Giữa năm 2023, hàng trăm nghìn khách hàng Hikvision nhận được thông điệp hacker để lại trên màn hình theo dõi camera giám sát. Thực tế hacker khai thác một lỗ hổng cũ từ năm 2021, nhà sản xuất cũng đã đưa ra bản vá, nhưng người dùng vẫn không cập nhật.
Ông Vũ Ngọc Sơn, Trưởng ban Công nghệ - Hiệp hội An ninh mạng quốc gia, Giám đốc kỹ thuật công ty NCS lấy vụ việc của Hikvision làm ví dụ để nói về thực trạng nhận thức bảo mật đối với camera giám sát. Theo ông Sơn, các loại camera an ninh hiện tại giống như máy tính, thậm chí được tích hợp AI, nhưng không được đối xử tương đương về mặt tiêu chuẩn kỹ thuật, yêu cầu bảo mật.
"Camera không bao giờ tắt, luôn online 24/24, ít được vá lỗi, gần như không được cập nhật bản vá, phần mềm diệt virus. Do đó, nếu bị tấn công sẽ không có ai bảo vệ", ông Sơn chia sẻ tại tọa đàm “Tiêu chuẩn an toàn thông tin mạng cơ bản cho camera giám sát”, do báo VietNamNet phối hợp với Cục An toàn thông tin (Bộ TT&TT) tổ chức.
Hầu hết dữ liệu phải "vòng" về Trung Quốc
Tại buổi tọa đàm, đại diện các doanh nghiệp camera giám sát Việt Nam cho rằng thị trường trong nước vẫn bị thống trị bởi các sản phẩm nhập khẩu từ Trung Quốc. Ông Nguyễn Trung Kiên, Tổng giám đốc Công ty cổ phần công nghệ Pavana cho biết thống kê thị trường camera tại Việt Nam năm 2023 đạt doanh thu khoảng 175 triệu USD. Trong đó, 2 thương hiệu Dahua, Hikvision và các công ty con chiếm đến 90%.
Do đó, hầu hết dữ liệu camera được lưu trữ ở các máy chủ Trung Quốc. Một số dòng camera hoạt động theo cơ chế cloud, kết nối về server đặt tại Trung Quốc và người dùng ở Việt Nam phải "vòng" qua server này trước khi kết nối vào camera của mình.
Ông Kiên cũng nêu ra một nghịch lý tại thị trường camera. Tại Việt Nam, thị phần camera gia đình chiếm đến 48% doanh thu và 60% về số lượng lưu hành, đa số ở tầm giá 200.000-1.000.000 đồng. Trong khi đó, theo số liệu từ Statista, thị trường camera giám sát toàn cầu chủ yếu dành cho doanh nghiệp và chính phủ với hơn 70%, camera phục vụ gia đình chỉ là 15%.
Với xu hướng ngược thị trường quốc tế, ông Kiên cho rằng thị trường dành cho hạ tầng, doanh nghiệp và tổ chức chính phủ tại Việt Nam còn nhiều dư địa phát triển hơn nữa trong thời gian tới. Điều này cũng đặt ra vấn đề đảm bảo an toàn thông tin, khi việc lộ lọt thông tin không chỉ là vấn đề với cá nhân, mà còn nghiêm trọng với doanh nghiệp và chính phủ.
Ông Nguyễn Đăng Triển, Giám đốc Trung tâm Giải pháp CNTT và dịch vụ số, Viettel Telecom, cho biết camera của công ty này được bán chủ yếu kèm đường FTTH. Do Viettel đặt ra yêu cầu kiểm soát được cả phần cứng, lớp mạng và dịch vụ, bao gồm cả việc lưu trữ dữ liệu tại Việt Nam, giá thành của camera rất khó cạnh tranh với các sản phẩm trên thị trường bán lẻ.
Ông Nguyễn Việt Bằng, Phó Tổng giám đốc VNPT Technology, ví camera an ninh đặt trong nhà "như có thêm một người ở trong nhà mình", với khả năng ghi âm, ghi hình, có cả hệ điều hành. Đối với tổ chức, camera an ninh trong mạng nội bộ hoàn toàn có thẻ quét được hệ thống có những thiết bị gì, địa chỉ mạng, gửi dữ liệu ra ngoài.
"Đó là nguy cơ rất lớn, đòi hỏi phải kiểm soát, phải có quy định như bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát mà Bộ TT&TT vừa ban hành", ông Việt Bằng chia sẻ.
Theo ông Vũ Ngọc Sơn, đặt mật khẩu yếu và dùng mật khẩu mặc định là các nguyên nhân chính dẫn đến mất an toàn thông tin với camera. Ngoài ra, người dùng cũng có thể bị tấn công nếu không cập nhật bản vá, hoặc hacker khai thác được lỗ hổng từ nhà sản xuất.
Tại Việt Nam, cũng từng có nhiều vụ lộ dữ liệu từ camera giám sát. Năm 2020, theo một khảo sát của Việt Nam, số camera không được cập nhật mật khẩu lên tới 70%. Năm 2023, một số hacker rao bán quyền truy cập camera tại Việt Nam, có những hệ thống lên hơn tới 100.000 camera. Chỉ cần bỏ ra khoảng 800.000 đồng, người mua đã có thể truy cập dữ liệu từ 15 camera.
Từ đó, chuyên gia này nhấn mạnh tiêu chuẩn an toàn thông tin với camera, bắt buộc các nhà sản xuất, cung cấp dịch vụ tại Việt Nam tuân theo là cần thiết. Ông Sơn cũng gợi ý các camera giám sát đang bán phổ biến, chính những sản phẩm có cảm biến ghi lại hình ảnh như TV, ki-ốt thông tin, màn hình quảng cáo trong thang máy cũng cần được xem xét là các thiết bị có nguy cơ lộ lọt thông tin, cần đưa vào quản lý.
Sớm ban hành quy chuẩn an toàn thông tin đối với camera
Vào ngày 7/5, Bộ TT&TT đã ban hành bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát. Theo chia sẻ của ông Trần Đăng Khoa, Phó cục trưởng phụ trách Cục An toàn thông tin (ATTT), cơ quan này đã nghiên cứu rất kỹ các tài liệu liên quan của quốc tế trong quá trình xây dựng tiêu chí.
Đại diện Cục ATTT cho biết hiện tại chưa có nước nào ban hành tiêu chuẩn an toàn thông tin riêng cho thiết bị camera giám sát, nếu có chỉ là tiêu chuẩn cơ bản cho camera trong hệ thống an ninh. Cục ATTT đã cùng xây dựng bộ tiêu chí với sự góp ý của các doanh nghiệp sản xuất camera, doanh nghiệp an toàn thông tin Việt Nam.
Bộ tiêu chí hiện tại là hướng dẫn kỹ thuật, mang tính chất khuyến nghị, tập trung vào vấn đề kỹ thuật, quản lý và nhận thức an toàn thông tin đối với camera. Từ bộ tiêu chí này, Cục ATTT tiếp tục phối hợp với doanh nghiệp, chuyên gia để xây dựng “Quy chuẩn kỹ thuật quốc gia về yêu cầu an toàn thông tin mạng cơ bản cho thiết bị camera giám sát", dự kiến được ban hành trong năm 2024.
"Bộ tiêu chí này là một bước để xem thị trường, xã hội đánh giá và chấp thuận thế nào thế nào, để chúng ta tiến tới áp dụng quy chuẩn kỹ thuật quốc gia về yêu cầu an toàn thông tin mạng cơ bản cho thiết bị camera giám sát", ông Trần Đăng Khoa cho biết.
Khi nói tới vấn đề cạnh tranh trên thị trường, nhiều ý kiến của các đại diện gợi ý việc thành lập một hiệp hội hoặc câu lạc bộ gồm các doanh nghiệp sản xuất camera trong nước, để tận dụng được thế mạnh về phần cứng, nền tảng phần mềm của từng doanh nghiệp, cơ chế bắt tay theo hình thức "win-win". Dung lượng thị trường camera tại Việt Nam không nhỏ, nếu có thể tận dụng nguồn lực chung, các doanh nghiệp nội mới có thể cạnh tranh với sản phẩm camera nước ngoài.
