Camera đô thị thông minh: Giám sát vì an ninh nhưng dữ liệu có an toàn?

Việc triển khai hệ thống camera giám sát tại các đô thị lớn như TP.HCM, Hà Nội, Đà Nẵng, Huế... đã trở nên phổ biến. Tuy nhiên, một mối lo âm thầm đang lớn dần: dữ liệu hình ảnh và thông tin bảo mật - ai đang kiểm soát chúng và liệu có thực sự an toàn?

Những thương hiệu bị "gạch tên" ở nước ngoài, nhưng phổ biến tại Việt Nam

Không khó để bắt gặp camera mang nhãn hiệu Hikvision hoặc Dahua - hai cái tên quen thuộc nhưng cũng gây nhiều tranh cãi - xuất hiện tại các giao lộ, cổng trường, trạm y tế, thậm chí ở các trung tâm điều hành thông minh (IOC) của nhiều địa phương. Điều đáng nói, đây là các thương hiệu đã bị nhiều quốc gia như Mỹ, Anh, Úc, Liên minh châu Âu (EU)... cấm sử dụng trong hạ tầng công cộng do lo ngại về bảo mật và kiểm soát dữ liệu.

Nguyên nhân không nằm ở chức năng sản phẩm - mà ở phần lõi công nghệ chứa nhiều lỗ hổng có thể bị khai thác từ xa. Theo dữ liệu từ cơ sở CVE quốc tế, nhiều dòng thiết bị của Hikvision và Dahua từng bị phát hiện cho phép truy cập trái phép, không cần xác thực, thậm chí có thể tự động gửi dữ liệu về các máy chủ không rõ nguồn gốc.

Nhiều dòng camera hiện nay có giá thành cạnh tranh, dễ dàng triển khai, nên thường được lựa chọn cho các dự án dân sinh và đô thị. Tuy nhiên, các chuyên gia cảnh báo: nếu thiết bị không đạt chuẩn bảo mật, chúng có thể bị tin tặc truy cập từ xa, bí mật ghi hình, nghe âm thanh và thu thập dữ liệu mà người dùng không hề hay biết.

Tại Việt Nam, phần lớn hệ thống camera được triển khai thông qua hình thức đấu thầu mua sắm công hoặc qua các nhà thầu phụ. Đáng chú ý, nhiều thương hiệu đã bị quốc tế cấm do sử dụng lõi công nghệ tiềm ẩn "cửa hậu" nguy hiểm vẫn đang hiện diện rộng rãi tại nhiều công trình công cộng.

Thậm chí, ghi nhận thực tế cho thấy một số thương hiệu đã được "rửa nhãn" qua các quốc gia Đông Nam Á dưới hình thức OEM - bản chất vẫn sử dụng lõi công nghệ của Dahua hoặc Hikvision nhưng được đổi tên, khoác lên vỏ thương hiệu mới. Những thiết bị này thường không minh bạch về giấy phép nhà máy sản xuất, không công bố chứng chỉ ISO, thông tin trên website thiếu rõ ràng.

Trong nhiều trường hợp, các đơn vị thi công không yêu cầu chứng chỉ bảo mật độc lập, không kiểm tra kỹ nguồn gốc thiết bị hoặc không ràng buộc rõ ràng về năng lực và trách nhiệm của nhà sản xuất - khiến toàn bộ hệ thống giám sát tiềm ẩn nhiều rủi ro khó lường.

Theo điều tra của IPVM - một tổ chức chuyên phân tích thiết bị giám sát an ninh toàn cầu - nền tảng phần mềm Hik-Connect của Hikvision từng bị phát hiện có lỗ hổng bảo mật nghiêm trọng, khiến dữ liệu camera bị tin tặc truy cập và rao bán trên các nền tảng chợ đen. Một số nội dung bị rò rỉ bao gồm cả hình ảnh nhạy cảm, trong đó có trường hợp liên quan đến trẻ em

Dữ liệu người dân - ai được quyền xem?

Chia sẻ với Thanh Niên, một chuyên gia an ninh mạng cho biết: "Rất nhiều thiết bị hiện nay không mã hóa dữ liệu đầu ra, không giới hạn quyền truy cập và không có chính sách cập nhật bảo mật định kỳ. Điều này khiến hệ thống camera có thể bị lợi dụng để theo dõi ngược lại chính người dân".

Tại các quốc gia phát triển, việc triển khai hệ thống giám sát đô thị luôn đi kèm với các tiêu chuẩn kỹ thuật nghiêm ngặt: thiết bị phải đạt chuẩn NDAA (Mỹ), có chứng chỉ ISO, CE, UL và đặc biệt là khả năng kiểm soát đường đi của dữ liệu cũng như chủ quyền máy chủ lưu trữ.

"Nếu dữ liệu được đẩy lên nền tảng cloud mà không kiểm soát - hoặc rơi vào máy chủ đặt ngoài lãnh thổ Việt Nam - thì đó là mối đe dọa nghiêm trọng không chỉ với người dân mà còn với cả hệ thống điều hành chính quyền đô thị", vị chuyên gia cảnh báo thêm.

Lựa chọn công nghệ không chỉ vì giá mà còn vì an ninh quốc gia

Không thể phủ nhận vai trò của camera giám sát trong quản trị đô thị hiện đại. Tuy nhiên, vấn đề an ninh mạng đang trở nên cấp thiết hơn bao giờ hết. Đô thị thông minh không chỉ cần dữ liệu mà còn cần quyền kiểm soát dữ liệu.

Để đảm bảo an toàn hệ thống, các đơn vị vận hành và quản lý hạ tầng công cộng cần thực hiện những yêu cầu tối thiểu sau:

Nếu hình ảnh đời sống đô thị - từ chuyển động giao thông đến thói quen sinh hoạt của người dân - bị ghi nhận 24/7, thì câu hỏi "ai được quyền truy cập và sử dụng dữ liệu đó" cần được đặt ra một cách nghiêm túc.