Bộ Thông tin và Truyền thông (TT&TT) vừa ra quyết định về việc thiết lập Bộ tiêu chí an toàn thông tin mạng cơ bản cho camera giám sát. Nội dung này được khuyến nghị áp dụng cho các tổ chức và cá nhân Việt Nam cũng như nước ngoài liên quan đến các hoạt động nghiên cứu, phát triển, sản xuất, đánh giá, lựa chọn và sử dụng thiết bị camera.
Tài liệu đề xuất việc áp dụng các tiêu chuẩn kỹ thuật an toàn thông tin mạng cơ bản cho thiết bị camera giám sát sử dụng giao thức mạng (gọi tắt là thiết bị camera). Đối với các tiêu chuẩn kỹ thuật an toàn thông tin mạng ở mức độ cao hơn, các tổ chức và cá nhân sẽ cân nhắc và quyết định dựa trên đặc thù và nhu cầu thực tế của họ.
Theo thông báo, quyết định đã được ban hành vào ngày 7/5/2024, yêu cầu các camera giám sát phải đi kèm với tài liệu hướng dẫn sử dụng sản phẩm dành cho người sử dụng. Để bảo vệ thông tin cá nhân của người dùng, camera giám sát cần có tính năng quản lý xác thực, bao gồm các biện pháp phòng chống tấn công vét cạn và quản lý mật khẩu an toàn.
Cụ thể, camera cần có tính năng quản lý hệ thống để có thể thay đổi thời gian khóa, số lần đăng nhập sai và khoảng thời gian đăng nhập sai liên tục. Chỉ cung cấp thông tin về việc đăng nhập thành công/thất bại cho người sử dụng mà không chứa thông tin khác để tránh tấn công vét cạn. Ngoài ra, camera cần có khả năng kiểm soát mật khẩu an toàn và duy nhất cho từng thiết bị, cũng như có khả năng xác thực đa dạng đối tượng như người dùng hoặc thiết bị khác nhau.
Giao diện của thiết bị camera cho phép quản lý và kết nối thiết bị thông qua mạng; giao diện vật lý được sử dụng để truy cập vào các chức năng của thiết bị qua mạng; cổng vật lý hoặc giao diện kết nối không dây của thiết bị camera cho phép giao tiếp với thiết bị thông qua kết nối vật lý như cổng Ethernet, cổng USB, Wi-Fi,..
Bên cạnh đó, camera và ứng dụng giao tiếp với người dùng cần được trang bị chức năng thiết lập thời gian tự động đăng xuất ứng dụng sau một khoảng thời gian và tạo khóa phiên an toàn.
Tình trạng hoạt động của camera bao gồm các thông số, lựa chọn và chức năng đã được thiết lập sẵn theo cấu hình của nhà sản xuất. Chế độ này sẽ được kích hoạt ngay sau khi camera được lắp đặt và khởi động lần đầu tiên.
Camera và các dịch vụ kết nối phải có ít nhất tính năng cho phép thiết lập, cấu hình địa điểm tại Việt Nam để xử lý, lưu trữ và sử dụng dữ liệu (ví dụ: trên thẻ nhớ/thiết bị ngoại vi, dịch vụ đám mây đặt tại Việt Nam,...) để đảm bảo tuân thủ quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân.
Trong quá trình bắt đầu, thiết lập và cấu hình thiết bị, cần có giao diện thông báo cho người dùng về địa điểm (quốc gia) lưu trữ và xử lý dữ liệu được thu thập bởi camera và các dịch vụ kết nối.
Đồng thời, hệ thống cũng có khả năng cho phép người dùng xóa dữ liệu đã được thu thập và lưu trữ trên thiết bị camera. Ngoài ra, hệ thống cũng có tính năng thông báo cho người dùng biết kết quả xóa dữ liệu thành công hoặc thất bại trên thiết bị sau khi thực hiện chức năng xóa. Hơn nữa, hệ thống cũng yêu cầu xác nhận từ người dùng trước khi thực hiện việc xóa dữ liệu.
Thiết bị camera cần phải được trang bị thêm các tính năng mới như: xác minh tính hợp lệ của dữ liệu đầu vào từ người dùng hoặc thông qua giao diện lập trình; ngăn chặn việc xử lý dữ liệu đầu vào vi phạm các điều kiện lọc được định nghĩa trước bởi nhà sản xuất; kiểm tra tính hợp lệ của dữ liệu để ngăn chặn các loại tấn công vào giao diện của thiết bị.
Khi xảy ra sự cố và thiết bị cần phải khởi động lại (trừ khi có lỗi phần cứng), thiết bị phải hoạt động bình thường trong lần khởi động sau đó.
