Lấp lỗ hổng bảo mật của camera giám sát
Camera giám sát từng được xem là công cụ bảo vệ con người và tài sản. Nhưng khi hàng triệu thiết bị được kết nối Internet mà thiếu chuẩn bảo mật đủ mạnh, thì chính những "mắt thần" ấy lại có thể trở thành cửa ngõ để tin tặc theo dõi đời sống riêng tư, đánh cắp dữ liệu, chiếm quyền điều khiển thiết bị, thậm chí phục vụ các mục tiêu an ninh quy mô lớn.
Theo số liệu do Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ) công bố, tại Việt Nam, có hơn 800.000 camera công khai chia sẻ hình ảnh trên mạng, trong đó khoảng 45% số camera có điểm yếu hoặc lỗ hổng có nguy cơ bị khai thác để chiếm quyền điều khiển. Con số đó cho thấy rủi ro không còn là cá biệt.
Với người dân, một camera có mức bảo mật thấp có thể làm lộ hình ảnh trong nhà, cửa ra vào, phòng trẻ em hay thói quen sinh hoạt hằng ngày. Với doanh nghiệp, camera bị xâm nhập có thể để lộ dữ liệu vận hành, sơ đồ mặt bằng, dây chuyền sản xuất hoặc lịch trình ra vào của nhân sự.
Camera giám sát sẽ phải tuân thủ các quy chuẩn kỹ thuật mới.
Từ ngày 1/7/2026, các thiết bị camera giám sát sử dụng giao thức Internet (IP Camera) lưu hành tại Việt Nam sẽ phải đáp ứng các yêu cầu an ninh mạng theo Quy chuẩn kỹ thuật quốc gia QCVN 11:2026/BCA do Bộ Công an ban hành kèm theo Thông tư 48/2026/TT-BCA. Đây được xem là bước đi đáng chú ý nhằm siết chặt quản lý an toàn thông tin đối với các thiết bị kết nối mạng đang ngày càng phổ biến trong gia đình, doanh nghiệp và hệ thống hạ tầng công cộng.
QCVN 11:2026/BCA quy định các yêu cầu kỹ thuật an ninh mạng cơ bản đối với thiết bị camera giám sát sử dụng giao thức Internet được sản xuất và lưu hành tại thị trường Việt Nam. Đối tượng áp dụng gồm các tổ chức, cá nhân trong và ngoài nước có hoạt động sản xuất, kinh doanh, nhập khẩu thiết bị thuộc phạm vi điều chỉnh của quy chuẩn.
Theo Viện Tiêu chuẩn đo lường chất lượng Việt Nam, QCVN 11:2026/BCA được xây dựng trên cơ sở tham chiếu các tiêu chuẩn quốc tế, trong đó có ETSI EN 303 645 của châu Âu về an ninh mạng cho thiết bị IoT tiêu dùng. Quy chuẩn đưa ra 11 nhóm yêu cầu kỹ thuật bắt buộc nhằm hạn chế các lỗ hổng bảo mật phổ biến trên thiết bị camera kết nối Internet.
Một trong những nội dung đáng chú ý là yêu cầu về quản lý mật khẩu và xác thực. Theo đó, thiết bị không được sử dụng mật khẩu mặc định dùng chung cho nhiều sản phẩm. Người dùng phải có khả năng tự thiết lập mật khẩu riêng, đồng thời hệ thống xác thực cần có biện pháp chống tấn công dò quét tự động qua mạng.
Quy chuẩn cũng yêu cầu doanh nghiệp sản xuất, cung cấp camera xây dựng cơ chế tiếp nhận và xử lý lỗ hổng bảo mật. Các bản cập nhật phần mềm cần được cung cấp kịp thời nhằm vá lỗi và duy trì an toàn cho thiết bị trong quá trình sử dụng. Đây được xem là thay đổi quan trọng bởi trước đây nhiều camera sau khi bán ra gần như không còn được cập nhật bảo mật.
Đối với dữ liệu người dùng, QCVN 11:2026/BCA đặt ra yêu cầu bảo vệ thông tin lưu trữ và truyền tải. Những dữ liệu nhạy cảm liên quan đến tài khoản, thông tin xác thực hoặc dữ liệu hình ảnh phải được bảo vệ an toàn. Quy chuẩn cũng yêu cầu thiết bị có tính năng cấu hình để dữ liệu được lưu trữ tại Việt Nam theo nhu cầu quản lý và bảo vệ dữ liệu.
Ngoài ra, thiết bị camera phải có khả năng khôi phục hoạt động bình thường sau sự cố, hỗ trợ xóa dữ liệu người dùng khi cần thiết và có cơ chế xác thực dữ liệu đầu vào nhằm giảm nguy cơ bị khai thác lỗ hổng. Các yêu cầu này hướng tới việc nâng cao mức độ an toàn tổng thể cho hệ sinh thái camera giám sát kết nối Internet.
Khuyến cáo gì với người dùng?
Chuyên gia Vũ Ngọc Sơn, Trưởng ban Công nghệ - Hiệp hội An ninh mạng quốc gia phân tích, mỗi chiếc camera kết nối internet thực chất tương đương một chiếc máy tính có khả năng kết nối vào hệ thống mạng. Vì vậy, nếu không được đảm bảo an ninh, camera là những điểm yếu tiềm ẩn cho phép tin tặc xâm nhập vào hệ thống mạng. Thực tế, tình trạng lộ lọt hình ảnh nhạy cảm từ camera hay việc camera bị lợi dụng để thực hiện các cuộc tấn công mạng đã trở thành vấn nạn không kém gì các nguy cơ với hệ thống công nghệ truyền thống.
Có 4 nguyên nhân chính dẫn đến tình trạng camera có thể bị tấn công bất cứ lúc nào. Trước hết là thói quen sử dụng mật khẩu mặc định hoặc mật khẩu yếu, tin tặc có thể dễ dàng xâm nhập. Thứ hai, thiết bị trôi nổi, không rõ nguồn gốc, không có các tính năng bảo mật quan trọng. Thứ ba, người dùng không cập nhật bản vá lỗ hổng trong phần mềm. Thứ tư, lắp đặt, cài đặt camera không đúng hướng dẫn.
Đáng chú ý, với sự phát triển của công nghệ, camera trí tuệ nhân tạo (AI camera) đang được ứng dụng mạnh mẽ và nổi lên như một trong những công cụ nền tảng của đô thị thông minh. Khác với camera giám sát truyền thống, camera AI được tích hợp các thuật toán học sâu (deep learning) và xử lý dữ liệu hình ảnh thời gian thực, cho phép hệ thống tự động phát hiện, phân loại và phân tích hành vi mà không cần can thiệp thủ công.
Theo ông Vũ Ngọc Sơn, nhà sản xuất và đơn vị kinh doanh phải thiết lập an toàn từ gốc đối với thiết bị, trong đó có những yêu cầu rất quan trọng như tính năng thay đổi mật khẩu mặc định ngay lần đầu kích hoạt và yêu cầu xác thực đa yếu tố (MFA).
Dữ liệu hình ảnh truyền tải và lưu trữ phải được mã hóa mạnh, không thể đọc được nếu không có khóa giải mã, tương tự như các tiêu chuẩn định danh số tiên tiến. Dữ liệu phải lưu trữ tại máy chủ ở Việt Nam, đồng thời có cam kết về việc duy trì và cập nhật các bản vá lỗ hổng an ninh trong suốt vòng đời sản phẩm.
Đối với người dùng, cần thay đổi tư duy, nhận thức, coi camera là tài sản dữ liệu cần bảo vệ thay vì chỉ là một thiết bị điện tử thông thường. Cần nắm vững kiến thức cơ bản, nhận diện được rủi ro đến từ các hệ thống camera an ninh. Tuyệt đối không sử dụng camera không rõ nguồn gốc hoặc các ứng dụng quản lý trôi nổi.
Ông Nguyễn Quốc Anh, chuyên gia đánh giá trưởng, Ủy ban Tiêu chuẩn Đo lường Chất lượng quốc gia (Bộ Khoa học và Công nghệ), khuyến nghị khi mua camera, người dân nên chọn các sản phẩm có nguồn gốc rõ ràng và được phân phối bởi nhà cung cấp uy tín. Người dùng cũng cần kiểm tra thiết bị có dán dấu hợp quy (CR) trên sản phẩm hoặc bao bì, chứng nhận phù hợp với quy chuẩn QCVN 135:2024/BTTTT.
Theo ông, dấu hợp quy cho thấy thiết bị đã được đánh giá và đáp ứng các yêu cầu về an toàn thông tin cũng như chất lượng theo quy định. Việc lựa chọn camera có dấu hợp quy và thông tin sản phẩm đầy đủ sẽ giúp giảm nguy cơ mất an toàn dữ liệu, đồng thời mang lại sự yên tâm cho người sử dụng.
