Những giải pháp bảo đảm an toàn thông tin cho dịch vụ công trực tuyến

Cổng DVC quốc gia hướng tới việc số hóa hồ sơ, giấy tờ, chuyển hoạt động sử dụng hồ sơ, văn bản giấy, giao dịch trực tiếp sang hoạt động sử dụng hồ sơ, văn bản điện tử, giao dịch điện tử và cung cấp DVC không phụ thuộc vào thời gian, địa giới hành chính…

Theo đó, việc đảm bảo an toàn, bảo mật thông tin cho người dân, DN khi sử dụng các DVC là rất quan trọng.

Một số thách thức trong cung cấp DVCTT

Tại Security World 2021, ông Võ Mạnh Linh, Cục Kiểm soát Thủ tục hành chính, Văn phòng Chính phủ cho biết thực tế khi triển khai DVC trực tuyến chúng ta gặp phải một số khó khăn.

Cụ thể, về hành lang pháp lý, chúng ta còn thiếu một số hành lang pháp lý rất quan trọng như bảo vệ dữ liệu cá nhân, định danh chính phủ điện tử (CPĐT). Hiện nay Chính phủ đã giao Bộ TT&TT, Bộ Công an đã xây dựng các cơ sở dữ liệu liên quan như cung cấp thông tin kết quả DVC... Việc này đã được triển khai ở một số bộ, ngành, địa phương, tuy nhiên vẫn chưa có hành lang pháp lý cụ thể.

Về môi trường Internet, thách thức rất lớn với xây dựng cổng DVC quốc gia là môi trường mở. Mục tiêu đặt ra cho 5 năm tới là phải có khoảng 10 triệu tài khoản người dân sử dụng DVCTT. Điều này đòi hỏi hệ thống CNTT rất lớn. Hơn nữa, trong quá trình sử dụng và vận hành sẽ cần sự quan tâm nhiều hơn tới vấn đề an ninh mạng, đặc biệt là những tấn công trong và ngoài nước.

Về mô hình kết nối, chia sẻ dữ liệu, để giao tiếp giữa người dùng và nhà cung cấp dịch vụ được hiệu quả, các sản phẩm sử dụng cần phải có khả năng chia sẻ và trao đổi dữ liệu. Mô hình kết nối cổng DVCTT liên quan tới nhiều bên tham gia, cần sự phối hợp của rất nhiều bên khác nhau. Hiện nay đã kết nối được hơn 100 điểm, bao gồm tất cả các bộ, ngành, địa phương, các đơn vị bên ngoài khu vực cơ quan hành chính như các nhà mạng viễn thông, các ngân hàng, các cơ quan thanh toán để phục vụ cho việc thanh toán điện tử các dịch vụ công. Do đó, khả năng tương tác - khả năng phối hợp các hệ thống hoặc quy trình nghiệp vụ, sản phẩm để hoàn thành một nhiệm vụ chung vẫn là yếu tố cần thiết trong triển khai DVCTT.

Về định danh, xác thực người dùng trong giao dịch điện tử, vấn đề xác minh danh tính của đối tác giao dịch là rất quan trọng, không chỉ để đảm bảo rằng đối tác chính là doanh nghiệp muốn thực hiện thỏa thuận đơn lẻ đó, mà còn đảm bảo việc thực hiện giao dịch trong dài hạn. Một trong những lý do mà trong nhiều năm qua DVCTT vẫn còn hạn chế là các hành lang pháp lý về định danh, xác thực người dùng hiện còn chưa rõ ràng. Tới thời điểm này, các bộ, các tỉnh chủ yếu đều dùng hệ thống định danh ở mức rất đơn giản. Vấn đề này gây mất an toàn thông tin (ATTT), mất niềm tin với tất cả người dùng trong việc đảm bảo không bị xâm nhập.

Về xác thực thông tin, dữ liệu, tài liệu, cũng tương tự như trên môi trường giấy, Chính phủ đã có những quy định nội dung liên quan tới tài liệu điện tử để xác định được những tài liệu trên môi trường điện tử có giá trị về mặt pháp lý. Mới nhất là Nghị định 45/2020/NĐ-CP của Chính phủ quy định về việc thực hiện thủ tục hành chính trên môi trường điện tử, theo đó, có thể chứng thực bản sao điện tử có giá trị tương đương với bản chính và nó sẽ là hành lang pháp lý quan trọng để các bộ, ngành triển khai mạnh mẽ DVCTT trong tương lai.

Về chữ ký số (CKS), chữ ký điện tử, hiện nay Việt Nam đang có 2 hệ thống CKS khác nhau, đó là CKS do ban cơ yếu chính phủ ban hành và CKS của khu vực công cộng. Mục tiêu kết nối là phải đảm bảo hành lang pháp lý cả về kỹ thuật và về vấn đề chữ ký điện tử khi giao dịch giữa quan nhà nước với các doanh nghiệp như ký hợp đồng điện tử... Trong luật giao dịch điện tử có quy định về giá trị pháp lý CKS, chữ ký điện tử. Trong tương lai, hầu hết chúng ta dùng CKS, tuy nhiên, hướng dẫn về lĩnh vực này gần như vẫn chưa có.

Một số nước trên thế giới đã sử dụng chữ ký điện tử khá phổ biến, đặc biệt với những thủ tục hành chính ở mức độ không yêu cầu quá cao. Ở Việt Nam, tập đoàn điện lực và khối ngân hàng cũng đã thử nghiệm sử dụng chữ ký điện tử.

Về thanh toán trực tuyến, người dân Việt Nam vẫn có thói quen sử dụng tiền mặt. Phần lớn người mua hàng trực tuyến vẫn lựa chọn hình thức thanh toán tiền mặt khi nhận hàng. Nguyên nhân do chưa tin tưởng vào độ an toàn của giao dịch và chất lượng của hàng hóa, dịch vụ. Mặt khác, nhận thức của người dân về những tiện ích khi thanh toán không dùng tiền mặt còn hạn chế. Đây là một nghịch lý, bởi phát hành thẻ cần phải song hành phát triển hạ tầng thanh toán rộng khắp chứ không phải là cuộc đua gia tăng thị phần thẻ và thực hiện mục đích rút tiền mặt.

Ông Linh cũng nhận định bảo đảm an toàn, an ninh thông tin theo các quy định khi triển khai còn lúng túng, việc tuân thủ những nội dung đang được quy định theo Nghị định 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ còn nhiều vướng mắc.

Giải pháp bảo đảm ATTT trong cung cấp DVCTT

Với những khó khăn như trên, ông Linh đã đề xuất một số giải pháp để thúc đẩy DVCTT trên môi trường mạng để vừa thuận lợi cho người dân, doanh nghiệp, vừa đảm bảo ATTT:

Giải pháp về cơ chế, pháp lý

Hoàn thiện hành lang pháp lý: Các hành lang pháp lý quan trọng liên quan đến triển khai, hoàn thiện là nghị định về định danh và xác thực điện tử, Nghị định về bảo vệ dữ liệu cá nhân, Nghị định về lưu trữ thông tin, tài liệu, đặc biệt là thông tin, tài liệu lâu dài cần phải cụ thể. Việc vận hành Cổng DVC quốc gia là liên bộ, liên ngành cần rất nhiều cơ quan tham gia phải có quy chế do Thủ tướng Chính phủ ban hành để đảm bảo vai trò, trách nhiệm của các bộ, cơ quan trong quá trình xây dựng và vận hành cổng.

Ngoài ra, rất cần có những quy định về số hóa, lưu trữ thông tin điện tử, chữ ký điện tử cũng như cơ chế phối hợp giữa các cơ quan, đơn vị có liên quan. Trên chặng đường triển khai DVCTT cần có sự tham gia của các đơn vị ngoài khối cơ quan nhà nước như nhà cung cấp dịch vụ Inernet, các nhà mạng, các đơn vị, các ngân hàng, chuyên gia... Hiện nay, các đơn vị đang tham gia phối hợp với hệ thống cổng để định danh xác thực người dùng. Trong thời gian tới, việc phối hợp với các ngân hàng nhằm sử dụng dữ liệu của những khách để định danh người dân là rất cần thiết.

Cơ chế thuê dịch vụ: Cơ chế thuê dịch vụ hiện nay còn đang gặp nhiều bối rối về các nội dung liên quan đến trách nhiệm của đơn vị cho thuê dịch vụ trong việc mất ATTT. Do vậy, cần có hướng dẫn cụ thể về vấn đề này.

Giải pháp về nâng cao nhận thức

Việc nâng cao nhận thức của lãnh đạo là vô cùng quan trọng. Điều này sẽ hữu hiệu trong việc bố trí nguồn lực tương ứng với việc đảm bảo ATTT. Ngoài ra, chúng ta cần phải tập huấn cho các cá nhân, đặc biệt là người dân. Hiện nay trình độ dân trí không đồng đều, mà tài khoản lại mang tính duy nhất nên cần phải thường xuyên hướng dẫn, tập huấn cho người dân, cảnh báo người dùng tránh những rủi ro do lộ mật khẩu OTP, cung cấp mật khẩu cho người khác, những hành vi cấm, những hành vi sẽ bị xử phạt hoặc những khuyến nghị với những người sở hữu tài sản trên cổng thông tin quốc gia hay cổng dịch vụ công.

Giải pháp về kỹ thuật

Trong việc cung cấp DVCTT cần sử dụng trục dịch vụ mạng quốc gia và giải pháp kết nối theo mô hình phân tán. Từ mỗi điểm kết nối đều sử dụng các thiết bị, giải pháp mật mã của ban Cơ yếu Chính phủ để định danh các đơn vị đang kết nối trong hệ thống và mã hóa được cả dữ liệu trên đường truyền để đảm bảo chia sẻ, kết nối dữ liệu trong cung cấp dịch vụ cho người dân được an toàn.

Thứ hai là định danh xác thực, ngay từ đầu Cổng DVC quốc gia đã lựa chọn hình thức xác thực trong mức độ trung bình theo tiêu chuẩn châu Âu và của Mỹ, tương đương mức độ xác thực OTP của các ngân hàng. Hình thức này cũng có một số bất cập trong quá trình đăng ký tài khoản hay thay đổi thông tin. Giải pháp có cảnh báo về mật khẩu OTP cũng vẫn tồn tại những rủi ro nhất định. Hiện nay, Văn phòng Chính phủ đang phối hợp với ban cơ yêu chính phủ để xây dựng một số giải pháp khác như thêm các giải pháp ký số trên thiết bị di động hay trên các ứng dụng, các giải pháp về mạng IP tích hợp với cơ sở dữ liệu quốc gia.

Ngoài ra, những giải pháp về bảo về bảo đảm tính toàn vẹn, tính xác thực tiếp tục được phối hợp với cơ quan cung ứng để triển khai các giải pháp thân thiện hơn với cán bộ công chức, các thiết bị di động, các ứng dụng di động để thực hiện các văn bản trao đổi nhằm giảm tải việc phải ký trên các giấy tờ.

Với những khó khăn và một số giải pháp như trên, ông Linh cho rằng cần sự chung tay của các bộ, ngành, địa phương cũng như sự phối kết hợp của người dân để nhanh chóng thực hiện tích hợp, đồng bộ các lĩnh vực, thủ tục hành chính, dịch vụ công lên Cổng DVC quốc gia.