Bịt lỗ hổng an ninh mạng từ camera giám sát

Thứ hai, ngày 25 tháng 3 năm 2024 | 9:23

Mỗi một chiếc camera giám sát được ví như một chiếc máy tính, nhưng khác ở chỗ, máy tính có thể tắt khi không dùng, còn camera thì hoạt động 24/24 giờ.

Vì vậy, mọi lỗ hổng an ninh mạng từ hệ thống camera có thể bị khai thác, trở thành “phương tiện” để tội phạm mạng tấn công, gây thiệt hại nghiêm trọng. Điều này cho thấy cần thiết phải có quy chế hay bộ tiêu chí riêng cho hoạt động của thiết bị này…

camera.jpg

Các đơn vị sản xuất camera không ngừng nâng cấp sản phẩm để bảo đảm tính bảo mật, đáp ứng nhu cầu của người tiêu dùng. Trong ảnh: Sản xuất camera thông minh tại Công ty TNHH Điện tử Meiko Việt Nam.

Nguy cơ trở thành “mũi tấn công” mạng

Camera là một phần trong hạ tầng kỹ thuật đô thị thông minh. Qua hệ thống camera giám sát, nhiều vụ việc vi phạm an ninh trật tự, vệ sinh môi trường, an toàn giao thông… đã được phát hiện, xử lý.

Cho đến nay chưa có thống kê chính thức cả nước có bao nhiêu camera giám sát đang hoạt động, song ước tính lượng thiết bị này đã lên đến hàng triệu chiếc. Phần lớn các thiết bị này chưa được quản lý nên tiềm ẩn nhiều nguy cơ về bảo mật khi có thể bị khai thác phục vụ các hành vi vi phạm pháp luật.

Phó Tổng Giám đốc VNPT Technology (Tập đoàn Bưu chính viễn thông Việt Nam - VNPT) Nguyễn Việt Bằng cho biết, camera sử dụng băng thông đường truyền nhiều hơn so với phần lớn thiết bị IoT (internet kết nối vạn vật) khác, chứa các video, hình ảnh và âm thanh. Mỗi camera được ví như một máy tính và phần lớn kết nối trực tiếp với mạng internet, có khả năng bị điều khiển từ xa. "Với máy tính, chúng ta có thể tắt khi không sử dụng, nhưng camera thì hoạt động liên tục 24/24 giờ. Do vậy, nếu camera có lỗ hổng bảo mật, tội phạm mạng có thể lợi dụng để tấn công mạng công nghệ thông tin cũng như viễn thông", ông Nguyễn Việt Bằng nói.

Khi camera bị cài đặt các phần mềm có mục đích xấu (backdoor, trojan…), đối tượng có thể dò quét, truy nhập các thiết bị khác trong gia đình thông qua mạng nội bộ (Wifi, cắm dây) nhằm thu thập thông tin nhạy cảm. Thông tin gửi đi không chỉ là video từ camera, mà có thể còn có các thông tin cá nhân của người dùng trong mạng nội bộ gia đình, cơ quan, doanh nghiệp do camera đã thu thập được. Thêm nữa, với sự phát triển công nghệ hiện nay, có không ít camera AI (camera thông minh ứng dụng trí tuệ nhân tạo) được lắp đặt và có thể nhận dạng, xử lý hình ảnh cực nhanh, nên trường hợp bị khai thác lỗ hổng để tấn công mạng, hậu quả sẽ rất lớn...

Ông Nguyễn Việt Bằng nhận định, tuy được coi là thiết bị IoT nhưng có nhiều đặc thù về kỹ thuật và xã hội nên cần thiết phải có các tiêu chí quy định hoạt động của camera giám sát.

Cùng quan điểm, Giám đốc công nghệ Công ty Công nghệ an ninh mạng quốc gia Việt Nam (NCS), chuyên gia bảo mật Vũ Ngọc Sơn phân tích, với sự phát triển mạnh mẽ về công nghệ, các camera giám sát ngày càng hiện đại, cho phép lưu trữ các hình ảnh sắc nét, thời gian lưu trữ lâu, có khả năng nhận diện, thậm chí phát hiện hành vi con người bằng AI. Thông tin thu được sau đó còn được gửi, lưu trữ tại các máy chủ trung tâm. Điều này đặt cho các nhà quản lý yêu cầu phải kiểm soát chặt chẽ hoạt động của dịch vụ camera giám sát và sớm ban hành các tiêu chí, tiêu chuẩn để tạo hành lang cho dịch vụ này hoạt động chuẩn mực, tuân thủ các quy định của pháp luật, đặc biệt là quy định về quyền riêng tư của con người.

Cần sớm có bộ tiêu chí

Phó Tổng Giám đốc VNPT Technology Nguyễn Việt Bằng đề xuất, các tiêu chí đưa ra không nên quá chi tiết và cần đáp ứng yêu cầu cơ bản liên quan đến an toàn bảo mật. Chẳng hạn, quy định về máy chủ (server) quản lý về lưu trữ dữ liệu (hình ảnh, thông tin cá nhân) trên đám mây (cloud) phải phù hợp với các quy định pháp luật về an ninh mạng cũng như các quy định liên quan khác. Với các cơ quan nhà nước, lưu ý tiêu chí kiểm soát phần mềm (firmware) chạy trên camera và hệ thống máy chủ quản lý, lưu trữ, bảo đảm bảo mật mã hóa trên đường truyền.

Nhấn mạnh nếu không quản lý tốt camera có thể dẫn tới xâm phạm về quyền con người, chuyên gia Vũ Ngọc Sơn lại cho rằng, các tiêu chí, tiêu chuẩn cần rõ ràng, mạch lạc, chi tiết, cụ thể. Càng chi tiết, cụ thể càng giúp cho các nhà sản xuất thuận lợi trong việc cung cấp sản phẩm, dịch vụ. Nếu các tiêu chí, tiêu chuẩn không rõ ràng, dễ dẫn tới tình trạng sản phẩm đưa ra lúc này thì đáp ứng, nhưng khi có thêm các văn bản hướng dẫn thì lại vi phạm, cản trở sự phát triển của thị trường.

Khuyến cáo về việc mua sắm camera, ông Vũ Ngọc Sơn đề nghị, các cơ quan, tổ chức, người dân khi lựa chọn camera cần chú ý đến nguồn gốc; chọn nhà sản xuất có thông tin rõ ràng, đăng ký kinh doanh hợp pháp tại Việt Nam. Với các camera có khả năng lưu trữ dữ liệu trên đám mây, người dùng cần biết rõ dữ liệu được lưu trữ ở đâu, có tuân thủ quy định của pháp luật hay không…

Trước nguy cơ tiềm ẩn từ việc tin tặc có thể lợi dụng để tấn công mạng viễn thông, công nghệ thông tin, Thủ tướng Chính phủ đã yêu cầu Bộ Thông tin và Truyền thông ban hành bộ tiêu chí về an toàn thông tin mạng cơ bản cho camera giám sát. Vấn đề này cũng được sở thông tin và truyền thông các tỉnh, thành phố quan tâm, kiến nghị có hướng dẫn, để địa phương làm căn cứ triển khai, vận hành…

Tại cuộc họp giao ban quản lý nhà nước giữa Bộ Thông tin và Truyền thông với các tỉnh, thành phố quý I-2024, Bộ trưởng Bộ Thông tin và Truyền thông Nguyễn Mạnh Hùng đã giao Cục An toàn thông tin hoàn thiện bộ tiêu chí hoạt động dành cho camera giám sát để ban hành sớm.