt mật khẩu yếu, mật khẩu mặc định, đặt chung mật khẩu với các tài khoản khác, sử dụng tài khoản email, mạng xã hội để quản trị camera; không đổi mật khẩu khi nhận bàn giao từ kỹ thuật viên; camera có lỗ hổng zero-day; không cập nhật bản vá; máy chủ lưu trữ có lỗ hổng và bị tin tặc tấn công; phân quyền không chặt, chẳng hạn chia sẻ cho đơn vị thi công nhưng sau đó không thu hồi quyền.

Ông Vũ Ngọc Sơn khẳng định việc lộ lọt thông tin, dữ liệu từ camera dẫn đến nhiều hậu quả khó lường cho cả cá nhân lẫn cơ quan, tổ chức.

Đối với hộ gia đình, vấn đề đầu tiên là quyền riêng tư bị xâm phạm, tiếp đến là nguy cơ bị tống tiền vì những hình ảnh riêng tư, âm thanh nhạy cảm, hoặc các hành vi phạm tội khác như bị sử dụng để làm deepfake lừa đảo; cuối cùng là bị theo dõi từ xa.

Đối với các cơ quan, tổ chức, ngoài các hậu quả như người dùng cá nhân, còn có vấn đề liên quan đến gián điệp. Có những khu vực người thường không được vào nhưng camera vẫn được lắp đặt. Bên cạnh đó, tin tặc cũng có thể truy cập vào hệ thống camera để xóa dữ liệu, khiến người dùng không thể truy vết được khi có sự việc nào đó xảy ra. Ngoài ra, camera cũng có thể là bàn đạp để hacker tấn công tiếp vào hệ thống mạng bên trong. Camera bản chất là một máy tính và có hệ điều hành, một số camera có tích hợp sẵn trí tuệ nhân tạo (AI), đồng nghĩa hệ điều hành đạt tiến bộ nhất định, có thể cài phần mềm gián điệp một cách dễ dàng.

Thông tin thêm tại tọa đàm, ông Nguyễn Việt Bằng, Phó Tổng Giám đốc Công ty Công nghệ thông tin VNPT (VNPT Technology) cho hay, camera trông đơn giản, nhỏ bé nhưng là một thiết bị phức tạp, có thể trở thành thiết bị để thu thập thông tin. Một camera đặt trong nhà, sẽ giống như máy tính có hệ điều hành, có ghi âm, có hình ảnh và gần như là có thêm một người ở trong nhà, chạy âm thầm. Do đó, nếu có lỗ hổng, thiết bị camera hoàn toàn có thể gửi thông tin ra ngoài.

Bên cạnh đó, vì là thiết bị mạng, nên camera thu thập được tất cả thông tin về mạng lưới ở trong nhà, cơ quan… và âm thầm gửi dữ liệu ra ngoài. Đó là nguy cơ rất lớn, đòi hỏi phải kiểm soát và phải có quy định.

Sẽ có quy chuẩn kỹ thuật quốc gia về yêu cầu ATTT mạng cho camera giám sát

Trong bối cảnh có quá nhiều camera lưu hành không rõ nguồn gốc, lưu trữ dữ liệu người dùng Việt Nam ở nước ngoài và không có tiêu chuẩn đảm bảo ATTT cho người dùng, mới đây, Bộ TT&TT đã đưa ra tiêu chí về yêu cầu ATTT mạng cơ bản cho camera giám sát.

Theo đó, các camera giám sát phải có tài liệu hướng dẫn sử dụng sản phẩm cho người sử dụng. Để đảm bảo ATTT cho người dùng, camera giám sát phải có tính năng quản lý xác thực và phòng chống tấn công mạng.

Đặc biệt, Bộ TT&TT đã đưa ra tiêu chí bảo đảm ATTT dữ liệu người sử dụng cho camera giám sát. Cụ thể, bảo vệ dữ liệu cá nhân thiết bị camera và các dịch vụ liên kết có tối thiểu tính năng cho phép thiết lập, cấu hình địa điểm tại Việt Nam đối với việc xử lý, lưu trữ và khai thác dữ liệu (như: trên thẻ nhớ, thiết bị ngoại vi, dịch vụ điện toán đám mây đặt tại Việt Nam...) nhằm đảm bảo tuân thủ quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân.

Việc ban hành bộ tiêu chí có ý nghĩa quan trọng, bởi lẽ đây là tiền đề để các DN tham gia sản xuất, nhập khẩu và kinh doanh sản phẩm, thiết bị camera giám sát trên thị trường Việt Nam triển khai rà soát, đánh giá lại một cách tổng thể các nguy cơ mất ATTT đối với các sản phẩm, thiết bị camera do đơn vị mình cung cấp.

Các DN tham gia sản xuất, nhập khẩu và kinh doanh thiết bị camera giám sát cũng cần chủ động khắc phục các lỗ hổng, điểm yếu, nguy cơ gây mất ATTT còn tồn tại nhằm đáp ứng các yêu cầu ATTT mạng cơ bản được Bộ TT&TT khuyến nghị tại bộ tiêu chí mới ban hành.

Chia sẻ tại tọa đàm, ông Trần Đăng Khoa - Phó Cục trưởng phụ trách Cục ATTT cho biết, bộ tiêu chí là bước ban đầu, mang tính khuyến nghị. Từ thực tế với loại camera giám sát, sắp tới, Bộ TT&TT sẽ phối hợp với các đơn vị liên quan xây dựng bộ “Quy chuẩn kỹ thuật quốc gia về yêu cầu ATTT mạng cơ bản cho camera giám sát" và dự kiến sẽ ban hành trong năm 2024.

Theo ông Khoa, khi có quy chuẩn kỹ thuật, các camera được sản xuất ra tại Việt Nam đưa ra thị trường hay những camera nhập khẩu từ nước ngoài vào Việt Nam bắt buộc phải được kiểm định, đánh giá, và chứng nhận hợp quy đáp ứng các yêu cầu đó thì mới được đưa ra thị trường Việt Nam cung cấp cho người sử dụng.

Theo Cục ATTT, thời gian gần đây, đã có những vụ việc lộ lọt thông tin, hình ảnh từ các camera giám sát tại trụ sở các cơ quan, tổ chức, tòa nhà chung cư hay các hộ gia đình, gây ảnh hưởng xấu đến quyền và lợi ích hợp pháp của các cơ quan, tổ chức và cá nhân.

Vì thế, thông qua việc ban hành bộ tiêu chí, các cơ quan, tổ chức và cá nhân có nhu cầu mua sắm, trang bị các sản phẩm, thiết bị camera giám sát cũng sẽ bước đầu có ý thức hơn trong việc cần phải lựa chọn, tìm kiếm các sản phẩm, thiết bị camera được đánh giá là an toàn.

Ông Khoa nhấn mạnh: “Với một hệ thống thông tin nói chung, và thiết bị camera giám sát nói riêng, để sử dụng an toàn thì đầu tiên vẫn là nhận thức. Một thiết bị có nguy cơ mất ATTT và thiết bị không có nguy cơ, nhưng không nhận thức đúng, không có kỹ năng thì vẫn có khả năng mất ATTT”.

Theo ông Khoa, để người dùng có nhận thức và kỹ năng thì cần đẩy mạnh tuyên truyền, để người dùng thấy rằng họ cũng phải có ý thức tự bảo vệ bản thân, tổ chức.

Khi người sử dụng có ý thức hơn trong việc lựa chọn, mua sắm các sản phẩm, thiết bị camera được đánh giá là an toàn, những sản phẩm, thiết bị camera trôi nổi, mất ATTT trên thị trường Việt Nam sẽ dần bị loại bỏ, từ đó từng bước hạn chế các nguy cơ mất ATTT, lộ lọt dữ liệu từ các camera giám sát.

Ngoài ra, chúng ta cũng cần quan tâm đến việc rà soát cấu hình của thiết bị camera. Tiêu chí và hướng dẫn đã có, vấn đề đặt ra là làm sao để người dùng chủ động vào rà soát cấu hình xem có đúng hay không, có chức năng đó không. Nhiều camera có chức năng an toàn nhưng cá nhân, tổ chức không dùng thì nó cũng không an toàn. Hay liên quan đến vấn đề vá lỗ hổng, đây cũng là câu chuyện về nhận thức an toàn, an ninh mạng của người dùng.

“Các tổ chức, cá nhân cần phải rà soát, với camera không an toàn thì nên có lộ trình để sớm thay thế, đặc biệt là những sản phẩm thấy có nguy cơ cao thì cần phải có có kế hoạch để thay thế sớm nhất có thể”, ông Khoa khuyến nghị.

Cũng tại buổi tọa đàm, các DN sản xuất về thiết bị và ứng dụng phần mềm cho camera giám sát cũng kiến nghị sớm thành lập câu lạc bộ, hiệp hội nhằm liên kết các đơn vị trong cùng lĩnh vực để từ đó có những kiến nghị chung, hỗ trợ nhau trong việc xây dựng sản phẩm cạnh tranh với sản phẩm của nước ngoài./.