Bảo mật giao dịch điện tử: Cần giải pháp ‘mạnh tay’ hơn

Ảnh minh họa

Mật mã dân sự: Hệ trọng với cả an ninh kinh tế

Để các giao dịch điện tử bảo đảm tính tin cậy, chống giả mạo, chống sửa đổi nội dung thông tin, chống mất mát dữ liệu thì giải pháp an toàn, tiện dụng nhất là sử dụng mật mã đáp ứng các tiêu chí gồm bảo mật, xác thực, toàn vẹn và chống chối bỏ. Hiện các hoạt động sử dụng mật mã bảo vệ thông tin không thuộc phạm vi bí mật nhà nước đều được quy định tại Luật An ninh mạng, Luật Giao dịch điện tử và nhiều văn bản khác.

Mật mã dân sự (MMDS) được nhiều nước đưa vào danh mục kiểm soát vũ khí, cần được quản lý thống nhất để chống xâm hại lợi ích quốc gia, lợi ích của các DN, tổ chức, cá nhân… Những nước có công nghệ mật mã mạnh thường hạn chế xuất khẩu mật mã. Và thực tế là đã có 44 nước cùng ký thỏa thuận WASSENAAR để kiểm soát xuất khẩu mật mã.

Riêng Việt Nam, chủ trương quản lý MMDS theo hướng phải là những mật mã kiểm soát được nhưng đồng thời vẫn bảo đảm khuyến khích các hoạt động nghiên cứu, phát triển ứng dụng, kinh doanh và sử dụng; bảo đảm tính đa dạng, thuận lợi, hiệu quả; ngăn chặn sử dụng mật mã vào mục đích xấu. “Đồng thời, phải tránh sử dụng mật mã yếu trong các lĩnh vực có nhu cầu bảo đảm bí mật, an toàn thông tin cao hay trong các ngành mà sự mất mát thông tin có thể ảnh hưởng xấu đến toàn xã hội, đến kinh tế đất nước và an ninh quốc gia, ví dụ như khu vực tài chính, ngân hàng, bảo hiểm”, ông Vũ Văn Xứng, Cục trưởng Cục Kiểm định mật mã dân sự và Kiểm định sản phẩm mật mã, tái khẳng định tại Hội nghị về quản lý và phát triển các sản phẩm có ứng dụng MMDS sáng ngày 8/8 tại TPHCM.

Cần liên thông các hạ tầng ứng dụng mật mã dân sự

Có thể nói, khu vực kinh tế đi tiên phong trong áp dụng mật mã dân sự vào các hoạt động của mình là ngành tài chính-ngân hàng, thuế và hải quan – nơi có khối lượng giao dịch lớn, dữ liệu người dùng rộng, nhạy cảm và các giao dịch đều cần tính xác thực cao để bảo vệ các bên liên quan. Vì vậy, hai sản phẩm cụ thể là chữ ký số và chứng thư số đã sớm trở nên phổ biến tại đây. Tuy nhiên, theo ông Phạm Quốc Trình, đại diện Cục Công nghệ thông tin (Ngân hàng Nhà nước), rất cần có cơ chế liên thông hạ tầng chữ ký số công cộng, chữ ký số chuyên dùng của Chính phủ, chứng thư số chuyên dùng giữa các cơ quan, tổ chức với nhau để tránh lãng phí đầu tư.

Thực tế là các DN, tổ chức hiện nay cùng lúc đang phải sở hữu nhiều chữ ký số khác nhau. Ví dụ, vừa phải có một chữ ký số dùng để giao dịch với cơ quan thuế, một chữ ký số nữa khi giao dịch với cơ quan hải quan để làm thủ tục thông quan điện tử. Hay khách hàng chỉ dùng một chữ ký số cho một ngân hàng chứ không mang sang giao dịch ở ngân hàng khác được…

Ngoài ra, cũng theo nhà quản lý công nghệ thông tin ngành ngân hàng, xu thế chuyển dần từ dịch vụ ngân hàng truyền thống sang các dịch vụ ngân hàng điện tử – cho phép khách hàng tự thực hiện giao dịch với các thiết bị di động có nối mạng như mobile banking hay internet banking – ngày càng trở nên phổ biến. Tuy vậy, hiện Việt Nam vẫn chưa có cơ chế, hay quy chuẩn nào cho sản phẩm ứng dụng MMDS trong lĩnh vực tài chính, ngân hàng.

“Cần nghiên cứu xem xét xây dựng bộ tiêu chuẩn này để các ngân hàng tự tham chiếu, xem sản phẩm mình cần có đáp ứng được tiêu chuẩn ấy thì dùng, thay vì hiện nay cơ quan quản lý phải kiểm tra, cấp phép cho từng dịch vụ, từng sản phẩm, tạo ra loại thủ tục hành chính rất rườm rà, hạn chế khả năng đưa các ứng dụng an toàn vào thực tế”, ông Trình đề xuất.

Quản lý sản phẩm ứng dụng MMDS: DN muốn áp dụng “tiền lệ”

Từ phía các nhà xuất nhập khẩu sản phẩm công nghệ thông tin, ông Trịnh Ngọc Minh, Phó Chủ tịch Hiệp hội An toàn Thông tin Việt Nam (VNISA) chi hội phía nam, cho rằng các nội dung quản lý việc sử dụng sản phẩm có ứng dụng MMDS tại một số văn bản pháp luật hiện nay khiến DN đang khá bối rối. Đơn cử, một sản phẩm công nghệ thông tin có thể dùng nhiều mật mã khác nhau, có loại thì chiếu theo luật sẽ phải nhận được sự đồng ý của cơ quan chức năng mới nhập khẩu – thông quan được, nhưng cũng có sản phẩm đang ở “ngoài vòng pháp luật”.

Ví dụ, DN thường nhập khẩu máy tính về Việt Nam với một hệ điều hành ban đầu khá đơn giản. Sau đó, quá trình “nâng cấp” sẽ được tiến hành qua mạng với dịch vụ online từ người bán. Tức hệ điều hành mới không còn nhập khẩu bằng con đường “vật lý” là đi qua “cổng” hải quan nữa. “Lúc này, chúng tôi cần xin phép ra sao, DN hiện đang không biết xử lý thế nào với trường hợp này”, ông Minh bày tỏ mối băn khoăn.

Người đại diện VNISA cũng đề xuất dùng biện pháp kỹ thuật để phân biệt càng rõ càng tốt danh mục sản phẩm công nghệ thông tin không cần có giấy phép và sản phẩm cần có giấy phép. Chẳng hạn, có thể phân loại sản phẩm dựa trên các thuật toán. Hoặc nhà quản lý MMDS chỉ cần cấp phép theo từng sản phẩm, độc lập với người nhập khẩu, “nghĩa là nếu có DN đã xin và được cấp phép cho nhập khẩu một sản phẩm rồi thì DN khác khi nhập đúng sản phẩm ấy sẽ đương nhiên không cần xin phép nữa”, ông Minh nêu giải pháp.

Tất nhiên, sẽ là không dễ dàng “đả thông” tư tưởng cho các DN, tổ chức đang từ một môi trường kinh doanh không có giấy phép (với sản phẩm có ứng dụng MMDS) sang có phép bởi DN chỉ đơn giản nghĩ rằng thêm thủ tục tức là tăng chi phí, là có thêm cản trở cho kinh doanh.

Tuy nhiên, nhìn từ khía cạnh tích cực nhằm bảo vệ an ninh quốc gia, an toàn thông tin cho người dùng, hạn chế những sự cố có thể xảy ra do sử dụng sản phẩm kém phẩm chất (mật mã yếu) thì có lẽ đã tới lúc chính người dùng cần nhận thức rõ hơn hết nhu cầu phải được bảo vệ thông tin. Chỉ người dùng mới có thể trở thành lực lượng gây áp lực lên các nhà cung cấp sản phẩm dịch vụ, khiến DN phải tự giác nhập khẩu, sản xuất và cung ứng các sản phẩm đạt chuẩn an toàn như quy định pháp luật. Có như vậy sẽ bớt đi rất nhiều sự cố đáng tiếc, chẳng hạn như tranh chấp giữa các công ty chứng khoán với nhà đầu tư, giữa người gửi tiền với ngân hàng quanh các giao dịch điện tử mà nguồn gốc một phần cũng xuất phát từ sự lơi lỏng trong ứng dụng MMDS.

Theo Chinhphu