Lộ, lọt dữ liệu riêng tư vì camera “phản chủ”
Thống kê cho thấy, năm 2023, doanh thu thị trường camera giám sát tại Việt Nam là 175 triệu USD - tương ứng 6 triệu camera. Hiện ước tính có 15 triệu camera đang sử dụng ở Việt Nam, nhưng 90% số camera này nhập khẩu không qua “hàng rào” kiểm định để bảo đảm an ninh cho camera, chưa kể có một số dòng camera hoạt động theo cơ chế đám mây (cloud), kết nối máy chủ (server) đặt tại nước ngoài, nên khi sử dụng người dùng ở Việt Nam phải “vòng” qua server này trước khi kết nối vào camera.
Việc thiếu “hàng rào” kiểm định để bảo đảm an ninh cho camera hoặc có máy chủ đặt tại nước ngoài sẽ đem tới nhiều rủi ro tiềm ẩn cho người sử dụng Việt Nam khi bị lộ, lọt dữ liệu thông tin cá nhân, riêng tư. Truyền thông đã nhiều lần đưa tin, từ năm 2021 đến nay, hàng loạt dữ liệu “nhạy cảm” từ camera gia đình, cửa hàng kinh doanh, spa làm đẹp… được bán công khai trên Telegram. Cụ thể, trên Telegram xuất hiện một rao bán dữ liệu từ camera giám sát của nhà riêng, phòng thay đồ ở các cửa hàng quần áo, các spa làm đẹp của các chị em… và đa số các dữ liệu này đến từ các camera giám sát tại Việt Nam. Dữ liệu được nhóm này đem bán là các cảnh quay video sinh hoạt từ phòng ngủ của các gia đình, hình ảnh các cô gái thay đồ trong phòng ngủ, tại các cửa hàng quần áo hay các studio livestreams, chụp ảnh, cảnh quay tại các spa làm đẹp các bộ phận “nhạy cảm” của chị em... Điều nguy hiểm là các dữ liệu này liên tục được cập nhật mới để rao bán.
Một chuyên gia trong lĩnh vực thiết kế camera trao đổi với truyền thông đã từng cho biết, thực trạng an toàn thông tin, bảo mật trên thị trường camera giám sát tại Việt Nam rất đáng báo động. Điều này là do phần lớn thiết bị có nguồn gốc, xuất xứ từ nước ngoài, dữ liệu thu thập được từ camera giám sát ngoại được lưu trữ tại các máy chủ nước ngoài. Việc các thiết bị đều có các giao thức kết nối với máy chủ thông qua mạng Internet là nguy cơ, rủi ro khi bị tấn công gây mất an toàn thông tin, lộ, lọt dữ liệu. “Các thiết bị nhập khẩu không có đơn vị đánh giá an toàn thông tin trước khi đưa vào sử dụng, không có tiêu chí bắt buộc để bảo đảm an toàn thông tin mạng đối với các nhà sản xuất và nhập khẩu thiết bị. Người dùng vẫn còn chủ quan, chưa có kiến thức về việc đặt mật khẩu mạnh, bảo mật thông tin người dùng dẫn đến dễ bị hacker tấn công và khai thác thông tin”, theo vị chuyên gia này.
 |
Bộ tiêu chí về yêu cầu an toàn thông tin mạng cho camera giám sát có ý nghĩa quan trọng với các doanh nghiệp camera giám sát trên thị trường Việt Nam. (Ảnh minh họa - Nguồn: TKL) |
Xây dựng quy chuẩn kỹ thuật quốc gia cho camera giám sát
Trước thực tế này, việc sớm ban hành tiêu chuẩn an toàn thông tin mạng cơ bản cho camera giám sát là rất cần thiết và đây cũng là nội dung quan trọng của cuộc tọa đàm “Tiêu chuẩn an toàn thông tin mạng cơ bản cho camera giám sát” do Cục An toàn thông tin, Bộ TT&TT phối hợp tổ chức.
Tại tọa đàm, ông Vũ Ngọc Sơn - Trưởng ban Công nghệ, Hiệp hội An ninh mạng quốc gia cho biết, trên thế giới đã có những vụ tấn công vào camera rất lớn. Ở Việt Nam, tuy chưa ghi nhận vụ việc lớn nhưng báo động tình trạng nguy cơ mất an toàn thông tin từ camera. “Chẳng hạn, số camera có mật khẩu yếu, mật khẩu mặc định chiếm tỷ lệ hơn 70%. Năm 2023, tin tặc rao bán 800.000 đồng quyền truy cập 15 camera. Số lượng camera được rao bán quyền truy cập lên tới hàng trăm nghìn”, theo ông Sơn.
Điều đáng nói là xu hướng sử dụng camera giám sát ngày càng phổ biến tại Việt Nam. Camera giám sát không chỉ được sử dụng tại các hộ gia đình mà là thành phần quan trọng trong hệ thống Chính phủ điện tử, chính quyền số và thành phố thông minh, giúp giám sát giao thông, an ninh trật tự... Trong khi đó, hầu hết người dùng đều thiếu kỹ năng và nhận thức từ khâu chọn camera có xuất xứ rõ ràng, có công bố nơi lưu trữ video và có chính sách bảo mật dữ liệu rõ ràng, cho tới việc đổi mật khẩu ngay khi được bàn giao, thường xuyên theo dõi, cập nhật bản vá phần mềm. Tương tự, các cơ quan, tổ chức sử dụng camera giám sát cũng ít quan tâm đến quy định, quy trình bảo đảm an ninh cho camera (mật khẩu, phân quyền, vị trí lắp, lưu trữ video…); đánh giá định kỳ hệ thống camera an ninh; cập nhật thường xuyên các bản vá lỗi…
 |
Xây dựng quy chuẩn kỹ thuật quốc gia cho camera giám sát không chỉ bảo đảm an ninh an toàn thông tin dữ liệu của người dùng Việt Nam, mà còn là an toàn an ninh của đất nước. (Nguồn: TKL) |
Chính vì thế, thời gian vừa qua, nhiều trường hợp hình ảnh đời tư của những nhân vật nổi tiếng đã bị đưa lên mạng xã hội do lộ, lọt từ camera giám sát trong chính ngôi nhà của họ. Bên cạnh đó, camera giám sát sử dụng cho các hệ thống công cộng và chính quyền, nếu không đáp ứng được những tiêu chuẩn, sẽ tiềm ẩn nguy cơ mất an toàn an ninh quốc gia. “Các thiết bị nhìn rất đơn giản nhưng có thể là thiết bị gián điệp, có hệ điều hành, có phần mềm, có ghi âm, có hình ảnh, có thể gửi các thông tin của người dùng ra ngoài và nguy cơ mất an toàn rất nghiêm trọng, cần phải kiểm soát”, ông Nguyễn Việt Bằng, Phó Tổng Giám đốc Công ty Công nghệ thông tin VNPT (VNPT Technology) nhấn mạnh.
Trong bối cảnh có quá nhiều camera lưu hành không rõ nguồn gốc, lưu trữ dữ liệu người dùng Việt Nam ở nước ngoài và không có tiêu chuẩn bảo đảm an toàn thông tin cho người dùng, Bộ TT&TT ban hành Bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát. Đây là các khuyến nghị và yêu cầu kỹ thuật an toàn thông tin mạng cơ bản, áp dụng với các tổ chức, cá nhân Việt Nam và nước ngoài có liên quan đến hoạt động nghiên cứu, phát triển, sản xuất, đánh giá, lựa chọn và sử dụng thiết bị camera. Theo đó, các thiết bị camera giám sát sử dụng giao thức mạng sẽ phải có tài liệu hướng dẫn sử dụng sản phẩm cho người dùng, đồng thời có khả năng quản lý xác thực và quản lý lỗ hổng bảo mật, có khả năng thực hiện việc cập nhật và quản lý phiên an toàn nhằm bảo đảm tuân thủ quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân.
Theo đánh giá của các chuyên gia, việc Bộ TT&TT ban hành Bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát có ý nghĩa quan trọng và “là bước đi sáng suốt”, bởi đây là tiền đề để các doanh nghiệp tham gia sản xuất, nhập khẩu và kinh doanh sản phẩm, thiết bị camera giám sát trên thị trường Việt Nam triển khai rà soát, đánh giá lại một cách tổng thể các nguy cơ mất an toàn thông tin đối với các sản phẩm, thiết bị camera do đơn vị mình cung cấp. Các yêu cầu mà bộ tiêu chí đưa ra hết sức chi tiết và có tính khả thi cao, giúp các doanh nghiệp sản xuất sản phẩm camera chuẩn hóa và đảm bảo an ninh an toàn thông tin dữ liệu của người dùng Việt Nam, xa hơn nữa là an toàn an ninh của đất nước. Các tiêu chí an ninh, an toàn cũng sẽ giúp duy trì niềm tin số cho người sử dụng Việt Nam.
Theo Phó Cục trưởng phụ trách Cục An toàn thông tin ông Trần Đăng Khoa, sau khi ban hành Bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát, Bộ TT&TT xây dựng quy chuẩn kỹ thuật quốc gia cho thiết bị camera giám sát. Dự kiến, quy chuẩn này sẽ được ban hành trong năm 2024. Khi đó, tất cả camera được sản xuất ở Việt Nam và camera nhập khẩu, bắt buộc phải được kiểm định, chứng nhận hợp quy mới đủ điều kiện đưa ra thị trường…
“Năm 2020, theo khảo sát, hơn 70% camera có mật khẩu yếu, mật khẩu mặc định tại Việt Nam. Năm 2023, tin tặc (hacker) rao bán quyền truy cập camera tại Việt Nam, chi phí khoảng 800.000 đồng để tiếp cận 15 camera và số lượng camera được rao bán lên tới hàng trăm nghìn chiếc. Nguyên nhân dẫn đến lộ, lọt dữ liệu, thông tin qua camera chủ yếu do người dùng đặt mật khẩu yếu, sử dụng mật khẩu mặc định, sử dụng tài khoản email, mạng xã hội để quản trị camera; không đổi mật khẩu khi nhận bàn giao từ kỹ thuật viên. Camera có lỗ hổng bảo mật của phần mềm hoặc phần cứng chưa được phát hiện (zeroday), không được cập nhật bản vá lỗ hổng. Ngoài ra, thông tin có thể bị lộ, lọt khi server, cloud có lỗ hổng bảo mật, hacker tấn công vào server, camera được phân quyền tiếp cận không chặt chẽ” - thông tin tại tọa đàm “Tiêu chuẩn an toàn thông tin mạng cơ bản cho camera giám sát”.
