Hệ thống lưu trữ dữ liệu và camera giám sát phải đạt tiêu chuẩn riêng
Trong bối cảnh chuyển đổi số diễn ra sâu rộng trên mọi lĩnh vực, an ninh mạng ngày càng trở thành yếu tố then chốt gắn với bảo đảm an ninh quốc gia, trật tự an toàn xã hội và quyền lợi của tổ chức, cá nhân. Trước yêu cầu đó, Bộ Công an vừa công bố lấy ý kiến đối với 02 dự thảo Thông tư ban hành Quy chuẩn kỹ thuật quốc gia về an ninh mạng, nhằm hoàn thiện hành lang pháp lý và kỹ thuật cho các hệ thống thông tin quan trọng, phù hợp với thực tiễn quản lý hiện nay.
Theo Bộ Công an, hai dự thảo Thông tư lần này tập trung vào những lĩnh vực có mức độ rủi ro cao về an ninh mạng, bao gồm hệ thống lưu trữ tài liệu điện tử và thiết bị camera giám sát sử dụng giao thức Internet. Đây đều là các hạ tầng số được triển khai rộng rãi trong các cơ quan nhà nước, tổ chức, doanh nghiệp và cả khu vực dân cư, trong khi nguy cơ bị tấn công mạng, chiếm quyền kiểm soát, rò rỉ dữ liệu ngày càng gia tăng với thủ đoạn ngày càng tinh vi.
Hệ thống camera giám sát sẽ phải đạt được nhiều quy chuẩn kỹ thuật riêng đảm bảo vấn đề bảo mật.
Dự thảo Thông tư ban hành Quy chuẩn kỹ thuật quốc gia về an ninh mạng cho hệ thống lưu trữ tài liệu điện tử quy định các yêu cầu kỹ thuật đảm bảo an ninh mạng cho hệ thống lưu trữ tài liệu điện tử trong các cơ quan Đảng, Nhà nước. Áp dụng đối với các cơ quan, tổ chức, cá nhân có liên quan đến hoạt động quản lý, cung cấp, kinh doanh, khai thác hệ thống thuộc phạm vi điều chỉnh của quy chuẩn này.
Theo đó, dự thảo Quy chuẩn kỹ thuật quốc gia về an ninh mạng cho hệ thống lưu trữ tài liệu điện tử quy định kỹ thuật gồm 07 khoản quy định về: Yêu cầu chung; Yêu cầu đối với các loại phương tiện lưu trữ; Yêu cầu thu thập và xử lý tài liệu điện tử; Yêu cầu đối với hoạt động lưu trữ; Yêu cầu đánh giá hệ thống thông tin; Yêu cầu đối với bên thứ ba đáng tin cậy; Yêu cầu đối với nhà cung cấp dịch vụ khác.
Đối với dự thảo Thông tư ban hành Quy chuẩn kỹ thuật quốc gia về thiết bị camera giám sát sử dụng giao thức Internet - Các yêu cầu an ninh mạng cơ bản, phạm vi điều chỉnh quy định rõ dự thảo Thông tư này quy định các yêu cầu kỹ thuật về đảm bảo an ninh mạng cho thiết bị camera giám sát sử dụng giao thức Internet; áp dụng đối với tổ chức, cá nhân có liên quan về sản xuất, nhập khẩu, kinh doanh thiết bị camera sử dụng giao thức Internet.
Dự thảo Quy chuẩn kỹ thuật quốc gia về thiết bị camera giám sát sử dụng giao thức Internet - Các yêu cầu an ninh mạng cơ bản quy định kỹ thuật gồm 11 khoản quy định về: Khởi tạo mật khẩu duy nhất; quản lý lỗ hổng bảo mật; quản lý cập nhật; lưu trữ các tham số an toàn nhạy cảm; quản lý kênh giao tiếp an toàn; phòng chống tấn công thông qua các giao diện của thiết bị; bảo vệ dữ liệu người sử dụng...
Việc tổ chức lấy ý kiến rộng rãi đối với hai dự thảo Thông tư là bước quan trọng nhằm tiếp thu ý kiến từ thực tiễn quản lý, vận hành hệ thống thông tin của các bộ, ngành, địa phương, doanh nghiệp và chuyên gia. Qua đó, các quy chuẩn khi được ban hành sẽ có tính khả thi cao hơn, đáp ứng tốt yêu cầu quản lý nhà nước, đồng thời không tạo ra rào cản không cần thiết cho hoạt động sản xuất, kinh doanh và đổi mới sáng tạo.
Trong bối cảnh các mối đe dọa an ninh mạng ngày càng phức tạp, việc sớm hoàn thiện và ban hành các quy chuẩn kỹ thuật quốc gia được xem là bước đi cần thiết, góp phần xây dựng nền tảng pháp lý và kỹ thuật vững chắc cho quá trình chuyển đổi số an toàn, bền vững tại Việt Nam.
Vá lỗ hổng bảo mật của camera giám sát
Camera giám sát là thiết bị rất nhạy cảm, tiềm ẩn nhiều nguy cơ lộ lọt thông tin. Vừa qua tại Việt Nam, nhiều trường hợp hình ảnh đời tư của những nhân vật nổi tiếng bị đưa lên mạng xã hội do lộ từ camera giám sát trong chính ngôi nhà của họ. Không những vậy, camera giám sát sử dụng cho các hệ thống công cộng và chính quyền nếu không đáp ứng được những tiêu chuẩn về an toàn thông tin cũng tiềm ẩn nguy cơ mất an toàn an ninh quốc gia.
Thống kê tại thị trường Việt Nam hiện nay, hầu hết camera giám sát được nhập khẩu từ nước ngoài theo đường chính ngạch và tiểu ngạch. Các camera này thường hoạt động theo cơ chế cloud (đám mây), nghĩa là người dùng ở Việt Nam sẽ phải "vòng qua" các server ở nước ngoài trước khi kết nối vào camera của họ. Theo các chuyên gia, việc dữ liệu từ camera phải đi vòng qua các server ở nước ngoài rất dễ dẫn tới rủi ro về an toàn thông tin.
Chuyên gia bảo mật Vũ Ngọc Sơn, Trưởng ban Công nghệ Hiệp hội An ninh mạng quốc gia, Giám đốc kỹ thuật Công ty cổ phần Công nghệ an ninh mạng quốc gia (NCS) cho biết, camera hiện nay hoạt động như máy tính, nhưng về góc độ an ninh mạng còn nhiều điểm đặc biệt khác. Đó là chúng có khả năng nghe, nhìn và thậm chí suy nghĩ nhờ AI (trí tuệ nhân tạo), do vậy có thể phát hiện các vật thể, các vấn đề xảy ra trong không gian đang quan sát. Camera còn có đặc điểm là hoạt động liên tục, ít khi bị tắt hoặc được khởi động lại.
Trong khi đó, có rất nhiều vị trí, khu vực người thường không được tiếp cận, nhưng camera lại luôn hiện diện và online 24/24. Camera ít khi được cập nhật các phần mềm vá lỗi hay diệt virus, có nghĩa là nếu bị tấn công sẽ khó phát hiện trong thời gian dài. Chính vì vậy, các camera tiềm ẩn nhiều rủi ro về mất an toàn thông tin, từ đó gây ra nhiều hậu quả cho người dùng cá nhân, hộ gia đình như có thể bị theo dõi từ xa, bị xâm phạm tính riêng tư (hình ảnh, âm thanh sinh hoạt trong gia đình) và thậm chí bị tống tiền hay các hành vi phạm tội khác.
Đối với các cơ quan, tổ chức, doanh nghiệp, lỗ hổng bảo mật từ camera có thể là bàn đạp để hacker tấn công sâu vào hệ thống mạng, khiến họ bị theo dõi, gián điệp, lộ bí mật các thông tin kinh doanh, sản xuất hoặc bị xóa các dữ liệu quan trọng. Riêng với các cơ quan nhà nước thì nguy cơ từ lỗ hổng bảo mật của camera còn có thể làm lộ bí mật nhà nước.
Thực tế tại Việt Nam hiện nay, không ít hacker đang rao bán quyền truy cập các camera với hệ thống hàng trăm nghìn camera khác nhau. Giá tiền các hacker này đưa ra cũng không lớn, chỉ cần bỏ ra khoảng 800 nghìn đồng để có thể truy cập 15 camera. Có thể thấy, vấn đề về camera hiện đã tương đối mất an toàn, đòi hỏi phải nhanh chóng có cảnh báo cũng như biện pháp phản ứng phù hợp trước nguy cơ này.
Để khắc phục lỗ hổng bảo mật của camera giám sát, chuyên gia Vũ Ngọc Sơn khuyến nghị người dùng cá nhân cần chọn các loại camera có xuất xứ rõ ràng, có công bố về nơi lưu trữ cũng như đầy đủ các chính sách bảo mật dữ liệu người dùng. Bên cạnh đó, người sử dụng cá nhân cần đổi mật khẩu ngay khi bắt đầu sử dụng camera (không sử dụng mật khẩu mặc định), dùng mật khẩu mạnh và tốt nhất là xác thực hai yếu tố: chọn vị trí lắp đặt camera phù hợp, cấu hình truy cập tối thiểu; thường xuyên theo dõi, cập nhật các bản vá lỗi cho camera.
Về phía các cơ quan, tổ chức, ông Sơn kiến nghị cần có quy định, quy trình cụ thể bảo đảm an ninh, an toàn thông tin cho camera (về mật khẩu, phân quyền, vị trí lắp đặt, quy trình bảo quản, lưu trữ video). Các đơn vị cũng phải thường xuyên đánh giá định kỳ cho hệ thống camera an ninh, giám sát an ninh mạng với các thành phần liên quan của hệ thống camera và cập nhật liên tục các bản vá lỗ hổng.
