Sử dụng chữ ký số để nhanh chóng rời khỏi "vùng trũng" xác thực
Diễn đàn - Ngày đăng : 11:47, 17/10/2023
Sử dụng chữ ký số để nhanh chóng rời khỏi "vùng trũng" xác thực
Chữ ký số (CKS) là giải pháp được quốc tế và Việt Nam công nhận về tính pháp lý, có thể giải quyết các nguy cơ an ninh trong giao dịch trực tuyến đặc biệt là giao dịch ngân hàng điện tử.
Đây là nhấn mạnh của Thứ trưởng Bộ TT&TT Nguyễn Huy Dũng tại hội thảo“Vai trò của CKS cá nhân trong các giao dịch thanh toán điện tử” do Trung tâm Chứng thực điện tử Quốc gia (NEAC) - Bộ TT&TT phối hợp với Hiệp hội Ngân hàng Việt Nam (VNBA), Câu lạc bộ CKS và Giao dịch điện tử (GDĐT) Việt Nam, Deloitte Hàn Quốc và Cơ quan An ninh và Internet Hàn Quốc (KISA) tổ chức ngày 17/10, tại Hà Nội.
Năm 2023 được được chọn là năm “bứt phá trong chuyển đổi số (CĐS)”, chính vì vậy, Hội thảo chuyên đề nhằm tăng cường, thúc đẩy việc sử dụng CKS trong lĩnh vực tài chính - ngân hàng, đồng thời cung cấp và hỗ trợ thông tin đến các thành viên hiệp hội ngân hàng, các ngân hàng thương mại, doanh nghiệp (DN) cùng toàn thể các đại biểu tham dự về tính cấp thiết của việc ứng dụng CKS trong lĩnh vực thanh toán điện tử.
Thực hiện nhiều GDĐT thì các loại hình tội phạm cũng di chuyển theo
Tại hội thảo, Thứ trưởng Bộ TT&TT Nguyễn Huy Dũng nhấn mạnh: “CĐS đang là xu hướng phát triển chung của toàn Thế giới. Việt Nam cũng đang hòa mình vào xu hướng CĐS, phát triển Chính phủ điện tử, kinh tế số, xã hội số, công dân số. Chính phủ Việt Nam xác định một trong những trụ cột quan trọng trong công cuộc CĐS chính là thanh toán điện tử”.
CĐS mang lại rất nhiều lợi ích cho mỗi người dân và toàn bộ nền kinh tế. Tuy nhiên, khi người dân chuyển từ không gian thực lên không gian mạng và thực hiện nhiều GDĐT thì các loại hình tội phạm cũng di chuyển theo.
Theo ghi nhận từ Cục ATTT trong 9 tháng đầu năm 2023, hơn 9.503 cuộc tấn công mạng nhắm vào các cơ quan, tổ chức, người dùng trong nước, trong đó có 8.168 cuộc tấn công lừa đảo (phishing), 451 cuộc thay đổi giao diện (deface), và 884 cuộc tấn công phát tán mã độc (malware). Có nhiều cuộc tấn công lừa đảo nhằm vào người dùng là khách hàng của các ngân hàng tại Việt Nam, với mục đích lấy tiền, thông tin cá nhân, thông tin giao dịch thanh toán.
Là lĩnh vực đi đầu trong việc số hóa tại Việt Nam, vấn đề đảm bảo an toàn trong các giao dịch đặc biệt là GDĐT, thanh toán điện tử của khách hàng và các nhà đầu tư trong ngành tài chính ngân hàng, bảo hiểm, chứng khoán vẫn luôn được đặt lên ưu tiên hàng đầu.
Tuy nhiên, theo nhận định của Thứ trưởng Nguyễn Huy Dũng, phương thức xác thực đơn thuần bằng tên đăng nhập, mật khẩu, OTP tiềm ẩn nhiều rủi ro, do OTP thực chất vẫn là một dạng mật khẩu (One Time Password) và có thể bị đánh cắp.
Theo báo cáo về hoạt động xác thực trong ngành tài chính toàn cầu 2022, 80% tổ chức tài chính, ngân hàng bị lộ lọt dữ liệu với nguyên nhân liên quan đến xác thực yếu, gây thiệt hại trung bình hàng triệu USD mỗi năm. Ngoài ra, 99% người tham gia khảo sát đồng ý rằng các phương pháp xác thực truyền thống, chỉ dựa vào mật khẩu và xác thực một lần (OTP) không còn đủ mạnh để bảo vệ tài khoản trước các cuộc tấn công mạng hiện đại, tinh vi như hiện nay.
Thực tế thời gian qua, phương thức này vẫn bị vượt qua bằng nhiều cách, ví dụ tin tặc (hacker) tạo trang web mạo danh để lừa người dùng nhập OTP, mã độc đọc trộm OTP trên SMS hoặc email.
Chia sẻ thêm về những khó khăn, thách thức trong lĩnh vực ngân hàng, ông Hoàng Minh Tiến, Trưởng phòng An ninh thông tin - Cục Công nghệ thông tin (CNTT), Ngân hàng nhà nước (NHNN) Việt Nam cho biết thêm tình hình an ninh mạng trên thế giới và tại Việt Nam diễn ra ngày càng phức tạp với nhiều phương thức, thủ đoạn tinh vi hơn. Tội phạm sử dụng không gian mạng để lừa đảo chiếm đoạt tài sản gia tăng. Ngành Ngân hàng, Tài chính luôn là đích nhắm hàng đầu của tội phạm sử dụng công nghệ cao.
Theo báo cáo của Bộ Công an, các đối tượng sử dụng tài khoản ngân hàng, ví điện tử không chính chủ để nhận, chuyển tiền lừa đảo. Các đối tượng thông qua tiền ảo (USDT, Bitcoin,...) để làm công cụ rửa tiền gây thiệt hại lớn về tài sản.
CKS là để rời khỏi vùng trũng về xác thực
Trước những khó khăn, thách thức này, Thứ trưởng Nguyễn Huy Dũng cho biết để đạt mục tiêu nhanh chóng rời khỏi vùng trũng về xác thực, tránh trở thành mục tiêu vừa có giá trị cao vừa dễ tấn công của tội phạm mạng, cần có kế hoạch hành động cụ thể, với sự tham gia đóng vai trò dẫn dắt của các cơ quan nhà nước và sự tham gia tích cực của hiệp hội các ngân hàng và doanh nghiệp (DN) công nghệ.
Thứ trưởng nhấn mạnh: “CKS là giải pháp được quốc tế và Việt Nam công nhận về tính pháp lý, có thể giải quyết các nguy cơ an ninh trong giao dịch trực tuyến đặc biệt là giao dịch ngân hàng điện tử”.
CKS tương đương chữ ký tay, có các thuộc tính định danh, xác thực đúng nguồn gốc, đảm bảo được tính toàn vẹn của dữ liệu nhận được và chống chối bỏ. Như vậy, theo Thứ trưởng, “CKS giúp các ngân hàng giảm thiểu chi phí đầu tư trong triển khai và mở rộng dịch vụ, tăng cường khả năng quản lý rủi ro hiệu quả. Bên cạnh đó, ứng dụng phương thức bảo mật này giúp xây dựng hình ảnh ngân hàng hiện đại, tin cậy và an toàn hơn. Đặc biệt, Luật GDĐT 2023 mới đây có nhiều quy định quan trọng về CKS, tạo điều kiện thuận lợi cho việc ứng dụng CKS vào mọi hoạt động của người dân trên môi trường mạng. CKS được xem là một trong những tài sản số quan trọng nhất, một mắt xích không thể thiếu trong thời đại CĐS”.
Trước tình hình tội phạm mạng gia tăng một cách nhanh chóng với các thủ đoạn tinh vị hơn, công nghệ cao hơn, do đó, NHNN đã trình Thống đốc và được đồng ý sẽ sửa Quyết định 630/QĐ-NHNN về kế hoạch áp dụng các giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng, theo đó sẽ quy định về các biện pháp xác thực theo từng loại giao dịch trong đó có xác thực sinh trắc học và CKS.
Theo Thứ trưởng, “Đây là một quyết định rất căn cơ để xác định chính chủ. Có nghĩa, người mở tài khoản và người thực hiện giao dịch đó phải là một. Trong đó biện pháp xác thực sử dụng số được đặt ở mức cao nhất. CKS được xếp trên các tiêu chí an toàn khác vì có sự thừa nhận và giá trị pháp lý vững vàng nhất”.
Ông Nguyễn Quốc Hùng, Phó Chủ tịch kiêm Tổng thư ký Hiệp hội Ngân hàng Việt Nam (VNBA) chia sẻ trên thực tế chữ ký điện tử (CKĐT) đã được sử dụng phổ biến trong lĩnh vực tài chính ngân hàng để ký kết và xác thực hợp đồng điện tử; ký số cho hoá đơn điện tử; xác minh danh tính của khách hàng khi thực hiện các giao dịch trực tuyến, mở tài khoản mới hoặc truy cập vào dịch vụ trực tuyến.
Ngoài việc sử dụng CKĐT trong hoạt động ngân hàng, các ngân hàng còn thỏa thuận với khách hàng sử dụng phương thức xác thực là mật khẩu đăng nhập kết hợp với mã xác thực được ngân hàng gửi tới khách hàng để xác thực khách hàng như mã OTP, Token OTP… trong các giao dịch ngân hàng trực tuyến.
Tuy nhiên, theo quy định tại Luật GDĐT năm 2023 có hiệu lực từ 1/7/2024, CKĐT có giá trị pháp lý chỉ gồm CKĐT chuyên dùng đảm bảo an toàn và CKS. Để có cơ sở triển khai việc đăng ký cấp giấy chứng nhận và sử dụng CKĐT chuyên dùng đảm bảo an toàn, các ngân hàng phải chờ Chính phủ ban hành hướng dẫn về hồ sơ, trình tự, thủ tục đăng ký cấp chứng nhận CKĐT chuyên dùng bảo đảm an toàn, hơn nữa việc tiến hành đăng ký và được cấp giấy chứng nhận cần mất một khoảng thời gian nhất định.
Để không gián đoạn các GDĐT trong hoạt động của các ngân hàng vào thời điểm Luật GDĐT năm 2023 có hiệu lực (ngày 01/07/2024), ngoài việc sử dụng các hình thức xác nhận khác bằng phương tiện điện tử để thể hiện sự chấp thuận của chủ thể ký đối với thông điệp dữ liệu (mà các ngân hàng hiện nay đang thực hiện theo các quy định chuyên ngành) thì việc sử dụng CKS cũng là một lựa chọn.
Nguyên nhân chính dẫn tới việc CKS mới chỉ chiếm 5% khách hàng cá nhân của ngân hàng, chi phí cho CKS cá nhân vẫn còn khá lớn nên đa phần người dân chưa có CKS cá nhân; ngân hàng cũng cần chi phí đầu tư để tích hợp hệ thống, mua CKS cho cán bộ nhân viên, chi phí hạ tầng cho các nền tảng ký số, xác thực CKS...
Hàn Quốc bùng nổ sử dụng CKS cá nhân trong thanh toán điện tử
Hiện nay, Hàn Quốc là quốc gia có nhiều kinh nghiệm, các bài học thực tiễn về câu chuyện bùng nổ CKS cá nhân trong các lĩnh vực của đời sống mà nổi bật nhất là trong lĩnh vực thanh toán điện tử.
Đạo luật CKS sửa đổi của Hàn Quốc vào năm 2020 đã thúc đẩy sự tăng trưởng vượt bậc của thị trường CKS tại Hàn Quốc. Theo số liệu do KISA cung cấp, hiện nay, tổng số chứng thư số đã cấp tại Hàn Quốc đạt đã đạt hơn 170 triệu chứng thư số (bao gồm chứng thư số cho cá nhân, cá nhân trong tổ chức và tổ chức).
Ông Cho Sung Jig, Trưởng đại diện KISA tại Việt Nam cho biết thêm sau đại dịch COVID-19 ở Hàn Quốc, một dịch vụ đa dạng kết nối với CNTT đã được giới thiệu như ủy quyền tiêm chủng trực tuyến và các phương thức thanh toán/ngân hàng không tiếp xúc dựa trên thuật toán mã hóa. Hầu hết các dịch vụ đa dạng đều liên quan đến xác thực điện tử, là quá trình thiết lập sự tin cậy vào danh tính người dùng được trình bày dưới dạng điện tử cho hệ thống thông tin. Trên nền tảng đó, chứng thực điện tử (NPKI) là điểm cốt lõi để biến mọi thứ thành hiện thực một cách tự nhiên.
Theo ông Cho Sung Jig, Việt Nam có thể tận dụng cơ hội để tăng cường môi trường Internet an toàn và thị trường thương mại điện tử đáng tin cậy. Cũng trong thời đại cách mạng số, Việt Nam sẽ có những trải nghiệm về sự thay đổi lớn với CNTT trong đó có NPKI./.