Giải pháp nào đảm bảo an toàn dữ liệu cho hàng triệu camera giám sát?
(PNTĐ) - Đó là nội dung chính được đặt ra tại Tọa đàm “Tiêu chuẩn an toàn thông tin mạng cơ bản cho camera giám sát” do Cục An toàn thông tin (Bộ TT&TT) phối hợp với báo VietNamNet tổ chức sáng 22/5 tại Hà Nội. Tọa đàm có sự tham dự của ông Trần Đăng Khoa, Phó Cục trưởng phụ trách Cục An toàn thông tin, Bộ TT&TT, ông Võ Đăng Thiên, Phó Tổng biên tập báo VietNamNet và đông đảo chuyên gia an ninh mạng, đại diện các nhà sản xuất camera giám sát, các cơ quan báo chí.
Nguy cơ mất an toàn dữ liệu
Thống kê sơ bộ, trong năm 2023, quy mô thị trường camera Việt Nam đạt khoảng 175 triệu USD doanh thu, tương ứng 6 triệu camera. Hiện ước tính có 15 triệu camera đang sử dụng. Trong đó, hai thương hiệu lớn nhất cùng các công ty con đến từ Trung Quốc chiếm trên 80% thị trường, số còn lại thuộc về các hãng khác, trong đó có một số nhà sản xuất của Việt Nam.
Theo các chuyên gia an ninh mạng, camera là sản phẩm rất nhạy cảm, được lắp đặt ở mọi nơi, thậm chí cả những nơi hạn chế ra vào, cần độ bảo mật cao..., lại hoạt động gần như 24/24 giờ nên tiềm ẩn nhiều nguy cơ lộ lọt thông tin. Đặc biệt, khi các camera đang có xu thế tương tác trực tiếp với người dùng qua ứng dụng di động, thông tin được đẩy lưu trữ trên đám mây (cloud).
Thực tế, đa số dòng camera hoạt động theo cơ chế cloud, kết nối về server đặt tại Trung Quốc và người dùng ở Việt Nam buộc phải sử dụng phần mềm của nhà cung cấp qua server (máy chủ) của họ (đặt ở nước ngoài) trước khi kết nối vào camera của mình. Việc thông tin đi vòng qua cloud mà server đặt ngoài Việt Nam có khả năng dẫn tới rủi ro về lộ lọt thông tin do không có cơ chế về bảo mật. Thông tin cá nhân và các hành vi riêng tư có thể bị công khai, khai thác khi kênh truyền bị chặn hoặc server bị tấn công. Đã có không ít trường hợp dữ liệu cá nhân nhạy cảm bị phát tán trên mạng khiến nhiều người "khốn khổ", bị khủng hoảng tinh thần lâu dài...
Chuyên gia an ninh mạng Vũ Ngọc Sơn, Trưởng ban Nghiên cứu công nghệ, Hiệp hội An ninh mạng quốc gia, Giám đốc công nghệ Công ty An ninh mạng NCS, chia sẻ, năm 2014, quyền truy cập hàng nghìn camera giám sát được chia sẻ công khai trên một trang web. Đáng chú ý, một website quảng cáo có thể xem trực tuyến 730.000 camera khác nhau trên thế giới mà không cần mật khẩu, trong đó có hơn 1.000 camera tại Việt Nam. Năm 2023, tin tặc rao bán quyền truy cập camera tại Việt Nam, chi phí khoảng 800.000 đồng để tiếp cận 15 camera và số lượng camera được rao bán lên tới hàng trăm nghìn chiếc.
"Dưới góc độ an ninh mạng, có thể xem camera như máy tính, thậm chí là máy tính đặc biệt vì có thể nghe, nhìn, suy nghĩ (nếu tích hợp AI), phát hiện vật thể, không gian mà nó quan sát. Camera không bao giờ tắt, luôn online 24/24, ít được vá lỗi, gần như không được cập nhật bản vá, phần mềm diệt virus. Do đó, nếu bị tấn công sẽ không có ai bảo vệ", ông Sơn chia sẻ.
Theo ông Nguyễn Việt Bằng, Phó tổng giám đốc Công ty Công nghệ thông tin VNPT (VNPT Technology), người dân có thói quen sử dụng camera không rõ nguồn gốc, đối diện với nguy cơ mất an toàn thông tin. "Các thiết bị camera giám sát nhìn rất đơn giản nhưng có thể là thiết bị gián điệp, có hệ điều hành, có phần mềm, có ghi âm, có hình ảnh, có thể gửi các thông tin của người dùng ra ngoài và nguy cơ mất an toàn rất nghiêm trọng, cần phải kiểm soát", ông Bằng nói.
Sẽ sớm xây dựng, bổ sung các quy định pháp lý mạnh về đảm bảo an toàn dữ liệu
Ông Trần Đăng Khoa, Phó Cục trưởng Cục An toàn Thông tin, Bộ TT&TT cho biết: Mới đây, Bộ TT&TT đã đưa ra tiêu chí bảo đảm an toàn thông tin dữ liệu người sử dụng cho camera giám sát. Cụ thể, bảo vệ dữ liệu cá nhân thiết bị camera và các dịch vụ liên kết có tối thiểu tính năng cho phép thiết lập, cấu hình địa điểm tại Việt Nam đối với việc xử lý, lưu trữ và khai thác dữ liệu (như trên thẻ nhớ, thiết bị ngoại vi, dịch vụ điện toán đám mây đặt tại Việt Nam...) nhằm đảm bảo tuân thủ quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân.
Trước đó, nhận thức được về nguy cơ mất an toàn thông tin từ camera giám sát, Bộ TT&TT đã tham mưu Chính phủ ban hành Chỉ thị 23/CT-TTg ngày 26/12/2022 của Thủ tướng Chính phủ về tăng cường công tác bảo đảm an toàn thông tin mạng, an ninh thông tin cho thiết bị camera giám sát. Từ nhiệm vụ được giao trong Chỉ thị, ngày 7/5 vừa qua, Bộ TT&TT đã ban hành bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát. Đây là hướng dẫn của Cục An toàn thông tin, Bộ TT&TT về yêu cầu kỹ thuật với thiết bị camera giám sát.
Trước khi bộ tiêu chí này được ban hành, khi xây dựng, Cục An toàn Thông tin đã tập trung vào mấy điểm: Thứ nhất, để một thiết bị camera an toàn, trước đây tập trung vào thiết bị camera, nhưng bây giờ thiết bị camera sử dụng cloud, nên chúng ta quy định cả thiết bị camera và các ứng dụng liên kết liên quan đến camera đó.
Thứ hai, nội hàm của bộ tiêu chí, sao cho phù hợp với Việt Nam, tập trung vào 3 điểm chính: Thứ nhất là kỹ thuật, thứ hai là quản lý và thứ ba là vấn đề nhận thức.
Việc ban hành bộ tiêu chí có ý nghĩa quan trọng, bởi đây là tiền đề để các doanh nghiệp tham gia sản xuất, nhập khẩu và kinh doanh sản phẩm, thiết bị camera giám sát trên thị trường Việt Nam, triển khai rà soát, đánh giá lại một cách tổng thể nguy cơ mất an toàn thông tin đối với sản phẩm, thiết bị camera do đơn vị mình cung cấp.
"Với bộ tiêu chí này, chúng tôi cũng đang phối hợp với các doanh nghiệp, các chuyên gia để xây dựng “Quy chuẩn kỹ thuật quốc gia về yêu cầu an toàn thông tin mạng cơ bản cho thiết bị camera giám sát", dự kiến trong năm 2024, quy chuẩn này sẽ được ban hành. Khi có quy chuẩn kỹ thuật, bắt buộc các camera được sản xuất tại Việt Nam đưa ra thị trường hay những camera nhập khẩu từ nước ngoài vào Việt Nam sẽ buộc phải được kiểm định, đánh giá, được chứng nhận hợp quy, đáp ứng các yêu cầu đó thì mới được đưa ra thị trường Việt Nam, để cung cấp cho người sử dụng. Khi đó, chúng ta sẽ cơ bản giải quyết được vấn đề an toàn thiết bị camera giám sát", ông Khoa nói.
Đánh giá về bộ tiêu chí, ông Nguyễn Đức Quý, Tổng Giám đốc Vconnex cho rằng, bộ tiêu chí có ý nghĩa như “hồi chuông cảnh tỉnh” về rủi ro mất an toàn thông tin và dữ liệu, trước đây đã được đề cập nhiều nhưng chưa có hành động cụ thể. Đầu tiên là người dùng bắt đầu quan tâm, rà soát và nâng cao ý thức về an toàn thông tin. Tiếp đến, bộ tiêu chí cũng có ý nghĩa với các nhà sản xuất camera như Vconnex, khi đóng vai trò là những động lực ban đầu, dù không phải chính thức nhưng sẽ giúp doanh nghiệp Việt Nam phát huy năng lực tự chủ công nghệ.
Bộ tiêu chí cũng là tiền đề để đảm bảo an ninh quốc gia. Việc 90% trong số hơn 10 triệu camera tại Việt Nam có nguồn gốc và có kết nối ra nước ngoài đang đặt ra nhiều rủi ro về an toàn dữ liệu và thông tin. Nguyên nhân dẫn đến hiện trạng này là do chúng ta chưa có các nền tảng quản lý mở đặt máy chủ tại Việt Nam.
"Để giải quyết triệt để và tận gốc, chúng ta cần làm chủ từ phần cứng cho đến nền tảng. Nếu chỉ tập trung sản xuất phần cứng camera, làm chủ firmware nhưng vẫn sử dụng nền tảng kết nối nước ngoài, thì dữ liệu vẫn sẽ ra bên ngoài mà không ở Việt Nam. Từ đó, đặt ra yêu cầu cần có bộ quy chuẩn cho các nền tảng quản lý mở này. Cuối cùng, các doanh nghiệp nội địa tự chủ thường gặp nhiều thách thức trong cạnh tranh. Chúng ta sẽ thua ngay trên sân nhà nếu người tiêu dùng vẫn lựa chọn camera trôi nổi trên thị trường vì lý do giá thành và chất lượng. Do đó, cần thiết phải có các chính sách hỗ trợ đủ mạnh để các doanh nghiệp trước mắt có thể tồn tại trong nước, trước khi tính đến chuyện vươn ra biển lớn", ông Quý nói./.
