Theo thống kê của các doanh nghiệp trong lĩnh vực camera giám sát, 90% sản phẩm camera giám sát tại Việt Nam nhập khẩu từ Trung Quốc theo đường chính ngạch và tiểu ngạch. Thống kê thị trường camera tại Việt Nam năm 2023 đạt doanh thu khoảng 175 triệu USD. Trong đó, 2 thương hiệu Dahua, Hikvision và các công ty con chiếm đến 90%.
Các chuyên gia bảo mật đánh giá camera là sản phẩm rất nhạy cảm, tiềm ẩn nhiều nguy cơ lộ lọt thông tin. Đặc biệt, khi các camera đang có xu thế tương tác trực tiếp với người dùng qua ứng dụng di động, thông tin được đẩy lưu trữ trên đám mây (cloud).
Thậm chí, một số dòng camera hoạt động theo cơ chế cloud, kết nối về server đặt tại Trung Quốc và người dùng ở Việt Nam phải "vòng" qua server này trước khi kết nối vào camera của mình.
Việc thông tin đi vòng qua cloud mà máy chủ (server) đặt ngoài Việt Nam có khả năng dẫn tới rủi ro về lộ lọt thông tin do không có cơ chế về bảo mật. Thông tin cá nhân và các hành vi riêng tư có thể bị công khai, khai thác khi kênh truyền bị chặn hoặc server bị tấn công.
Camera an ninh đang rất mong manh
Tại tọa đàm "Tiêu chuẩn an toàn thông tin mạng cơ bản cho camera giám sát" diễn ra vào ngày 22/5, ông Vũ Ngọc Sơn - Trưởng ban Công nghệ Hiệp hội An ninh mạng quốc gia, Giám đốc kỹ thuật công ty NCS đã chia sẻ góc nhìn về các nguy cơ mất an toàn thông tin từ thiết bị camera giám sát.
Ông Sơn dẫn chứng trên thế giới đã có nhiều vụ tấn công vào hệ thống camera lớn. Năm 2023, hàng trăm nghìn camera của Hikvision bị tấn công thông qua lỗ hổng cũ từ năm 2021. Năm 2021, 150 ngàn camera Verkada của Mỹ trang bị trong các phòng tập, nhà tù, bệnh viện, nhà máy Tesla... bị tấn công. Hacker không tấn công trực tiếp mà thông qua máy chủ quản lý camera.
Tại Việt Nam, chưa có vụ việc lớn nhưng thực trạng rất đáng báo động. Năm 2014, một website quảng cáo có thể xem trực tuyến 730 ngàn camera khác nhau trên thế giới mà không cần mật khẩu, trong đó có hơn 1.000 camera tại Việt Nam. Cho đến nay, website này vẫn tồn tại và cập nhật liên tục.
Năm 2020, theo một khảo sát của Việt Nam, số camera không được cập nhật mật khẩu lên tới 70%. Năm 2023, một số hacker rao bán quyền truy cập camera tại Việt Nam, có những hệ thống lên hơn tới 100 nghìn camera. Số tiền bỏ ra để xem cũng khiêm tốn, chỉ khoảng 800 nghìn đồng để truy cập 15 camera.
Cũng theo ông Sơn, có 6 nguyên nhân chính dẫn đến mất an toàn thông tin đối với camera. Đó là người dùng đặt mật khẩu yếu, dùng chung mật khẩu, dùng tài khoản khác để quản trị hệ thống camera như Facebook, Google...; không đổi mật khẩu khi nhận bàn giao từ kỹ thuật viên; camera có lỗ hổng zero-day; không cập nhật bản vá; máy chủ lưu trữ có lỗ hổng và bị hacker tấn công; phân quyền không chặt, chẳng hạn chia sẻ cho đơn vị thi công nhưng sau đó không thu hồi quyền.
Chuyên gia an ninh mạng này nhấn mạnh việc camera bị tấn công để lại hậu quả cho cả người dùng cá nhân lẫn cơ quan, tổ chức.
Đối với hộ gia đình, vấn đề đầu tiên là quyền riêng tư bị xâm phạm, tiếp đến là nguy cơ bị tống tiền vì những hình ảnh riêng tư, âm thanh nhạy cảm, hoặc các hành vi phạm tội khác như bị sử dụng để làm deepfake lừa đảo; cuối cùng là bị theo dõi từ xa.
Đối với các cơ quan, tổ chức, ngoài các hậu quả như người dùng cá nhân, còn có vấn đề liên quan gián điệp. Có những khu vực người thường không được vào nhưng camera vẫn được lắp nên hoạt động gián điệp đơn giản hơn nhiều là cử người vào.
Bên cạnh đó, hacker có thể truy cập hệ thống camera để xóa dữ liệu, khiến không thể truy vết được khi có sự việc nào đó xảy ra. Camera cũng là bàn đạp để hacker tấn công hệ thống khác bên trong. "Camera bản chất là một máy tính và có hệ điều hành. Một số camera tích hợp sẵn AI, đồng nghĩa hệ điều hành đạt tiến bộ nhất định, có thể cài phần mềm gián điệp," ông Sơn cho biết.
Cần mở rộng tiêu chuẩn với camera giám sát tại Việt Nam
Theo ông Sơn, về góc độ an ninh mạng, có thể xem camera như máy tính, thậm chí là máy tính đặc biệt vì có thể nghe, nhìn, suy nghĩ (nếu tích hợp AI), phát hiện vật thể, không gian mà nó quan sát. "Camera không bao giờ tắt, luôn online 24/24, ít được vá lỗi, gần như không được cập nhật bản vá, phần mềm diệt virus. Do đó, nếu bị tấn công sẽ không có ai bảo vệ," ông Sơn cho biết.
"Camera không được đối xử như máy tính. Máy tính có nhiều tiêu chuẩn, có yêu cầu xuất xứ rõ ràng nhưng camera không có nhiều tiêu chuẩn như vậy. Tôi hi vọng bộ tiêu chí mới đây của Bộ Thông tin và Truyền thông ban hành sẽ là khởi đầu cho nhiều tiêu chuẩn tiếp theo," ông Sơn nhấn mạnh.
Công bố tiêu chí an toàn thông tin mạng cơ bản cho camera giám sát
Bộ tiêu chí này được khuyến nghị áp dụng đối với các tổ chức, cá nhân Việt Nam và nước ngoài có liên quan đến hoạt động nghiên cứu, phát triển, sản xuất, đánh giá, lựa chọn và sử dụng thiết bị camera.
Tiêu chuẩn camera là rất cần thiết để có hành lang cho nhà sản xuất, cung cấp dịch vụ tại Việt Nam phải tuân theo. Tuy nhiên theo ông Sơn, camera hiện nay tương đối ít tiêu chuẩn khác với máy tính.
Chuyên gia này cũng đưa ra một số lưu ý để đảm bảo an toàn an ninh mạng khi sử dụng camera. Với người dân, cần chọn camera xuất xứ rõ ràng, công bố nơi lưu trữ video, chính sách bảo mật dữ liệu cho người dùng; đổi mật khẩu ngay khi nhận bàn giao, sử dụng xác thực hai yếu tố; chọn vị trí lắp đặt phù hợp, tránh lắp vị trí nhạy cảm, tại khu vực quan trọng bắt buộc lắp đặt camera đạt chuẩn, tránh trường hợp bị lộ lọt thông tin quan trọng, cấu hình truy cập tối thiểu; thường xuyên theo dõi, cập nhật bản vá lỗi.
Với cơ quan tổ chức, cần xem camera như máy tính đặc biệt. Đầu tiên cần có chính sách, quy trình đảm bảo an ninh. Theo ông Sơn, rất ít cơ quan tổ chức đưa camera vào quy trình: mật khẩu, phân quyền, vị trí lắp đặt, quy trình bảo quản lưu trữ dữ liệu thu thập từ camera.
Tiếp theo, Bộ Thông tin và Truyền thông đã quy định một năm ít nhất 1 lần với các hệ thống thông tin quan trọng nhưng các cơ quan, tổ chức thường bỏ quên hệ thống camera. Do đó, cần pentest (kiểm tra xâm nhập) phần cứng, phần mềm, máy chủ lưu trữ; đưa hệ thống camera vào giám sát an ninh mạng vì nếu hacker xâm nhập hệ thống camera an ninh có những nguy cơ lớn; thường xuyên cập nhật bản vá lỗ hổng. Ông Sơn cũng đề xuất các nhà sản xuất camera tại Việt Nam nghiên cứu để camera có thể tự động cập nhật.
Ông Vũ Ngọc Sơn cũng kiến nghị với Bộ Thông tin và Truyền thông nên có bộ tiêu chuẩn mở rộng hơn không chỉ với camera.
"Chúng ta đang có những loại tivi sở hữu cảm biến hình ảnh để theo dõi người dùng có chú ý đến các chương trình hay không; kiốt thông tin đặt ở bệnh viện, nơi công cộng để tra cứu thông tin trên đó có camera hay thậm chí màn hình quảng cáo trong thang máy lắp cảm biến hình ảnh. Chúng ta chưa coi cảm biến hình ảnh trong các thiết bị trên là camera thì sẽ còn nguy cơ lộ lọt thông tin. Chính vì vậy, tôi đề xuất Bộ Thông tin và Truyền thông quan tâm nhiều hơn đến các thiết bị này vì nó ảnh hưởng rất lớn đến đời sống chúng ta hiện nay," ông Sơn chia sẻ./.
