Tiêu chuẩn an toàn thông tin mạng cơ bản cho camera giám sát

Thứ hai - 20/05/2024 08:03 688 0

Ngày 26/12/2022, Thủ tướng Chính phủ đã ban hành Chỉ thị số 23/CT-TTg về tăng cường công tác bảo đảm an toàn thông tin mạng, an ninh thông tin cho thiết bị camera giám sát. Theo đó Chỉ thị nêu rõ, hiện nay, hàng triệu camera giám sát đang được triển khai và sử dụng phổ biến. Tuy nhiên phần lớn các thiết bị này chưa được quản lý nên tiềm ẩn nhiều nguy cơ bảo mật có thể bị khai thác nhằm phục vụ các hành vi vi phạm pháp luật, như: thu thập trái phép dữ liệu, thông tin của cơ quan, tổ chức, người dùng cho các mục đích lừa đảo, chiếm đoạt tài sản; chiếm quyền điều khiển thiết bị và sử dụng cho các cuộc tấn công mạng, phát tán phần mềm độc hại; có thể làm lộ bí mật nhà nước, làm ảnh hưởng đến an ninh quốc gia, trật tự an toàn xã hội.

Để khắc phục các tồn tại và rủi ro về an toàn thông tin mạng, an ninh thông tin liên quan đến camera giám sát, Thủ tướng Chính phủ giao Bộ Thông tin và Truyền thông xây dựng bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát; Ban hành quy chuẩn kỹ thuật quốc gia về yêu cầu an toàn thông tin mạng cơ bản cho camera giám sát và tuyên truyền, phổ biến, tổ chức hướng dẫn áp dụng quy chuẩn kỹ thuật này. Ngày 07/05/2024 Bộ Thông tin và Truyền thông đã ra Quyết định số 724/QĐ-BTTTT về việc Ban hành Bộ tiêu chí về yêu cầu an toàn thông tin mạng cơ bản cho Camera giám sát. Theo đó khuyến nghị các Camera giám sát được sản xuất, mua bán và sử dụng tại Việt Nam đáp ứng các tiêu chí về an ninh, đối với tổ chức, doanh nghiệp có thể căn cứ vào thực tế yêu cầu của đơn vị để nâng cao các yêu cầu kỹ thuật.

*Bộ TT&TT quy định các nội dung về an ninh mạng cho camera giám sát*

Phòng chống tấn công vét cạn

Có chức năng quản trị hệ thống cho phép thay đổi thời gian khóa, số lần đăng nhập sai và khoảng thời gian đăng nhập sai liên tục; Thiết lập mặc định khóa không cho đăng nhập trong vòng 5 phút, sau khi đăng nhập thất bại 5 lần liên tục trong khoảng thời gian 30 giây hoặc ngắn hơn.
Chỉ thông tin cho người sử dụng nội dung đăng nhập thành công/thất bại mà không có nội dung khác làm cơ sở thực hiện tấn công vét cạn.

Về mật khẩu camera giám sát
Các mật khẩu mặc định trên thiết bị camera giám sát và các dịch vụ liên kết phải đáp ứng các yêu cầu cơ bản:

Độ dài mật khẩu tối thiểu là 8 ký tự, bao gồm các chữ viết hoa, chữ viết thường, chữ số và ký tự đặc biệt để tăng độ phức tạp của mật khẩu.
Cơ chế khởi tạo mật khẩu mặc định ban đầu của nhà sản xuất cần áp dụng phương pháp sinh mã ngẫu nhiên. Đồng thời, khi khởi tạo mật khẩu mặc định không sử dụng các thông tin công khai như tên sản phẩm, địa chỉ MAC, loại sản phẩm, chuỗi định danh SSID…
Mỗi thiết bị camera giám sát cần một mật khẩu khác nhau.
Người dùng phải chủ động thay đổi mật khẩu ban đầu của thiết bị do nhà sản xuất khởi tạo. Mật khẩu tạo mới cần đủ độ mạnh và khó đoán.

Quản lý về lỗ hổng bảo mật

Với yêu cầu về quản lý lỗ hổng, nhà sản xuất cần xây dựng hệ thống trực tuyến để công khai về các lỗ hổng và mức độ ảnh hưởng, hướng dẫn xử lý, cập nhật các phiên bản mới nhất. Đặc biệt, cần quản lý và công khai hướng dẫn, khuyến cáo cập nhật đối với các camera giám sát có kết nối Internet để đảm bảo an ninh mạng.

Tính năng xác thực

Để đảm bảo an toàn an ninh mạng cho camera giám sát, bộ tiêu chí an toàn cũng quy định về các tính năng quản lý xác thực, chống tấn công vét cạn. Cụ thể, mật khẩu camera phải được mã hóa khi lưu trữ lại trên thiết bị; bổ sung tính năng khóa mặc định khi đăng nhập sai nhiều lần liên tục (Ví dụ khóa thiết bị trong 30 – 60 giây khi đăng nhập sai 5 lần liên tiếp…).

Tính năng quản lý phiên an toàn
Các thiết bị camera giám sát cần có chức năng lựa chọn tự động đăng xuất sau một khoảng thời gian không sử dụng và tạo khóa phiên an toàn. Tạo khóa phiên an toàn cho người sử dụng cần đáp ứng các yêu cầu:

Khóa phiên không có khả năng bị tấn công vét cạn.
Khóa phiên cần đảm bảo không bị khôi phục.
Có khả năng hủy đăng nhập tự động hoặc khi nhận được yêu cầu từ người dùng khi đăng nhập lại.

Quản lý kênh giao tiếp

Các giao tiếp kết nối an toàn cần sử dụng phương pháp mã hóa theo các tiêu chuẩn hiện hành ở Việt Nam hoặc quốc tế để tránh các lỗ hổng an ninh mạng. Đồng thời, người dùng cần lưu ý khi truy cập cấu hình thiết bị

*Hình ảnh qua camera giao thông tại Trung tâm điều hành IOC thành phố Vinh*

Truy cập qua các kênh an toàn

Kiểm soát quyền truy cập: Phân quyền theo các đối tượng, yêu cầu xác thực thông tin khi truy cập.
Từ chối truy cập camera giám sát ở trạng thái hoạt động ban đầu đối với các đối tượng chưa xác thực, xác thực thất bại hoặc không được cấp quyền.

Quản lý giao diện

Các giao diện mạng và logic được kích thoạt cần phải có mô tả mục đích sử dụng và có chức năng cho phép người dùng vô hiệu hóa giao diện, mặc định vô hiệu hóa các giao diện gỡ lỗi, vô hiệu hóa các cổng kết nối vật lý, các giao diện vật lý không sử dụng.

*Điểm lắp camera phạt nguội ở Đường Quang Trung, TP Vinh, Nghệ An*

Bảo mật thông tin người dùng

Các thiết bị camera giám sát phải có các tính năng bảo vệ dữ liệu cá nhân của người dùng theo quy định pháp luật Việt Nam (cho phép thiết lập cấu hình đối với việc lưu trữ, xử lý, khai thác dữ liệu).
Đồng thời, trong quá trình cấu hình thiết bị phải có giao diện thông báo với người dùng về địa điểm sẽ lưu trữ và xử lý dữ liệu được thu thập, có chức năng xóa dữ liệu lưu trên camera giám sát, chức năng cảnh báo và xác nhận đồng ý xóa trên camera cũng như các dịch vụ liên kết.
Bộ tiêu chí cũng quy định các thiết bị camera cần có tính năng kiểm tra tính hợp lệ của dữ liệu đầu vào, ngăn chặn các dạng tấn công vào giao diện của thiết bị, có tính năng tự khôi phục hệ thống do phát sinh lỗi (không bao gồm lỗi phần cứng).
Để nâng cao an ninh mạng và bảo vệ dữ liệu cá nhân, người dùng cần định kỳ kiểm tra các thiết bị mạng và thiết bị truy cập mạng như camera giám sát.

Tác giả: Nguyễn Văn Thương