Cùng với làn sóng chuyển đổi số và đô thị thông minh, camera đang xuất hiện dày đặc từ cơ quan, doanh nghiệp đến từng hộ gia đình. Tuy nhiên, nếu không được bảo vệ đúng cách, mỗi chiếc camera thực chất là một “máy tính mini” có thể trở thành cửa ngõ để tin tặc xâm nhập hệ thống.

Đánh giá chung về thực trạng bùng nổ camera giám sát, ông Vũ Ngọc Sơn - Trưởng Ban Nghiên cứu, Tư vấn, Phát triển công nghệ và Hợp tác quốc tế, Hiệp hội An ninh mạng quốc gia cho rằng, việc camera giám sát xuất hiện dày đặc từ cơ quan công sở đến từng hộ gia đình là một xu thế tất yếu trong tiến trình chuyển đổi số và xây dựng đô thị thông minh. Camera không chỉ là “mắt thần” giúp đảm bảo an ninh trật tự, mà còn là nguồn dữ liệu quan trọng cho các hệ thống quản trị.

Ảnh minh họa. Nguồn: internet

Song, từ góc độ an ninh mạng, mỗi chiếc camera kết nối Internet thực chất tương đương một chiếc máy tính mini - thiết bị IoT (Internet of Things), có hệ điều hành, dữ liệu và đặc biệt là khả năng kết nối vào các hệ thống mạng khác. Với các camera trong mạng nội bộ hoặc mạng diện rộng của cơ quan, tổ chức, gắn liền với camera là các hệ thống máy chủ, hệ thống lưu trữ, hệ thống AI.

Vì vậy, theo ông Vũ Ngọc Sơn, nếu không được đảm bảo an ninh, những chiếc “máy tính mini” này chính là những điểm yếu tiềm ẩn cho phép tin tặc xâm nhập vào hệ thống mạng. Thực tế thời gian qua, tình trạng lộ lọt hình ảnh nhạy cảm từ camera hay việc camera bị lợi dụng để thực hiện các cuộc tấn công mạng đã trở thành một vấn nạn không kém gì các nguy cơ với hệ thống công nghệ truyền thống.

Bốn nguyên nhân chính khiến “mắt thần” trở thành điểm yếu

Ông Vũ Ngọc Sơn đưa ra 4 nguyên nhân chính dẫn đến tình trạng camera đang có nhiều điểm yếu, có thể bị tấn công bất cứ lúc nào.

Thứ nhất, thói quen sử dụng mật khẩu mặc định hoặc mật khẩu yếu: Đây là nguyên nhân phổ biến nhất. Rất nhiều người dùng sau khi lắp đặt camera đã giữ nguyên mật khẩu mặc định của nhà sản xuất hoặc đặt những mật khẩu phục vụ triển khai cực kỳ dễ đoán và nhiều người biết. Các tin tặc có thể sử dụng các công cụ quét tự động trên internet để tìm kiếm các địa chỉ IP có cổng camera mở và thử các mật khẩu phổ biến này. Việc xâm nhập khi đó chỉ mất vài giây.

Thứ hai, sử dụng thiết bị trôi nổi, không rõ nguồn gốc (Camera giá rẻ). Thị trường hiện nay tràn lan các dòng camera "không tên tuổi" với giá siêu rẻ.

Ông Vũ Ngọc Sơn phân tích, để tối ưu chi phí, nhà sản xuất thường cắt giảm các tính năng bảo mật quan trọng như: Không có mã hóa dữ liệu, dữ liệu truyền từ camera lên đám mây (cloud) hoặc về điện thoại không được mã hóa, cho phép kẻ xấu có thể nghe lén luồng dữ liệu trên đường truyền, từ đó thu thập được các hình ảnh, âm thanh, thậm chí là tài khoản quản lý camera;

Hệ điều hành lỗi thời: Để chạy được trên các con chip xử lý giá rẻ, nhà sản xuất thường sử dụng các phiên bản nhân hệ điều hành cũ, vốn đã tồn tại hàng loạt lỗ hổng bảo mật đã được công bố từ nhiều năm trước mà không hề có phương án vá lỗi (patching).

Phương thức xác thực lạc hậu: Nhiều thiết bị vẫn sử dụng xác thực chỉ bằng mật khẩu, không có xác thực đa yếu tố (MFA) hay cơ chế tự động kiểm tra tính toàn vẹn của phần mềm thường bị lược bỏ để thiết bị có thể vận hành "mượt" hơn trên cấu hình yếu.

Quản trị từ nhà sản xuất: Để đơn giản hóa quy trình cài đặt cho người dùng bình dân, nhiều hãng thiết lập các quyền truy cập cực cao cho các ứng dụng đám mây (Cloud) đi kèm. Nếu máy chủ của hãng bị tấn công, tin tặc sẽ nghiễm nhiên có quyền điều khiển hàng triệu thiết bị mà không cần bẻ khóa từng cái một.

Bên cạnh những lợi ích, các camera giám sát cũng tồn tại nhiều điểm yếu, có thể bị tấn công bất cứ lúc nào. Ảnh minh họa: Nguồn Internet

Thứ ba, lỗ hổng trong phần mềm và không cập nhật bản vá. Giống như điện thoại hay máy tính, camera cũng chạy trên một hệ điều hành (firmware). Theo thời gian, các lỗ hổng bảo mật mới sẽ bị phát hiện. Tuy nhiên, khác với điện thoại thường xuyên nhắc cập nhật, người dùng camera thường có tâm lý "lắp xong là xong", ít khi kiểm tra và cập nhật firmware. Tin tặc sẽ khai thác các lỗ hổng đã được công bố này để chiếm quyền điều khiển thiết bị mà không cần mật khẩu.

Và cuối cùng, nằm ở sự chủ quan và lơi lỏng trong quản lý của đơn vị lắp đặt. Trong nhiều trường hợp, lỗi không nằm ở người dùng mà ở đơn vị kỹ thuật lắp đặt. Kỹ thuật viên thường mở các cổng trên modem internet để chủ nhà xem được từ xa cho nhanh, nhưng lại thiếu các biện pháp bảo vệ tường lửa, khiến camera “phơi mình” hoàn toàn ra ngoài môi trường internet độc hại. Một số đơn vị lắp đặt tự ý lưu lại tài khoản, mật khẩu của khách hàng để "tiện hỗ trợ kỹ thuật", tạo ra một điểm yếu cố hữu nếu nhân viên của họ có ý đồ xấu hoặc hệ thống quản lý của họ bị tấn công.

Cần sớm ban hành quy chuẩnvề an ninh cho camera giám sát

Ở thời điểm này, các quy định về an ninh cho camera giám sát vẫn còn ở dạng “khuyến cáo”. Theo ông Vũ Ngọc Sơn, chúng ta đã có các bộ tiêu chí, tiêu chuẩn liên quan đến yêu cầu cơ bản về an ninh cho camera giám sát. Tuy nhiên ở mức tiêu chuẩn thì chỉ mang tính khuyến khích là chưa đủ. Vì vậy việc ra đời quy chuẩn quốc gia về đảm bảo an ninh cho camera giám sát là cực kỳ quan trọng vào thời điểm này.

Ông Vũ Ngọc Sơn phân tích, quy chuẩn sẽ yêu cầu tính tuân thủ cao hơn, đặc biệt với các đơn vị cung cấp sản phẩm và nhập khẩu. Điều này thể hiện tư duy chuyển dịch từ phòng thủ "bị động" sang "chủ động". Nếu chỉ khuyến cáo, việc triển khai sẽ mang tính chất "trả sau" - tức là khi sự cố lộ lọt dữ liệu xảy ra mới cuống cuồng khắc phục, gây hậu quả lâu dài và tốn kém. Quy chuẩn cũng sẽ giúp cho chuẩn hoá lại yêu cầu kỹ thuật tối thiểu với các thiết bị camera, khi mà trên thị trường hiện nay rất đa dạng về nguồn gốc và chủng loại, những camera nếu không đáp ứng yêu cầu sẽ không thể tiếp tục được đầu tư, mua sắm nữa.

Và để bảo vệ không gian số bền vững, theo ông Vũ Ngọc Sơn, cần sự phối hợp đồng bộ giữa chính sách, công nghệ và nhận thức.

Đối với Nhà sản xuất và Đơn vị kinh doanh, cần tuân thủ chặt chẽ các tiêu chuẩn, quy chuẩn liên quan, thiết lập an toàn từ gốc đối với thiết bị, trong đó có những yêu cầu rất quan trọng như có tính năng thay đổi mật khẩu mặc định ngay lần đầu kích hoạt và yêu cầu xác thực đa yếu tố (MFA). Dữ liệu hình ảnh truyền tải và lưu trữ phải được mã hóa mạnh, không thể đọc được nếu không có khóa giải mã, tương tự như các tiêu chuẩn định danh số tiên tiến. Dữ liệu phải lưu trữ tại máy chủ Việt Nam, đồng thời có cam kết về việc duy trì và cập nhật các bản vá lỗ hổng an ninh trong suốt vòng đời sản phẩm.

Đối với Cơ quan quản lý Nhà nước, cần sớm ban hành và đưa quy chuẩn vào thực tế, thiết lập cơ chế kiểm định an ninh mạng và tạo điều kiện thuận lợi để các đơn vị, tổ chức đưa các sản phẩm camera đến kiểm tra, đánh giá. Thanh kiểm tra thường xuyên để đảm bảo các thiết bị đang lưu hành trên thị trường đảm bảo các yêu cầu an ninh mạng.

Có thể nói, trong thế trận an ninh nhân dân trên không gian mạng, việc đảm bảo an ninh mạng cho mỗi chiếc camera trong mỗi căn nhà, cơ quan đều là một "mắt xích" an toàn và không thể thiếu. Vì vậy, đối với Người dùng (Cá nhân và Tổ chức), cần thay đổi tư duy, nhận thức, phải coi camera là một tài sản dữ liệu cần bảo vệ thay vì chỉ là một thiết bị điện tử thông thường. Cần nắm vững kiến thức cơ bản, nhận diện được rủi ro đến từ các hệ thống camera an ninh. Tuyệt đối không sử dụng camera không rõ nguồn gốc hoặc các ứng dụng quản lý trôi nổi.

Phạm Lê