Bảo đảm an toàn thông tin mạng cho camera giám sát của Việt Nam

Camera giám sát ngày càng được ứng dụng rộng rãi để góp phần cho công tác quản lý, điều hành, đảm bảo an toàn, an ninh. Tuy nhiên với sự phát triển của camera giám sát có kết nối Internet (thiết bị IoT), bài toán ngăn ngừa, phòng tránh nguy cơ, rủi ro đối với camera giám sát để bảo đảm an toàn thông tin (ATTT) mạng là vấn đề quan trọng cần được quan tâm đúng mức.

Camera được sử dụng để giám sát lần đầu tiên vào những năm 1942 tại Đức để theo dõi hoạt động phóng tên lửa. Ban đầu thiết bị chưa có khả năng ghi dữ liệu, do vậy phải có con người ngồi giám sát thường xuyên. Thời điểm này camera cũng chưa có kết nối Internet. Năm 1996 các thiết bị camera có kết nối Internet mới xuất hiện cho phép gửi nhận dữ liệu qua mạng.

Tại Việt Nam, hiện nay việc giám sát hình ảnh vật lý từ xa thông qua các camera giám sát có kết nối mạng được các cơ quan, tổ chức và người dân sử dụng rất phổ biến. Tuy nhiên, khi triển khai lắp đặt, chủ sở hữu cũng như đơn vị vận hành thường không quan tâm nhiều đến việc bảo đảm an toàn thông tin cho hệ thống camera giám sát. Mặt khác, chính bản thân nhiều thiết bị camera cũng tồn tại nhiều nguy cơ mất an toàn thông tin.

Theo đánh giá của các nhà chuyên môn, việc các thiết bị camera bị kiểm soát nguy hiểm hơn gấp nhiều lần việc các thiết bị có kết nối mạng khác. Do các thiết bị mạng khác chỉ ghi lại được những hoạt động trên mạng, còn camera thì có thể ghi lại được các hoạt động thực tế đã và đang diễn ra ngoài đời thực. Những hình ảnh nếu được thu thập trên diện rộng sẽ phản ánh rất chân thực toàn bộ đời sống chính trị, kinh tế xã hội của đất nước.

Vấn đề an toàn, an ninh thông tin liên quan đến thiết bị camera giám sát đang trở thành một vấn đề nhức nhối trong xã hội. Thực tế trong thời gian vừa qua, tại Việt Nam đã xảy ra nhiều vụ lộ lọt thông tin cá nhân, dữ liệu hình ảnh camera riêng tư bị thu thập trái phép và tung lên mạng xã hội gây bất an cho người sử dụng và làm ảnh hưởng không nhỏ đến an toàn, an ninh xã hội.

Tình hình sử dụng camera giám sát và nguy cơ mất an toàn, an ninh thông tin mạng

Theo báo của HIS Markit đến cuối năm 2021, thế giới có khoảng 1 tỷ camera giám sát được sử dụng [1]. Các nghiên cứu gần đây đã chỉ ra rằng các hệ thống, thiết bị camera giám sát phần lớn sử dụng vi xử lý chạy hệ điều hành nên vận hành như máy tính kết nối Internet tốc độ cao, cho phép truy nhập từ xa, tiềm ẩn nhiều điểm yếu, lỗ hổng bảo mật có thể dễ dàng bị khai thác, cài đặt phần mềm độc hại, chiếm đoạt dữ liệu, thông tin cá nhân. Bên cạnh đó thì camera giám sát cũng là một loại thiết bị IoT cần có kết nối về các hệ thống máy chủ để nâng cấp phần mềm, cập nhật bản vá, đặc biệt là các bản vá an toàn thông tin mạng, bảo hành, bảo trì khi cần.

Các nguy cơ mất an toàn, an ninh thông tin mạng liên quan đến camera giám sát phải kể đến là:

- Các thiết bị camera giám sát rất dễ dàng bị khai thác, xâm nhập và chiếm quyền điều khiển. Hậu quả là thông tin, dữ liệu của người dùng có thể bị thu thập trái phép, sau đó được sử dụng cho các mục đích lừa đảo và chiếm đoạt tài sản, gây ảnh hưởng đến uy tín, danh dự của cá nhân, tổ chức.

- Thiết bị camera bị chiếm quyền điều khiển và sử dụng cho các cuộc tấn công mạng, phát tán các chương trình, phần mềm độc hại lây lan trong các hệ thống thông tin hay góp phần tạo ra các mạng máy tính ma (IP botnet)...

Một thực trạng đáng báo động là theo thống kê của B&Company trong năm 2021, hơn 95% số camera giám sát được sử dụng tại Việt Nam có nguồn gốc xuất xứ từ nước ngoài, chủ yếu là Trung Quốc [2]. Các thiết bị này đều có giao thức, mã kết nối trong phần mềm để trao đổi thông tin với máy chủ tại nước ngoài. Đây chính là nguy cơ, rủi ro thiết bị bị cài cắm mã độc và phần mềm gián điệp gây mất an toàn, an ninh thông tin.

Các sản phẩm camera giám sát chưa được kiểm tra, đánh giá ATTT mạng trước khi đưa vào vận hành khai thác cũng như đánh giá ATTT mạng định kỳ hàng năm theo quy định. Nguy cơ này có thể bị các tổ chức và cá nhân lợi dụng các thiết bị camera giám sát gây mất an toàn, an ninh thông tin mạng, lộ, mất bí mật nhà nước tại các cơ quan, tổ chức, có thể gây ra các hoạt động xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội.

Một số ví dụ điển hình

Theo số liệu trên trang Insecam, có hơn 10.000 camera giám sát trên toàn thế giới đang bị theo dõi, trực tiếp và chia sẻ công khai hàng ngày trên mạng. Việt Nam có khoảng 300 camera giám sát tại tất cả tỉnh, thành phố, từ các nhà trẻ, nhà xưởng, cá biệt có cả hình ảnh từ các văn phòng, công sở. Không chỉ có hình ảnh bị chia sẻ mà vị trí tọa độ trên bản đồ, và kể cả tên đăng nhập, mật khẩu của camera giám sát cũng có thể bị đưa lên đây [3].

Năm 2016, trang tin tức lớn của dịch vụ chống DDoS rất nổi tiếng trên thế giới và đang được nhiều website sử dụng Cloudfare đưa tin chi tiết việc nhiều camera an ninh ở Việt Nam bị lợi dụng để tấn công DDoS. Theo thống kê của Cloudfare, trong số 10.000 request ngẫu nhiên Việt Nam đứng thứ 2 sau Ukraine về việc bị lợi dụng tấn công DDoS. Nguồn gốc của vụ tấn công này đến từ các thiết bị camera giám sát là các thiết bị chứa nhiều lỗ hổng và dễ dàng bị khai thác [4].

Năm 2020, vụ hack camera chấn động Singapore, khiến hơn 50.000 nạn nhân bao gồm cả trẻ em, ảnh nóng đăng bán công khai trên web đen. Năm 2021, Hoa Kỳ đã để lộ hình ảnh giám sát của 150.000 camera giám sát tại các trường học, cơ sở y tế, bệnh viện [5].

Các vụ lộ lọt nổi tiếng của Việt Nam phải kể đến như vụ một ca sĩ nổi tiếng đã bị lộ clip riêng tư từ thiết bị camera an ninh trong chính gia đình mình; hay sự cố video clip bà mẹ "hotgirl" Hải Phòng lộ hình ảnh nhạy cảm tại phòng ngủ cũng gây xáo động cộng đồng mạng. Không những thế, trong thời gian gần đây các hội nhóm trên mạng xã hội còn công khai chia sẻ, rao bán (thu phí) và phát tán những hình ảnh tế nhị bị lộ thông qua hệ thống camera gia đình gây bức xúc và bất bình trong xã hội [6].

Nguyên nhân của việc mất ATTT

Một trong các nguyên nhân chủ yếu nhất dẫn đến tình trạng mất an toàn, an ninh thông tin mạng là do các sản phẩm, thiết bị camera giám sát trên thị trường hiện nay chưa đáp ứng đầy đủ các tiêu chuẩn, quy chuẩn kỹ thuật đảm bảo ATTT mạng. Hơn nữa, do chủ yếu camera giám sát sử dụng tại Việt Nam có nguồn gốc xuất xứ từ nước ngoài nên chưa được kiểm tra, đánh giá ATTT mạng theo quy định.

Một nguyên nhân quan trọng khác của tình trạng mất an toàn, an ninh thông tin mạng đến từ người dùng trong hầu hết các khu vực từ hộ gia đình, các doanh nghiệp (DN) tới các cơ quan, tổ chức nhà nước chưa có ý thức cao trong việc bảo vệ an toàn cho mình. Từ đó, họ dễ dàng trở thành nạn nhân, đồng thời có thể bị lợi dụng cho những mục đích xấu. Một bộ phận không nhỏ người dùng tại Việt Nam chưa quan tâm đến vấn đề ATTT mạng liên quan đến các thiết bị camera giám sát, thậm chí còn phó mặc cho các đơn vị lắp đặt, triển khai. Nhiều người dùng chưa có kỹ năng sử dụng camera giám sát một cách an toàn, chẳng hạn vẫn tiếp tục sử dụng mật khẩu mặc định của nhà sản xuất, hay đặt mật khẩu yếu, dễ đoán...

Ngoài ra, nguy cơ mất an toàn, an ninh thông tin mạng cũng có nguyên nhân từ các cơ quan chủ quản hệ thống thông tin sử dụng camera giám sát. Việc bảo vệ hệ thống thông tin theo cấp độ chưa được quan tâm đúng mức. Với nguồn lực hạn chế, nhiều cơ quan, tổ chức không đảm bảo đáp ứng nguồn nhân lực và kinh phí bảo đảm an toàn cho hệ thống thông tin có sử dụng camera giám sát.

Quản lý thiết bị IoT, camera giám sát từ kinh nghiệm quốc tế

Châu Âu: châu Âu là khu vực quan tâm rất sớm đến việc đảm bảo ATTT mạng cho các thiết bị IoT, trong đó camere giám sát là thiết bị quan trọng. Tháng 6/2020, Viện Tiêu chuẩn châu Âu đã ban hành tiêu chuẩn ETSI EN 303 645 “ATTT mạng cho IoT tiêu dùng: Các yêu cầu cơ bản” trong đó đưa ra các yêu cầu ATTT mạng tối thiểu đối với các sản phẩm, thiết bị IoT.

Vương quốc Anh

Ở cấp độ quốc gia, Vương quốc Anh là quốc gia đầu tiên quan tâm đến ATTT mạng cho IoT với nhiều sáng kiến tích cực, từ ban hành các hướng dẫn đến bộ quy tắc và tới đây là luật áp dụng bắt buộc đối với các thành phần tham gia phát triển IoT tại Vương quốc Anh. Vương quốc Anh hiện đang hướng đến áp đặt một quy tắc bắt buộc, trong đó đưa ra các điều luật yêu cầu các nhà sản xuất phải cung cấp các tính năng bảo mật phù hợp trong mọi thiết bị có thể kết nối với Internet. Vương quốc Anh hướng đến yêu cầu các sản phẩm IoT phải đáp ứng các yêu cầu bảo mật tối thiểu sau:

- Không có mật khẩu mặc định dùng chung trong các sản phẩm IoT. Mật khẩu thiết bị IoT phải là duy nhất, không thể đặt lại thành bất kỳ giá trị mặc định chung nào của nhà sản xuất và không dễ đoán.

- Thực hiện chính sách công bố lỗ hổng bảo mật, bao gồm một lộ trình minh bạch, dễ tiếp cận đối với người tiêu dùng để báo cáo mọi lỗ hổng bảo mật hoặc các vấn đề khác liên quan đến tính bảo mật của các sản phẩm IoT. - Cung cấp “thời hạn hỗ trợ quy định”, tức là minh bạch về khoảng thời gian tối thiểu mà sản phẩm IoT sẽ nhận được các bản cập nhật bảo mật.

Các nhà sản xuất và phân phối có nghĩa vụ bảo đảm tất cả các thiết bị IoT được bán tại Vương quốc Anh phải đáp ứng các yêu cầu bảo mật, duy trì hồ sơ kỹ lưỡng về sự tuân thủ và hợp tác đầy đủ với cơ quan quản lý.

Chính phủ Vương quốc Anh đề xuất chỉ định một cơ quan quản lý để giám sát tuân thủ. Các đề xuất đã đưa ra phạm vi quyền hạn thực thi dân sự thông thường, chẳng hạn như phạt tiền - có khả năng lên tới 4% doanh thu hàng năm trên toàn thế giới (đây là mức tiền phạt cao theo Luật bảo vệ dữ liệu chung (GDPR)) của EU - và tịch thu, đình chỉ, thu hồi sản phẩm. Trong trường hợp tiếp tục không tuân thủ, có thể áp dụng các biện pháp trừng phạt hình sự.

Phần Lan

Phần Lan bắt đầu thực hiện chương trình Gán nhãn ATTT mạng từ năm 2019. Đây là một chương trình tự nguyện với các yêu cầu dựa trên ETSI EN 303 645.

Năm 2019, Phần Lan bắt đầu thí điểm Gán nhãn ATTT mạng do chuyên gia ATTT mạng của Cơ quan Quản lý viễn thông Phần Lan (Traficom) thực hiện. Từ năm 2020, khi chương trình này thu hút nhiều đơn đăng ký, quá trình kiểm định được thực hiện bởi các công ty ATTT mạng chuyên về kiểm định bảo mật và được Traficom phê chuẩn. Sau khi bên thứ 3 thực hiện kiểm định, Traficom sẽ đánh giá quá trình kiểm định và kết quả kiểm định trước khi cấp Nhãn.

Hàng năm, Traficom đánh giá các sản phẩm và dịch vụ đã nhận được quyền sử dụng Nhãn ATTT mạng. Traficom thông báo cho Chủ sở hữu (bên nộp đơn) rằng Nhãn sắp hết hạn và cần được soát xét, nếu không soát xét thì quyền sử dụng Nhãn sẽ hết hiệu lực. Nếu không có thay đổi hoặc những thay đổi đó không ảnh hưởng đến các tính năng bảo mật của sản phẩm thì Nhãn sẽ vẫn có giá trị trong thời gian tiếp theo. Nếu có nhiều thay đổi hoặc những thay đổi đó ảnh hưởng đến các tính năng bảo mật của sản phẩm thì sản phẩm phải được kiểm định lại. 

Singapore

Vào tháng 3/2020, Cơ quan ATTT mạng Singapore (CSA) đã đưa Kế hoạch gán nhãn ATTT mạng (CLS) vào Kế hoạch tổng thể về an toàn không gian mạng của Singapore. CLS được khởi xướng như một chương trình tự nguyện và sử dụng cho các thiết bị tiêu dùng thông minh có kết nối Internet hoặc thiết bị IoT tiêu dùng.

Nhãn ATTT mạng cho biết mức độ an toàn trong các tính năng bảo mật của thiết bị thông minh, giúp người tiêu dùng đưa ra quyết định sáng suốt về thiết bị và hiểu rõ hơn về khả năng đối mặt với những rủi ro về ATTT mạng, đồng thời khuyến khích các nhà sản xuất phát triển các sản phẩm an toàn.

CLS được thực hiện theo tiêu chuẩn châu Âu ETSI EN 303 645 dựa trên những đánh giá và kiểm thử về: đáp ứng các yêu cầu an toàn cơ bản như bảo đảm mật khẩu mặc định duy nhất; tuân thủ nguyên tắc an toàn từ khâu thiết kế; không tồn tại lỗ hổng phần mềm phổ biến; có khả năng chống lại các kiểm thử xâm nhập cơ bản. CLS được chia thành 4 mức độ an toàn tương ứng với 4 cấp độ đánh giá khác nhau. Mỗi cấp độ đánh giá, được thực hiện theo trình tự, phản ánh độ bền vững tăng dần của sản phẩm trước các cuộc tấn công cơ bản thường gặp.

Nhãn ATTT mạng có hiệu lực trong vòng 3 năm nếu nhà sản xuất tiếp tục cung cấp các bản cập nhật bảo mật cho sản phẩm. CSA sẽ lưu lại danh sách các sản phẩm được chấp thuận. Trong trường hợp sản phẩm không còn đáp ứng yêu cầu của Nhãn, CSA sẽ yêu cầu nhà sản xuất khắc phục tình trạng này, hoặc hủy bỏ hay xem xét lại Nhãn.

Hoa Kỳ

Ngày 4/12/2020, Tổng thống Donal Trump đã ký ban hành luật H.R. 1668 “Cải thiện ATTT mạng IoT 2020” nhằm quản lý các thiết bị do Chính phủ Liên bang mua sắm. Trước đó, hai bang California và Oregon cũng đã có luật cho IoT. Luật SB-327 của bang California và Luật IoT của bang Oregon có hiệu lực từ tháng 1/2020 cấm bán các thiết bị không có các biện pháp bảo mật cơ bản.

Luật H.R. 1668 tập trung vào 5 điều khoản chính sau:

- Các tiêu chuẩn và hướng dẫn an toàn cho các cơ quan trong việc sử dụng và quản lý thiết bịIoT.

- Hướng dẫn quy trình công bố lỗ hổng bảo mật liên quan đến hệ thống thông tin (có thiết bị IoT).

- Thực hiện phối hợp công bố lỗ hổng bảo mật liên quan đến hệ thống thông tin của cơ quan Chính phủ (có thiết bị IoT).

- Nhà thầu tuân thủ quy định về phối hợp công bố lỗ hổng bảo mật liên quan đến thiết bị IoT của cơ quan Chính phủ.

- Cơ quan kiểm toán Chính phủ báo cáo về các vấn đề an toàn thông tin mạng phát sinh do sử dụng cùng lúc các thiết bị, mạng, và hệ thống công nghệ thông tin, IoT và công nghệ vận hành.

Qua nghiên cứu, tham khảo kinh nghiệm quốc tế có thể thấy, để đảm bảo ATTT mạng cho các thiết bị IoT nói chung và camera nói riêng cần sự “vào cuộc” của tất cả các thành phần tham gia vào chuỗi cung ứng (từ nhà sản xuất, nhà phân phối đến người dùng), các cơ quan, tổ chức, các cơ quan chức năng liên quan, và cả cộng đồng.

Giải pháp đề xuất cho Việt Nam

Từ kinh nghiệm quốc tế trong việc đảm bảo ATTT mạng cho thiết bị IoT, có thể thấy, cách tiếp cận phổ biến trên thế giới hiện nay đối với các thiết bị IoT nói chung và camera giám sát nói riêng là “an toàn từ khâu thiết kế”. Tức là thiết bị camera khi được cung cấp ra thị trường phải đảm bảo đáp ứng các tiêu chí, tiêu chuẩn về ATTT mạng. Việc thúc đẩy công bố áp dụng các tiêu chí, tiêu chuẩn an toàn thông tin mạng trong sản xuất thiết bị và quản lý ATTT mạng liên quan đến việc triển khai các thiết bị này. Tuy nhiên để thực hiện hiệu quả, giải quyết các vấn đề về bảo đảm ATTT cho camera giám sát cần thực hiện đồng bộ các giải pháp từ chính sách, đến kỹ thuật và con người như sau:

Thứ nhất, hoàn thiện quy định về tiêu chuẩn ATTT mạng cho thiết bị camera giám sát. Ngày 31/5/2021, Bộ TT&TT đã ban hành Quyết định số 736/QĐ-BTTTT về Danh mục yêu cầu bảo đảm ATTT mạng cho thiết bị IoT tiêu dùng.

Theo đó, Bộ TT&TT đưa ra 13 yêu cầu về ATTT mạng cho thiết bị IoT tiêu dùng. Cụ thể: Không sử dụng mật khẩu mặc định dùng chung; Triển khai biện pháp quản lý báo cáo về các lỗ hổng bảo mật; Bảo đảm phần mềm trên thiết bị luôn được cập nhật; Lưu trữ an toàn các tham số bảo mật nhạy cảm; Sử dụng các giao tiếp kết nối an toàn; Hạn chế tối thiểu các bề mặt cho phép tấn công, khai thác; Bảo đảm ATTT dữ liệu cá nhân...Các tiêu chí này, cũng sẽ giúp các nhà sản xuất, các nhà quản lý có căn cứ để đánh giá, kiểm tra trước khi đưa thiết bị vào sử dụng, vận hành và khai thác. Việc này sẽ hạn chế được các rủi ro mất ATTT đối với các thiết bị IoT nói chung và camera giám sát nói riêng.

Tuy nhiên, quy định trên chỉ mang tính khuyến nghị chưa đầy đủ các tính chất bắt buộc để yêu cầu các nhà sản xuất, kinh doanh, nhập khẩu tuân thủ hoàn toàn. Vì vậy, Chính phủ cần đưa ra các chính sách, quy định có khả năng điều chỉnh có đầy đủ pháp lý, siết chặt quản lý, tăng cường công tác thanh tra, kiểm tra hoạt động sản xuất, kinh doanh, nhập khẩu thiết bị camera giám sát.

Để có căn cứ cho các bên liên quan triển khai thực hiện, Bộ TT&TT và các đơn vị liên quan cũng cần sớm ban hành các tiêu chuẩn, quy chuẩn kỹ thuật quốc gia về yêu cầu ATTT mạng cho thiết bị camera giám sát.

Thứ hai, thực hiện nghiêm công tác kiểm tra, đánh giá ATTT đối với camera giám sát trước khi đưa vào sử dụng.

Để đảm bảo an toàn đối với hệ thống thông tin sử dụng camera giám sát tại các cơ quan, tổ chức tại Việt Nam, chúng ta phải yêu cầu các cơ quan, tổ chức, doanh nghiệp nhà nước khi đầu tư, mua sắm các hệ thống, thiết bị camera giám sát cần thực hiện kiểm tra, đánh giá ATTT theo quy định hiện hành. Trong quá trình triển khai, vận hành cần thiết lập cấu hình an toàn phù hợp và giám sát, kiểm tra, đánh giá ATTT mạng định kỳ.

Thứ ba, đẩy mạnh công tác tuyên truyền nâng cao nhận thức người dùng.

Nhận thấy ý thức người dùng camera giám sát cũng là một trong những nguyên nhân làm gia tăng tình trạng mất an toàn, an ninh thông tin mạng, chúng ta cần có biện pháp tăng cường công tác tuyên truyền, nâng cao nhận thức và trách nhiệm của tổ chức, cá nhân về bảo đảm ATTT mạng cho hệ thống, thiết bị camera giám sát; đào tạo, tập huấn cho các cán bộ kỹ thuật triển khai, vận hành an toàn cho hệ thống, thiết bị camera giám sát; xây dựng và ban hành hướng dẫn bảo đảm ATTT mạng cho người dùng sử dụng thiết bị camera giám sát.

Thứ tư, thúc đẩy sản phẩm camera giám sát “Make in Viet Nam”.

Để bảo đảm ATTT mạng cần phải làm chủ công nghệ, chúng ta không thể an toàn nếu chỉ sử dụng sản phẩm, công nghệ của nước ngoài. Vì vậy Việt Nam cần sớm có các giải pháp thúc đẩy phát triển sản phẩm camera giám sát “Make in Viet Nam” đáp ứng được thị trường trong nước. Đây chính là giải pháp căn cơ, giúp hạn chế tối đa nguy cơ, rủi ro mất ATTT mạng đối với các thiết bị camera giám sát hiện nay.