Nguy cơ bị tin tặc đánh cắp thông tin nhạy cảm từ camera giám sát

Theơbịtintặcđánhcắpthôngtinnhạycảmtừcameragiámsáo thống kê tương đối, trong năm 2023, quy mô thị trường camera Việt Nam đạt khoảng 175 triệu USD doanh thu. Trong đó, các thương hiệu của Trung Quốc chiếm xấp xỉ 90%. Trong số này, thị phần camera gia đình chiếm đến 48% doanh thu và 60% về số lượng lưu hành. Đa phần số này là các thiết bị giá rẻ từ 200.000 đến dưới 1 triệu đồng, được bán trôi nổi trực tuyến.

Việt Nam ngược xu hướng với thế giới về camera giám sát

Dữ liệu từ Statista cho thấy, thị trường camera giám sát toàn cầu chủ yếu dành cho doanh nghiệp và chính phủ với hơn 70%, camera phục vụ gia đình là 15%, trong khi đó, tại Việt Nam, 50% thiết bị được sử dụng cho mục đích giám sát tại nhà.

Giới chuyên gia nhận định đây là xu hướng ngược với quốc tế, đồng thời thể hiện thị trường dành cho hạ tầng, doanh nghiệp và tổ chức chính phủ tại Việt Nam còn tương đối “sơ khai”, có nhiều dư địa phát triển hơn nữa trong thời gian tới.

Không chỉ vậy, những con số trên cũng đặt ra vấn đề đối với đảm bảo an toàn thông tin, khi việc lộ lọt thông tin không chỉ là vấn đề với cá nhân, mà còn nghiêm trọng với doanh nghiệp và chính phủ, chẳng hạn như dữ liệu về hoạt động kinh doanh, hay lộ trình di chuyển của các VIP.

Trước thực trạng này, Bộ Thông tin và Truyền thông (TT&TT) mới đây đã đưa ra tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát trong bối cảnh có quá nhiều camera lưu hành không rõ nguồn gốc, lưu trữ dữ liệu người dùng Việt Nam ở nước ngoài và không có tiêu chuẩn đảm bảo an toàn thông tin cho người dùng.

Theo tiêu chí này, các camera giám sát phải có tài liệu hướng dẫn sử dụng sản phẩm cho người sử dụng. Để đảm bảo an toàn thông tin cho người dùng, camera giám sát phải có tính năng quản lý xác thực và phòng chống tấn công vét cạn. Đặc biệt, Bộ TT&TT cũng đưa ra tiêu chí bảo đảm an toàn thông tin dữ liệu người sử dụng cho camera giám sát.

Theo ông Nguyễn Việt Bằng, Phó Tổng giám đốc VNPT Technology, không phải đến hiện nay, chúng ta mới để ý đến vấn đề bảo mật camera. Từ năm 2020, đã có đề tài nghiên cứu cấp nhà nước về thiết kế camera bảo mật dùng cho chính phủ điện tử. Thời điểm đó, câu chuyện bảo mật camera chưa thật sự phổ biến, nhưng hiện tại, người dùng camera công cộng, trang bị khá tự phát, công cộng…

“Thiết bị thường là trôi nổi, chỉ cần 300.000 - 500.000 đồng. Hầu hết dữ liệu của các loại camera giám sát đó thường xuyên đẩy ra nước ngoài, và khi khai báo có 2 phần dữ liệu gồm dữ liệu hình ảnh, video và dữ liệu người dùng. Camera trông đơn giản, nhỏ bé như vậy nhưng là một thiết bị phức tạp, gồm phần quang, phát sóng - wifi và mạng nội bộ (LAN). Camera có thể thành thiết bị để thu thập thông tin”, ông Bằng cho hay.

“Một camera đặt trong nhà, sẽ giống như máy tính có hệ điều hành, ghi âm, hình ảnh và gần như có thêm 1 người ở trong nhà mình, “chạy” âm thầm. Do đó, nếu có lỗ hổng, thiết bị camera hoàn toàn có thể gửi thông tin ra ngoài. Cũng vì là thiết bị mạng, camera thu thập được tất cả thông tin về mạng lưới ở trong nhà, cơ quan. Đó là nguy cơ rất lớn, đòi hỏi phải kiểm soát, phải có quy định như bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát mà Bộ TT&TT vừa ban hành”, ông Bằng nhấn mạnh.

Camera giám sát “cánh cửa mở” không được bảo vệ

Đồng quan điểm ông Vũ Ngọc Sơn, Trưởng ban Công nghệ - Hiệp hội An ninh mạng quốc gia, Giám đốc kỹ thuật công ty NCS, về góc độ an ninh mạng, có thể xem camera như máy tính, thậm chí là máy tính đặc biệt vì có thể nghe, nhìn, suy nghĩ (nếu tích hợp trí tuệ nhân tạo), phát hiện vật thể, không gian mà nó quan sát. Camera không bao giờ tắt, luôn online 24/24, ít được vá lỗi, gần như không được cập nhật bản vá, phần mềm diệt virus. Do đó, nếu bị tấn công sẽ không có ai bảo vệ.

“Camera không được đối xử như máy tính. Máy tính có nhiều tiêu chuẩn, có yêu cầu xuất xứ rõ ràng nhưng camera không có nhiều tiêu chuẩn như vậy. Tôi hi vọng bộ tiêu chí mới đây của Bộ TT&TT ban hành sẽ là khởi đầu cho nhiều tiêu chuẩn tiếp theo”, ông Sơn bày tỏ.

Trên thế giới, đã có nhiều vụ tấn công vào hệ thống camera lớn. Chẳng hạn, năm 2023, nhiều khách hàng Hikvision khi xem camera, họ nhận được thông điệp cảnh báo tấn công của tin tặc trên màn hình. Camera có thể bị tấn công qua phương pháp dò mật khẩu hoặc qua lỗ hổng cũ. Trong trường hợp của Hikvision, hàng trăm nghìn camera của họ bị tấn công thông qua lỗ hổng cũ từ năm 2021. Dù nhà sản xuất đã đưa ra bản vá, mọi người vẫn không cập nhật. Vụ tấn công khiến nhiều người bất ngờ vì một hệ thống quan trọng như camera lại không được quan tâm vá lỗi.

Một vụ việc khác là 150.000 camera Verkada của Mỹ, trang bị trong các phòng tập, nhà tù, bệnh viện, nhà  máy Tesla... bị tấn công năm 2021. Tin tặc không tấn công trực tiếp mà thông qua máy chủ quản lý camera. Đây là hình thức phổ biến với các hệ thống công nghệ thông tin.

Theo các chuyên gia, tại Việt Nam, chưa có vụ việc lớn nhưng thực trạng rất đáng báo động. Năm 2014, một website quảng cáo có thể xem trực tuyến 730.000 camera khác nhau trên thế giới mà không cần mật khẩu, trong đó có hơn 1.000 camera tại Việt Nam.

Năm 2020, theo một khảo sát tại Việt Nam, số camera không được cập nhật mật khẩu lên tới 70%. Năm 2023, một số tin tặc rao bán quyền truy cập camera tại Việt Nam, có những hệ thống lên hơn tới 100.000 camera. Số tiền bỏ ra để xem cũng khiêm tốn, chỉ khoảng 800.000 đồng để truy cập 15 camera.

Ông Vũ Ngọc Sơn điểm 6 nguyên nhân chính dẫn đến mất an toàn thông tin đối với camera. Đó là người dùng đặt mật khẩu yếu, dùng chung mật khẩu, dùng tài khoản khác để quản trị hệ thống camera như facebook, google...; không đổi mật khẩu khi nhận bàn giao từ kỹ thuật viên; camera có lỗ hổng zero-day; không cập nhật bản vá; máy chủ lưu trữ có lỗ hổng và bị tin tặc tấn công; phân quyền không chặt, chẳng hạn chia sẻ cho đơn vị thi công nhưng sau đó không thu hồi quyền.

“Camera bị tấn công để lại hậu quả cho cả người dùng cá nhân lẫn cơ quan, tổ chức. Đối với hộ gia đình, vấn đề đầu tiên là quyền riêng tư bị xâm phạm, tiếp đến là nguy cơ bị tống tiền vì những hình ảnh riêng tư, âm thanh nhạy cảm, hoặc các hành vi phạm tội khác như bị sử dụng để làm deepfake lừa đảo; cuối cùng là bị theo dõi từ xa”, ông Sơn cảnh báo.

Ông Sơn cho rằng, tiêu chuẩn camera là rất cần thiết để có hành lang cho nhà sản xuất, cung cấp dịch vụ tại Việt Nam phải tuân theo. Với người dân, có một số lưu ý: cần chọn camera xuất xứ rõ ràng, nơi lưu trữ video, chính sách bảo mật dữ liệu cho người dùng; đổi mật khẩu ngay khi nhận bàn giao, sử dụng xác thực hai yếu tố; chọn vị trí lắp đặt phù hợp, tránh lắp vị trí nhạy cảm, tại khu vực quan trọng bắt buộc lắp đặt camera đạt chuẩn, tránh trường hợp bị lộ lọt thông tin quan trọng, cấu hình truy cập tối thiểu; thường xuyên theo dõi, cập nhật bản vá lỗi.

Với cơ quan tổ chức, cần xem camera như máy tính đặc biệt. Cần có chính sách, quy trình đảm bảo an ninh. Rất ít cơ quan tổ chức đưa camera vào quy trình: mật khẩu, phân quyền, vị trí lắp đặt, quy trình bảo quản lưu trữ dữ liệu thu thập từ camera.