4 Yếu Tố Đảm Bảo An Toàn Thông Tin Đối Với Camera IP Tại Việt Nam

Ngày 31/12/2024, Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ) đã ban hành QCVN 135:2024/BTTTT – Yêu cầu an toàn thông tin cơ bản cho camera giám sát sử dụng giao thức Internet. Quy chuẩn được xây dựng nhằm thiết lập xây dựng một hàng rào bảo vệ vững chắc, giảm thiểu các rủi ro và lỗ hổng bảo mật vốn có trên Camera IP, qua đó bảo vệ an toàn, an ninh mạng cho người sử dụng và góp phần củng cố không gian mạng quốc gia.

Bài viết dưới đây đã được Phúc Gia® hệ thống các yêu cầu của quy chuẩn theo 4 yếu tố đảm bảo an toàn thông tin đối với Camera IP để làm rõ tác động và ý nghĩa của từng nhóm quy định tại QCVN 135:2024/BTTTT.

Xem thêm: Hồ sơ năng lực của Công ty Cổ phần Phòng thử nghiệm Phúc Gia

I. Tầm quan trọng của việc ban hành QCVN 135:2024/BTTTT

Lịch sử đã chứng kiến các cuộc tấn công quy mô lớn như mạng botnet Mirai, vốn khai thác hàng trăm nghìn thiết bị IoT, bao gồm cả camera, bằng cách sử dụng mật khẩu mặc định của nhà sản xuất. Những sự cố như vậy cho thấy nguy cơ từ việc bị tin tặc chiếm quyền điều khiển, theo dõi trái phép, đánh cắp dữ liệu nhạy cảm cho đến việc bị lợi dụng để trở thành một phần của các mạng tấn công quy mô lớn.

Trong bối cảnh đó, việc ban hành QCVN 135:2024/BTTTT nhằm thiết lập khung pháp lý cụ thể, bảo vệ quyền lợi người sử dụng, doanh nghiệp, các cơ sở hạ tầng quan trọng và an toàn không gian mạng. Quy chuẩn này đóng vai trò là một bộ lọc chất lượng, tạo ra một nền tảng pháp lý và kỹ thuật để nâng cao độ an toàn của các sản phẩm camera được sản xuất, nhập khẩu và lưu thông trên thị trường Việt Nam.

II. 4 Yếu Tố Đảm Bảo An Toàn Thông Tin Đối Với Camera IP Tại Việt Nam

Phúc Gia® đã hệ thống 11 nhóm yêu cầu kỹ thuật của QCVN 135:2024/BTTTT theo 4 yếu tố đảm bảo an toàn thông tin, nhằm làm rõ nội dung, tác động và ý nghĩa của từng nhóm quy định.

1. Quản lý Xác thực và Truy cập

Đây là lớp bảo vệ đầu tiên, nhằm đảm bảo chỉ người dùng hợp lệ mới có quyền truy cập và cấu hình thiết bị. Các yêu cầu kỹ thuật chính trong phần này bao gồm:

• Khởi tạo mật khẩu duy nhất (Mục 2.1.1 & 2.1.2): Một trong những quy định mang tính nền tảng nhất là yêu cầu mỗi thiết bị camera phải có một mật khẩu khởi tạo riêng biệt, hoặc buộc người dùng phải thiết lập mật khẩu ngay lần đầu sử dụng. Quy định này trực tiếp giải quyết lỗ hổng nghiêm trọng từ việc sử dụng mật khẩu mặc định (ví dụ: admin/admin) trên hàng loạt thiết bị, vốn là “cửa ngõ” cho các mạng botnet như Mirai.
• Cơ chế xác thực an toàn (Mục 2.1.3): Thiết bị phải sử dụng các cơ chế mật mã an toàn, phù hợp với công nghệ hiện tại để bảo vệ quá trình xác thực. Điều này ngăn chặn các rủi ro bị nghe lén hoặc đánh cắp thông tin đăng nhập trong quá trình truyền tải.
• Quản lý thay đổi thông tin xác thực (Mục 2.1.4): Quy chuẩn bắt buộc thiết bị phải cung cấp một giao diện đơn giản, dễ sử dụng để người dùng hoặc quản trị viên có thể thay đổi mật khẩu và các thông tin xác thực khác bất cứ lúc nào, trao quyền kiểm soát cho người dùng.
• Chống tấn công dò mật khẩu (Mục 2.1.5): Thiết bị phải được trang bị cơ chế chống lại các cuộc tấn công vét cạn (brute-force), chẳng hạn như tạm thời khóa tài khoản sau một số lần đăng nhập sai. Cơ chế này giúp bảo vệ tài khoản người dùng khỏi các phần mềm dò mật khẩu tự động.

Quản lý xác thực và truy cập là lớp phòng thủ đầu tiên và cơ bản nhất của mọi thiết bị kết nối mạng. Yếu tố này đảm bảo rằng chỉ những người dùng hợp pháp mới có quyền truy cập, xem dữ liệu và thay đổi cấu hình của camera. Việc siết chặt quản lý truy cập theo các yêu cầu trên tạo ra một nền tảng bảo mật vững chắc, từ đó mở đường cho các lớp bảo vệ sâu hơn trong quá trình vận hành của thiết bị.

2. Quản lý An ninh Vận hành

Yếu tố quản lý an ninh vận hành tập trung bảo đảm thiết bị duy trì trạng thái an toàn trong suốt quá trình hoạt động, thông qua cơ chế quản lý lỗ hổng, cập nhật phần mềm và kiểm soát bề mặt tấn công. Các yêu cầu kỹ thuật trọng tâm gồm:

• Quản lý và công bố lỗ hổng bảo mật (Mục 2.2): Nhà sản xuất phải công khai chính sách xử lý lỗ hổng, bao gồm thông tin liên hệ để người dùng hoặc nhà nghiên cứu có thể báo cáo, và cam kết về thời gian phản hồi, xử lý. Điều này thúc đẩy sự minh bạch và trách nhiệm, giúp các lỗ hổng được khắc phục kịp thời.
• Quản lý cập nhật phần mềm (Mục 2.3): Thiết bị phải có cơ chế cho phép người dùng cập nhật phần mềm một cách đơn giản và an toàn, có thể bao gồm cả tính năng cập nhật tự động. Các bản cập nhật là tối quan trọng để vá các lỗ hổng bảo mật mới được phát hiện, và việc đơn giản hóa quá trình này sẽ khuyến khích người dùng thực hiện thường xuyên hơn.
• Công bố thời hạn hỗ trợ (Mục 2.3.6): QCVN 135:2024/BTTTT yêu cầu nhà sản xuất phải “công bố thời hạn hỗ trợ bảo hành đối với từng chủng loại thiết bị camera”. Đây là một quy định quan trọng, buộc các nhà sản xuất phải minh bạch về vòng đời hỗ trợ sản phẩm, đảm bảo người dùng biết rõ thiết bị của họ sẽ nhận được các bản vá bảo mật trong bao lâu. Quy định này giúp ngăn chặn tình trạng thị trường bị tràn ngập bởi các thiết bị nhanh chóng bị nhà sản xuất “bỏ rơi”, trở thành những rủi ro an ninh vĩnh viễn.
• Quản lý kênh giao tiếp an toàn (Mục 2.5): Mọi kênh giao tiếp, đặc biệt là khi dùng để thay đổi các cấu hình quan trọng liên quan đến an toàn (như thay đổi mật khẩu, cấu hình mạng), phải được thiết lập an toàn bằng các cơ chế mật mã phù hợp.
• Phòng chống tấn công qua giao diện (Mục 2.6): Quy chuẩn yêu cầu vô hiệu hóa tất cả các giao diện không cần thiết cho hoạt động bình thường của người dùng, bao gồm các cổng mạng, giao diện logic và vật lý (cổng debug). Việc này giúp thu hẹp “bề mặt tấn công”, khiến tin tặc có ít lựa chọn hơn để xâm nhập vào thiết bị.
• Xác thực dữ liệu đầu vào (Mục 2.10): Phần mềm trên camera phải kiểm tra và xác thực tất cả dữ liệu nhận được từ người dùng hoặc từ các giao diện lập trình ứng dụng (API). Điều này giúp ngăn chặn một loạt các cuộc tấn công phổ biến như SQL injection hay command injection, vốn lợi dụng dữ liệu đầu vào không hợp lệ để thực thi mã độc.

Việc đảm bảo an ninh vận hành một cách chặt chẽ giúp thiết bị camera không chỉ an toàn tại thời điểm sản xuất mà còn duy trì được trạng thái an toàn đó trước các mối đe dọa không ngừng biến đổi trên không gian mạng.

3. Bảo vệ Dữ liệu và Quyền riêng tư

Dữ liệu hình ảnh, âm thanh do camera thu thập thuộc nhóm dữ liệu nhạy cảm, có thể tác động trực tiếp đến quyền riêng tư của cá nhân và tổ chức. Vì vậy, QCVN 135:2024/BTTTT đã đặt ra những yêu cầu nghiêm ngặt để đảm bảo dữ liệu được mã hóa, lưu trữ an toàn và người dùng có toàn quyền kiểm soát thông tin cá nhân của mình. Các yêu cầu kỹ thuật chính bao gồm:

• Lưu trữ an toàn tham số nhạy cảm (Mục 2.4): Các thông tin quan trọng như khóa mật mã, định danh duy nhất của thiết bị phải được lưu trữ an toàn và được bảo vệ chống lại các hành vi truy cập hoặc sửa đổi trái phép.
• Bảo vệ dữ liệu người dùng (Mục 2.7): Dữ liệu nhạy cảm của người dùng khi được truyền giữa camera và các dịch vụ liên kết (như máy chủ đám mây) phải được bảo vệ bằng các cơ chế mã hóa phù hợp để chống nghe lén.
• Xóa dữ liệu trên thiết bị (Mục 2.9): Thiết bị phải cung cấp chức năng cho phép người dùng xóa sạch dữ liệu cá nhân được lưu trữ trên camera một cách an toàn, đảm bảo dữ liệu không thể bị khôi phục lại.
• Bảo vệ dữ liệu trên thiết bị (Mục 2.11): Nhà sản xuất phải minh bạch hoàn toàn về mục đích, cách thức thu thập và xử lý dữ liệu cá nhân. Quan trọng hơn, thiết bị phải có cơ chế để nhận được sự đồng ý rõ ràng từ người dùng trước khi tiến hành thu thập và xử lý dữ liệu của họ.
• Yêu cầu về lưu trữ dữ liệu tại Việt Nam (Mục 2.11.5): Đây là một trong những yêu cầu mang tính chiến lược nhất của quy chuẩn. Mục 2.11.5 quy định: “Thiết bị camera có chức năng cho phép thiết lập cấu hình để lưu trữ dữ liệu tại Việt Nam”. Yêu cầu này có tầm quan trọng đặc biệt đối với an ninh dữ liệu quốc gia, giúp đảm bảo dữ liệu nhạy cảm của người dùng, tổ chức và cơ quan nhà nước Việt Nam được quản lý và bảo vệ trong phạm vi lãnh thổ, tuân thủ pháp luật Việt Nam và tạo điều kiện thuận lợi cho công tác quản lý, thanh tra của các cơ quan chức năng khi cần thiết.

Bảo vệ dữ liệu không chỉ là một yêu cầu kỹ thuật mà còn là cam kết về việc tôn trọng quyền riêng tư của công dân, một yếu tố cốt lõi để xây dựng niềm tin trong kỷ nguyên số.

4. Tăng cường An ninh và Khả năng phục hồi

Bên cạnh các yêu cầu về bảo mật và bảo vệ dữ liệu, QCVN 135:2024/BTTTT cũng đặt ra các yêu cầu nhằm bảo đảm thiết bị hoạt động ổn định và có khả năng phục hồi sau sự cố. Đây là yếu tố quan trọng để duy trì tính liên tục của hệ thống giám sát trong thực tế vận hành. Các yêu cầu kỹ thuật chính bao gồm:

• Tự động khôi phục sau sự cố (Mục 2.8.1): Thiết bị phải có cơ chế tự động khôi phục hoạt động bình thường sau khi bị mất điện hoặc mất kết nối mạng tạm thời.
• Duy trì chức năng nội bộ khi mất mạng (Mục 2.8.2): Khi mất kết nối Internet, các chức năng nội bộ của camera (ví dụ: ghi hình vào thẻ nhớ) vẫn phải hoạt động được bình thường, đảm bảo không mất dữ liệu giám sát quan trọng.
• Khôi phục kết nối ổn định (Mục 2.8.3): Khi kết nối mạng được thiết lập lại, thiết bị phải có khả năng khôi phục kết nối một cách ổn định và có trình tự, tránh gây bất ổn cho hệ thống mạng.

Những yêu cầu này đảm bảo rằng hệ thống camera giám sát không chỉ an toàn mà còn có độ tin cậy cao, đáp ứng được yêu cầu hoạt động liên tục trong các môi trường khác nhau.

III. Lộ trình Áp dụng QCVN 135:2024/BTTTT

Để quy chuẩn được thực thi một cách hiệu quả và đồng bộ, Thông tư 21/2024/TT-BTTTT có hiệu lực thi hành kể từ ngày 15/02/2025, quy định lộ trình áp dụng QCVN 135:2024/BTTTT đối với Camera IP như sau:

• Từ ngày 15 tháng 02 năm 2025: QCVN 135:2024/BTTTT được áp dụng tự nguyện cho các hoạt động đo kiểm, thử nghiệm, chứng nhận hợp quy và công bố hợp quy đối với các thiết bị camera.
• Kể từ ngày 01 tháng 01 năm 2026: Tất cả các thiết bị camera giám sát sử dụng giao thức Internet được sản xuất trong nước hoặc nhập khẩu vào Việt Nam đều bắt buộc phải đáp ứng đầy đủ các yêu cầu của quy chuẩn này trước khi được phép lưu thông trên thị trường.

Các tổ chức, cá nhân Việt Nam và nước ngoài có hoạt động sản xuất, nhập khẩu và kinh doanh thiết bị camera giám sát có trách nhiệm tuân thủ đúng lộ trình đã được đưa ra. Việc tuân thủ không chỉ là nghĩa vụ pháp lý mà còn là điều kiện để bảo đảm tính thống nhất trong quản lý, góp phần kiểm soát rủi ro an toàn thông tin và duy trì môi trường kinh doanh minh bạch, ổn định.

QCVN 135:2024/BTTTT đánh dấu bước tiến quan trọng trong việc xây dựng một hành lang pháp lý vững chắc để quản lý chất lượng an toàn thông tin của các thiết bị camera giám sát. Quy chuẩn đặt ra các yêu cầu cụ thể từ kiểm soát rủi ro ngay từ khâu thiết kế, bảo vệ dữ liệu người dùng và bảo đảm khả năng vận hành ổn định khi xảy ra sự cố. Việc tuân thủ đầy đủ quy chuẩn không chỉ giúp doanh nghiệp giảm rủi ro pháp lý và kỹ thuật, mà còn góp phần xây dựng một thị trường camera IP an toàn, minh bạch và bền vững hơn.

BÀI VIẾT LIÊN QUAN:

• Camera IP Là Gì? Vai Trò Của Camera IP Trong Đời Sống
• Camera Giám Sát Nào Phải Thử Nghiệm Theo QCVN 135:2024/BTTTT?
• Tình Hình Quản Lý An Toàn Thông Tin Đối Với Camera Giám Sát Trên Thế Giới Và Việt Nam
• Tác Động Của QCVN 135:2024/BTTTT Đến Thị Trường Camera IP
• Bảo Đảm An Toàn Thông Tin Mạng Cho Hệ Thống Camera Giám Sát
• Tại Sao Cần Kiểm Soát An Toàn Thông Tin Đối Với Camera Giám Sát Sử Dụng Giao Thức Internet

Mọi chi tiết xin vui lòng liên hệ:

CÔNG TY CỔ PHẦN PHÒNG THỬ NGHIỆM PHÚC GIA
TRUNG TÂM CHỨNG NHẬN PHÚC GIA
TRUNG TÂM THỬ NGHIỆM KIỂM ĐỊNH PHÚC GIA

Địa chỉ:
• Miền Bắc: Cảng cạn Long Biên, Số 01 Huỳnh Tấn Phát, KCN Sài Đồng B, phường Long Biên, TP. Hà Nội
• Miền Nam: Số 180, Đường D2, P. Long Trường, TP. Hồ Chí Minh
Điện thoại: 0965.996.696/0982.996.696/024.7779.6696
E-mail: lab@phucgia.com.vn
Website: phucgia.com.vn
Facebook: Công Ty Cổ Phần Phòng Thử Nghiệm Phúc Gia 
Thời gian làm việc: Thứ Hai đến Thứ Sáu 8:00 – 18:30; Thứ Bảy 8:00 – 12:00

Phúc Gia® – Tổ chức thử nghiệm và chứng nhận toàn diện cho thiết bị điện – điện tử