Bộ Công an Việt Nam đang dốc toàn lực để tiến hành việc cấp thẻ căn cước điện tử có gắn chip cho người dân.
Theo thông tin từ bộ này, thẻ căn cước gắn chip mới hiện đang được nhiều nước trên thế giới áp dụng “vì tính ưu việt cũng như tạo sự thuận lợi khi sử dụng cho công dân”, bên cạnh những ưu điểm khác như “độ bảo mật cao hơn”, “lưu trữ lượng thông tin lớn hơn”, và “thuận lợi cho công dân khi thực hiện các giao dịch trực tuyến”.
Tuy nhiên, những chiếc thẻ có gắn chip này có thể mang lại nhiều rủi ro nghiêm trọng về bảo mật dữ liệu cá nhân hơn bạn nghĩ. Trong khi đó, dự thảo nghị định về bảo vệ dữ liệu cá nhân, trong đó có những dữ liệu được lưu trữ trong thẻ căn cước mới, vẫn đang được Bộ Công an lấy ý kiến.
Những sự cố bảo mật liên quan đến thẻ căn cước có gắn chip không phải là chưa từng xảy ra trên thế giới. Quốc gia tiêu biểu trong số đó là Estonia, vốn là một hình mẫu về chính phủ điện tử và dịch vụ số.
Vào năm 2017, Estonia đã gặp một cuộc khủng hoảng bảo mật thẻ căn cước điện tử. Sự cố này khiến hơn một nửa dân số vào thời điểm đó đối mặt với nguy cơ bị đánh cắp thông tin.
Việt Nam có thể học được gì từ họ?
Hệ thống căn cước điện tử của Estonia
Estonia là một trong những nước đi đầu trong lĩnh vực định danh kỹ thuật số (digital identity). Công nghệ từ lâu đã đóng một vai trò trọng yếu trong nền kinh tế của quốc gia vùng Baltic này.
Với nền tảng hạ tầng công nghệ phát triển, Estonia cũng là một trong số ít quốc gia nơi người dân có thể tiếp cận với 99% các dịch vụ công trên mạng.
Mỗi tấm thẻ căn cước của Estonia có gắn một con chip dùng để tự xác thực (authenticating oneself) và ký các văn bản kỹ thuật số. Do đó, ngoài vai trò dùng để xác định danh tính, mỗi tấm thẻ còn cho phép người dân truy cập vào tất cả các dịch vụ trực tuyến (e-services) của Estonia.
Thẻ căn cước điện tử được ra mắt khi nào?
Chính phủ Estonia ra mắt thẻ căn cước điện tử (eID card) vào năm 2001.
Tuy nhiên trước đó, kể từ cuối thập niên 1990, quốc gia này đã đi đầu trong việc chuyển giao toàn bộ quyền sở hữu dữ liệu cá nhân cho người dân.
Vào năm 2002, thẻ căn cước công dân quốc gia (national ID card) trở thành tài liệu định danh bắt buộc tại Estonia.
Công nghệ trên chip hoạt động ra sao?
Mỗi thẻ căn cước điện tử được gắn một con chip. Con chip này chứa các thông tin dữ liệu cá nhân và các chứng chỉ số (digital certificates) được mã hóa, bao gồm hai mã khóa riêng (private key) đi kèm với mã khóa chung tương ứng (public key).
Để dễ hình dung, có thể xem địa chỉ nhà của mỗi người là “public key”. Họ có thể chia sẻ thông tin này đến bất kỳ ai có nhu cầu trao đổi dữ liệu với mình. Nhưng chìa khóa vào nhà, hay “private key”, thì chỉ có bản thân chủ nhà nắm giữ. Nhờ vậy, người ta có thể trao đổi và xác thực thông tin qua lại. Các thuật toán được ứng dụng để đảm bảo chìa khóa riêng “private key” gần như không thể bị giải mã.
Nguyên tắc này được gọi là mã hóa bất đối xứng (asymmetric encryption). Đây là phương thức mã hóa phổ biến cho hầu hết tương tác trao đổi trên mạng, từ truy cập web đến email hay thương mại điện tử.
Các thẻ căn cước chứa hai chứng chỉ số với các mã khóa riêng biệt: một chứng chỉ để xác nhận danh tính của chủ sở hữu, chứng chỉ còn lại dùng cho việc xác nhận chữ ký số trong việc ký kết các văn bản hoặc tài liệu.
Các mã khóa riêng được bảo vệ bằng mã PIN tương ứng. Người dùng có thể nhập mã PIN khi được yêu cầu xác minh danh tính trực tuyến hay sử dụng dịch vụ chữ ký điện tử ở trên.
Chủ sở hữu có thể sử dụng các dịch vụ số khi kết nối con chip với đầu đọc thẻ thông minh và một phần mềm đặc dụng. Các dịch vụ mà công dân Estonia có thể truy cập với thẻ căn cước điện tử bao gồm: căn cước pháp lý khi đi lại (legal travel ID), dịch vụ thẻ bảo hiểm quốc gia, thanh toán trực tuyến, giao dịch ngân hàng, chữ ký số, hay thậm chí là bầu cử điện tử (i-Voting).
Estonia đã gặp vấn đề gì với hệ thống thẻ căn cước điện tử?
Các thẻ căn cước cấp từ năm 2014 của Estonia do công ty Infineon (Đức) đảm nhiệm việc sản xuất chip. Theo Cơ quan quản lý Hệ thống Thông tin Estonia (RIA), con chip thế hệ mới này nhanh hơn, sở hữu công nghệ mới nhất, và do đó, được cho là an toàn hơn.
Tuy nhiên, vào tháng 8/2017, RIA nhận được thông báo về một nguy cơ bảo mật liên quan đến các con chip do Infineon phát triển.
Theo đó, một nhóm các nhà nghiên cứu tại Đại học Masaryk (Séc) đã phát hiện một lỗi thuật toán (algorithmic flaw) trong hệ thống Infineon RSA Library. Nó khiến các mật mã do hệ thống Infineon Library tạo ra đều gặp rủi ro cao về bảo mật. Tin tặc có thể lần ra mã khóa riêng (private key) của mỗi thẻ căn cước từ mã chung (public key), từ đó có thể đánh cắp danh tính kỹ thuật số và nắm quyền truy cập thông tin cá nhân của người dùng.
Hàng triệu con chip định danh do Infineon sản xuất trên toàn thế giới nằm trong số bị ảnh hưởng. Số lượng thẻ có nguy cơ bị tin tặc tấn công tại Estonia vào khoảng 800.000, chiếm hơn một nửa dân số quốc gia (1,3 triệu dân) vào thời điểm đó.
Sự cố bảo mật này gây ra những hệ quả gì?
Rủi ro bảo mật đã được ngăn chặn kịp thời trước khi bất kỳ tổn thất nào xảy ra. Tuy nhiên, sự cố trên đã khiến cho hàng chục nghìn người dân không được cấp quyền truy cập vào một số dịch vụ trực tuyến trong một thời gian ngắn.
RIA cũng xác nhận rằng “lỗ hổng bảo mật trên có thể cho phép [tin tặc] sử dụng danh tính điện tử cho quá trình định danh cá nhân và sử dụng chữ ký số mà không cần dùng đến thẻ vật lý và mã PIN”.
Tuy nhiên, theo cơ quan này, có mã khóa chung của chứng chỉ thì vẫn chưa đủ để mở khóa thẻ. Muốn làm vậy, tin tặc còn cần thêm một hệ thống điện toán mạnh và đắt tiền để lần ra mã khóa riêng của người dùng. Bên cạnh đó, việc truy cập vào hệ thống chữ ký số cũng cần đến một phần mềm đặc dụng.
Estonia đã làm gì để giải quyết khủng hoảng?
Vào ngày 05/9/2017, Thủ tướng Estonia Jüri Ratas đã tổ chức một buổi họp báo đặc biệt để thông báo cho người dân về mối đe dọa.
Cơ quan quản lý Hệ thống Thông tin của Estonia (RIA) ngay lập tức phối hợp với Cơ quan Cảnh sát và Biên phòng (PBGB) và Bộ Kinh tế và Truyền thông để khống chế cuộc khủng hoảng. Hai công ty bảo mật tư nhân là Nortal và Cybernetica cũng được mời vào cuộc để giải quyết.
Để ngăn chặn các vụ tấn công, Estonia đã hạn chế quyền truy cập vào cơ sở dữ liệu mã khóa chung của thẻ căn cước. Không có được mã khóa chung, tin tặc sẽ không thể sử dụng lỗ hổng bảo mật này để tấn công.
Vào ngày 25/10, RIA cho ra mắt một phần mềm để người dân có thể cập nhật lại các chứng chỉ bảo mật từ xa.
Ông Margus Arm, trưởng bộ phận thẻ căn cước điện tử (eID) tại RIA, cho biết: “Bản cập nhật mới này, cũng như phần mềm gia hạn thẻ căn cước (ID-card renewal software) giúp chúng ta vượt qua rủi ro bảo mật mà không cần phải thay thế tất cả các thẻ bị ảnh hưởng”.
Vào ngày 03/11, PBGB đưa ra quyết định tạm dừng chứng chỉ điện tử của những thẻ căn cước gặp rủi ro. Chủ sở hữu của những tấm thẻ này cần phải cập nhật chứng chỉ bảo mật để tiếp tục sử dụng các dịch vụ trực tuyến.
Trong quá trình cập nhật thẻ căn cước để sửa lỗi bảo mật, khoảng 35.000 người được ưu tiên – bao gồm các bác sĩ, cán bộ tư pháp, và nhân viên chính phủ. Việc này là nhằm đảm bảo các dịch vụ công của chính phủ điện tử không bị gián đoạn.
Kết quả sau những nỗ lực của Chính phủ Estonia là gì?
Từ ngày 25/10 đến ngày 6/11/2017, có khoảng 120.000 người dân đã tiến hành cập nhật thẻ căn cước của mình, 92.000 trong số đó là cập nhật từ xa.
Sự cố trên đã được ngăn chặn từ sớm và không có trường hợp đánh cắp danh tính điện tử (e-identity theft) nào xảy ra, theo RIA. Bất chấp cuộc khủng hoảng trên, đa số người dân Estonia vẫn đặt niềm tin vào hệ thống chính phủ điện tử của nước mình.
Ông Taimar Peterkop, người đứng đầu RIA, đã nhấn mạnh tầm quan trọng của việc minh bạch hóa quá trình giải quyết khủng hoảng với công chúng.
“Chúng ta cần đối phó với các vụ tấn công mạng một cách công khai, chứ không phải âm thầm lặng lẽ”, ông cho biết. “Các cuộc tranh luận mở chắc chắn sẽ giúp củng cố thêm niềm tin của người dân”.
Sơ đồ mô tả hệ thống thông tin của Estonia. Ảnh: estonianworld.com.
Các số liệu thực tiễn đã minh chứng cho niềm tin của người dân. Vào tháng 02/2018, gần nửa năm sau sự cố lỗi bảo mật, hơn 10 triệu chữ ký số đã được sử dụng, so với 6 triệu chữ ký của cùng kỳ năm ngoái. Ngay cả trong suốt cuộc khủng hoảng, hệ thống bầu cử trực tuyến của Estonia cũng đã lập được một kỷ lục mới: 31,7% cử tri nước này lựa chọn phương pháp bầu cử trực tuyến.
“Nếu muốn tiến về phía trước, chúng ta sẽ cần phải đầu tư nhiều hơn lúc trước, không những cho hệ thống [bảo mật], mà còn cho con người”, Thủ tướng Jüri Ratas phát biểu. “Việc hợp tác sẽ có hiệu quả cao khi các nhà nghiên cứu và chuyên gia công nghệ, cũng như các cơ quan nhà nước và tư nhân có thể phối hợp làm việc với nhau”.
***/
Jason Nguyen - Thẻ căn cước gắn chip: Sự cố của Estonia và bài học cho Việt Nam |
Theo thông tin từ bộ này, thẻ căn cước gắn chip mới hiện đang được nhiều nước trên thế giới áp dụng “vì tính ưu việt cũng như tạo sự thuận lợi khi sử dụng cho công dân”, bên cạnh những ưu điểm khác như “độ bảo mật cao hơn”, “lưu trữ lượng thông tin lớn hơn”, và “thuận lợi cho công dân khi thực hiện các giao dịch trực tuyến”.
Tuy nhiên, những chiếc thẻ có gắn chip này có thể mang lại nhiều rủi ro nghiêm trọng về bảo mật dữ liệu cá nhân hơn bạn nghĩ. Trong khi đó, dự thảo nghị định về bảo vệ dữ liệu cá nhân, trong đó có những dữ liệu được lưu trữ trong thẻ căn cước mới, vẫn đang được Bộ Công an lấy ý kiến.
Những sự cố bảo mật liên quan đến thẻ căn cước có gắn chip không phải là chưa từng xảy ra trên thế giới. Quốc gia tiêu biểu trong số đó là Estonia, vốn là một hình mẫu về chính phủ điện tử và dịch vụ số.
Vào năm 2017, Estonia đã gặp một cuộc khủng hoảng bảo mật thẻ căn cước điện tử. Sự cố này khiến hơn một nửa dân số vào thời điểm đó đối mặt với nguy cơ bị đánh cắp thông tin.
Việt Nam có thể học được gì từ họ?
Hệ thống căn cước điện tử của Estonia
Estonia là một trong những nước đi đầu trong lĩnh vực định danh kỹ thuật số (digital identity). Công nghệ từ lâu đã đóng một vai trò trọng yếu trong nền kinh tế của quốc gia vùng Baltic này.
Với nền tảng hạ tầng công nghệ phát triển, Estonia cũng là một trong số ít quốc gia nơi người dân có thể tiếp cận với 99% các dịch vụ công trên mạng.
Mỗi tấm thẻ căn cước của Estonia có gắn một con chip dùng để tự xác thực (authenticating oneself) và ký các văn bản kỹ thuật số. Do đó, ngoài vai trò dùng để xác định danh tính, mỗi tấm thẻ còn cho phép người dân truy cập vào tất cả các dịch vụ trực tuyến (e-services) của Estonia.
Thẻ căn cước điện tử được ra mắt khi nào?
Chính phủ Estonia ra mắt thẻ căn cước điện tử (eID card) vào năm 2001.
Tuy nhiên trước đó, kể từ cuối thập niên 1990, quốc gia này đã đi đầu trong việc chuyển giao toàn bộ quyền sở hữu dữ liệu cá nhân cho người dân.
Vào năm 2002, thẻ căn cước công dân quốc gia (national ID card) trở thành tài liệu định danh bắt buộc tại Estonia.
Công nghệ trên chip hoạt động ra sao?
Mỗi thẻ căn cước điện tử được gắn một con chip. Con chip này chứa các thông tin dữ liệu cá nhân và các chứng chỉ số (digital certificates) được mã hóa, bao gồm hai mã khóa riêng (private key) đi kèm với mã khóa chung tương ứng (public key).
Để dễ hình dung, có thể xem địa chỉ nhà của mỗi người là “public key”. Họ có thể chia sẻ thông tin này đến bất kỳ ai có nhu cầu trao đổi dữ liệu với mình. Nhưng chìa khóa vào nhà, hay “private key”, thì chỉ có bản thân chủ nhà nắm giữ. Nhờ vậy, người ta có thể trao đổi và xác thực thông tin qua lại. Các thuật toán được ứng dụng để đảm bảo chìa khóa riêng “private key” gần như không thể bị giải mã.
Nguyên tắc này được gọi là mã hóa bất đối xứng (asymmetric encryption). Đây là phương thức mã hóa phổ biến cho hầu hết tương tác trao đổi trên mạng, từ truy cập web đến email hay thương mại điện tử.
Các thẻ căn cước chứa hai chứng chỉ số với các mã khóa riêng biệt: một chứng chỉ để xác nhận danh tính của chủ sở hữu, chứng chỉ còn lại dùng cho việc xác nhận chữ ký số trong việc ký kết các văn bản hoặc tài liệu.
Các mã khóa riêng được bảo vệ bằng mã PIN tương ứng. Người dùng có thể nhập mã PIN khi được yêu cầu xác minh danh tính trực tuyến hay sử dụng dịch vụ chữ ký điện tử ở trên.
Chủ sở hữu có thể sử dụng các dịch vụ số khi kết nối con chip với đầu đọc thẻ thông minh và một phần mềm đặc dụng. Các dịch vụ mà công dân Estonia có thể truy cập với thẻ căn cước điện tử bao gồm: căn cước pháp lý khi đi lại (legal travel ID), dịch vụ thẻ bảo hiểm quốc gia, thanh toán trực tuyến, giao dịch ngân hàng, chữ ký số, hay thậm chí là bầu cử điện tử (i-Voting).
Estonia đã gặp vấn đề gì với hệ thống thẻ căn cước điện tử?
Các thẻ căn cước cấp từ năm 2014 của Estonia do công ty Infineon (Đức) đảm nhiệm việc sản xuất chip. Theo Cơ quan quản lý Hệ thống Thông tin Estonia (RIA), con chip thế hệ mới này nhanh hơn, sở hữu công nghệ mới nhất, và do đó, được cho là an toàn hơn.
Tuy nhiên, vào tháng 8/2017, RIA nhận được thông báo về một nguy cơ bảo mật liên quan đến các con chip do Infineon phát triển.
Theo đó, một nhóm các nhà nghiên cứu tại Đại học Masaryk (Séc) đã phát hiện một lỗi thuật toán (algorithmic flaw) trong hệ thống Infineon RSA Library. Nó khiến các mật mã do hệ thống Infineon Library tạo ra đều gặp rủi ro cao về bảo mật. Tin tặc có thể lần ra mã khóa riêng (private key) của mỗi thẻ căn cước từ mã chung (public key), từ đó có thể đánh cắp danh tính kỹ thuật số và nắm quyền truy cập thông tin cá nhân của người dùng.
Hàng triệu con chip định danh do Infineon sản xuất trên toàn thế giới nằm trong số bị ảnh hưởng. Số lượng thẻ có nguy cơ bị tin tặc tấn công tại Estonia vào khoảng 800.000, chiếm hơn một nửa dân số quốc gia (1,3 triệu dân) vào thời điểm đó.
Sự cố bảo mật này gây ra những hệ quả gì?
Rủi ro bảo mật đã được ngăn chặn kịp thời trước khi bất kỳ tổn thất nào xảy ra. Tuy nhiên, sự cố trên đã khiến cho hàng chục nghìn người dân không được cấp quyền truy cập vào một số dịch vụ trực tuyến trong một thời gian ngắn.
RIA cũng xác nhận rằng “lỗ hổng bảo mật trên có thể cho phép [tin tặc] sử dụng danh tính điện tử cho quá trình định danh cá nhân và sử dụng chữ ký số mà không cần dùng đến thẻ vật lý và mã PIN”.
Tuy nhiên, theo cơ quan này, có mã khóa chung của chứng chỉ thì vẫn chưa đủ để mở khóa thẻ. Muốn làm vậy, tin tặc còn cần thêm một hệ thống điện toán mạnh và đắt tiền để lần ra mã khóa riêng của người dùng. Bên cạnh đó, việc truy cập vào hệ thống chữ ký số cũng cần đến một phần mềm đặc dụng.
Estonia đã làm gì để giải quyết khủng hoảng?
Vào ngày 05/9/2017, Thủ tướng Estonia Jüri Ratas đã tổ chức một buổi họp báo đặc biệt để thông báo cho người dân về mối đe dọa.
Cơ quan quản lý Hệ thống Thông tin của Estonia (RIA) ngay lập tức phối hợp với Cơ quan Cảnh sát và Biên phòng (PBGB) và Bộ Kinh tế và Truyền thông để khống chế cuộc khủng hoảng. Hai công ty bảo mật tư nhân là Nortal và Cybernetica cũng được mời vào cuộc để giải quyết.
Để ngăn chặn các vụ tấn công, Estonia đã hạn chế quyền truy cập vào cơ sở dữ liệu mã khóa chung của thẻ căn cước. Không có được mã khóa chung, tin tặc sẽ không thể sử dụng lỗ hổng bảo mật này để tấn công.
Vào ngày 25/10, RIA cho ra mắt một phần mềm để người dân có thể cập nhật lại các chứng chỉ bảo mật từ xa.
Ông Margus Arm, trưởng bộ phận thẻ căn cước điện tử (eID) tại RIA, cho biết: “Bản cập nhật mới này, cũng như phần mềm gia hạn thẻ căn cước (ID-card renewal software) giúp chúng ta vượt qua rủi ro bảo mật mà không cần phải thay thế tất cả các thẻ bị ảnh hưởng”.
Vào ngày 03/11, PBGB đưa ra quyết định tạm dừng chứng chỉ điện tử của những thẻ căn cước gặp rủi ro. Chủ sở hữu của những tấm thẻ này cần phải cập nhật chứng chỉ bảo mật để tiếp tục sử dụng các dịch vụ trực tuyến.
Trong quá trình cập nhật thẻ căn cước để sửa lỗi bảo mật, khoảng 35.000 người được ưu tiên – bao gồm các bác sĩ, cán bộ tư pháp, và nhân viên chính phủ. Việc này là nhằm đảm bảo các dịch vụ công của chính phủ điện tử không bị gián đoạn.
Kết quả sau những nỗ lực của Chính phủ Estonia là gì?
Từ ngày 25/10 đến ngày 6/11/2017, có khoảng 120.000 người dân đã tiến hành cập nhật thẻ căn cước của mình, 92.000 trong số đó là cập nhật từ xa.
Sự cố trên đã được ngăn chặn từ sớm và không có trường hợp đánh cắp danh tính điện tử (e-identity theft) nào xảy ra, theo RIA. Bất chấp cuộc khủng hoảng trên, đa số người dân Estonia vẫn đặt niềm tin vào hệ thống chính phủ điện tử của nước mình.
Ông Taimar Peterkop, người đứng đầu RIA, đã nhấn mạnh tầm quan trọng của việc minh bạch hóa quá trình giải quyết khủng hoảng với công chúng.
“Chúng ta cần đối phó với các vụ tấn công mạng một cách công khai, chứ không phải âm thầm lặng lẽ”, ông cho biết. “Các cuộc tranh luận mở chắc chắn sẽ giúp củng cố thêm niềm tin của người dân”.
Sơ đồ mô tả hệ thống thông tin của Estonia. Ảnh: estonianworld.com.
Các số liệu thực tiễn đã minh chứng cho niềm tin của người dân. Vào tháng 02/2018, gần nửa năm sau sự cố lỗi bảo mật, hơn 10 triệu chữ ký số đã được sử dụng, so với 6 triệu chữ ký của cùng kỳ năm ngoái. Ngay cả trong suốt cuộc khủng hoảng, hệ thống bầu cử trực tuyến của Estonia cũng đã lập được một kỷ lục mới: 31,7% cử tri nước này lựa chọn phương pháp bầu cử trực tuyến.
“Nếu muốn tiến về phía trước, chúng ta sẽ cần phải đầu tư nhiều hơn lúc trước, không những cho hệ thống [bảo mật], mà còn cho con người”, Thủ tướng Jüri Ratas phát biểu. “Việc hợp tác sẽ có hiệu quả cao khi các nhà nghiên cứu và chuyên gia công nghệ, cũng như các cơ quan nhà nước và tư nhân có thể phối hợp làm việc với nhau”.
***/
Không có nhận xét nào