Bảo mật giao dịch điện tử trong nền kinh tế số

An toàn thông tin - Ngày đăng : 11:00, 03/11/2021

Theo sự phát triển của công nghệ, hoạt động giao dịch trực tiếp giữa các cơ quan, tổ chức, cá nhân đã được chuyển dần sang phương thức giao dịch mới - giao dịch điện tử (GDĐT). Đặc biệt trong giai đoạn đại dịch đang diễn ra trên toàn thế giới, sử dụng GDĐT và chữ ký số (CKS) đối với các cá nhân, tổ chức và doanh nghiệp là một vấn đề quan trọng để bảo vệ lợi ích của các bên.

Vấn đề bảo mật trong giao dịch điện tử, vai trò của CKS trong bảo mật GDĐT

Cuộc cách mạng công nghiệp 4.0 và sự phát triển kinh tế số tại Việt Nam đã làm gia tăng các giao dịch điện tử, kéo theo hàng loạt các vấn đề về bảo mật. Đây cũng là yếu tố quan trọng mang tính cốt lõi để hiện thực hóa nền kinh tế số ở Việt Nam.

Trong giao dịch điện tử, các bên liên quan không gặp mặt trực tiếp để thực hiện giao dịch nên chữ ký trên giấy khó áp dụng hình thức sử dụng chữ ký tay. CKS giúp giải quyết vấn đề này cũng như đảm bảo tính an toàn, toàn vẹn về nội dung cho các giao dịch số tốt hơn nhiều so với chữ ký trên giấy.

Bảo mật giao dịch điện tử trong nền kinh tế số - Ảnh 1.

Chúng ta có thể hiểu CKS là một dạng chữ ký điện tử dựa trên công nghệ hạ tầng khóa công khai (PKI). Nó đóng vai trò như chữ ký đối với cá nhân hay con dấu đối với tổ chức, DN và được thừa nhận về mặt pháp lý. CKS có tính bảo mật rất cao, khó có thể giả mạo được như chữ ký và con dấu trên giấy.

Ngoài ra, sử dụng CKS rất linh hoạt trong cách thức ký kết các văn bản hợp đồng,... do có thể thực hiện ở bất kỳ địa điểm nào, ở bất kỳ thời gian nào, chỉ cần có kết nối Internet; Bảo mật danh tính của cá nhân, doanh nghiệp an toàn; Quá trình nộp hồ sơ thuế, kê khai và nộp thuế trực tuyến qua môi trường mạng của DN sử dụng chữ ký điện tử là một ví dụ điển hình của việc áp dụng CKS giúp đảm bảo an toàn trong giao dịch trên môi trường mạng.

Thực trạng chữ ký điện tử - CKS hiện nay

Hiện nay, việc áp dụng hình ảnh chữ ký điện tử, con dấu điện tử lên tài liệu điện tử, thông điệp điện tử đang ngày càng trở nên thông dụng, nhiều cơ quan, đơn vị đã sử dụng chữ ký số để thực hiện các giao dịch điện tử.

Theo “Báo cáo tình hình phát triển và ứng dụng CKS tại Việt Nam năm 2019” được Bộ Thông tin và Truyền thông (TT&TT) xây dựng và phát hành cho thấy. Tổng cục Hải quan đang cung cấp 181 dịch vụ công trực tuyến (DVCTT) ứng dụng CKS để xác thực và 170 DVCTT mức độ 4 ứng dụng CKS để xác thực, trong đó có các dịch vụ như: Hệ thống VNACCS/VCIS Cổng thông tin một cửa quốc gia và Cổng thanh toán điện tử thu thuế xuất nhập khẩu Cổng thông tin điện tử Hải quan.

Ưu điểm của CKS

- Giúp người nhận xác định được nguồn gốc dữ liệu: Nhờ có CKS mà người nhận có thể xác định được nguồn gốc của dữ liệu được gửi đến từ đâu, do ai gửi.

- Đảm bảo tính xác thực, không thể chối bỏ: Trong quá trình giao dịch, bên tham gia có thể chối bỏ trạng thái giao dịch của mình. Nhờ CKS mà các bên tham gia sẽ không thể phủ nhận sự tham gia của mình trong các giao dịch, đặc biệt khi có xảy ra tranh chấp về mặt pháp lý.

- Đảm bảo tính toàn vẹn thông tin: Khi dữ liệu điện tử đã áp dụng CKS thì trong trường hợp nội dung của dữ liệu đó bị sửa đổi trong quá trình truyền đi, dù là một chi tiết nhỏ nhất thì cũng dễ dàng

bị phát hiện và dữ liệu đó sẽ không có giá trị. Quy trình mã hóa sẽ giúp bảo mật nội dung thông tin với bên thứ ba.

- Giúp tiết kiệm thời gian, chi phí và công sức: Sử dụng CKS giúp cá nhân, tổ chức và doanh nghiệp tiết kiệm rất nhiều thời gian do giảm thiểu tối đa quá trình in ấn, chờ đợi và di chuyển, tối ưu hóa được các thủ tục và quy trình nhờ giao dịch trên môi trường mạng.

Trong lĩnh vực BHXH, sau gần 03 năm kể từ khi Thủ tướng Chính phủ ban hành Quyết định số 08/2015/QĐ- TTg ngày 09/3/2015 về GDĐT trong việc thực hiện thủ tục tham gia BHXH, bảo hiểm y tế, bảo hiểm thất nghiệp và đề nghị cấp sổ BHXH, thẻ bảo hiểm y tế, DVCTT ứng dụng CKS của ngành BHXH đã có những phát triển cả về số lượng và chất lượng.

Tính đến 31/3/2019, số lượng DN đã đăng ký tham gia sử dụng dịch vụ với cơ quan thuế là 703.753 DN (không bao gồm các đơn vị chi nhánh, trực thuộc) trên tổng số 711.748 DN đang hoạt động, đạt tỷ lệ 98,87%.

Trong lĩnh vực Hải quan, cung cấp DVCTT là một trong những công việc quan trọng đã và đang được ngành Hải quan triển khai thực hiện trong nhiều năm qua. Hiện nay, Tổng cục Hải quan đang cung cấp 181 DVCTT ứng dụng CKS để xác thực và 170 DVCTT mức độ 4 ứng dụng CKS để xác thực, trong đó có các dịch vụ như: Hệ thống VNACCS/VCIS Cổng thông tin một cửa quốc gia và Cổng thanh toán điện tử thu thuế xuất nhập khẩu Cổng thông tin điện tử Hải quan.

Trong lĩnh vực chứng khoán, hiện nay, Ủy ban Chứng khoán Nhà nước đang sử dụng CKS trong các hệ thống như: hệ thống giám sát giao dịch chứng khoán; phần mềm quản lý báo cáo thống kê nội bộ; hệ thống cơ sở dữ liệu (CSDL) quản lý công ty quản lý quỹ và quỹ đầu tư; hệ thống CSDL quản lý công ty chứng khoán; hệ thống CSDL quản lý nhà đầu tư nước ngoài; hệ thống công bố thông tin.

Những khó khăn, thách thức khi doanh nghiệp áp dụng CKS, chữ ký điện tử

Mặc dù CKS đang ngày càng phổ biến và cần thiết, nhất là trong giai đoạn đại dịch COVID-19 đang diễn ra. Lợi ích mà CKS mang lại là vô cùng to lớn. Tuy nhiên, trong thực tế triển khai đối với các DN vẫn còn một số vấn đề vướng mắc mà cần được tháo gỡ và khắc phục.

Trước tiên là sự chưa đồng bộ giữa pháp luật Việt Nam cũng như hạ tầng kỹ thuật chưa tương thích. Hệ thống CKS chưa có sự kết nối liên thông với tiêu chuẩn chữ ký số thế giới, RootCA. Trust List Quốc tế (EU, Mỹ,...)

Quy định về chữ ký điện tử cơ bản, chữ ký an toàn của Luật giao dịch điện tử hiện nay không có sự phân chia cấp độ đồng bộ với quy định tiêu chuẩn chữ ký điện tử nâng cao, đảm bảo.

Quy định về lưu trữ điện tử và xác thực được tài liệu điện tử lâu dài chưa đồng bộ với quy trình kỹ thuật. Hiện nay, chứng từ/tài liệu điện tử trong GDĐT chưa đủ tính bằng chứng, chứng cứ để xác thực, tra cứu lâu dài gây tranh cãi, kiện tụng, chối bỏ tài liệu.

Đặc biệt là hiện nay là CKS, chữ ký điện tử hiện đều áp dụng và sử dụng nguồn thời gian của máy tính, máy chủ chuyên dụng về CKS và gây một số rủi ro nhất định. Sau khi chứng thư số hết hạn, trạng thái chữ ký số chuyển từ VALID sang UNKNOWN (không xác thực được), bị chối bỏ trong GDĐT.

Do vậy, việc không triển khai cũng như không áp dụng triệt để lưu trữ điện tử lâu dài áp dụng cho các tài liệu điện tử sinh ra từ số là sự bất lợi khi có khiếu kiện xảy ra. 

Bảo mật giao dịch điện tử trong nền kinh tế số - Ảnh 1.

Ngoài ra, thời gian ký số trên tài liệu điện tử không đảm bảo tính tin cậy, không đảm bảo tính toàn vẹn. Theo quy định của luật giao dịch điện tử thì đây cũng là điều gây rủi ro khi cần đến bằng chứng, chứng cứ cũng như đảm bảo tính pháp lý khi tranh tụng hoặc có vấn đề xảy ra giữa các bên.

Khi chứng thư số bị hết hạn hoặc thu hồi thì sẽ bị vô hiệu hóa chữ ký số trên tài liệu mặc dù về mặt pháp luật, về mặt logic thì vẫn có giá trị pháp lý. Tuy nhiên, thông tin lại bị thu hồi, ví dụ như thông tin về duy trì hiệu lực chữ ký số và việc kiểm tra chữ ký số khi mở file trình duyệt chữ ký số hoặc file PDF...

CKS thông thường sẽ không thể xác thực được khi chứng thư số hết hạn hoặc bị thu hồi trong tương lai. Khi đó, hợp đồng điện tử coi như vô hiệu hóa dẫn đến khi xảy ra tranh chấp sẽ không có bằng chứng giao dịch, không có giá trị pháp lý trước tòa.

Đây là những điều bất cập mà CKS hiện nay đang gặp đối với các DN.

Một số giải pháp và lưu ý khi các DN triển khai CKS, chữ ký điện tử

Trước những lợi ích, khó khăn và những vấn đề còn bất cập trong áp dụng CKS, một số khuyến nghị như sau có thể sẽ là kim chỉ nam giúp các DN phần nào.

Về lưu trữ điện tử

Các doanh nghiệp khi triển khai CKS phải tìm hiểu thật kỹ, nắm rõ đối tượng lưu trữ và những văn bản pháp lý hiện hành cần phải tuân thủ.

Khi triển khai hệ thống lưu trữ điện tử, cần áp dụng mô hình kiến trúc về lưu trữ điện tử. Xác định thống nhất định dạng dữ liệu, định dạng format, metadata theo quy định để có kế hoạch lưu trữ, có khả năng truy xuất và lưu trữ sau này.

Ngoài ra phải xác định và có kế hoạch lưu trữ dữ liệu, tài liệu điện tử có ký số, các thành phần liên quan để đảm bảo dữ liệu toàn vẹn, có giá trị pháp lý trong hiện tại và cả trong tương lai khi công nghệ phát triển hay có sự nâng cấp hệ thống

Hơn nữa, để đảm bảo tính toàn vẹn, giao dịch điện tử và ký số cho lưu trữ điện tử cần phải dụng CKS đóng dấu thời gian Timestamp.

Định dạng chữ ký không đảm bảo lưu trữ điện tử, toàn vẹn dữ liệu, tra cứu xác thực sau 10 năm, 20 năm...: CKS cơ bản vòng đời phụ thuộc vào thời hạn chứng thư số; CKS nâng cao theo tiêu chuẩn chính sách ETSI.

Định dạng ký số theo tiêu chuẩn quốc tế, đảm bảo tính toàn vẹn, xác thực lâu dài cho y tế điện tử, chứng khoán điện tử, hồ sơ điện tử...: CKS lưu trữ lâu dài chuẩn ETSI bao gồm timeStamp và hoặc thông tin thu hồi chứng thư, cùng dấu thời gian dùng cho lưu trữ.

Về tính bảo mật di động

Theo OWASP (Open Web Application Security Project) - tổ chức nổi tiếng trên thế giới đưa ra những tiêu chuẩn kỹ thuật trong ứng dụng di động đã đưa ra 3 mức bảo vệ phần mềm trong ứng dụng di động: 

Bảo mật giao dịch điện tử trong nền kinh tế số - Ảnh 2.

Ba mức bảo vệ phần mềm trong ứng dụng di động của OWASP

Mức 1: Mức cực chuẩn cho tất cả các ứng dụng di động cần đạt được để đảm bảo về mặt bảo mật.

Mức 2: Cho những ứng dụng liên quan đến Healthcare và Defense in Depth.

Mức 3: Ứng dụng cho lĩnh vực tài chính thì cần phải có mức bảo mật cao hơn là mức A.

Một ứng dụng di động phải đảm bảo chống thay đổi vùng Anti-debugging cả tĩnh và động cũng như chống dịch ngược, và phải có tính năng Device binding, những dữ liệu quan trọng phải được gắn với thiết bị để nếu kẻ tấn công lấy cắp được dữ liệu thì chúng vẫn không thể đọc được.

Ngoài ra, còn những vấn đề tưởng chừng như đơn giản, nhưng cũng rất quan trọng và cần được lưu ý đối với các doanh nghiệp khi triển khai CKS:

- Phải hiểu rõ đặc điểm của CKS: Để lựa chọn được chữ ký số phù hợp với yêu cầu đặc thù của tổ chức, DN, bạn cần nắm rõ được phân loại CKS cũng như thông tin chứa trong CKS.

- Tính ứng dụng của chữ ký số trong thực tế: Thực tế, nhiều người dùng không khai thác hết tính ứng dụng của CKS bởi không hiểu hết tính ứng dụng của chữ ký số trong thực tế.

Cơ chế hoạt động của CKS như thế nào? 

Hoạt động của chữ ký số được dựa trên công nghệ hạ tầng khóa công khai, người sử dụng có một cặp khóa gồm khóa công khai và khóa bí mật.

Khóa công khai được hiểu là một khóa sử dụng mật mã bất đối xứng nhằm để kiểm tra CKS được tạo bởi một khóa bí mật tương ứng.

Khóa bí mật được sử dụng bằng thuật toán mật mã bất đối xứng, dùng để tạo CKS và hơn hết khóa bí mật này mỗi người sử dụng chỉ được cấp một khóa duy nhất và được giữ bí mật tuyệt đối.

Đăng ký sử dụng CKS ở đâu?

Hiện nay, trên thị trường có rất nhiều đơn vị cung cấp CKS tuy nhiên không phải đơn vị cung cấp nào cũng đảm bảo được tính bảo mật và an toàn thông tin cho người dùng. Theo đó, bạn cần cân nhắc thật kỹ trước khi đưa ra lựa chọn.

Trên đây là một số điểm chính cần lưu ý trong quá trình triển khai, áp dụng CKS. Thực tế, việc sử dụng CKS có vai trò quan trọng trên không gian mạng nhằm xác định tính pháp lý của các cá nhân và tổ chức tham gia vào các giao dịch cũng như tài liệu điện tử. Do vậy, các DN, cá nhân cần thận trọng, nghiên cứu thật kỹ trước khi áp dụng./.

(Bài viết đăng ấn phẩm in Tạp chí TT&TT số 10 - Tháng 10/2021)

Hạnh Tâm