Camera giám sát phải đặt mật khẩu phức tạp, ít nhất 8 ký tự

Theo bộ tiêu chí mới, camera giám sát mua bán, sử dụng tại Việt Nam phải đáp ứng các yêu cầu về bảo mật, quản lý lỗ hổng, cập nhật phần mềm, quản lý phiên an toàn, quản lý kênh giao tiếp, truy cập cấu hình thiết bị an toàn và bảo đảm an toàn dữ liệu người dùng.

Về bảo mật, Bộ TT&TT yêu cầu camera phải có tài liệu hướng dẫn sử dụng, tính năng quản lý xác thực, phòng chống tấn công vét cạn, quản lý mật khẩu an toàn, lưu trữ mật khẩu mã hóa.

Cụ thể, mật khẩu được tạo ra phải có yêu cầu về độ phức tạp đối với mật khẩu (mật khẩu phải có độ dài tối thiểu 8 ký tự, có chữ hoa, chữ thường, chữ số, ký tự đặc biệt). Hệ thống cũng sẽ giới hạn số lần đăng nhập sai và khoảng thời gian đăng nhập sai liên tục. Nếu đăng nhập thất bại 5 lần liên tục trong 30 giây, hệ thống tự động khóa không cho đăng nhập trong vòng 5 phút.

Với yêu cầu quản lý lỗ hổng, nhà sản xuất phải có hệ thống trực tuyến tiếp nhận và công bố thông tin về lỗ hổng, cung cấp mô tả về các phiên bản bị ảnh hưởng và hướng dẫn cập nhật, xử lý lỗ hổng.

Ngoài ra, các hãng camera cũng phải xây dựng một hệ thống trực tuyến để công bố thông tin về các phiên bản cập nhật. Quy trình cập nhật phần mềm được thực hiện qua kênh kết nối mạng an toàn, có bước xác thực trước khi cập nhật, thông báo phiên bản cập nhật mới và kiểm tra tính nguyên vẹn bản cập nhật.

Với tính năng quản lý phiên an toàn, bộ tiêu chí quy định nhà sản xuất tạo khóa phiên an toàn và tự động đăng xuất ứng dụng sau một khoảng thời gian. Hãng còn phải ứng dụng các phương pháp mã hóa dựa trên các tiêu chuẩn Việt Nam hoặc quốc tế, sử dụng phiên bản không tồn tại lỗ hổng, điểm yếu an ninh thông tin mạng.

Tính năng tạo khóa phiên an toàn cho người sử dụng khi đăng nhập thành công phải đáp ứng các yêu cầu như khóa phiên không có khả năng bị tấn công vét cạn, khóa phiên không được sinh cố định, có yếu tố ngẫu nhiên, khóa phiên không có khả năng bị khôi phục, có chức năng yêu cầu hủy phiên đăng nhập hoặc hủy phiên đăng nhập cũ khi người dùng đăng nhập lại.

Cũng trong văn bản, Bộ TT&TT đưa ra tiêu chí liên quan đến truy cập cấu hình thiết bị an toàn như sau: sử dụng kênh bảo mật an toàn, kiểm soát truy cập cấu hình thiết bị, cấp quyền truy cập tối thiểu.

Các thông tin bí mật của thiết bị camera dùng để bảo vệ thông tin hoặc quản lý truy cập, cấu hình thiết bị, bao gồm mật khẩu, mã PIN, khóa mật mã bí mật, phần nội dung bí mật của chứng chỉ số… Các thông tin công khai của thiết bị camera có thể cung cấp để phục vụ kết nối, quản trị và sử dụng thiết bị camera như khóa mật mã công khai, phần nội dung công khai của chứng chỉ số…

Về bảo đảm an toàn dữ liệu người dùng, camera phải có khả năng bảo vệ dữ liệu cá nhân, cho phép thiết lập, cấu hình địa điểm tại Việt Nam xử lý, lưu trữ, khai thác dữ liệu. Các cảm biến thu thập dữ liệu phải liệt kê danh mục, mô tả chức năng, nguyên lý hoạt động, thông báo địa điểm lưu trữ, xử lý dữ liệu.

Hãng phải cho phép người sử dụng xóa dữ liệu, thiết lập thời gian xóa tự động. Thời gian xóa được người sử dụng thiết lập trên camera hoặc theo thời gian mặc định của nhà sản xuất. Kèm theo đó là chức năng xác nhận người sử dụng đồng ý xóa dữ liệu trước khi thực hiện xóa.

Để đảm bảo an toàn ứng dụng thiết bị camera, nhà sản xuất buộc phải có bước kiểm tra tính hợp lệ dữ liệu đầu vào, ngăn chặn xử lý dữ liệu đầu vào vi phạm và kiểm tra tính hợp lệ dữ liệu để ngăn chặn các dạng tấn công vào giao diện của thiết bị.

Trong trường hợp thiết bị phải khởi động lại do có lỗi phát sinh, thiết bị đảm bảo hoạt động bình thường trong lần khởi động kế tiếp.