Những quy chuẩn cần lưu ý khi lựa chọn camera giám sát

Theo thống kê, thị trường camera giám sát tại Việt Nam đạt tốc độ tăng trưởng kép (CAGR) khoảng 14% mỗi năm trong giai đoạn gần đây, đặc biệt khi nhu cầu chuyển đổi số, ứng dụng công nghệ IoT (Internet of Things), và phát triển đô thị thông minh được thúc đẩy. Nhất là camera gia đình có mức tăng trưởng cao hơn, đạt khoảng 17%.

Cùng với sự phổ biến của các thiết bị camera giám sát, các vấn đề liên quan đến bảo mật thông tin, quyền riêng tư và an toàn dữ liệu ngày càng được quan tâm, nhất là khi nhiều thiết bị được kết nối với Internet. Đã có những báo cáo về việc camera giám sát bị tấn công, xâm nhập trái phép, dẫn đến nguy cơ mất an toàn thông tin và lộ dữ liệu cá nhân của người dùng.

Thông tư 21/2024/TT-BTTT về Quy chuẩn kỹ thuật quốc gia về thiết bị camera có hiệu lực thi hành kể từ ngày 15/2/2025 tới đây, yêu cầu các thiết bị camera giám sát sử dụng giao thức Internet (hay còn gọi là Camera giám sát IP) nhập khẩu và sản xuất trong nước sẽ phải đáp ứng các quy định tại QCVN 135:2024/BTTTT.

Thông tư quy định thiết bị camera cho phép các phần mềm được cập nhật và cài đặt một cách an toàn đồng thời phải sử dụng các mật mã an toàn để thực hiện đảm bảo an toàn cập nhật. Ví dụ, thiết bị camera có các biện pháp phòng, chống để ngăn chặn kẻ tấn công lạm dụng cơ chế cập nhật. Bên cạnh đó, thiết bị camera phải được cập nhật phần mềm một cách đơn giản. 

Thiết bị camera phải cho phép người sử dụng tra cứu thông tin về mã, chủng loại sản phẩm thiết bị thông qua nhãn dán trên thiết bị hoặc qua giao diện vật lý.

Về phía nhà sản xuất, các đơn vị phải cung cấp kịp thời bản cập nhật an toàn và công bố thời hạn hỗ trợ bảo hành đối với từng chủng loại thiết bị camera cho người sử dụng. Chẳng hạn như nhà sản xuất phải có chính sách, quy trình về phương án khắc phục lỗ hổng bảo mật được báo cáo, trong đó có đối tượng tham gia và thời gian thực hiện của từng bước.

Bên cạnh đó, các nhà sản xuất phải công bố chính sách lỗ hổng bảo mật, tối thiểu các thông tin sau: thông tin liên hệ để tiếp nhận thông tin về lỗ hổng; thông tin về thời gian đối với các việc xác nhận ban đầu về việc nhận được báo cáo và cập nhật trạng thái xử lý lỗ hổng bảo mật cho đến khi xử lý được các lỗ hổng bảo mật theo báo cáo.

Nhà sản xuất phải cung cấp đầy đủ thông tin về mục đích, cách thức thu thập, xử lý và lưu trữ dữ liệu cá nhân được thu thập và xử lý bởi thiết bị camera, dịch vụ liên kết hoặc bên thứ ba (nếu có). 

Để phòng chống tấn công thông qua các giao diện của thiết bị, người dùng cũng nên chủ động vô hiệu hóa tất cả giao diện mạng và logic của thiết bị camera mà không được sử dụng. 

Đặc biệt, Thông tư yêu cầu thiết bị camera phải có cơ chế khôi phục khi bị mất kết nối mạng hoặc bị mất điện. Thiết bị camera phải hoạt động được bình thường đối với các chức năng nội bộ khi bị mất kết nối mạng và khôi phục được hoàn toàn trạng thái hoạt động sau khi có điện trở lại.

Ngoài ra, camera phải có chức năng cho phép xóa dữ liệu người sử dụng trên thiết bị camera. Trường hợp camera có giao diện gỡ lỗi có thể truy cập được ở mức vật lý, phải có chức năng vô hiệu hóa giao diện gỡ lỗi bằng phần mềm.

Thiết bị camera phải có chức năng xác nhận sự đồng ý của người sử dụng đối với việc cho phép thiết bị camera thu thập và xử lý dữ liệu cá nhân. Đồng thời, người sử dụng cũng được phép thu hồi sự đồng ý đối với việc cho phép thiết bị camera thu thập và xử lý dữ liệu cá nhân.

Đặc biệt, dữ liệu trong camera phải được cho phép thiết lập cấu hình để lưu trữ tại Việt Nam.